Anmelden
(Bild: Black_Kira/Shutterstock.com)
Have I been Pwned listet einen Data Breach für Wired, der sensible Daten von 2,3 Millionen Nutzern umfasst. Mutmaßlich könnten weitere Millionen folgen.
Der Website Have I been Pwned, dem Cybersecurity-Experten Alon Gal und databreaches.net zufolge sind sensible Kundendaten von 2,3 Millionen Wired-Nutzern im Netz veröffentlicht worden. Weitere Millionen könnten folgen, da die Daten mutmaßlich aus einem umfassenderen Datendiebstahl bei der Wired-Mutterfirma „Condé Nast“ stammen sollen. Betroffen könnten dann auch Daten von bekannten Magazinen wie Vogue, The New Yorker, GQ, Glamour und Vanity Fair sein. In entsprechenden Foren wird bereits gedroht, Daten von mehr als 40 Millionen Nutzern zu veröffentlichen.
Demnach wurde der Blog databreaches.net schon im November von einer Person mit dem Alias „Lovely“ kontaktiert, die Wege suchte, mit Wired in Kontakt treten zu können. Die Kontaktaufnahme mit Wired und auch der Mutterfirma Condé Nast sei zunächst gescheitert, mithilfe des databreaches-Blogs konnte Lovely aber schlussendlich mit Wired kommunizieren. Wired gegenüber soll Lovely sechs Sicherheitslücken gemeldet und die erbeuteten Daten als Druckmittel für Zahlungen eingesetzt haben. Gemäß dem databreaches-Blog [1] sind diese Informationen allerdings mit Vorsicht zu genießen, da sich Lovely unter falschen Angaben an den Blog wandte und auch im Kommunikationsverlauf weitere falsche Angaben machte.
Dass die bisher geleakten Daten sehr wahrscheinlich echt sind und tatsächlich von Wired stammen, wurde unter anderem von Alon Gal verifiziert [2]. Sie umfassen mithin 2,3 Millionen E-Mail-Adressen, 285.936 Namen, 32.426 Telefonnummern und 102.479 Wohnadressen. Laut Have I Been Pwned [3] sind aber auch Geburtsdaten, Angaben zum Geschlecht, sowohl Anzeigennamen als auch bürgerliche Namen und Ortsdaten Teil der Sammlung. Die letzten Datenbankeinträge sollen vom 8. September 2025 sein.
Wired und Condé Nast haben sich zu dem Vorfall bisher nicht öffentlich geäußert.
URL dieses Artikels:
https://www.heise.de/-11125531
Links in diesem Artikel:
[1] https://databreaches.net/2025/12/25/conde-nast-gets-hacked-and-databreaches-gets-played-christmas-lump-of-coal-edition/
[2] https://www.linkedin.com/posts/alon-gal-utb_looks-like-wireds-database-was-leaked-for-activity-7410567685597462528-B7yV/?utm_source=share&utm_medium=member_desktop&rcm=ACoAACgVuScBUqfaBGub_8tIW88bTtHAKZA382k
[3] https://haveibeenpwned.com/Breach/WIRED
[4] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[5] mailto:kbe@heise.de
Copyright © 2025 Heise Medien
(Bild: heise medien)
In Notepad++ konnten Angreifer dem Updater Malware unterschieben. Ein weiteres Update verbessert die Sicherheit und korrigiert Regressionen.
Der mächtige und populäre Open-Source-Texteditor Notepad++ hatte Anfang Dezember für Schlagzeilen gesorgt [1], da Angreifer in Südostasien etwa aufgrund der Nutzung von Self-Signed-Zertifikaten Opfern gezielt Malware untergeschoben hatten. Der Programmierer legte rasch ein Update zum Ausbessern von Schwachstellen im Updater nach. Jetzt geht es mit einem weiteren Update den letzten Resten der Fehler an den Kragen.
In der Versionsankündigung schreibt der Notepad++-Entwickler Don Ho [2], dass es sich trotz des größeren Versionssprungs auf 8.9 nicht um ein größeres Update handelt. Es behandelt jedoch Regressionen in der Entwicklung und ergänzt Verbesserungen. So kommt mit dieser Version das selbst signierte Zertifikat endgültig nicht mehr zum Einsatz, Notepad++ nutzt nun nur noch das offizielle GlobalSign-Zertifikat zum Signieren von Release-Binärdateien. Er rät Nutzern, die das Self-Signed-Zertifikat in der Vergangenheit installiert haben, dieses jetzt unbedingt zu entfernen.
Wenn Notepad++ beim Updatevorgang Sicherheitsfehler erkennt, erstellt es jetzt eine Protokolldatei dazu. Wenn etwa der automatische Updater aufgrund eines Signatur- oder Zertifikatsprüfungsfehlers abbricht, finden Betroffene Details dazu in "%LOCALAPPDATA%\Notepad++\log\securityError.log". Aufgetretene Fehler können sie im Notepad++ Issue Tracker melden [3] und gegebenenfalls Hilfestellung erhalten, schreibt Ho.
Neben dieser Sicherheitsverbesserung und Regressionsausbesserungen hat Ho noch einige weitere kleine Korrekturen in Version 8.9 ergänzt. Don Ho hat sie auf der Download-Seite von Notepad++ aufgelistet [4]. Derzeit müssen Interessierte das Update manuell herunterladen und installieren. Treten in den kommenden Tagen keine kritischen Fehler auf, will Ho die neue Version für den automatischen Updater freischalten, ergänzt er in dem Versionsbeitrag in der Notepad++-Community [5] – dort sollen Nutzerinnen und Nutzer gegebenenfalls Fehler mitteilen.
URL dieses Artikels:
https://www.heise.de/-11125475
Links in diesem Artikel:
[1] https://www.heise.de/news/Notepad-Updater-installierte-Malware-11109571.html
[2] https://notepad-plus-plus.org/news/v89-released/
[3] https://github.com/notepad-plus-plus/notepad-plus-plus/issues/
[4] https://notepad-plus-plus.org/downloads/v8.9/
[5] https://community.notepad-plus-plus.org/topic/27327/notepad-release-8-9
[6] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2025 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Nach einigen Jahren stoppt Nvidia die Unterstützung alter Grafikkarten. Mit Treiberversion 590 endet nun der Support für die erstmalig 2016 erschienenen Pascal-GPUs. Ein Update für Arch Linux installiere den neuen Treiber und führe damit bei Nutzern mit diesen älteren Grafikkarten zu Problemen, wie Hackaday berichtet .
Andere Betriebssysteme oder auch Linux-Distributionen laden für noch verbaute Pascal-GPUs ältere Treiber von Nvidia. Arch Linux hingegen ersetzt diese mit neuen Treibern, die eben genau diese Karten nicht mehr unterstützen.
Als Lösung heißt es im Post zum Update , dass Nutzer die ältere Treiberversion aus dem Arch-Linux-User-Community-Repository (AUR) herunterladen sollen. Dies wiederum habe bei Steam zu Problemen geführt, wie User berichten. Die Plattform nutzt offizielle Nvidia-Dependencies, die nur durch eine Reihe weiterer Schritte wiederherzustellen sind.
