Arzopas Portable Monitor A1 erlaubt es, unterwegs wie am heimischen Schreibtisch zu arbeiten. Bei Amazon ist er fast 50 Prozent reduziert.
Der Portable Monitor A1 von Arzopa mit fast 50 Prozent Rabatt bei AmazonBild:
Amazon.de/Arzopa
Portable Monitore erleichtern Arbeit und Unterhaltung auf Reisen ungemein. Man kann sie quasi überall aufstellen, mehr als ein Fenster oder einen Tab gleichzeitig anschauen und entlastet dank größerem Screen Space die Augen. Sogar Heimkonsolen lassen sich oft daran anschließen, was sie besonders für Vielspieler interessant macht. Ein unter Amazon-Kunden beliebtes Modell der Marke Arzopa ist aktuell zum absoluten Schnäppchenpreis zu haben. Der Portable Monitor A1 kostet mit fast 50 Prozent Rabatt unter 80 Euro. Selten ist er so günstig zu haben. Das befristete Angebot gilt bis zum 12. November.
Das bietet der Portable Monitor von Arzopa
Arzopas Portable Monitor vereint ein schlankes, tragbares Design mit hochwertiger Verarbeitung. Gehüllt in ein robustes Metallgehäuse, wiegt der Bildschirm nur knapp 800 Gramm und ist weniger als einen Zentimeter dick. Er passt in nahezu jeden Rucksack beziehungsweise auf jeden noch so kleinen Tisch, ob zu Hause, in der Bahn oder im Café. Ein eingebauter Standfuß auf der Rückseite garantiert dabei sicheren Halt.
Der Portable Monitor ist mit einem 15,6 Zoll großen IPS-Display mit Full-HD-Auflösung und 60 Hz Bildwiederholrate ausgestattet. Die Displaytechnologie findet sich normalerweise eher in teureren Monitoren und sorgt für hohe Farbtreue und große Betrachtungswinkel. Die Oberfläche ist entspiegelt, um störende Reflexionen bei starkem Lichteinfall zu verhindern. Um zum Beispiel bei langen Textarbeiten die Augen zu schonen, bietet der Bildschirm einen Blaulichtfilter.
Dank USB-C- und Mini-HDMI-Verbindung ist Arzopas Portable Monitor mit Laptops, Smartphones, Tablets, Konsolen wie der PS5 oder Switch 2 und vielen weiteren Geräten kompatibel. Auch Apple-Geräte werden unterstützt. Treibersoftware braucht es für die Ersteinrichtung nicht – Kabel einstecken genügt. Einmal verbunden, kann der Portable Monitor den Bildschirm der Quelle entweder erweitern oder duplizieren.
Arzopa bei Amazon: Portable Monitore ab rund 93 Euro im Angebot
Amazon bietet 47 Prozent Rabatt auf den Portable Monitor A1 von Arzopa. Im befristeten Angebot zahlt man 79,99 Euro statt der unverbindlichen Preisempfehlung von 149,99 Euro. Fast 1.600 Kunden bewerten den tragbaren Bildschirm im Schnitt mit 4,4 Sternen. Die Verarbeitung sei solide, die Bildqualität überraschend gut für die Preisklasse und das niedrige Gewicht gefällt. Auf Arzopas Amazon-Seite findet man weitere reduzierte Portable Monitore, schon ab knapp 93 Euro. Stöbern lohnt sich.
Reklame
ARZOPA Portable Monitor, 15.6 Inch 1920 x 1080 FHD IPS Portable Monitor for Laptop with One Support Ultra Thin Second Screen for Laptop/PC/Mac/PS3/4/5/Xbox - USB C & HDMI Port - A1
Dieser Artikel enthält sogenannte Affiliate-Links. Bei einem Kauf der Produkte über diese Links erhält Golem eine kleine Provision. Das ändert nichts am Preis der Artikel.
Der Ausbau der Ladeinfrastruktur an den Autobahnen lässt laut ADAC weiter zu wünschen übrig. Gute Lademöglichkeiten gibt es eher an Autohöfen.
Überdachte Ladestationen an Raststätten und Autohöfen sind weiterhin die Ausnahme.Bild:
Friedhelm Greis/Golem
Wer sein Elektroauto auf einer Langstrecke aufladen muss, ist mit den Ladestationen an Autohöfen deutlich besser als an Raststätten bedient. Das geht aus einem Test des Verkehrsclubs ADAC hervor , bei dem 50 Ladestationen entlang der 15 längsten Autobahnen in Deutschland überprüft wurden. "Über die Hälfte der Anlagen schnitt mangelhaft bis sehr mangelhaft ab, nur 13 erhielten das Urteil gut, ein sehr gut war gar nicht dabei" , lautet das Fazit der Tester.
Nach Angaben der Bundesnetzagentur sind derzeit 44.247 Schnellladepunkte in Deutschland installiert. Darunter sind 14.248 mit einer Ladeleistung von 300 oder mehr Kilowatt (kW).
Urteil für Sommer 2026 erwartet
Vor allem solche Ladesäulen sind an bewirtschafteten Autobahnraststätten noch Mangelware. Hintergrund ist ein Rechtsstreit des Ladenetzbetreibers Fastned mit dem Raststättenbetreiber Tank & Rast, der entsprechende Aufträge ohne Ausschreibung vergeben hatte. Diese Praxis erklärte der Europäische Gerichtshof (EuGH) in einem Urteil vom 29. April 2025 prinzipiell für zulässig.
Allerdings muss das Oberlandesgericht Düsseldorf noch auf Basis des Vorabentscheidungsersuchens sein Urteil fällen. Dieses wird laut ADAC für Sommer 2026 erwartet. Bis dahin würden neu installierte 300-kW-Lader auf 100 kW gedrosselt. Im Vergleich zum ADAC-Test vor zwei Jahren hat sich die Situation an den Raststätten daher kaum verbessert.
Autohöfe schneiden besser ab
Besser sieht es an den Autohöfen aus, die von dem Rechtsstreit nicht betroffen sind. An einem solchen, dem Euro Rastpark Schweitenkirchen an der A9, befindet sich auch die am besten bewertete Anlage. Von den 25 getesteten Autohöfen erhielten immerhin 13 eine gute Bewertung. Vier wurden als ausreichend, fünf als mangelhaft und drei als sehr mangelhaft eingestuft.
Keine einzige Ladestation an Raststätten wurde mit gut bewertet. Sieben erhielten das Prädikat ausreichend. Sechs wurden als mangelhaft und zwölf als sehr mangelhaft eingestuft. Allerdings ist es nicht so, dass es keine Schnelllader mit 300 kW an Raststätten gibt. Sämtliche Ionity-Säulen ermöglichen das sogenannte HPC-Laden. Auch EnBW-Stationen lassen sich entsprechend nutzen. Das Problem scheint vor allem Eon zu betreffen.
Kaum überdachte Ladeplätze
Nur bedingt repräsentativ erscheint die Auswahl bezüglich des Komforts. "Keine einzige Anlage im Test bot überdachte Ladepunkte" , schreibt der ADAC. Gerade bei größeren, neueren Anlagen gehört das inzwischen jedoch zum Standard. Nur zwei Autohöfe hatten laut ADAC zumindest eine Ladesäule so positioniert, dass Längsparken dort für Camper oder Fahrzeuge mit Anhänger möglich war.
Immerhin ein Viertel der getesteten Anlagen verfügte demnach über zehn oder mehr Ladepunkte mit einer Ladeleistung von mindestens 150 kW. Allerdings fanden die Tester auf knapp einem Drittel dieser Anlagen mindestens einen defekten Ladepunkt vor.
Der ADAC bemängelt zudem die fehlende Preistransparenz. "Zwar wurde der Kilowattstundenpreis an fast allen Anlagen mit Ladepunkten von 150 kW und mehr vor dem Laden angezeigt, der Endpreis jedoch nur an 16 Anlagen" , heißt es. An mehr als der Hälfte der Stationen ließ sich bereits mit Karte zahlen.
Kritik an den intransparenten und hohen Ladestrompreisen äußerte auch die Monopolkommission.
"Mangelnder Wettbewerb zwischen Ladesäulen, ungeeignete Flächenvergaben und Intransparenz bei den Ladepreisen lassen viele Autofahrerinnen und Autofahrer zu viel für Ladestrom zahlen" , heißt es in einem neuen Sektorgutachten der Kommission zur Energiepolitik .
Kritisch wird die marktbeherrschende Stellung der Tank & Rast entlang der Bundesautobahnen gesehen. "Diese einseitige Kontrolle über den Infrastrukturausbau stellt ein strukturelles Marktzutrittshindernis dar, verhindert effektiven Wettbewerb entlang bewirtschafteter Raststätten und erhöht die Gefahr dauerhaft überhöhter Preise für Endkundinnen und -kunden" , heißt es in dem rund 200-seitigen Papier (PDF).
Mehr Raststätten mit Bewirtschaftung gefordert
Der Monopolkommission zufolge sollte geprüft werden, "inwieweit die Konzessionserweiterung an die Tank & Rast zurückgenommen werden könnte, um wettbewerbliche Ausschreibungen zu ermöglichen" . Der Wettbewerbsvorteil bewirtschafteter Raststätten gegenüber unbewirtschafteten könnte zudem reduziert werden, "indem die Bewirtschaftung an derzeit unbewirtschafteten Raststätten zugelassen wird" .
Entsprechende Bedenken äußerte die Kommission mit Blick auf den Ausbau von Ladeinfrastruktur für elektrische Lkw an Autobahnen. "Es darf an Autobahnen nicht zu einem Lade-Monopol für die Tank & Rast GmbH kommen" , warnte der Kommissionsvorsitzende Tomaso Duso.
WhatsApp steht jetzt als App auf der Apple Watch bereit
(Bild: heise medien)
Nach über zehn Jahren Apple Watch und kurzer Testphase ist WhatsApp nun offiziell für die Smartwatch verfügbar – mit Chatfunktionen direkt am Handgelenk.
WhatsApp hat seine offizielle App für die Apple Watch veröffentlicht. Damit können Nutzer erstmals den Messenger direkt auf der Smartwatch verwenden, ohne auf die bisherigen eingeschränkten Benachrichtigungen angewiesen zu sein. Wie WhatsApp in seinem Blog [1] mitteilt, steht die Anwendung ab sofort zur Verfügung. Bislang tummelten sich bereits verschiedene Anbieter von Apps im App Store, die meist kostenpflichtig versprachen, den Messenger auf der Uhr nutzbar zu machen.
Die Veröffentlichung erfolgt nur wenige Tage nach Beginn der öffentlichen Testphase über TestFlight [2]. Zehneinhalb Jahre nach Marktstart der Apple Watch hatte Meta zuvor keine eigenständige watchOS-Anwendung für seinen Messenger angeboten – Nutzer konnten WhatsApp-Nachrichten lediglich über iPhone-Benachrichtigungen auf der Uhr ansehen und mit vorgefertigten Antworten reagieren.