Laut aktuellen Daten der Steam-Hardwareumfrage nutzen knapp 5 Prozent aller Nutzer weiterhin Karten der GTX-10er-Serie. Vor allem die damals preisgünstige GTX 1060 ist trotz ihres Alters von neun Jahren noch in fast zwei Prozent aller Systeme im Einsatz.
Auf der Geekcon, einem Cybersecurity-Wettbewerb in Shanghai, haben die Forscher Qu Shipei und Xu Zikai vom Sicherheitsteam Darknavy eine Schwachstelle bei Robotern vorgeführt, wie die South China Morning Post berichtet . Mit nur einem gesprochenen Wort konnten sie einen in China hergestellten humanoiden Roboter im Wert von rund 100.000 Yuan (etwa 12.000 Euro) kompromittieren. Die Lücke liege im KI-basierten System des Roboters. Die Forscher konnten nach eigenen Angaben damit ein Rooting erzielen.
Besonders bemerkenswert: Der gehackte Roboter fungierte als "digitales Trojanisches Pferd" . Über Nahfeldkommunikation infizierte er einen weiteren, vom Netz getrennten Roboter – und das in weniger als drei Minuten. Während der Livedemonstration ging der kompromittierte Roboter auf eine Attrappe zu, hob seinen mechanischen Arm und schlug die Puppe zu Boden, wie Yicai Global berichtet.
Die Demonstration zeigt, dass eine vermeintlich physische Isolation keinen ausreichenden Schutz vor Cyberangriffen bietet. Schwachstellen könnten sich auch ohne Internetverbindung über Roboternetzwerke hinweg ausbreiten, wenn dennoch Kommunikationsmöglichkeiten wie bei dem NFC-Angriff bestünden.
Derzeit werden humanoide Roboter vor allem im Bereich Unterhaltung, Empfangsdienste und im Bildungsbereich eingesetzt. Doch der Forscher Qu warnt: Der Einsatz in sensibleren Bereichen könnte die Risiken ungepatchter Sicherheitslücken drastisch erhöhen.
Roboter, die für Inspektionsaufgaben, militärische Zwecke, medizinische Versorgung oder Altenpflege eingesetzt werden, könnten zur ernsten Bedrohung werden, falls sie kompromittiert würden. Ein Haushaltsroboter mit Sicherheitslücken könnte vom hilfreichen Assistenten zum Überwachungsgerät oder gar zur physischen Gefahr für die Bewohner werden.
Auch in anderen Bereichen sehen die Forscher erhebliche Risiken: Autonome Fahrzeuge mit gehackten Systemen würden mehr als nur Unfallgefahr bedeuten. Industrieroboter unter böswilliger Kontrolle könnten Fertigungsprozesse stören und wirtschaftliche Schäden sowie Verletzungen verursachen.
Qu betont, dass Roboterhersteller bereits während der Produktentwicklung Schwachstellen suchen sollten, um grundlegende Sicherheitsprobleme zu identifizieren und zu beheben. Er empfehle den Aufbau interner Sicherheitsteams oder die Zusammenarbeit mit externen Spezialisten für Penetrationstests.
Der Starship-Flug im Januar 2025 sei viel bedrohlicher gewesen als bisher angenommen, berichtet das Wall Street Journal . Denn die Trümmerteile der explodierten Starship-Rakete hätten drei Passagierflugzeuge über der Karibik in eine gefährliche Situation gebracht. Sie alle durchflogen eine temporäre Flugverbotszone, während Fluglotsen versuchten, die Flugzeuge außerhalb der Gefahrengrenze zu leiten.
Bei dem integrierten Flugtest (Integrated Flight Test) IFT-7 am 16. Januar 2025 brach die Rakete hinsichtlich des Startgewichts und der Höhe alle bisherigen Rekorde. Mit seinen 33 Raptor-2-Triebwerken hob das Starship erfolgreich vom Starbase-Weltraumbahnhof in South Texas (USA) ab.
Erst nach der Stufenabtrennung kam es zu Anomalien, und die Starship-Oberstufe geriet zunehmend in Schwierigkeiten. Zuerst fiel eines der Center-Triebwerke aus, dann ein weiteres, gefolgt von drei schwenkbaren Vakuum-Triebwerken.
So war nur noch eines der Raptor-Triebwerke funktionsfähig. Schließlich zerbrach das sich überschlagende Starship über den Turks- und Caicosinseln, nördlich der Dominikanischen Republik und Haiti.
In einem Bericht der US-Flugsicherheitsbehörde FAA (Federal Aviation Administration) wird von einem "potenziell extremen Sicherheitsrisiko" gesprochen. Insgesamt befanden sich 450 Passagiere in den drei Flugzeugen und waren einer erheblichen Gefahr ausgesetzt. Zwei der Flugzeuge wären sogar miteinander kollidiert, wenn die Fluglotsen nicht eingegriffen hätten.
Eines der betroffenen Flugzeuge gehörte der US-amerikanischen Billigfluggesellschaft Jetblue Airways und befand sich auf dem Weg nach Puerto Rico. Nachdem die Piloten von der Flugsicherheit den Funkspruch erhalten hatten, dass sie gleich durch eine Gefahrenzone fliegen würden, flogen die Piloten zunächst in einer Warteschleife. Um nach San Juan zu kommen, mussten die Piloten laut einem Lotsen jedoch auf eigene Gefahr fliegen.
Eine Zwickmühle, denn entweder hätten sie ihre Reise durch ein mögliches Raketentrümmerfeld fortsetzen müssen – oder sie riskierten, dass der Treibstoff über Wasser ausgeht. Bei der Starship-Explosion regneten laut den FAA-Dokumenten ungefähr 50 Minuten lang feurige Trümmer über Teile der Karibikregion. Bei einem möglichen Flugzeugtreffer hätte es zu schweren Schäden und möglichen Todesfällen kommen können.
Zwei weitere Flugzeuge, ein von Iberia Airlines betriebenes sowie ein Privatjet, gerieten in eine ähnliche Situation. Treibstoffnotfälle zwangen sie dazu, einen, Mayday-Notruf abzusetzen und durch die temporäre Flugverbotszone zu fliegen.
Letztendlich landeten alle drei Flugzeuge sicher an ihren Zielorten. Das Wall Street Journal berichtet, dass es laut den Dokumenten gar nicht so weit hätte kommen müssen. Für solche Vorfälle gebe es eine Hotline der FAA, bei der SpaceX umgehend hätte Bescheid geben müssen. Dann hätte die FAA eine No-Fly-Zone eingerichtet und die Fluglotsen hätten die betroffenen Maschinen informieren und umleiten können.
Doch offenbar meldete SpaceX den Vorfall nicht. Vielmehr hätten die Fluglotsen von den Piloten, denen die herabfallenden Trümmerteile aufgefallen waren, davon erfahren, heißt es in einem Bericht des Wall Street Journal.
SpaceX verurteilt den Artikel jedoch als eine "weitere irreführende 'Geschichte' des WSJ" . Laut dem X-Post wurden alle Flugzeuge "in Echtzeit entsprechend umgeleitet, so dass sie nicht in den größeren, vorab koordinierten Gefahrenbereich mit den Trümmern gelangten" .
Nach dem Vorfall wurde von der FAA im März 2025 eine Überprüfung der Verfahren im Umgang mit Raketentrümmern ins Leben gerufen, um diesen Umgang zu verbessern. Im Mai hieß es dann, dass es ein hohes Risiko für die Flugsicherheit gäbe, wenn Raketentrümmer vom Himmel fielen. Im August wurde diese Überprüfung laut dem WSJ jedoch aus unbekannten Gründen überraschend pausiert.
Christoph Jehle
Analoger Audiogenuss ist weiter im Trend
(Bild: X10/Shutterstock.com)
Analog erlebt ein Comeback. Immer mehr Musikfans schätzen den warmen Klang und das bewusste Hörerlebnis. Was steckt hinter diesem Trend?
Was in den vergangenen Jahrzehnten oftmals wie das berühmte gallische Dorf erschien, das sich erfolgreich gegen die Übermacht der Römer wehrte, entwickelt sich mit dem Wiedererstarken der analogen Tonträger inzwischen wieder zum Trend.
Vor dem Hintergrund, dass die UKW-Frequenzen abgeschaltet werden könnten und Millionen von hochwertigen UKW-Empfängern dann als Elektroschrott enden werden, greifen wieder mehr Nutzer zu analogen Schallplatten, die bei guter Pflege die nächsten Jahrzehnte problemlos überleben werden. Wir gehen dem Trend auf den Grund.
"Am 17. August 1982 begann in Deutschland – in Langenhagen bei Hannover – die weltweit erste industrielle Produktion von Musik-CDs mit dem Abba-Album 'The Visitors'. Bereits 1981 wurde die Compact Disc bei der Funkausstellung in Berlin erstmals öffentlich in Deutschland vorgestellt. 'Die CD bedeutete Anfang der 1980er Jahre eine Audiorevolution. Sie bot eine Klangqualität, die mit herkömmlichen Schallplattenspielern dieser Preisklasse unerreichbar war', erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. 'Außerdem war sie viel nutzerfreundlicher: Sie war klein, leicht und gut transportabel, verkratzte nicht so leicht und erstmals konnten einzelne Tracks unkompliziert angewählt werden. Musste man bis dahin nach 20 bis 30 Minuten eine Schallplatte umdrehen, um die zweite Seite zu hören, konnte man nun eine Stunde ohne Unterbrechung Musik hören, auch in Endlosschleife, in top Qualität. Außerdem konnte man Musik erstmals ohne Qualitätseinbußen kopieren,'" erklärte die Bitkom im August 2022 [1].
Inzwischen hat das Streaming die physischen Tonträger überholt und selbst der CD-Absatz dürfte sich in wenigen Jahren auf die Null zubewegen. Konnte man noch vor einem Jahrzehnt die CD notfalls im CD-Laufwerk des heimischen PCs abspielen, sterben diese so langsam aus und seit Microsoft seine Kunden zu Windows 11 drängt, ist Schluss mit der CD. Jetzt kommen die Vinyl-Scheiben wieder zu Ehren. Ihr Absatz steigt.
Der Absatz von Vinyl-LPs wächst weiter stark (+7,7 Prozent im Jahr 2024) und erreichte 4,9 Millionen verkaufte Einheiten im Jahr 2024, was das Comeback der Schallplatte untermauert. Dagegen verzeichnet der CD-Markt deutliche Rückgänge (-20,1 Prozent im ersten Halbjahr 2025). Er bleibt bislang jedoch der nach Umsatz stärkste physische Tonträger.
Telepolis hat Dieter Amann, Vorstand der High End Society [2], zur Entwicklung hochwertiger physischer Tonträger befragt:
▶ Herr Amann, wer hört denn heute noch analoge Schallplatten?
Dieter Amann: Vinyl-Schallplatten feiern derzeit ein anhaltendes Comeback und haben sich zu einem festen Bestandteil der Musikkultur entwickelt, obwohl digitale Musik und Streaming nach wie vor dominieren. Besonders jüngere Musikfans und Liebhaber hochwertiger Klangerlebnisse entdecken das Medium neu. Sie schätzen nicht nur den charakteristischen, als "warm" wahrgenommenen Klang, sondern auch die Haptik und das Ritual des Auflegens, etwa das Auspacken, das Betrachten der großen Cover-Gestaltung und das bewusste Platzieren der Nadel auf der Rille.
Die Verkaufszahlen spiegeln diesen Trend deutlich wider: Im Jahr 2023 wurden in Deutschland rund 4,6 Millionen Vinyl-Schallplatten verkauft. Das entspricht einem Zuwachs von etwa 40 Prozent gegenüber den Werten aus dem Jahr 2020. Die Umsätze mit Schallplatten sind ebenfalls gestiegen und haben sich innerhalb weniger Jahre sogar verdoppelt – und das in einem Markt, in dem CDs deutlich rückläufig sind.
Für viele Käufer geht es bei Vinyl um ein bewusstes Musik-Erlebnis und um persönliche Werte wie Authentizität und Nostalgie. Das Medium steht für einen entschleunigten Musikgenuss, bei dem das Hören zum Event wird und im Gegensatz zum schnellen Skippen in der Streaming-App eine viel intensivere Verbindung zur Musik entsteht.
▶ Und wer kauft heute noch eine Audioanlage aus Einzelbausteinen?
Dieter Amann: HiFi-Enthusiasten und audiophile Musikfans bevorzugen nach wie vor den Kauf von Einzelkomponenten statt Kompaktanlagen. Die individuellen Bausteine erlauben maximale Flexibilität, bessere Klangqualität und die gezielte Kombination verschiedener Hersteller und Technologien. Einzel-Komponenten bieten den Vorteil der Austauschbarkeit und langfristigen Erweiterbarkeit, was besonders für anspruchsvolle Musikliebhaber attraktiv bleibt.
▶ Braucht man denn wirklich noch Lautsprecher, wenn In-Ear-Kopfhörer viel weniger Platz benötigen?
Dieter Amann: Es gibt zwei grundlegend verschiedene Arten, Musik zu hören. Einerseits mit Kopfhörern oder In-Ear-Hörern, andererseits über klassische Lautsprechersysteme. Beide Methoden bieten jeweils spezifische Vor- und Nachteile, die beeinflussen, wann und wie sie bevorzugt werden. Klassische Lautsprecher kommen vor allem zu Hause oder in festen Hörumgebungen zum Einsatz. Ihr besonderer Vorteil liegt im räumlichen Klangerlebnis – der sogenannte "Soundstage"-Effekt, das einen natürlichen, großflächigen Klang erzeugt, den man gemeinsam mit anderen erleben kann.
Der Bass ist physisch spürbar, der Raumklang verteilt sich und lässt Musik oder Filme immersiv wirken. Für Gruppen, Partys, Wohnzimmer-Konzerte oder Heimkino sind Lautsprecher daher weiterhin sehr gefragt. Trotz der Beliebtheit von Kopfhörern gibt es in Deutschland eine große Auswahl und starke Nachfrage nach hochwertigen Lautsprechern, weil diese ein gemeinschaftliches Erlebnis ermöglichen, bei dem der Klang nicht nur gehört, sondern auch körperlich wahrgenommen wird.