Vollwertiger Messenger am Handgelenk
Die neue App bringt die wichtigsten Messenger-Funktionen auf die Apple Watch. Nutzer können Chats öffnen, Nachrichten lesen und beantworten, Emojis und Reaktionen versenden sowie Sprachnachrichten aufnehmen. Die Bedienoberfläche wurde an den kleineren Formfaktor der Computeruhr angepasst und zeigt eine Chatliste. Anders als bei der Mac- oder Windows-Version ist keine manuelle Einrichtung über einen Link-Code nötig – die watchOS-App synchronisiert sich automatisch mit der iPhone-Anwendung und wird als Companion-App nach Installation oder Update von WhatsApp auf dem iPhone installiert.
Die WhatsApp-App für watchOS funktioniert nicht eigenständig, sondern benötigt eine aktive Verbindung zum gekoppelten iPhone. Dies gilt auch für Apple-Watch-Modelle mit eigener Mobilfunkverbindung wie die Series 11 oder Ultra 3. Verliert die Uhr die Verbindung zum Smartphone, zeigt die App einen entsprechenden Hinweis an. Als Mindestvoraussetzung nennt WhatsApp watchOS 10, die App läuft damit auch auf dem aktuellen watchOS 26.
URL dieses Artikels: https://www.heise.de/-11056728
Links in diesem Artikel: [1] https://blog.whatsapp.com/introducing-whatsapp-for-apple-watch [2] https://www.heise.de/news/Geplant-WhatsApp-bekommt-Apple-Watch-Anwendung-10965538.html [3] https://www.heise.de/mac-and-i [4] mailto:mki@heise.de
Das erste große Punkt-Update macht iOS 26 rund und liefert praktische Funktionen nach. So setzen Sie die Neuerungen auf iPhone und iPad konkret ein.
Mit dem ersten größeren Update räumt Apple gewöhnlich Bugs und Probleme in seinen jeweils jüngsten Betriebssystemversionen aus. iOS und iPadOS 26.1 bringen obendrein eine Reihe an zusätzlichen Funktionen mit und ergänzen neu eingeführte Features um nützliche Elemente – von lokalen Aufnahmen über Eingangspegel und Eingangslautstärke bis zu erweiterter Fensterverwaltung in iPadOS 26.1. Unsere Tipps erklären, wie Sie das einsetzen.
1 Liquid Glass feiner anpassen
In "Einstellungen > Anzeige & Helligkeit" finden Sie eine neue Option, um das "Liquid Glass"-Design anzupassen. Schalten Sie von der Standardeinstellung "Transparent" auf "Eingefärbt" um, damit Bedienelemente systemweit weniger durchsichtig erscheinen. Das verwandelt Liquid Glass gewissermaßen in Milchglas und verhindert, dass Hintergrundelemente störend durchblitzen und die Lesbarkeit beeinträchtigen.
Kleiner Schalter mit großer Wirkung: So machen Sie Liquid-Glass-Elemente weniger durchsichtig.
Obendrein lassen sich Mitteilungen auf dem Sperrbildschirm im Hellmodus besser ablesen: Der Text erscheint wieder in Schwarz auf hellem Hintergrund – statt zuvor meist mit weißer Schrift auf durchscheinendem Hintergrund. Mit der "Eingefärbt"-Option beheben Sie so die gravierendsten Probleme des Redesigns auf einen Schlag. Zusätzlich besteht unverändert die Möglichkeit, in den Bedienungshilfen weitreichende Anpassungen bei Transparenz und Kontrast vorzunehmen (siehe iOS und iPadOS 26 in Action: 23 Tipps für die neuen Apple-Systeme [10] [10]).
URL dieses Artikels: https://www.heise.de/-11056734
Einen Apple-Fernseher gab es nie, ins Wohnzimmer will der Konzern trotzdem. In Episode 108 widmen wir uns Apple TV – Streaming-Dienst, App und Settop-Box.
Seinen Abo-Dienst mit Spielfilmen, TV-Serien und Sport hat Apple jüngst von "Apple TV+" in "Apple TV" umgetauft – nun gibt es gleich drei Produkte mit diesem Namen. Die TV-App und die gleichnamige TV-Box gibt es schon viel länger. Letztere wurde gemeinsam mit dem iPhone vor über 15 Jahren vorgestellt – verknüpft mit großen Ambitionen, sich tiefer im Wohnzimmer der Kunden einzunisten und das Fernsehen komplett neu zu denken.
In Episode 108 blicken Malte Kirchner und Leo Becker im Detail auf das Apple-TV-Dreiergespann: Wir sprechen über Apples Hollywood- sowie Live-Sportambitionen und gehen der Frage nach, was den IT-Konzern überhaupt in das Content-Geschäft treibt. Zudem blicken wir auf die großen Hoffnungen, die Apple einst an die TV-App als Fernsehzentrale knüpfte, und diskutieren über die Versäumnisse der Apple-TV-Box. Uns beschäftigen außerdem der Datenschutz sowie Zensurvorwürfe rund um Apples TV-Initiativen.
Apple-Themen – immer ausführlich
Der Apple-Podcast von Mac & i erscheint mit dem Moderatoren-Duo Malte Kirchner und Leo Becker im Zweiwochenrhythmus und lässt sich per RSS-Feed (Audio [2]) mit jeder Podcast-App der Wahl abonnieren – von Apple Podcasts über Overcast bis Pocket Casts.
Das Backend-for-Frontend-Pattern behebt Sicherheitsprobleme in Single-Page Applications, indem es das Token-Management auf den Server zurückverlagert.
Single-Page Applications (SPAs) haben die Entwicklung von Webanwendungen grundlegend verändert – sie sind schneller, interaktiver und bieten eine desktopähnliche Benutzererfahrung. Doch mit diesem Fortschritt kam ein fundamentales Sicherheitsproblem: Wie speichert man Zugriffstoken sicher im Browser?
Während traditionelle Serveranwendungen sensible Authentifizierungsdaten sicher serverseitig verwalteten, sind SPAs darauf angewiesen, Access-Token und Refresh-Token direkt im Browser zu speichern – sei es im localStorage, sessionStorage oder im JavaScript-Speicher. Diese Token sind jedoch ein gefundenes Fressen für Angreifer: Ein einziger XSS-Angriff genügt, um vollständigen Zugriff auf Benutzerkonten zu erlangen.
Das Backend-for-Frontend-(BFF)-Pattern verlagert das Token-Management zurück auf den Server, wo es hingehört, ohne die Vorteile moderner Single-Page Applications zu opfern. Dieser Artikel wirft einen praxisnahen Blick auf das Backend-for-Frontend-Pattern, erklärt die dahinterliegenden Sicherheitsprobleme von SPAs und OAuth2 und zeigt, wie sich sichere Authentifizierung in moderne Webanwendungen integrieren lässt. Dabei geht es sowohl um die technischen Implementierungsdetails als auch um die verbleibenden Herausforderungen, wie den Schutz vor Cross-Site Request Forgery (CSRF).
Das Problem: Token im Frontend
Single-Page Applications sind per Definition "öffentliche Clients" – sie können keine Geheimnisse sicher speichern, da ihr Code vollständig im Browser ausgeführt wird. Dennoch benötigen sie Zugriffstoken, um auf geschützte APIs zuzugreifen. Die logische Konsequenz: Die Token müssen irgendwo im Browser gespeichert werden. Genau hier liegt das Problem. Ob localStorage, sessionStorage oder In-Memory-Speicherung – alle Ansätze sind anfällig für Cross-Site-Scripting-(XSS)-Angriffe. Eingeschleuster Schadcode kann problemlos auf diese Speicherorte zugreifen und die Token an Angreifer weiterleiten.
Der RFC-Draft "OAuth 2.0 for Browser-Based Applications [3]" macht das Ausmaß des Problems deutlich: Sobald Angreifer bösartigen JavaScript-Code in der Anwendung ausführen können, haben sie praktisch unbegrenzten Zugriff auf alle im Browser gespeicherten Daten – einschließlich sämtlicher Zugriffstoken.
Es folgen einige dieser Angriffsvektoren im Detail.
Single-Execution Token Theft
Der direkteste Angriff: JavaScript-Code durchsucht alle verfügbaren Speicherorte im Browser und sendet gefundene Token an einen vom Angreifer kontrollierten Server:
Listing 1: Typische Attacke per Single-Execution Token Theft
Dieser Angriff funktioniert unabhängig davon, wo Token gespeichert sind. Ob localStorage, sessionStorage oder in Memory (in einer JavaScript-Variable) – der Angreifer hat denselben Zugriff wie die legitime Anwendung.
Schutzmaßnahmen und ihre Grenzen
Eine kurze Token-Lebensdauer (etwa 5-10 Minuten) kann den Schaden begrenzen, aber nicht verhindern. Wenn der Angriff innerhalb der Token-Lebensdauer stattfindet, ist er erfolgreich. Eine bessere Schutzmaßnahme ist die Aktivierung der Refresh Token Rotation [4]. Hierbei wird bei jedem Token-Refresh das alte Refresh-Token invalidiert und ein neues ausgegeben:
Refresh Token Rotation
(Bild: Martina Kraus)
Wie die obige Abbildung zeigt, erhält man zu jedem neuen Access-Token einen neuen Refresh-Token. Angenommen, der Angreifer würde das Token-Paar einmalig stehlen, so erhielte dieser zwar temporären Zugriff während der Access-Token-Lebensdauer, aber bei der ersten Verwendung des gestohlenen Refresh-Tokens würde der Token-Provider eine Token-Wiederverwendung aufspüren (Refresh Token Reuse Detection). Dies löst eine vollständige Invalidierung der Token-Familie aus – sowohl das kompromittierte Refresh-Token als auch alle damit verbundenen Token werden sofort widerrufen, was weiteren Missbrauch verhindert.
Refresh Token Reuse Detection
(Bild: Martina Kraus)
Persistent Token Theft
Diese Schutzmaßnahme versagt jedoch komplett bei Persistent Token Theft. Statt Token einmalig zu stehlen, stiehlt hierbei der kontinuierlich überwachende Angreifer immer die neuesten Token, bevor die legitime Anwendung sie verwenden kann. Ein Timer-basierter Mechanismus extrahiert alle paar Sekunden die neuesten Token:
Diese Attacke funktioniert durch eine implizite Application Liveness Detection: Der kontinuierliche Token-Diebstahl überträgt dem Angreifer-Server nicht nur die Token, sondern fungiert gleichzeitig als "Heartbeat-Signal" der kompromittierten Anwendung. Schließt der Nutzer den Browser oder navigiert weg, bricht dieser Heartbeat ab – der Angreifer erkennt sofort, dass die legitime Anwendung offline ist. In diesem Zeitfenster kann er das zuletzt gestohlene Refresh-Token gefahrlos für eigene Token-Requests verwenden, ohne eine Refresh Token Reuse Detection zu triggern, da keine konkurrierende Anwendungsinstanz mehr existiert, die dasselbe Token parallel verwenden könnte.