URL dieses Artikels:https://www.heise.de/-11108949
Links in diesem Artikel:[1] https://www.bitkom.org/Presse/Presseinformation/40-Jahre-Audio-CD[2] https://verband.highendsociety.de/
Copyright © 2025 Heise Medien
Bernardo Cantz
(Bild: FOTOGRIN / Shutterstock.com)
Europas Pipeline-Betreiber nutzen eine Lücke in den Berichtsstandards – mit enormen Folgen für Klimabilanzen und Investoren.
Unternehmen, die im Energiesektor tätig sind, müssen nach europäischem Recht [1] ihre Emissionen offenlegen. Doch im Falle der Betreiber von Gas-Pipelines gelingt das in der Praxis nur unzureichend. Das geht aus einer aktuellen Analyse des Institute for Energy Economics and Financial Analysis (IEEFA) hervor.
Laut IEEFA ist dafür eine Lücke in den Berichtsstandards verantwortlich. Dadurch würden diese Unternehmen weniger als ein Prozent ihrer Emissionen melden. Das untergräbt nicht nur die Bemühungen im Klimaschutz, sondern verschleiert auch das Risiko für Investoren [2].
Die fehlenden Angaben betreffen die sogenannten "transportierten Emissionen" – jene Treibhausgase, die entstehen, wenn das durch die Pipelines geleitete Erdgas am Ende in Kraftwerken [3], Heizungen oder Industrieanlagen verbrannt wird.
Diese Emissionen sind im Durchschnitt etwa 150-mal größer als die von den Betreibern offiziell gemeldeten Gesamtemissionen, hat das IEEFA errechnet.
Die sogenannten Übertragungsnetzbetreiber für Gas (TSOs) besitzen und betreiben die Hochdruck-Pipelines, Flüssiggas-Terminals und Gasspeicher [4], die das Rückgrat der europäischen Gasversorgung bilden.
Sie sind regulierte Monopole in ihren jeweiligen Ländern. Ihre Einnahmen stammen aus Tarifen, die über die Energierechnungen der Verbraucher finanziert werden. Je größer ihre Anlagen, desto höher in der Regel ihre Gewinne.
Die IEEFA-Analyse [5] konzentriert sich auf sechs große Unternehmen: Snam (Italien), NaTran (Frankreich, früher GRTgaz), Enagás (Spanien), Fluxys (Belgien), Open Grid Europe (Deutschland) und Gasunie (Niederlande). Zusammen kontrollieren sie über 100.000 Kilometer Pipelines und mehr als die Hälfte der LNG-Terminals [6] in der Europäischen Union.
Diese Unternehmen sind nicht nur passiv und betreiben die Infrastruktur – sie prägen aktiv die europäische Energiepolitik.
Über das European Network of Transmission System Operators for Gas (ENTSO-G) beraten sie die EU-Kommission offiziell und empfehlen, welche Infrastrukturprojekte öffentlich gefördert werden sollten. Zudem engagieren sie sich in Initiativen wie Gas Infrastructure Europe, Gas for Climate und dem European Hydrogen Backbone.
Nach dem weltweit genutzten Greenhouse Gas Protocol müssen Unternehmen ihre Emissionen in drei Kategorien erfassen: Scope 1 (direkte Emissionen aus eigenen Anlagen), Scope 2 (indirekte Emissionen aus eingekaufter Energie) und Scope 3 (alle weiteren indirekten Emissionen entlang der Wertschöpfungskette).
Die "transportierten Emissionen" fallen unter Scope 3 und bezeichnen das Kohlendioxid, das entsteht, wenn das durch die TSO-Netze geleitete Erdgas am Ende verbrannt wird. Die Betreiber argumentieren jedoch, sie müssten diese Emissionen nicht melden, weil sie das Gas nicht besitzen oder verkaufen, sondern nur transportieren.
Das Problem: Das Greenhouse Gas Protocol bietet keine klare sektor-spezifische Anleitung für die Gasindustrie. Stattdessen lässt es laut IEEFA drei verschiedene Interpretationen zu, von denen zwei eigentlich eine Meldung verlangen würden.
Die Offenlegungsplattform CDP empfiehlt seit 2022 ausdrücklich, transportierte Emissionen zu berichten. Auch die Science Based Targets Initiative (SBTi) hatte dies unterstützt, bevor sie ihre Arbeit an Öl- und Gas-Standards pausierte.
Das Weglassen der transportierten Emissionen hat weitreichende Folgen. Investoren und andere Stakeholder könnten die Gas-TSOs fälschlich als klimafreundliche Unternehmen [7] wahrnehmen, obwohl sie ein zentrales Glied in der fossilen Energiekette sind.
"Dieser grundlegende Fehler in der Klimabilanzierung verzerrt den Markt, indem er es Gasleitungsunternehmen ermöglicht, Kapital anzuziehen, das sonst in umweltfreundlichere Investitionen fließen würde", sagte Arjun Flora [8], Energiefinanzanalyst beim IEEFA und Autor des Berichts.
Die Lücke birgt auch Risiken für Finanzinstitute: Übergangsrisiken werden möglicherweise unterschätzt, Kapital könnte fehlgeleitet werden. Die indirekten Emissionen bleiben faktisch "außerhalb der Bücher".
Zugleich bewerben sich die TSOs selbst als Partner der Energiewende und werben für "Multi-Molekül"-Netze, die künftig Biomethan, Wasserstoff [9] oder CO2 transportieren sollen. Doch die Emissionen aus der heutigen Gasnutzung verschweigen sie.
Die Zahlen sind eindeutig: Das IEEFA schätzt die gesamten transportierten Emissionen der sechs untersuchten TSOs auf rund 700 Millionen Tonnen CO2 pro Jahr – vergleichbar mit den Gesamtemissionen Deutschlands.
Im Jahr 2022 entsprach die Verbrennung des von europäischen TSOs transportierten Gases etwa 800 Millionen Tonnen Kohlendioxid, rund 29 Prozent der gesamten Emissionen aus dem Verbrennen von Kohle, Öl und Gas in der EU.
Nur zwei der sechs Unternehmen – Snam und Gasunie – veröffentlichen überhaupt Schätzwerte ihrer transportierten Emissionen. Doch auch sie schließen diese Zahlen aus ihrer offiziellen Scope-3-Bilanz aus. Die anderen vier Betreiber schweigen ganz. Für manche Jahre und Unternehmen fehlen Daten vollständig; das IEEFA musste teilweise mit Schätzungen arbeiten.
Die Industrielobby Gas Infrastructure Europe (GIE) veröffentlichte im August 2025 ein Positionspapier, das den Status quo verteidigt. Die Argumente: TSOs besäßen das Gas nicht, verkauften es nicht und hätten keinen Einfluss auf das Verbraucherverhalten. Zudem würde eine Meldepflicht ihre Klimaziele untergraben und Investoren abschrecken.
Das IEEFA widerspricht: "Sie sind nicht nur neutrale Transporteure von Gas von Dritten, sondern mächtige Unternehmensakteure, die die europäische Energiepolitik aktiv mitgestalten", sagte Flora.
Die TSOs betrieben intensive Lobbyarbeit und prägten die Zukunft der Gasinfrastruktur – etwa durch Investitionen in Wasserstoff- und CO2-Netze. Es sei daher logisch, dass sie auch die Emissionen aus der heutigen Gasnutzung vollständig offenlegen.
Ein Vergleich mit anderen Branchen zeigt: Der Londoner Flughafen Heathrow meldet in seinem Scope 3 nicht nur Emissionen am Boden, sondern auch die Reiseflug-Emissionen aller abfliegenden Maschinen – obwohl er weder die Flugzeuge noch das Kerosin besitzt.
Der französische Infrastrukturbetreiber VINCI berichtet freiwillig die Emissionen des Autobahnverkehrs, obwohl er die Fahrzeuge nicht kontrolliert. Gas-TSOs hingegen berufen sich auf eine technische Lücke, um ihre größte Emissionsquelle auszublenden.
Das IEEFA fordert klare Schritte: TSOs sollen transportierte Emissionen künftig als Scope-3-Kategorie-11-Emissionen melden und die von CDP empfohlene "Durchsatz-Methode" nutzen.
Standardsetzer – allen voran das Greenhouse Gas Protocol – sollten zudem eindeutige sektor-spezifische Leitlinien veröffentlichen. Regulatoren müssten die Einhaltung der Scope-3-Pflichten durchsetzen. Investoren und Finanzinstitute sollten aktiv Transparenz einfordern und die Daten in ihre Risikoanalysen einbeziehen.
"Die Meldung dieser Emissionen würde den Übergangsplänen, Finanzierungsrahmen und Geschäftsstrategien der Gasleitungsunternehmen erhebliche Glaubwürdigkeit verleihen", so Flora.
Nur so könnten Stakeholder objektiv nachvollziehen, ob die TSOs tatsächlich auf dem Weg zu klimaneutralen Netzen sind – oder ob sie weiterhin fossile Emissionen ermöglichen, während sie sich als Partner der Energiewende inszenieren.
URL dieses Artikels:https://www.heise.de/-11125479
Links in diesem Artikel:[1] https://www.heise.de/tp/article/EU-knickt-bei-Nachhaltigkeitsregeln-ein-10294823.html[2] https://www.heise.de/tp/article/Gruene-Geldanlagen-Wie-nachhaltig-sind-sie-wirklich-9579664.html[3] https://www.heise.de/tp/article/Deutschland-steuert-ploetzlich-auf-71-neue-Gaskraftwerke-zu-10635067.html[4] https://www.heise.de/tp/article/Benoetigt-Deutschland-neue-Gasspeicher-10704607.html[5] https://ieefa.org/sites/default/files/2025-12/IEEFA_Pipelines%20of%20uncertainty_December%202025.pdf[6] https://www.heise.de/tp/article/LNG-Warum-zu-viel-US-Gas-ein-Risiko-fuer-Europa-ist-11088240.html[7] https://www.heise.de/tp/article/Gruene-Geldanlagen-Der-Oeko-Boom-ist-vorbei-10487456.html[8] https://ieefa.org/articles/european-gas-pipeline-companies-report-less-1-their-emissions[9] https://www.heise.de/tp/article/Gruener-Wasserstoff-Technologie-Kosten-und-Zukunft-11108597.html
Copyright © 2025 Heise Medien
Rüdiger Suchsland
Bild (Mai 2014): Európai Bizottság/Dudás Szabolcs. Lizenz: CC BY 2.0 Deed
Gespräch mit dem Habermas-Biografen Philipp Felsch über die Couchecke von Starnberg, die alte Bundesrepublik und das Ende der Vernunft.
In seiner Biografie des Philosophen Jürgen Habermas – "Der Philosoph. Habermas und wir [1]" – skizziert Philipp Felsch [2] das intellektuelle Gesicht einer Epoche, nämlich der Bundesrepublik zwischen 1949 und 2023, und zeichnet den Denkweg des 1929 geborenen Habermas nach, des bedeutendsten lebenden deutschen Philosophen und "Hegel der Bundesrepublik".
Vor allem geht es um Habermas als "Public Intellectual" von den 1970er-Jahren bis zur Gegenwart, mit Habermas' neuesten Wortmeldungen zum Ukraine-Krieg, und um die Frage, was von Habermas' Werk einmal bleiben wird. Insbesondere mit Blick auf seine Wirkung außerhalb Europas, für die Bürgerrechtsbewegungen und für die Linke.
Felsch spürt einem kaum zu überblickenden Oeuvre nach, folgt dessen Autor in die intellektuelle Kampfzone der Bundesrepublik und fragt, ob die Ideen dieses Stichwortgebers in der Krise der deutschen Zeitenwende neue Relevanz bekommen?
Nun wurde das Buch des Kulturwissenschaftlers Felsch ins Englische übersetzt ("The Philosopher: Habermas and Us") und erzielt einige Aufmerksamkeit. In der aktuellen Wochenendausgabe der Financial Times [3] wird der deutsche Denker auf der Titelseite als "Germany‘s Rockstar philosopher" (Deutschlands Rockstar-Philosoph) vorgestellt.
In der Besprechung des Buches wird Habermas als "Turm in der Geistesgeschichte von Nachkriegsdeutschland" dargestellt. Bis heute sei der Philosoph und Sozialtheoretiker "eine führende Stimme in den ganz großen und wichtigen Debatten in Deutschland".
Grund genug für uns, ein Gespräch mit dem Autor der Biografie, Philipp Felsch [4], zu veröffentlichen.
▶ Herr Felsch, wie kamen Sie zu diesem Projekt, wie begann Ihre persönliche Beziehung zu Habermas?
Philipp Felsch: Das hat mit einem Besuch bei Habermas in seinem Privathaus in Starnberg angefangen. Das war für mich, der ich von meiner ganzen intellektuellen Bildungsgeschichte her eigentlich nie ein Habermasianer gewesen bin, eine sehr überraschende Begegnung. Ich hatte mich dort angekündigt – weil ich zur frühen Suhrkamp-Kultur recherchierte –, und Habermas lud mich ein.
Ich klingelte, Habermas öffnete persönlich die Tür zu seinem Mid-Century-Gebäude, mit khakifarbenen Hosen und Reebok-Laufschuhen, nicht wie ein deutscher Emeritus, sondern eigentlich wie ein amerikanischer Ostküsten-Intellektueller; mit seiner gradlinigen Ansprache, der schnörkellosen Art, der immer noch starken Beweglichkeit ... Das war der erste Eindruck – der "Hegel der Bundesrepublik" ist eigentlich ein Amerikaner.
Dann kommt ein zweiter hinzu, der auch wichtig ist, auch für den Entschluss, dann dieses Buch zu schreiben: Wir gingen in die Couchecke des Wohnzimmers. Habermas hat sich dort oft fotografieren lassen.
Die Habermas-Couchecke ist sozusagen das ikonographische Epizentrum und als solches schon mal ein Erinnerungsort der bundesrepublikanischen Ideengeschichte, denn Habermas ist in dieser Couchecke auch der Kommunikation und dem Dialog nachgegangen.
Dann kam seine (im Juni 2025 verstorbene, Anm. d. A.) Frau Ute Habermas hinzu, wir aßen Marmorkuchen und tranken Kaffee und ich fühlte mich plötzlich wie in einem kleinen Déjà-vu ins Wohnzimmer meiner Großeltern zurückversetzt. Hierzu muss man wissen, dass meine Großeltern auch in Gummersbach, sogar in derselben Straße, gewohnt haben.