Aktuelle OAuth2-Sicherheitsrichtlinien für SPAs zielen darauf ab, die JavaScript-Zugänglichkeit von Token zu reduzieren. Führende Identity Provider wie Auth0 by Okta raten explizit von [5]localStorage-basierter Token-Persistierung ab und empfehlen stattdessen In-Memory-Storage mit Web-Worker-Sandboxing als Schutz vor XSS-basierten Token-Extraction-Angriffen – selbst wenn dies Session-Kontinuität über Browser-Neustarts hinweg verhindert.
Diese defensiven Token-Storage-Strategien wirken jedoch nur in einem Teil der Angriffsoberfläche. Selbst bei optimaler In-Memory-Isolation mit Web-Worker-Sandboxing bleibt ein fundamentales Architekturproblem bestehen: SPAs agieren als öffentliche OAuth-Clients ohne Client-Secret-Authentifizierung. Diese Client-Konfiguration ermöglicht es Angreifern, die Token-Storage-Problematik vollständig zu umgehen und stattdessen eigenständigen Authorization Code Flow [6] zu initiieren – ein Angriffsvektor, der unabhängig von der gewählten Token-Speicherstrategie funktioniert.
Acquisition of New Tokens
Bei dem Angriff namens Acquisition of New Tokens ignoriert der Angreifer bereits vorhandene Token komplett und startet stattdessen einen eigenen, vollständig neuen Authorization Code Flow. Das ist besonders heimtückisch, weil er dabei die noch aktive Session des Nutzers oder der Nutzerin beim Token-Provider ausnutzt.
Dabei erstellt der Angreifer ein verstecktes iFrame und startet einen legitimen OAuth-Flow:
// Angreifer startet eigenen OAuth-Flow
function acquireNewTokens() {
// Verstecktes iframe erstellen
const iframe = document.createElement('iframe');
iframe.style.display = 'none';
// Eigenen PKCE-Flow vorbereiten
const codeVerifier = generateRandomString(128);
const codeChallenge = base64URLEncode(sha256(codeVerifier));
const state = generateRandomString(32);
// Authorization URL konstruieren
iframe.src = `https://auth.example.com/authorize?` +
`response_type=code&` +
`client_id=legitimate-app&` + // Nutzt die echte Client-ID!
`redirect_uri=https://app.example.com/callback&` +
`scope=openid profile email api:read api:write&` +
`state=${state}&` +
`code_challenge=${codeChallenge}&` +
`code_challenge_method=S256&` +
`prompt=none`; // Wichtig: Keine Nutzer-Interaktion erforderlich!
document.body.appendChild(iframe);
// Callback-Handling vorbereiten
window.addEventListener('message', handleAuthCallback);
}
function handleAuthCallback(event) {
if (event.origin !== 'https://app.example.com') return;
const authCode = extractCodeFromUrl(event.data.url);
if (authCode) {
// Authorization Code gegen Tokens tauschen
exchangeCodeForTokens(authCode);
}
}
Listing 3: Acquisition of New Tokens
Der Token-Provider kann diesen Angreifer-initiierten Flow nicht von einer legitimen Anwendungsanfrage unterscheiden, da alle Request-Parameter identisch sind. Entscheidend ist dabei der prompt=none-Parameter, der eine automatische Authentifizierung ohne User-Interaktion ermöglicht. Diese Silent Authentication funktioniert durch Session-Cookies, die der Token-Provider zuvor im Browser des Nutzers gesetzt hat, um dessen Anmeldestatus zu verfolgen. Diese Session-Cookies lassen sich automatisch auch über das versteckte iFrame übertragen und validieren den Angreifer-Flow als legitime Anfrage einer bereits authentifizierten Session.
Die Grundvoraussetzung aller beschriebenen Angriffsvektoren ist die erfolgreiche Ausführung von Cross-Site-Scripting-Code im Kontext der Anwendung. Das wirft eine fundamentale Frage auf: Stellt Cross-Site Scripting (XSS) in modernen Webanwendungen überhaupt noch eine realistische Bedrohung dar?
XSS galt lange als gelöstes Problem – moderne Browser haben umfassende Schutzmaßnahmen implementiert, Frameworks bieten automatisches Escaping, und Entwicklerinnen und Entwickler sind für die Gefahren sensibilisiert. Doch die Realität zeigt ein anderes Bild: Derartige Angriffe haben sich weiterentwickelt und nutzen neue Angriffsvektoren, die klassische Schutzmaßnahmen umgehen.
Supply-Chain-Attacken als Hauptbedrohung
Moderne Single-Page Applications integrieren durchschnittlich Hunderte von npm-Paketen. Ein einziges kompromittiertes Paket in der Dependency Chain genügt für vollständige Codeausführung im Browser. Das prominenteste Beispiel war das 2018 kompromittierte npm-Package event-stream [7] mit zwei Millionen wöchentlichen Downloads, das gezielt Bitcoin-Wallet-Software angriff.
Content Security Policy [8] kann nicht zwischen legitimen und kompromittierten npm-Paketen unterscheiden – der schädliche Code wird von einer vertrauenswürdigen Quelle geladen und ausgeführt. Ähnlich problematisch sind kompromittierte Content Delivery Networks oder Third-Party-Widgets wie Analytics-Tools, Chatbots oder Social-Media-Plug-ins.
Browser-Erweiterungen und DOM-basierte Angriffe
Kompromittierte Browser-Erweiterungen haben vollständigen Zugriff auf alle Tabs und können beliebigen Code in jede Website injizieren. Gleichzeitig ermöglichen DOM-basierte XSS-Angriffe über postMessage-APIs oder unsichere DOM-Manipulation die Umgehung vieler serverseitiger Schutzmaßnahmen. Besonders geschickt sind Polyglot-Angriffe, die JSONP-Endpoints oder andere vertrauenswürdige APIs missbrauchen, um Content Security Policy zu umgehen – der Schadcode erscheint als legitimer Request von einer erlaubten Quelle.
Diese modernen XSS-Varianten sind besonders raffiniert, weil sie Vertrauen missbrauchen. Der schädliche Code stammt scheinbar von vertrauenswürdigen Quellen, wird oft zeitverzögert oder nur unter bestimmten Bedingungen ausgeführt und umgeht dadurch sowohl technische Schutzmaßnahmen als auch menschliche Aufmerksamkeit. Ein kompromittiertes npm-Paket betrifft dabei nicht nur eine Anwendung, sondern wird über den Package Manager an tausende von Projekten verteilt – ein einzelner Angriff kann so eine massive Reichweite erzielen.
Das Backend-for-Frontend-Pattern: Die Architekturlösung
Angesichts der gravierenden Sicherheitsprobleme bei der Token-Speicherung im Browser stellt sich eine grundlegende Frage: Warum überhaupt versuchen, Zugriffstoken sicher im Frontend zu speichern, wenn man sie stattdessen dort belassen kann, wo sie hingehören – auf dem Server? Genau hier setzt das Backend-for-Frontend-(BFF)-Pattern an. Es ist eine elegante Architekturlösung, die das gesamte Token-Management zurück auf den Server verlagert, wo sensible Daten traditionell sicher aufgehoben sind. Dabei behält die Single-Page Application alle ihre Vorteile – Geschwindigkeit, Interaktivität, moderne User Experience.
Was ist ein Backend for Frontend?
Ein Backend for Frontend ist eine spezialisierte Serverkomponente, die als Vermittler zwischen einer Frontend-Anwendung und dem OAuth-Ökosystem agiert. Anders als ein traditionelles API-Gateway oder eine generische Proxy-Lösung ist das BFF maßgeschneidert für die spezifischen Bedürfnisse einer bestimmten Frontend-Anwendung – daher der Name "Backend for Frontend".
Der Begriff wurde ursprünglich von Sam Newman geprägt [9] und beschreibt ein Muster, bei dem jede Frontend-Anwendung ihre eigene, dedizierte Backend-Komponente erhält. Diese Spezialisierung ermöglicht es, die Serverkomponente optimal auf die Anforderungen des jeweiligen Clients zuzuschneiden – sei es eine Web-SPA, eine mobile App oder eine Desktopanwendung.
Das BFF übernimmt drei zentrale Verantwortlichkeiten, die das Sicherheitsproblem an der Wurzel beheben:
OAuth-Client-Funktionalität: Das BFF agiert als vertraulicher OAuth-Client gegenüber dem Authorization Server. Im Gegensatz zu SPAs besitzt es Client Credentials (Client-ID und Client-Secret) und kann daher sicher mit dem Authorization Server kommunizieren. Diese Fähigkeit zur sicheren Authentifizierung gegenüber dem Identity Provider ist der Grundstein für alle weiteren Sicherheitsverbesserungen. (1)
Token-Management: Access-Token, Refresh-Token und alle zugehörigen Metadaten werden ausschließlich serverseitig im BFF gespeichert und verwaltet. Der Browser sieht diese sensiblen Daten niemals – weder beim initialen Login noch bei späteren API-Aufrufen. Stattdessen arbeitet das BFF mit klassischen Session-Cookies, die nur eine Session-ID enthalten. (2)
API-Proxying: Alle Requests der Frontend-Anwendung an Resource Server laufen über das BFF. Dabei fügt das BFF automatisch die korrekten Access-Token zu ausgehenden Requests hinzu und leitet die Antworten zurück an das Frontend. Aus Sicht der Frontend-Anwendung verschwinden OAuth-Token komplett – sie kommuniziert nur noch mit "ihrem" BFF. (3)
Backend-for-Frontend-Architektur
(Bild: Martina Kraus)
Die Funktionsweise eines BFF
Um zu verstehen, wie ein BFF funktioniert, betrachten wir den kompletten Ablauf von der ersten Anmeldung bis zum API-Aufruf:
1. Anwendung laden und Session prüfen
Wenn ein Nutzer oder eine Nutzerin die Anwendung öffnet, lädt der Browser zunächst die statische Frontend-Anwendung (HTML, CSS, JavaScript) – genau wie bei einer klassischen SPA. Sobald die Anwendung gestartet ist, prüft sie beim BFF, ob bereits eine aktive Session existiert. Diese Session-Prüfung erfolgt über einen einfachen HTTP-Request an das BFF:
Das Besondere dabei: Der Request nutzt credentials: 'include', wodurch automatisch alle für die Domain gültigen Cookies mitgesendet werden. Falls bereits eine Session existiert, antwortet das BFF mit den Benutzerinformationen, andernfalls mit einem 401-Statuscode. Diese Session-Prüfung basiert auf einem HttpOnly-Cookie, das die Session-ID enthält. Das BFF kann anhand dieser Session-ID die zugehörigen OAuth-Token serverseitig nachschlagen, ohne dass der Browser jemals Token zu sehen bekommt.