▶ Gummersbach ist auch der Ort, aus dem Habermas herstammt...
Philipp Felsch: Genau. 1929 geboren ist er genau zehn Jahre älter als mein Vater. Diese Erinnerung und der leichte oberbergische Akzent trug dazu bei, das neben diesem Bild des kosmopolitischen Ostküsten-Amerikaners auch das Bild meiner kleinen bürgerlich provinziell Großeltern trat, obwohl deren groß Wohnzimmer ganz anders aussah als das von Habermas, das im Stil der klassischen Moderne eingerichtet ist.
Der Eindruck hat mich gefesselt: das Kosmopolitische und das Provinzielle, das Universalistische und das Partikulare.
▶ Das ist auch etwas sehr typisch westdeutsches, und Habermas ist sicher ein Philosoph, dessen Werk und Lebensgeschichte man nicht trennen kann von der Geschichte der Bundesrepublik – auch diese Hinwendung zu den USA und dieses positive Amerika-Bild, das Sie beschreiben, ist ja durchaus typisch für seine Generation, die westdeutsche Nachkriegsgeneration. Habermas ist eindeutig ein Repräsentant derjenigen jungen Deutschen, die nach 1945 durch die die Zeit der Reeducation geprägt wurden.
Mein Bildungserlebnis ist mit Habermas verbunden: der Historiker-Streit und die Studentenstreiks um 1990 mit selbstorganisierten Seminaren. Man lernte dort das Kommunikative Handeln und die Unausweichlichkeit des Konsenses am praktischen Objekt. Er war immer da, er hat sich immer geäußert und seit dieser Zeit ist er eigentlich der wichtigste deutsche Intellektuelle mit seinen öffentlichen Äußerungen.
Philipp Felsch: Als der Historikerstreit sich 1986 abgespielte, war ich 13 – ich erinnere mich an Tschernobyl im Frühling, da durften wir danach nicht mehr draußen spielen. Danach war die Fußball-Weltmeisterschaft in Mexiko. Und ich glaube, zehn Tage nach dem von der deutschen Fußballnationalmannschaft verlorenen Endspiel gegen Argentinien publizierte Habermas diesen wirklich epochalen Artikel, der den Historiker-Streit auslöste.
In den frühen 1990er-Jahren war Habermas dann für mich erst einmal immer der Gegner: Ich bin intellektuell groß geworden zwischen Michel Foucault und Niklas Luhmann, zwei Theoretikern, mit denen Habermas jeweils große Kontroversen ausgefochten hat. Insofern kam man auch von deren Werk und deren Zugang zu Gesellschaft, Geschichte, Sprache und Kommunikation immer schnell auf Habermas. Aber nur als jemand, den man herbeizitiert, um die Theoretiker, die man interessant fand, von ihm abzugrenzen. Insofern war er immer da – aber als Antipode.
Kurz vor meinem Besuch hatte Habermas sich nach längerem Schweigen sehr lautstark in der Öffentlichkeit zu Wort gemeldet, zum Ukraine-Krieg und hatte scharfe Kritik geerntet für das, was viele als "Appeasement" bezeichneten. Also für das Insistieren darauf, hier ganz vorsichtig vorzugehen und sich nicht etwa von Kriegsbegeisterung hinreißen zu lassen und die Ukraine etwa bedingungslos zu unterstützen.
Auch diese Haltung war für mich ein Sinnbild der alten Bundesrepublik. Und ich hatte für mich selbst auch das Bedürfnis, mir einmal darüber klar zu werden, woran es eigentlich liegt, dass Habermas die alte Bundesrepublik idealtypisch zu verkörpern scheint – eben als "Hegel der Bundesrepublik". Dem wollte ich auch für mich selbst nachgehen.
▶ Sie bestätigen diese These ja auch in Ihrem Buch, dass Habermas für die alte Bundesrepublik steht. Vielleicht können Sie kurz beschreiben, was diese alte Bundesrepublik ist, und was sie unterscheidet von der neuen, gegenwärtigen Berliner Republik.
Philipp Felsch: Historisch ist die alte Bundesrepublik erstmal der deutsche Teilstaat, der nach der Niederlage im Zweiten Weltkrieg gegründet worden ist, der sicherlich eine ganz eigene Kultur ausgebildet hat: die Bonner Republik, die wir mit vielen Attributen belegen können, die dann gut zu Habermas passen. Zivil und postheroisch.
Es gab ja eine Symbolik, die ganz bewusst auf Repräsentativität verzichtete: eine Ästhetik die ganz bewusst den Pomp der alten Staatsästhetik unterlaufen hat.
Die grün-braunen Uniformen der Polizei waren das Gegenteil von den schnittigen von Hugo Boss geschneiderten SS-Uniformen.
Für Habermas waren das letztendlich Tugenden dieses Landes: Kein Manko, sondern Garantien dafür, dass diese Bundesrepublik zumindest in den späten 1980er-Jahren, als die großen Kämpfe zwischen seinem eigenen linksliberalen Lager und dem konservativen Lager gekämpft waren – die letzte große Auseinandersetzung dieser Art war der Historikerstreit – da hatte Habermas glaube ich ein paar Jahre lang das Gefühl, dass diese postnationale politische Kultur und universalistische Identität – er hat damals den Begriff des "Verfassungspatriotismus" wieder aufgegriffen – in der Breite angekommen war.
Das lag eben zum Teil auch daran, dass wir jetzt keine Hauptstadt hatten, die durch monumentale, betont repräsentative Architektur geprägt ist. Natürlich hat Habermas sich dann Anfang der 1990er-Jahre auch massiv gegen den Umzug der Hauptstadt nach Berlin ausgesprochen.
Das sind so einige Charakteristika der alten Bundesrepublik.
▶ Am Ende des Buches sprechen Sie beide wieder in der Couchecke – vermutlich im Herbst 2023, weil von den Folgen des Ukraine-Kriegs die Rede ist, und auch von anderen Dingen, dem Verhältnis zu den USA zum Beispiel, von der Gefahr, dass Trump zurückkehren könnte.
Da spricht Habermas ganz offen über den Eindruck, dass ihm ein Großteil seines Lebenswerks ein bisschen zwischen den Händen zerrinnt, und davon, dass er fast resigniert, das Scheitern seiner ganzen Ideen zu sehen glaubt.
Das ist ein pessimistisches Fazit.
Philipp Felsch: Ja unbedingt, ich sehe das auch als ein pessimistisches Fazit.
▶ Glauben Sie aber, das wird Habermas gerecht? In seiner Bedeutung und Wirkung, die ja auch über die Bundesrepublik hinausgeht, als Philosoph wie als politischer Intellektueller?
Philipp Felsch: Das werden wir sehen, denke ich. Die internationale Rezeption ist ja höchst lebendig, Habermas ist innerhalb der Fachphilosophie sehr etabliert. Da hat er nach den universalistischen Prinzipien der kommunikativen Vernunft gesucht.
Wenn man das jetzt mal ausklammert und wir über Habermas als politischen Intellektuellen sprechen, dann müssen wir feststellen, dass er eigentlich jemand war, der sich exklusiv um Deutschland gekümmert hat und um deutsche Probleme. Er war ein Erzieher der Deutschen. Zugleich hat er natürlich ein besonderes Verhältnis zu den USA entwickelt – Stichwort: Westbindung.
Habermas ist auch ein Theoretiker der postheroischen Gesellschaft. Krieg ist für ihn eine überholte, atavistische Form des Politischen. Darum war für ihn die Reaktion großer Teile der deutschen Öffentlichkeit auf seine Statements zum Ukraine-Krieg so schockierend. Weil er hier einen Rückfall in heroische Formen des politischen Selbstverständnisses sieht, die er längst für überwunden hielt.
▶ Ich möchte in einem Punkt etwas widersprechen. Sie haben gesagt: "Erzieher der Deutschen". Das ist er ganz sicher. Ich glaube nur, dass auch in diesen politischen Texten vieles drin ist, was über die Kritik an den Deutschen hinausgeht.
Seine Texte zum Politischen bilden den teilweise utopischen, in jedem Fall aber idealisierten Entwurf einer bürgerlichen Gesellschaft, die für alle westlichen Gesellschaften gilt. Und Habermas bindet das ja ganz vielen Büchern auch zurück an die Philosophiegeschichte, also an sein eigentliches Fachgebiet.
Das, was er beschreibt als Neokonservatismus in der Bundesrepublik, das ist doch eine Kritik, die sich an das Publikum der ganzen Welt richtet. Mir scheint, dass hier zwischen den politischen Tagesschriften und seinen philosophischen Schriften eine enge Verbindung besteht.
Philipp Felsch: Ja, das stimmt. Obwohl ja Habermas seit den 1980er-Jahren mit einer erstaunlichen Vehemenz darauf gedrungen hat, diese beiden Rollen bei ihm zu unterscheiden.
Man hat tatsächlich bei der Lektüre fast das Gefühl, es mit zwei unterschiedlichen Autoren zu tun zu haben: Auf der einen Seite der Philosoph, der bedeutende philosophische Bücher schreibt und auf der anderen Seite der politische Intellektuelle, dessen gesammelte politische Interventionen ja inzwischen auch zwölf Bände umfassen.
Die philosophischen Fachtexte sind geradezu willentlich trocken und spröde. Das ist schlimmstes Wissenschaftsdeutsch, könnte man sagen. Dagegen zeichnen sich seine philosophisch-politischen Texte durch ausgeprägte rhetorische Brillanz aus. Habermas findet oft kräftige Bilder.
Als Gegner von Habermas musste man zittern, dass er einem ein Attribut anheftet, das man nie wieder los wird: "Die Nato-Historiker..." Er hat ja auch angefangen als Kritiker, er hat in der Frankfurter Allgemeinen Zeitung viele Kritiken geschrieben und die sind zunächst unüberhörbar vom Heidegger-Sound geprägt.
Die Nachkriegsgesellschaft wird abgelehnt und Habermas guckt von sehr weit draußen auf die Gesellschaft des Wirtschaftswunders und der Remilitarisierung.
Dann geht er ans Institut für Sozialforschung in Frankfurt. Adorno wird auf ihn aufmerksam, weil er nämlich ebenfalls in der FAZ eine vehemente Kritik an Heidegger äußert.
Wo bleibt das universalistische Erbe?
▶ In der englischen Übersetzung liest sich Heidegger wie ein Pragmatist – es klingt nicht so Blut- und Bodenartig, so faschistisch, wie Heidegger schon sprachlich auf Deutsche wirkt. Mit sicherem Instunkt hat Habermas Heidegger lange vor der Publikation der berüchtigten "Schwarzen Hefte" als Faschist entlarvt.
Und dem was man mal als die Postmoderne zusammenfassen kann, setzt Habermas einen emphatischen Begriff der Moderne entgegen. Der ist bis heute sehr anschlussfähig für die Diskurse des Politischen und Praktisch-Philosophischen in vielen Ländern. Zum Beispiel ist recht bekannt, dass Habermas in der 1990er-Jahren nach China gereist ist und dort eine Vorlesungsreihe hatte. Seitdem gibt es auch chinesische Habermasianer.
Das ist nur als Beispiel für die globale und weltweite Wirkung dieses Philosophen und seiner Philosophie. Können Sie andere Beispiele nennen für seine Wirkung in dem Teil der Welt, den wir heute den "Globalen Süden" nennen? Warum müsste man den lesen, zum Beispiel in Afrika, in Lateinamerika oder in Südostasien?
Philipp Felsch: Ich muss gestehen, dass ich mit der Wirkungsgeschichte von Habermas im außereuropäischen Teil der Welt nicht sehr gut vertraut bin. Gerade weil sie eben sehr groß ist. Habermas ist natürlich nicht der Vertreter der postkolonialen Theorie. Das sind seine französischen Widersacher, die da eine ganz andere Rezeptionsgeschichte haben.
Habermas ist natürlich ein Universalist – wobei das Etikett vom "Hegel der Bundesrepublik" auch in der Hinsicht stimmt, dass er sich immer auch dafür interessiert hat wie diese universalistische Vernunft, der er in seinem Gesamtwerk nachspürt, in immer neuen Anläufen, und die aus dieser folgenden abstrakten Normen und Gesetzmäßigkeiten sich in historischen Formen des Praktischen und der Institutionen, der Sittlichkeit wie es Hegel nennt, verkörpern und auch verkörpern müssen.
Das macht ihn zu einem Philosophen, der ganz stark seiner Gegenwart verhaftet ist. Weil er sich nämlich dafür interessiert, wie sich abstrakte Namen verwirklichen lassen können.
Die postkoloniale Theorie und die überall aufbrandenden Identitätskämpfe und der Partikularismus tauchen natürlich gerade in dem Augenblick auf, in dem der Westen abgewirtschaftet hat.
Trotz alldem müssen wir uns die Frage stellen: Wo bleibt dieses universalistische Erbe? Müssen wir so etwas wie den universalistischen Anspruch der Vernunft aufgeben? Verfallen wir in einen ungebremsten Kultur-Relativismus? Da ist Habermas natürlich auch eine wichtige Referenz.
▶ Eine unverzichtbare geradezu, weil Habermas ja zu den Denkern gehört, die an der Einheit der Welt jenseits der partikularen Identitäten, der Religionen, der Mächtigen, jenseits von Nord und Süd festhalten. Herzlichen Dank für dieses Gespräch.
Literatur:
Philipp Felsch: "Der Philosoph. Habermas und wir [5]"
URL dieses Artikels:https://www.heise.de/-11125367
Links in diesem Artikel:[1] https://www.ullstein.de/werke/der-philosoph/hardcover/9783549100707[2] https://www.culture.hu-berlin.de/de/institut/kollegium/1684940[3] https://www.ft.com/content/9f89f333-294a-459f-80fa-686576fb1c4f[4] https://www.culture.hu-berlin.de/de/institut/kollegium/1684940[5] https://www.ullstein.de/werke/der-philosoph/hardcover/9783549100707
Copyright © 2025 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Sicherheitsforscher haben diverse sicherheitsrelevante Fehler in GnuPG und ähnlichen Programmen gefunden. Viele der Lücken sind (noch) nicht behoben.