2. OAuth-Flow über das BFF
Wenn noch keine Session existiert, startet der Login-Prozess über das BFF. Das Frontend navigiert zu einem speziellen BFF-Endpoint, der den Authorization Code Flow initiiert. Das BFF generiert alle erforderlichen OAuth-Parameter serverseitig: einen zufälligen State-Parameter für CSRF-Schutz, einen Code Verifier für PKCE [10] und die entsprechende Code Challenge. Diese Werte werden mit der aktuellen Session verknüpft und serverseitig gespeichert:
Nach dieser serverseitigen Vorbereitung leitet das BFF den Browser zum Token-Provider weiter. Aus dessen Sicht läuft ein völlig normaler OAuth-Flow ab – mit dem entscheidenden Unterschied, dass das BFF als vertraulicher Client agiert.
3. Authorization Code Exchange
Nach der Nutzer-Authentifizierung beim Authorization Server wird der Browser mit einem Authorization Code zurück zum BFF geleitet. Hier zeigt sich ein zentraler Vorteil des BFF-Patterns: Der Token-Exchange erfolgt komplett serverseitig mit Client Credentials. Das BFF validiert zunächst den State-Parameter gegen den gespeicherten Wert – ein wichtiger CSRF-Schutz. Anschließend tauscht es den Authorization Code gegen Token ein, wobei es seine Client Credentials verwendet und den Code Verifier aus der Session abruft:
Die erhaltenen Access- und Refresh-Token werden ausschließlich serverseitig in der Session gespeichert. Der Browser hingegen erhält ein httpOnly-Session-Cookie, das nur die Session-ID enthält. Diese Cookie-Konfiguration ist deutlich sicherer: httpOnly verhindert JavaScript-Zugriff, secure sorgt für HTTPS-Only-Übertragung, und sameSite: 'strict' schützt vor CSRF-Angriffen. Nach erfolgreichem Login kommuniziert das Frontend über Session-Cookies mit dem BFF. Eine Middleware-Funktion prüft bei jedem Request die Session-Validität und stellt die Token-Informationen für weitere Verarbeitung bereit.
Die Rückkehr zu Session-basierten Mechanismen bringt klassische Herausforderungen mit sich, die in der Ära zustandsloser Token-basierter Architekturen scheinbar gelöst waren. Stateful Server-Client-Kommunikation über Session-Cookies stellt Entwicklungsteams vor bekannte Skalierungsprobleme: Session-Daten müssen zwischen mehreren Serverinstanzen synchronisiert werden, Load Balancer benötigen Session Affinity oder Sticky Sessions, und horizontale Skalierung wird komplexer.
Diese Anforderungen an die Architektur haben in der Praxis zu einem direkteren Ansatz geführt. Anstatt Session-IDs zu verwenden, die auf eine zentrale Session-Datenbank verweisen, speichern viele BFF-Implementierungen die Zugriffstoken direkt in HttpOnly-Cookies.
Der Browser kann weiterhin nicht über JavaScript auf die Token zugreifen – sie sind vor XSS-Angriffen geschützt. Gleichzeitig kann jede BFF-Instanz die Token direkt aus dem Cookie lesen, ohne auf eine zentrale Session-Datenbank angewiesen zu sein.
Diese Architektur löst mehrere Probleme gleichzeitig: XSS-Angreifer können die Cookie-Inhalte nicht über JavaScript extrahieren, da das HttpOnly-Flag den Zugriff verhindert. Gleichzeitig entfallen komplexe Session-Synchronisationsmechanismen zwischen Server-Instanzen, da alle erforderlichen Informationen im Cookie selbst enthalten sind.
Für noch höhere Sicherheitsanforderungen kann das BFF die Token im Cookie zusätzlich verschlüsseln und mit serverseitigen Schlüsseln signieren. Dies bietet Defense-in-Depth gegen potenzielle Cookie-Kompromittierung und ermöglicht erweiterte Sicherheitsfeatures wie Cookie-Invalidierung über zentrale Blacklists.
4. API-Proxying mit automatischer Token-Injection
Wenn die Frontend-Anwendung API-Calls durchführen soll, sendet sie diese an entsprechende BFF-Endpoints. Das BFF agiert als intelligenter Proxy, der automatisch die korrekten Access-Token zu ausgehenden Requests hinzufügt. Das Frontend sendet dabei normale HTTP-Requests an das BFF, ohne sich um Token-Management kümmern zu müssen. Das BFF extrahiert den Zielpfad, fügt das Access-Token aus der Session hinzu und leitet den Request an den tatsächlichen Resource Server weiter:
Listing 6: API-Proxying mit automatischer Token-Injection
Diese Architektur hat einen entscheidenden Vorteil: Das Frontend muss sich nie mit den Zugriffstoken beschäftigen. Alle API-Calls sehen aus Sicht des Frontends wie normale HTTP-Requests aus, während das BFF im Hintergrund das komplexe Token-Management übernimmt. Ein besonders eleganter Aspekt des BFF-Patterns ist die automatische Handhabung von Token-Refresh-Vorgängen. Das Frontend bekommt davon nichts mit – das BFF überprüft bei jedem API-Request die Token-Gültigkeit und führt bei Bedarf automatisch einen Refresh durch. Dieser automatische Refresh-Mechanismus ist für das Frontend vollständig transparent.
Warum das BFF-Pattern die Angriffsvektoren eliminiert
Die Eleganz des BFF-Patterns liegt darin, dass es die zuvor beschriebenen Angriffsvektoren nicht bekämpft, sondern ihre Voraussetzungen beseitigt:
Single-Execution Token Theft: Es gibt schlicht keine Token mehr im Browser, die gestohlen werden könnten. XSS-Angreifer finden nur Session-Cookies mit Session-IDs vor – diese sind ohne Zugriff auf die serverseitige Session-Datenbank wertlos.
Persistent Token Theft: Kontinuierliche Überwachung läuft ins Leere, da keine Token mehr im Browser aktualisiert werden. Das Token-Management erfolgt komplett serverseitig und ist für JavaScript-Code im Browser unsichtbar.
Acquisition of New Tokens: Angreifer können keine eigenen Authorization Code Flows mehr initiieren, da diese Client Credentials erfordern, die nur das BFF besitzt. Ein XSS-kompromittierter Browser hat keinen Zugriff auf diese serverseitigen Credentials.
Proxying via User's Browser: Während Angreifer weiterhin Requests über den Browser senden können, haben diese nur Zugriff auf die BFF-APIs. Das BFF kann dabei Anomalieerkennung implementieren und verdächtige Request-Muster identifizieren – eine Möglichkeit, die bei direkter Token-Speicherung im Browser nicht existiert.
Session-basierte Sicherheit: Zurück zu bewährten Mustern
Das BFF-Pattern markiert eine bewusste Rückkehr zu bewährten Session-basierten Mechanismen, die sich über Jahrzehnte in traditionellen Webanwendungen etabliert haben. Statt komplexe Token-Storage-Strategien im Browser zu entwickeln, folgt das Muster einem fundamentalen Prinzip: Sensible Daten gehören nicht in unsichere Umgebungen.
Diese Architekturentscheidung transformiert den Browser zurück zu seiner eigentlichen Rolle – einer Präsentationsschicht für Benutzeroberflächen statt eines sicherheitskritischen Systems für Credential-Management. HttpOnly-Cookies, HTTPS-Enforcement und CSRF-Schutz sind etablierte, gut verstandene Sicherheitsmechanismen.
Das Ergebnis ist überzeugend: Drei der vier Hauptbedrohungen aus dem zu Anfang besprochenen RFC-Draft werden vollständig eliminiert. Die verbleibenden Risiken – CSRF und Client Hijacking – existieren bei jeder Cookie-basierten Webanwendung und lassen sich mit standardisierten Schutzmaßnahmen handhaben. Das BFF-Pattern verwandelt damit ein fundamentales Architekturproblem in ein lösbares Implementierungsproblem: weniger Frontend-Komplexität, bewährte Server-Pattern und erheblich verbesserte Sicherheit für moderne Single-Page Applications.
URL dieses Artikels: https://www.heise.de/-10988224
In dieser Episode sprechen Richard Seidl und Sebastian Dietrich über Fallstricke bei Freelancer-Verträgen.
Richard Seidl hat sich für diese Folge seines Podcasts erneut Sebastian Dietrich eingeladen, um mit ihm über rechtliche Stolpersteine in Softwareprojekten zu sprechen: Es geht um Werkvertrag versus Dienstvertrag, Gewährleistung, Haftung und Warnpflicht.
Als Gerichtssachverständiger erklärt Sebastian Dietrich [1], warum Freelancer oft Erfolg schulden und agile Verträge schnell zum Werkvertrag werden, in dem plötzlich das ganze Backlog gilt. Das Duo zeigt, wie Leistungen klar beschrieben, Qualitätskriterien messbar festgelegt und der Stand der Technik als gemeinsamer Prozess dokumentiert werden.
Bei diesem Podcast dreht sich alles um Softwarequalität: Ob Testautomatisierung, Qualität in agilen Projekten, Testdaten oder Testteams – Richard Seidl und seine Gäste schauen sich Dinge an, die mehr Qualität in die Softwareentwicklung bringen.
Fensterputzroboter: Hat man sich an ihre Eigenheiten gewohnt, übernehmen sie das lästige Putzen. Im Podcast sprechen wir über den c’t-Test von sechs Modellen.
Nicht nur beim Staubsaugen, auch beim lästigen Fensterputzen hilft inzwischen moderne Technik. Die c’t-Redakteure Urs Mansmann und Stefan Porteck haben sechs Fensterputzroboter getestet und berichten im Podcast von ihren Erfahrungen.
Zuerst beschreiben sie, wie die Bots überhaupt an der Scheibe haften: mit Unterdruck nämlich. Sie haben ein Gebläse, mit dem sie sich am Fenster festsaugen. Das erfordert ein paar Sicherheitsmaßnahmen, die Urs und Stefan erklären. Dann beschreiben sie die beiden Bau- und Fortbewegungsarten, die quadratischen Raupen-Bots und die länglichen Drehteller-Bots.
Wir gehen auf die Vor- und Nachteile der Bauarten ein, finden Gemeinsamkeiten – so muss man alle Fensterbots von Scheibe zu Scheibe tragen – und beschreiben die Eigenarten der einzelnen Modelle. Im Test hatten wir den Ecovacs Winbot W2 Pro Omni, den Hutt C65, den Mamibot iGLASSBOT W120-DP, den Pearl Sichler Hobot-298 und den Tosima W3. Als Beispiel für einen besonders billigen Bot zeigte der Dongguan Huidi PuRuiKai RK-N361, dass zu viele Einschränkungen eher mehr Arbeit machen als helfen.
Wenn man sich einmal mit den Arbeitsweisen, Grenzen und Möglichkeiten der Bots arrangiert hat, helfen sie jedenfalls wirklich, so das Resultat von Stefan und Urs. Ähnlich wie Staubsaugerbots reinigen sie nicht perfekt und erfordern manchmal Nacharbeiten, aber weil sie so bequem sind, lässt man sie viel häufiger laufen. Durch die Regelmäßigkeit halten sie die Fenster letztlich sauberer, als würde man sich nur einmal im Jahr zum Putzen überwinden.
Zu Gast im Studio: Urs Mansmann, Stefan Porteck Host: Jörg Wirtgen Produktion: Ralf Taschke
In unserem WhatsApp-Kanal [9] sortieren Torsten und Jan aus der Chefredaktion das Geschehen in der IT-Welt, fassen das Wichtigste zusammen und werfen einen Blick auf das, was unsere Kollegen gerade so vorbereiten.
Russland übernimmt die Finanzierung und bindet den Iran damit für fast ein Jahrhundert – ein Modell, das westliche Sanktionen unterläuft.
Der Iran treibt seinen Ausbau der Atomkraft massiv voran. Mohammad Eslami, Leiter der Atomenergieorganisation Irans (AEOI), gab bekannt, dass sich das Land im dritten Jahr eines Plans zur Erreichung von 20 Gigawatt Kernenergie-Kapazität befindet.
Das Herzstück: eine Partnerschaft mit Russland über acht neue Reaktorblöcke und kleine modulare Reaktoren (SMRs), die zeigt, wie Finanzierungsmodelle und neue Technologien den globalen Atomkraft-Markt umgestalten.
Acht Blöcke und SMRs – Irans Doppelstrategie
Laut AEOI umfasst das Programm mit Russland vier Reaktorblöcke in Bushehr und vier weitere an Standorten, die teils noch bekannt gegeben werden.
Die Nachrichtenagentur TASSberichtet [1], dass die Blöcke zwei und drei in Bushehr vom Typ WWER-1000 sind und rund zehn Milliarden US-Dollar kosten sollen. Block zwei soll 2025 ans Netz gehen, Block drei 2027. Zusätzlich ist eine Wasserentsalzungsanlage neben dem Kraftwerk geplant, um die regionale Wasserversorgung zu sichern.
Parallel dazu unterzeichneten Rosatom und die AEOI im September ein Memorandum über den Bau kleiner modularer Reaktoren im Iran, wie TASS meldet. Diese SMRs sind nicht Teil des älteren Großanlagen-Vertrags.
Ein Hauptvertrag zu den SMRs steht noch aus, doch die AEOI betont laut [2]World Nuclear News (WNN), dass die Kernenergie eine "treibende Kraft" für das Land darstelle.
Standorte und Projektstatus – Von Golestan bis Darkhovin
Als Standort für neue Atomkraftanlagen nennt Eslami die Provinz Golestan an der Nordküste. Laut WNN seien dort "geeignete Grundstücke gefunden" worden.
Zudem erwägt der Iran, das vor 1979 begonnene Projekt Darkhovin in der Provinz Khuzestan wiederaufzunehmen. Laut [3]NEI Magazine ist zudem ein zweites Cluster von vier Blöcken für die Provinz Hormozgan vorgesehen.
Russlands Geschäftsmodell – Atomkraft als Jahrhundert-Partnerschaft
Russlands Staatskonzern Rosatom hat sich als dominanter Akteur im globalen Atomkraft-Geschäft etabliert. Wie Telepolis kürzlich berichtete, war Russland bereits vor der Invasion in der Ukraine für rund die Hälfte aller internationalen Nuklearabkommen verantwortlich [4] und ist an über einem Drittel der weltweit im Bau befindlichen Reaktoren beteiligt.
Das Erfolgsrezept liegt in der langfristigen Finanzierung. Schätzungen zufolge hat Rosatom allein zwischen 2010 und 2020 Kredite im Umfang von 60 Milliarden US-Dollar vergeben. Solche Projekte schaffen eine jahrzehntelange Bindung: Bau dauert etwa zehn Jahre, Betrieb 60 Jahre, Stilllegung weitere 10 bis 20 Jahre.
Finanzierungsbeispiele – Türkei und Ägypten als Blaupause
Das Modell zeigt sich konkret: In der Türkei erhält die Projektgesellschaft Akkuyu NGS [5], über die Telepolis auch kürzlich berichtet hat, bis zu 15 Milliarden US-Dollar von Rosatom für den Bau eines Atomkraftwerks in Mersin. In Ägypten finanziert Russland das Kernkraftwerk El Dabaa nahezu vollständig mit eigenen Mitteln.
Für den Iran werden bislang keine vergleichbaren Finanzierungsdetails genannt. Doch das Muster ist erkennbar: Russland übernimmt Investitionsrisiken und schafft so Abhängigkeiten, die westliche Sanktionen unterlaufen.
SMR-Referenz Usbekistan – Technologieexport als Markttest
Russland nutzt auch SMRs als Markteintritt in neue Segmente. Mit Usbekistan vereinbarte Rosatom laut Telepolis den Bau von zwei kleinen modularen Reaktoren mit je 55 Megawatt – das erste internationale SMR-Projekt des Konzerns. Diese Atomkraft-Technologie gilt als flexibler und kostengünstiger als Großreaktoren.
Sanktionen und Geopolitik – IAEO-Inspektionen eingeschränkt
Der iranische Präsident Masoud Pezeshkian betonte [6] laut Reuters, das Atomprogramm des Landes diene "ausschließlich zivilen Zwecken". Doch die Rahmenbedingungen sind angespannt: Im Juni führten die USA und Israel Angriffe auf iranische Nuklearanlagen durch. Ende September reaktivierte die UNO Sanktionen.
Laut NEI Magazine beschränkt ein iranisches Gesetz IAEO-Inspektionen nun auf vorab genehmigte Besuche in Bushehr und am Forschungsreaktor Teheran. Eslami erklärte, die IAEO habe ihre "gesetzliche Pflicht nicht erfüllt", Angriffe zu verurteilen.
Westliche Gegenstrategien – Sapporo 5 ohne Durchschlag
Die USA, Großbritannien, Japan, Kanada und Frankreich gründeten 2023 die "Sapporo 5"-Allianz, um Russland aus dem Atomkraft-Brennstoffmarkt zu drängen. Doch Russlands Nuklearsektor bleibt sanktionsresilient.
Der russische Botschafter in Teheran, Alexey Dedov, erklärte laut [7]Al Mayadeen, Moskau erkenne Snapback-Beschränkungen der UNO-Sanktionen nicht an und werde keine Alternative zur Iran-Partnerschaft suchen.
Naher Osten als Zielmarkt – Energie und Einfluss
Russlands Atomkraft-Strategie im Nahen Osten geht über den Iran hinaus. In der Türkei sollte der erste Reaktor des Kraftwerks Akkuyu bereits 2023 in Betrieb genommen werden. Nach seiner vollständigen Fertigstellung, die für 2026 geplant war, soll die Anlage zehn Prozent des türkischen Energiebedarfs decken.
Im Irak investierten russische Unternehmen mindestens zehn Milliarden US-Dollar in die Ölinfrastruktur. Putin versprach dem Iran 40 Milliarden US-Dollar für Gasprojekte.
Der Fall Iran–Russland zeigt: Der Bau von herkömmlichen Atomreaktoren und SMRs sowie die supplierseitige Finanzierung verschieben Machtverhältnisse. Atomkraft wird zum geopolitischen Instrument – mit Laufzeiten, die Generationen überdauern.
URL dieses Artikels: https://www.heise.de/-11045507
Links in diesem Artikel: [1] https://tass.com/economy/2020713 [2] https://world-nuclear-news.org/articles/iran-says-planning-for-large-scale-nuclear-energy-expansion [3] https://www.neimagazine.com/news/iran-confirms-new-build-deal-with-russia/ [4] https://www.telepolis.de/features/Mehr-als-nur-Exportgeschaeft-Wie-Atomtechnik-Russland-Verbuendete-sichert-10711850.html [5] https://www.telepolis.de/article/Putin-Entspannte-Energiepolitik-im-Nahen-und-Mittleren-Osten-7200366.html [6] https://www.reuters.com/business/energy/iran-will-rebuild-its-nuclear-facilities-with-greater-power-president-says-2025-11-02/ [7] https://english.almayadeen.net/news/Economy/iran--russia-to-build-eight-new-nuclear-power-plants-across
Zwei Wahrheiten, ein Wahlergebnis: Die Kraft der Auswahl. Medienkritik.
Häufig wird in Leitmedien darauf verwiesen, Fake News wären das größte Problem gesellschaftlicher Kommunikation und entsprechendes Fact Checking daher der Königsweg, um den Journalismus zu retten.
Es ist leider komplizierter. Und zugleich einfacher. Wenn und insofern Menschen erkennen, dass Medien immer manipulieren. Grundsätzlich. Es geht gar nicht anders. Medienschaffende müssen stets, böses Wort, "manipulieren".
Also mit ihrer Hände und Köpfe Arbeit eingreifen, mit ihren Werkzeugen Medienrealität schaffen, die per se nie voll und ganz der sonstigen Realität entsprechen kann. Selbst beim besten Willen und mit dem besten Handwerk nicht. "Manipulation" stammt wortgeschichtlich vom lateinischen manus (Hand) und plere (Handhaben).
Bei diesem handhabenden, handgreiflichen Medienschaffen als Eingreifen geht es tatsächlich immer um Auswählen – und nur ziemlich selten um direktes Fälschen oder Lügen. Selektion heißt zugleich, sich für nur ganz Weniges entscheiden und das Allermeiste weglassen (müssen). Denn der Online-Platz, die Sende-Zeit, unsere Aufmerksamkeit – all das ist begrenzt. Time is money, honey.
Das Problem ist nicht die Manipulation
Das Problem ist also nicht die Manipulation, sondern es sind die Maßstäbe, denen gemäß eingegriffen wird. Es sind z.B. die Auswahlkriterien, entsprechend denen bestimmt wird, was als wichtig genug gilt, es in die jeweilige Medienrealität zu schaffen.
Ein Beispiel gefällig? Man kann das u.a. bei praktisch jeder Wahlberichterstattung feststellen, exemplarisch an der jüngsten OB-Wahl in Potsdam, der Landeshauptstadt Brandenburgs. Hier eingefügt zwei Schlagzeilen, die widersprüchlicher kaum erscheinen könnten. Schauen Sie bitte selbst, welche wahr sein dürfte: Denn beide, derart gegensätzliche Überschriften können ja wohl nicht zugleich wahr sein, oder?
Screenshot
Klar, Sie haben es erkannt – die Märkische Allgemeine (Teil vom Redaktionsnetzwerk Deutschland – Madsackgruppe Hannover) gibt es und damit auch deren Überschrift vom "Erdrutschsieg".
Die Potsdamer Morgenpost hingegen habe ich erfunden und einen Chatbot damit beauftragt, dieses Layout zu erstellen. Die Schlagzeile "Fast 70 Prozent der Potsdamer Wahlberechtigten haben (die neue Oberbürgermeisterin Noosha) Aubel nicht gewählt" jedoch stammt von mir. Oder auch nicht: Sie stammt genau und direkt aus jenen offiziellen Daten der Wahlbehörde der Stadt Potsdam, siehe hier:
Screenshot
Hier haben wir alle Zahlen, die man benötigt, um zwei komplett entgegensetzte Medienrealitäten zu schaffen: Die Daten geben beides her, es kommt allein auf die jeweilige Perspektive und Interessenlage an: Wenn man (in der Tendenz) die Wahlgewinnerin feiern möchte, textet man: "72,9 Prozent – Erdrutschsieg für Aubel!" Eine wahre Aussage.
Wenn man eher auf relativ geringe Wahlbeteiligung und generell auf etwaige Legitimationsdefizite und Demokratie-Probleme verweisen möchte (und zudem Mathematik nicht schon in der 7. Klasse abgewählt hat), kann (leider: muss) man selbst ausrechnen (es ist keine Atomphysik – 72,9 Prozent der abgegebenen gültigen Stimmen mal 0,425 Wahlbeteiligung mal 0,981 gültige Stimmen), dass man genau diesen "Erdrutschsieg" auch ganz anders sehen und bewerten kann: Von allen Potsdamer Wahlberechtigten haben exakt 30,3938325 Prozent Frau Aubel gewählt.
Und damit wurde sie also von fast 70 Prozent all derer, die wählen durften, eben nicht gewählt. Eine ebenso wahre Aussage wie das scheinbare Gegenteil. In die Alltagssprache übersetzt: Man kann damit eben nicht sagen (was die Rede vom "Erdrutschsieg" nahe legt), die gesamte Stadt stünde (fast) geschlossen hinter der neuen Oberbürgermeisterin.
Manche mögen rechtfertigend sagen: Wer warum nicht zur Wahl geht oder ungültig wählt, wäre ohnehin vom demokratischen Standpunkt aus zu vernachlässigen. Dem sei entgegengehalten: Dann sollte man sich aber nicht wundern über schwindendes Vertrauen gegenüber etablierten Medien und Parteien. Und darüber bitte auch keine Krokodilstränen vergießen.
URL dieses Artikels: https://www.heise.de/-11039567
Trump ordnet sofortige Atomwaffentests an. UN-Experten warnen: Das Risiko eines Atomwaffeneinsatzes ist so hoch wie seit dem Kalten Krieg nicht mehr.
Der US-Präsident Donald Trump will wieder Atomwaffen testen lassen. Trumps Äußerungen sorgen für reichlich Verwirrung. "Wir werden einige Tests durchführen", sagte Trump. "Andere Länder tun es auch. Wenn sie es tun, tun wir es auch." Weiter ins Detail wollte er nicht gehen. Trump schrieb [1] am Mittwochabend auf Truth Social:
Wegen der Testprogramme anderer Länder habe ich das Kriegsministerium angewiesen, unsere Atomwaffen auf gleichwertiger Basis zu testen. Dieser Prozess wird umgehend beginnen.
Am 21. Oktober hatte Russland den Test der atomaren Langstreckenrakete "Burewestnik" bekannt gegeben. Bei dem russischen Test handele es sich aber um die Erprobung eines neuen Trägersystems, nicht um den Test einer Atomwaffe, so Wladimir Putin bei einer Besprechung mit dem russischen Generalstab.
Nach Einschätzung der UN-Beauftragten für Abrüstungsfragen, Izumi Nakamitsu, ist das Risiko eines Atomwaffeneinsatzes [2] so hoch wie seit dem Kalten Krieg nicht mehr. Es sei bemerkenswert, wie schnell wir die Lehren des Kalten Krieges vergessen haben, so die UN-Expertin.
Weltweite Proteste von zivilgesellschaftlichen Organisationen trugen 1996 zum Zustandekommen des umfassenden Atomteststoppvertrags (CTBT) bei, der jegliche Atomtests verbietet. Auch wenn er nie in Kraft trat, wurden mit Ausnahme Nordkoreas seitdem keine Atomtests mehr durchgeführt.
Es ist davon auszugehen, dass es allein etwa 2,4 Millionen zusätzliche Krebstote weltweit infolge der bisherigen über 2.000 Atomwaffentests gab. Die vielen Betroffenen [3] in den Testgebieten, die bis heute unter den humanitären Folgen leiden, werden noch immer nicht ausreichend unterstützt.
Für den Zerfall des Rüstungskontrollregimes trügen die USA und Nato wesentliche Mitverantwortung. Daraus folgt aber auch die Möglichkeit positiver Einflussnahme. Anstatt mit Atomwaffentests zu drohen, müssen die USA endlich dem umfassenden Atomteststoppvertrag (CTBT) beitreten [4], so Lars Pohlmeier, Co-Vorsitzender der deutschen IPPNW.
Sipri warnt vor einem neuen atomaren Wettrüsten
Das Stockholmer Friedensforschungsinstitut Sipri berichtet [5], dass es weltweit über 12.000 Atomsprengköpfe gibt, von denen derzeit rund 9.500 einsatzfähig seien.
Die USA, Russland, Großbritannien, Frankreich, China, Indien, Pakistan, Nordkorea und Israel modernisieren ihre Arsenale weiter. Allein 2.000 würden vor allem durch Russland und die USA in hoher Alarmbereitschaft gehalten.
Einen deutlichen Zuwachs verzeichnet der Bericht im Arsenal Chinas. Die Forscher erwarten, dass das Land bis Ende des Jahrzehnts über mindestens so viele ballistische Interkontinentalraketen verfügen könnte wie die USA oder Russland. Auch Indien und Pakistan hätten 2022 neue Arten von nuklearen Trägersystemen eingeführt und weiterentwickelt.
Der INF-Vertrag zwischen den USA und Russland wurde gekündigt, obwohl er auf unbeschränkte Dauer geschlossen wurde. Gekündigt sind auch die Verträge der beiden Staaten über die Begrenzung der Raketenabwehr (ABM) und über den "Offenen Himmel" (Open Skies). Der umfassende Atomteststoppvertrag (CTBT) ist noch nicht in Kraft getreten.
Der New Start-Vertrag, der momentan Laufzeitbegrenzungen für strategische Kernwaffen zwischen den USA und Russland setzt, läuft Anfang 2026 aus.
Ohne neue Abkommen drohe ein nie zuvor gesehenes Wettrüsten um Atomwaffen. Die Sipri-Experten warnen vor einem erneuten Wettrüsten und den verheerenden Folgen einer solchen Eskalationsspirale, wie man sie zuletzt im "Kalten Krieg" erleben musste und von der man dachte, sie sei Geschichte.
Rüstungskontrollverhandlungen sind ausgesetzt und finden zwischen den Atomwaffenstaaten aktuell nicht statt.
Rüstungskontrolle und Abrüstung wichtiger denn je!
Es müssten eigentlich alle Warnlampen leuchten und alles Mögliche versucht werden, die Gesprächskanäle wieder zu öffnen. Es besteht die Gefahr, dass in dem allgemeinen ungebremsten Aufrüstungswahnsinn aus der Kriegsverhinderung ein Kriegsfall entsteht.
Wer besitzt die Besonnenheit und Erkenntnis, dass Mäßigung und Weitsicht gefordert wären, um die bedrohliche Situation zu entschärfen? Die Zeichen stehen auf Sturm!
Hoffnung liegt derzeit ausschließlich in den Händen einflussreicher Staaten des Südens wie Brasilien oder Südafrika. Auch die Vereinten Nationen wären gefordert, die Atommächte des Sicherheitsrats zur Mäßigung aufzurufen.
Wir werden das Ziel einer Welt ohne Atomwaffen vorantreiben. Ein Atomkrieg würde die gesamte Menschheit auslöschen und wir müssen alle Anstrengungen unternehmen, um die Gefahren eines solchen Krieges abzuwenden. Ein Atomkrieg kann nicht gewonnen werden und darf niemals geführt werden.
Am 8. Juli 1996 entschied der Internationale Gerichtshof in Den Haag, dass die Androhung und der Einsatz von Atomwaffen grundsätzlich völkerrechtswidrig seien. Zudem wurde eine Verpflichtung zur Einleitung und zum Abschluss von Verhandlungen zur Nuklearabrüstung unter strenger internationaler Kontrolle festgestellt.
Damit Nagasaki für immer als letzter Atombombenabwurfplatz in die Geschichte eingeht, werden wir unseren Aufruf zur Abschaffung von Atomwaffen fortsetzen und uns für die Schaffung einer "Kultur des Friedens" einsetzen.
Shiro Suzuki, Bürgermeister von Nagasaki
Die Atombombenabwürfe auf Hiroshima und Nagasaki am 6. und 9. August vor 80 Jahren seien eine Mahnung an alle Atomwaffenstaaten, ihre vertraglichen Verpflichtungen aus den Rüstungskontroll- und Abrüstungsverträgen einzulösen.
Die Vereinten Nationen könnten ein geopolitisches Regulativ sein und dazu beitragen, dass die aktuell bedrohliche Weltlage entschärft wird. Eine Hoffnung und eine Chance für die Welt mit offenem Ausgang.
Rolf Bader, geb. 1950, Diplom-Pädagoge, ehem. Offizier der Bundeswehr, ehem. Geschäftsführer der Deutschen Sektion der Internationalen Ärzte:innen für die Verhütung des Atomkrieges/Ärzte:innen in sozialer Verantwortung e.V. (IPPNW)
URL dieses Artikels: https://www.heise.de/-10966948
Links in diesem Artikel: [1] http://www.bluewin/ch/de/news/international/trump-kuendigt-sofortigen-beginn-von-atomwaffentests-an-2940428.html [2] http://press.un.org/en/2025/3896.doc.htm [3] http://survivors.ippnw.de/startseite.html [4] http://www.ippnw.de/startseite/artikel/de/ruestungskontrolle-statt-nuklear.ma.html [5] https://www.sipri.org/media/press-release/2025/nuclear-risks-grow-new-arms-race-looms-new-sipri-yearbook-out-now [6] https://www.globalpolicy.org/sites/default/files/download/Briefing_1024_Zukunftspakt_online.pdf
Nothing bringt ein weiteres Smartphone auf den Markt: Das Phone (3a) Lite ist fast baugleich mit dem CMF Phone 2 Pro und kostet 250 Euro.
Das Nothing Phone (3a) LiteBild:
Nothing
Mit dem Nothing Phone (3a) Lite hat Nothing seine Mittelklasseserie um ein weiteres Smartphone erweitert. Bei dem Gerät handelt es sich um ein nahezu mit dem CMF Phone 2 Pro identisches Smartphone, allerdings ist die Kameraausstattung etwas schlechter.
Dafür hat das Nothing Phone (3a) Lite ein für Nothing typisches Design sowie Glyph-Beleuchtung. Diese besteht allerdings nur aus einer runden LED-Fläche, die von den Nutzern konfiguriert werden kann und etwa bei Benachrichtigungen blinkt.
Das Phone (3a) Lite hat wie das CMF-Pendant einen 6,77 Zoll großes Display mit 2.392 x 1.084 Pixeln, 120 Hz und einer maximalen Peak-Helligkeit von 3.000 cd/m². In hellen Umgebungen erreicht die Helligkeit maximal 1.300 cd/m². Im Inneren des Smartphones steckt wie beim CMF-Modell ein Dimensity 7300 Pro, ein 4-nm-SoC mit acht Kernen und einer maximalen Taktrate von 2,5 GHz.
Dreifachkamera ohne Tele
Auf der Rückseite ist eine Dreifachkamera verbaut, deren Hauptkamera wie beim CMF Phone 2 Pro 50 Megapixel, eine Blende von f/1.9 und einen optischen Bildstabilisator hat. Die Superweitwinkelkamera hat nur 8 Megapixel statt ebenfalls 50 wie beim CMF-Smartphone. Anstelle einer Telekamera kommt als dritte Kamera zudem nur eine Makrokamera mit 2 Megapixel zum Einsatz. Erfahrungsgemäß ist deren Qualität meist unterdurchschnittlich.
Bild 1/3: Das Nothing Phone (3a) Lite (Bild: Nothing)
Bild 2/3: Das Nothing Phone (3a) Lite (Bild: Nothing)
Bild 3/3: Das Nothing Phone (3a) Lite (Bild: Nothing)
Das Nothing Phone (3a) Lite hat wie die anderen Modelle der 3a-Serie die Essential-Taste. Mit dieser können Nutzer Screenshots aufnehmen und in einem gesonderten Bereich ablegen. Dort werden sie dann mithilfe von KI gelesen und sortiert, zudem werden Informationen daraus extrahiert.
Das Nothing Phone (3a) Lite wird mit Android 15 ausgeliefert und soll drei Jahre lang Android-Upgrades erhalten. Sicherheits-Updates soll das Smartphone sechs Jahre lang bekommen.
Das Nothing Phone (3a) Lite kann ab sofort bestellt werden und kostet mit 8 GByte RAM und 128 GByte Flash-Speicher 250 Euro; ein Steckplatz für Speicherkarten ist vorhanden. Mit 256 GByte Speicher kostet das Smartphone 280 Euro. Das CMF Phone 2 Pro kostet in beiden Varianten genauso viel.
User, die weiterhin auf dem älteren Windows 11 beharren, sollten ihr System bald aktualisieren. Das geht etwa über Windows Update.
Das Windows-Update sollte schon laufen.Bild:
Pixabay.com
Ende 2023 brachte Microsoft das Update 23H2 für Windows 11 heraus. In zwei Wochen läuft der Support allerdings aus. PCs, die weiterhin mit Windows 11 23H2 laufen, werden ab dem 11. November 2025 nicht mehr mit wichtigen Sicherheitsupdates versorgt, was sie ab diesem Zeitpunkt unsicher macht. Stattdessen sollten User auf eine neuere Version von Windows 11 aktualisieren, etwa auf 24H2 oder das aktuelle 25H2.
Die meisten Computer sollten automatisch auf eine neue Version von Windows 11 aktualisiert werden. Das wird typischerweise über Windows Update ausgespielt. Allerdings kann es in einigen Situationen passieren, dass das Update nicht automatisch ausgespielt wurde. In diesem Fall können User eine Aktualisierung manuell im Windows-Update-Menü anstoßen.
Alle Windows-Updates werden zwei Jahre lang unterstützt
Windows 23H2 hat wie alle Windows-Updates 24 Monate Mainstream-Support von Microsoft erhalten. Auch die aktuellen Patches 24H2 und 25H2 werden nicht länger unterstützt. Laut dem Support-Dokument stellt Microsoft Patches für Windows 11 24H2 am 13. Oktober 2026 ein. Die Unterstützung für Windows 11 25H2 endet am 12. Oktober 2027.
Das Update 25H2 wird aktuell in Wellen auf diverse Computer aufgespielt. Normalerweise werden Systeme mit modernen Komponenten in die ersten Wellen aufgenommen. Grundsätzlich sollten aber alle Computer aktualisiert werden können, die offiziell von Windows 11 unterstützt werden.
Nutzer, die nach dem 11. November weiterhin 23H2-Systeme verwenden, können trotzdem auf eine neuere Version von Windows 11 aktualisieren. So erhalten sie die Möglichkeit, für weitere Monate und Jahre mit sicherheitskritischen Updates versorgt zu werden.
Kodansha geht den Weg von Marvel – mit einem eigenen Filmstudio, das den großen Katalog an Mangas für Film und Fernsehen umsetzen soll.
Akira ist eines der Kronjuwelen im Programm von Kodansha.Bild:
Universal
Die zweimalige Oscargewinnerin Chloé Zhao und Produzent Nicolas Gonda sollen die neue Firma Kodansha Studios leiten. Das berichtet die Branchenwebsite Deadline . Zhao wird die Rolle als Chief Creative Officer übernehmen, Gonda wird Präsident und Chief Operations Officer.
Eine solche Rollenaufteilung findet sich etwa auch bei DC Studios mit James Gunn und Peter Safran. Einer kümmert sich um die kreative Vision, der andere um die geschäftlichen Belange. Das Ziel von Kodansha Studios ist es, hochwertige Realfilme und -Serien zu produzieren, die auf den Mangas basieren, die Kodansha im Laufe von mehr als einem Jahrhundert veröffentlicht hat.
Ein neues Studio mit einem umfangreichen Katalog
Zum Katalog des Verlags gehören auch Akira , dessen Rechte an Kodansha zurückgefallen sind, nachdem Warner Bros. über Jahrzehnte hinweg keinen Film auf die Leinwand bringen konnte, aber auch Erfolgsserien wie Attack on Titan. Der Kodansha-Katalog ist sehr vielfältig und deckt von Romanzen und Dramen über Horror und Science-Fiction bis zur Action und Fantasy praktisch jede Genre-Spielart ab.
Kodansha Studios plant, auf internationale renommierte Filmemacher zuzugehen und sie mit den japanischen Manga-Autoren zusammenzubringen. Sie sollen Film- und Serienversionen entwickeln, die Kodansha Studios als Paket außerhalb Japans anbieten will.
Chloé Zhao und Nicolas Gonda arbeiten bereits seit Jahren zusammen. Sie gründeten im Jahr 2022 die Produktionsfirma Book of Shadows, die auch weiterhin existieren wird. Zhao gewann mit ihrem dritten Kinofilm Nomadland den Oscar für den besten Film und die beste Regie. Sie inszenierte für Marvel Studios den Film Eternals. Als Produzentin und Regisseurin der Pilotfolge betreut sie zudem die neue Serie Buffy the Vampire Slayer: New Sunnydale.
Gonda war Chief Content Officer bei Meow Wolf, einer Firma, die auf interaktive Kunstausstellungen spezialisiert ist. Er knüpfte in der Funktion Kontakt zu großen Studios. Zudem produzierte Gonda mehr als 20 Filme, darunter Terrence Malicks The Tree of Life, aber auch Zhaos neuesten Film, das Drama Hamnet. Er ist zudem ausführender Produzent der neuen Buffy-Serie.
Ein Traditionsverlag
Kodansha wurde im Jahr 1909 gegründet. Die Mangas des Verlags wurden in mehr als 40 Ländern lizenziert. Kodansha hat einen mehr als 4.000 Titel umfassenden Katalog. Alleine mit acht der populärsten Titel des Verlags wurden bislang weltweit mehr als eine halbe Milliarde Exemplare verkauft.
Mit iOS 26.1, macOS 26.1 und den anderen neuen Systemen gibt es wieder viele Security-Patches. Eine Entscheidung Apples verwundert aber.
Mit iOS 26.1, macOS 26.1, iPadOS 26.1, watchOS 26.1, tvOS 26.1 und visionOS 26.1 [1], die seit Montagabend bereitstehen, hat Apple auch zahlreiche Sicherheitslücken geschlossen. Neben den neuen Systemen wurden auch ältere gepatcht – allerdings nur auf dem Mac. iOS 18 und iPadOS 18 blieben zunächst gänzlich ohne Update, was Nutzer letztlich zwingt, auf iOS 26.1 und iPadOS 26.1 zu aktualisieren, um ihre Systeme abzudichten. Ob Apple ein Patchpaket für das beliebte ältere System für iPhones und iPads nachlegen wird, bleibt unklar.
iOS und iPadOS: Schnell aktualisieren
iOS 26.1 und iPadOS 26.1 [2] enthalten 45 sicherheitsrelevante Verbesserungen, plus 16 weitere Patches, die Apple (leider) nicht näher ausführt, sondern denen nur Credits (also die Auffinder) zugeordnet wurden. Betroffen sind nahezu alle Bereiche vom Kernel über die Installationsroutine, die Account-Steuerung, die integrierten KI-Modelle und die Fotos-App bis hin zum Browser Safari mit diversen geschlossenen WebKit-Lücken.
Bereits bekannte Exploits scheint es nicht zu geben, zumindest führt Apple keine auf. Die Lücken führen potenziell zu App- und System-Abstürzen, entfleuchten Daten, dem Nachladen unerwünschter Inhalte, der Aktivierung der Gerätekamera ohne Genehmigung und einige problematische Fehler mehr – aus der Ferne ausnutzbare Bugs (Remote Exploits) nannte Apple zunächst nicht. iOS und iPadOS 18 bleiben wie erwähnt bei Versionsstand 18.7.1 aus dem vergangenen September. Ob das bedeutet, dass Apple die Pflege ganz einstellt, bleibt unklar. Das wäre unschön, da viele User, die den Liquid-Glass-Look in iOS 26 und iPadOS 26 [3] nicht mögen, zunächst auf iOS 18 und iPadOS 18 geblieben sind. Sie nutzen derzeit unsichere Systeme.
Massives Patch-Paket für Tahoe
Die Zahl der in macOS 26.1 [4] geschlossenen Lücken ist noch deutlich größer: Es sind sage und schreibe knapp 90 [5] – plus ein Dutzend Bugs, bei denen Apple keine näheren Details publiziert. Mindestens eine der macOS-Lücken ist von außen ausnutzbar – in Form einer Denial-of-Service-Attacke auf die CoreAnimation-Routine. Ansonsten handelt es sich wie auf iPhone und iPad um einen bunten Strauß voller Bugs – von "A" wie Admin Framework (Nutzerdaten können leaken) über "C" wie CloudKit (Sandbox-Ausbruch), "N" wie Networking (iCloud Private Relay dreht sich ab) bis hin zu "s" wie sudo (Apps können sich sensible Daten schnappen). Auch in Safari für macOS steckten jede Menge Fehler in WebKit. Es lassen sich Abstürze auf App- und Systemebene provozieren. Datenschutzrelevant ist zudem eine Lücke in "Wo ist?", die ein Nutzerfingerprinting ermöglicht.
Für macOS Sequoia legt Apple Update 15.7.2 [6], für macOS Sonoma Update 14.8.2 [7] nach. Beide korrigieren, wie bei Apple leider üblich [8], nicht alle in macOS 26.1 gestopften Lücken, nur wer das neueste Betriebssystem verwendet, ist vollständig sicher. Wie problematisch das ist, lässt sich schwer sagen, da unklar bleibt, wie viele der gefixten Bugs erst mit macOS 26 eingeführt wurden. Details zu den Patch-Paketen für tvOS 26.1 [9], watchOS 26.1 [10] und visionOS 26.1 [11] hat Apple ebenfalls publiziert – auch hier gibt es dutzende Fixes, ein schnelles Update ist angeraten. Schließlich liefert Apple auch noch ein Browser-Einzelupdate auf Safari 26.1 für Sequoia und Sonoma [12] aus. Entwickler bekommen zudem Xcode 26.1 [13], das Lücken im GNU-Framework und in libd stopft (ab macOS 15.6 erhältlich).
Update
iOS 18.7.2, das wie erwähnt bislang nicht veröffentlicht wurde, lag bereits als Release Candidate für Geräte bis hoch zum iPhone 16e [14] vor – also allen offiziell kompatiblen Modellen. Entsprechend gibt es Hoffnung, dass Apple die Aktualisierung zeitnah nachliefert. Warum sie nicht zusammen mit iOS 26.1 und Co. publiziert wurde, bleibt unbekannt.
URL dieses Artikels: https://www.heise.de/-11041224
Microsofts Passwort-Manager im Webbrowser Edge kann Passkeys jetzt speichern und über Windows-Geräte synchronisieren.
Der Webbrowser Edge enthält einen Passwort-Manager "Autofill", dem Microsoft nun den Umgang mit Passkeys beigebracht hat. Ab dem auf dem quelloffenen Chromium basierenden Edge in Version 142 kann der Browser Passkeys speichern und über Windows-Desktop-Geräte hinweg synchronisieren.
In einem Blog-Beitrag erklärt Microsoft [1] die neue Funktion. Das Unternehmen verteilt sie schrittweise in Microsoft Edge 142 unter Windows für Microsoft-Konten (MSA). Sie soll künftig auch auf weiteren Plattformen verfügbar werden.
Vorteile von Passkeys
Passkeys [2] sind ein einfacherer und sichererer Weg, sich in Apps und an Webseiten anzumelden, ohne ein Passwort zu benötigen. Anstatt mit einem Passwort authentifizieren sich Nutzerinnen und Nutzer mit im Gerät verbauten Sicherheitsmechanismen wie Fingerabdrücken, Gesichtserkennung oder einer PIN. Passkeys bauen auf dem FIDO2-Standard auf, der Public-Key-Kryptografie für die sichere Anmeldung nutzt. Im eigenen (lokalen) Konto verbleibt der einzigartige private Schlüssel speziell für die Webseite, während die Website lediglich einen öffentlichen Schlüssel erhält. Microsoft erörtert weiter, dass selbst nach einem Datenleck einer Webseite der Zugang sicher bleibt.
Daher empfiehlt Microsoft den Einsatz von Passkeys. Sie liefern stärkere Sicherheit, es ist schneller und einfacher, sich damit anzumelden – und sie lassen sich mit Passkey-Synchronisation nahtlos über Geräte hinweg einsetzen. Die Privatsphäre steht an erster Stelle, da die biometrischen Daten lokal auf dem Gerät geprüft werden und Webseiten lediglich einen kryptografischen Beweis der Identität erhalten.
Passkey-Speicherung mit Edge Autofill
Die Speicherung von Passkeys unterstützt Edge derzeit lediglich unter Windows, jedoch plant Microsoft die Ausweitung auf weitere Plattformen. Einen Zeitplan nennt das Unternehmen dafür nicht. Die Passkeys legt Autofill im Microsoft-Konto ab. Die werden durch eine PIN geschützt, die beim erstmaligen Abspeichern eines Passkeys eingerichtet wird. Beim Besuch einer Webseite, die Passkeys unterstützt, erfolgt eine Nachfrage, ob die User einen Passkey in Microsofts Passwort-Manager erstellen wollen. Der dabei erstellte und gespeicherte Passkey kann künftig zum Log-in genutzt werden, mit der bevorzugten Geräteauthentifizierungsmethode, sei es Fingerabdruck, Gesichtserkennung oder ein PIN-Code.
Die Synchronisation auf weitere Geräte erfordert dort eine Echtheitsprüfung – die mit der PIN für den Microsoft Passwort-Manager erfolgt. Sie schaltet den Passkey-Zugriff auf neuen Geräten frei. Autofill mit Passkey-Unterstützung setzt mindestens Windows 10, Microsoft Edge 142 sowie ein Microsoft-Konto voraus. Microsoft versichert, die Passkeys verschlüsselt sicher in der Cloud zu speichern, mit dem zusätzlichen PIN-Schutz. Auf neuen Geräten haben Nutzerinnen und Nutzer maximal zehn Versuche, die korrekte PIN zum Freischalten einzugeben.
Wer die PIN vergessen hat, kann sie auf einem Geräte, das bereits Passkey-Zugriff hat, zurücksetzen. Die Entsperr- und Rücksetzversuche der Passwort-Manager-PIN protokolliert Microsoft in Azure.
Ursprünglich hatte Microsoft den Authenticator mit dem Passwort-Manager "Autofill" ausgestattet. Im Mai wurden Microsofts Pläne bekannt, diese Erweiterung ab Juli dieses Jahres einzustampfen [3]. Autofill ist noch im Webbrowser Edge verfügbar, wodurch die automatisch mit dem Microsoft-Konto synchronisierten Zugangsdaten aus dem Authenticator-Autofill zugreifbar bleiben.
URL dieses Artikels: https://www.heise.de/-11038464
Links in diesem Artikel: [1] https://blogs.windows.com/msedgedev/2025/11/03/microsoft-edge-introduces-passkey-saving-and-syncing-with-microsoft-password-manager/ [2] https://www.heise.de/thema/Passkey [3] https://www.heise.de/news/Microsoft-Authenticator-Zurueck-vom-Passwort-Manager-zum-Authenticator-10371450.html [4] https://aktionen.heise.de/heise-security-pro?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp [5] mailto:dmk@heise.de
Drei Angestellte von Cybersicherheitsfirmen in den USA sollen selbst Angriffe mit Ransomware ausgeführt haben, um Geld zu erpressen. Zwei wurden nun angeklagt.
In den USA wurden zwei Männer angeklagt, die während ihrer Anstellung für Cybersicherheitsfirmen selbst Ransomware-Attacken ausgeführt und damit mehr als eine Million US-Dollar erbeutet haben sollen. Das berichtet die Chicago Sun-Times und erklärt, dass einer der beiden für eine Firma namens DigitalMint gearbeitet hat, die Lösegeldverhandlungen führt. Der zweite war demnach bei Sygnia angestellt. Der Konzern simuliert für die Kundschaft unter anderem Ransomware-Angriffe. Beschuldigt wird demnach auch eine nicht identifizierte dritte Person, die ebenfalls für DigitalMint gearbeitet hat. Die Firma hatte die Ermittlungen im Sommer publik gemacht, die ganze Tragweite der vorgeworfenen Handlungen war damals aber nicht deutlich geworden.
Erpressung um Millionensummen
Wie die Zeitung aus Chicago ausführt [1], sollen die beiden Beschuldigten die Ransomware ALPHV [2] eingesetzt haben. Die kann man mieten, im Gegenzug muss ein Teil der Beute an die Verantwortlichen gegeben werden. Die Männer sollen damit einen Hersteller von Medizingeräten aus Florida angegriffen und im Nachhinein erpresst haben. Verlangt hätten sie 10 Millionen US-Dollar für die Rückgabe der gesperrten Daten, bekommen hätten sie 1,27 Millionen. Weitere Angriffe und die Versuche, in einem Fall fünf Millionen US-Dollar, in einem eine Million und in einem 300.000 zu erpressen, blieben demnach erfolglos. Die Angriffe liefen demnach bis zum April dieses Jahres.
Einer der beiden Beschuldigten wurde demnach dann im Juni vom FBI verhört und hat die Vorwürfe anfangs abgestritten. Später hat er sie aber wohl eingestanden und erklärt, dass er die Beute bei dem einen geglückten Angriff in Form von Kryptowährung erhalten und ihre Herkunft mithilfe von Mixing-Diensten zu verschleiern versucht habe. Der US-Bundespolizei gegenüber habe er erklärt, dass er mit dem Geld Schulden habe abbezahlen wollen und fürchte, "für den Rest seines Lebens" ins Gefängnis zu müssen. Nachdem ihm gesagt worden sei, dass das Haus seines Komplizen durchsucht worden sei, habe er später danach auf Google gesucht. Die Anklage folgte dann Anfang Oktober.
DigitalMint hat zwar im Juli eingestanden, dass es Vorwürfe gegen einen Angestellten gibt, damals hieß es aber lediglich, dass sich ein Experte für Lösegeldverhandlungen selbst Anteile davon zugeschustert haben sollte [3]. Dass er selbst hinter Ransomware-Angriffen stecken sollten, war damals nicht öffentlich bekannt. Gegenüber der Chicago Sun-Times hat die Firma jetzt darauf verwiesen, dass ihr in der Anklage kein Wissen um die Taten und keine Beteiligung daran unterstellt wird. Genau wie Sygnia versichert die Firma, die Ermittlungen zu unterstützen, den Tatverdächtigen sei umgehend gekündigt worden.
URL dieses Artikels: https://www.heise.de/-11034436
Links in diesem Artikel: [1] https://chicago.suntimes.com/the-watchdogs/2025/11/02/crytpo-cryptocurrency-crime-chicago-digital-mint-ransom-ransomware-hack [2] https://www.heise.de/news/AlphV-meldet-sich-zurueck-Verhaftungen-und-Betrug-bei-anderen-Gruppen-9574446.html [3] https://www.heise.de/news/Cybercrime-Loesegeldverhandler-zwackte-sich-wohl-Provisionen-ab-10474413.html [4] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner [5] mailto:mho@heise.de
FreshRSS 