Auf dem 39. Chaos Communication Congress haben die Sicherheitsforscher Lexi Groves, aka 49016, und Liam Wachter eine ganze Reihe von Sicherheitslücken in verschiedenen Werkzeugen zur Verschlüsselung und zur Signierung von Daten demonstriert. Insgesamt 14 Lücken in vier verschiedenen Programmen fanden die Forscher. Alle entdeckten Probleme sind Implementierungsfehler, betreffen also nicht die grundsätzliche Sicherheit der genutzten Verfahren, sondern die konkrete – und eben fehlerhafte – Umsetzung im jeweiligen Werkzeug.
Im Fokus des Vortrags stand die populäre PGP-Implementierung GnuPG [1], deren Code eigentlich als gut abgehangen gilt. Dennoch fanden die Sicherheitsforscher zahlreiche unterschiedliche Lücken, einschließlich typischer Fehler beim Verarbeiten von C-Strings durch eingeschleuste Null-Bytes. Dadurch ließen sich unter anderem Signaturen fälschlich als gültig anzeigen oder man konnte signierten Daten Texte voranstellen, die von der Signatur weder erfasst noch als Modifikation entlarvt werden.
Die in GnuPG gefundenen Probleme decken ein breites Ursachenspektrum ab: Angreifer könnten eindeutig fehlerhaften Code ausnutzen, irreführenden Output provozieren, der Nutzer zu fatalem Verhalten verleitet. Ferner konnten sie ANSI-Sequenzen einschleusen, die zwar von GnuPG korrekt verarbeitet werden, im Terminal des Opfers aber zu quasi beliebigen Ausgaben führen. Letzteres kann man ausnutzen, um Nutzern bösartige Anweisungen zu erteilen, die nur scheinbar von GnuPG stammen, oder legitime Sicherheitsabfragen von GnuPG mit harmlosen Rückfragen zu überschreiben, damit Nutzer unabsichtlich gefährliche Aktionen absegnen.
Einige der entdeckten Problemtypen fanden die Sicherheitsforscher auch in anderen Werkzeugen, wie der neueren PGP-Implementierung Sequoia-PGP [2] oder dem Signatur-Werkzeug Minisign [3]. Im Verschlüsselungswerkzeug age [4] entdeckten sie eine Möglichkeit, über das Plug-in-System beliebige, auf dem Rechner des Opfers vorhandene Programme auszuführen. Einen umfassenden Überblick über alle gefundenen Probleme liefern die Forscher auf der Website gpg.fail [5].
Einige der gefundenen Lücken sind in den aktuellen Versionen der betroffenen Programme behoben, bei vielen ist das jedoch nicht der Fall. Teilweise, weil Patches zwar übernommen wurden, aber noch keine neue Version mit ihnen veröffentlicht wurde, teilweise aber auch, weil die Programmautoren kein zu korrigierendes Problem in ihrem Werkzeug sehen.
Besonders positiv hoben die Forscher die Reaktion auf die Lücke in age hervor: Nicht nur sei der Fehler in den verschiedenen age-Implementierungen gefixt, sondern auch die Spezifikation so aktualisiert worden, dass das Problem vermieden werden muss. Direkt auf dem Hackerkongress legte age-Entwickler Filippo Valsorda sogar noch nach: Er befand sich im Publikum des Vortrags und nutzte die obligatorische Fragerunde am Ende, um sich bei den Forschern für ihre Arbeit zu bedanken, sowie ihnen eine improvisierte Bug Bounty in Form von Bargeld und Schokoriegeln zu überreichen.
Zu den gefundenen Fehlern geben die Forscher auf ihrer Website [6] auch Ratschläge, wie sie sich vermeiden lassen – sowohl aus Entwickler- als auch aus Anwendersicht. Allgemein sollten Nutzer auch harmlos wirkende Fehlermeldungen als gravierende Warnung wahrnehmen und Klartext-Signaturen (cleartext signatures) meiden – wie es auch die GnuPG-Manpage empfiehlt. Die Forscher regen außerdem an, die Anwendung von Kryptografiewerkzeugen auf der Kommandozeile insgesamt zu überdenken: Durch die erwähnten ANSI-Sequenzen können Nutzer in die Irre geführt werden, selbst wenn alle Werkzeuge fehlerfrei arbeiten.
URL dieses Artikels:
https://www.heise.de/-11125308
Links in diesem Artikel:
[1] https://gnupg.org/
[2] https://sequoia-pgp.org/
[3] https://jedisct1.github.io/minisign/
[4] https://github.com/FiloSottile/age
[5] https://gpg.fail/
[6] https://gpg.fail/
[7] https://www.heise.de/ct
[8] mailto:syt@ct.de
Copyright © 2025 Heise Medien
Sicherheitsforscher haben diverse sicherheitsrelevante Fehler in GnuPG und ähnlichen Programmen gefunden. Viele der Lücken sind (noch) nicht behoben.
Auf dem 39. Chaos Communication Congress haben die Sicherheitsforscher Lexi Groves, aka 49016, und Liam Wachter eine ganze Reihe von Sicherheitslücken in verschiedenen Werkzeugen zur Verschlüsselung und zur Signierung von Daten demonstriert. Insgesamt 14 Lücken in vier verschiedenen Programmen fanden die Forscher. Alle entdeckten Probleme sind Implementierungsfehler, betreffen also nicht die grundsätzliche Sicherheit der genutzten Verfahren, sondern die konkrete – und eben fehlerhafte – Umsetzung im jeweiligen Werkzeug.
Im Fokus des Vortrags stand die populäre PGP-Implementierung GnuPG [1], deren Code eigentlich als gut abgehangen gilt. Dennoch fanden die Sicherheitsforscher zahlreiche unterschiedliche Lücken, einschließlich typischer Fehler beim Verarbeiten von C-Strings durch eingeschleuste Null-Bytes. Dadurch ließen sich unter anderem Signaturen fälschlich als gültig anzeigen oder man konnte signierten Daten Texte voranstellen, die von der Signatur weder erfasst noch als Modifikation entlarvt werden.
Die in GnuPG gefundenen Probleme decken ein breites Ursachenspektrum ab: Angreifer könnten eindeutig fehlerhaften Code ausnutzen, irreführenden Output provozieren, der Nutzer zu fatalem Verhalten verleitet. Ferner konnten sie ANSI-Sequenzen einschleusen, die zwar von GnuPG korrekt verarbeitet werden, im Terminal des Opfers aber zu quasi beliebigen Ausgaben führen. Letzteres kann man ausnutzen, um Nutzern bösartige Anweisungen zu erteilen, die nur scheinbar von GnuPG stammen, oder legitime Sicherheitsabfragen von GnuPG mit harmlosen Rückfragen zu überschreiben, damit Nutzer unabsichtlich gefährliche Aktionen absegnen.
Einige der entdeckten Problemtypen fanden die Sicherheitsforscher auch in anderen Werkzeugen, wie der neueren PGP-Implementierung Sequoia-PGP [2] oder dem Signatur-Werkzeug Minisign [3]. Im Verschlüsselungswerkzeug age [4] entdeckten sie eine Möglichkeit, über das Plug-in-System beliebige, auf dem Rechner des Opfers vorhandene Programme auszuführen. Einen umfassenden Überblick über alle gefundenen Probleme liefern die Forscher auf der Website gpg.fail [5].
Einige der gefundenen Lücken sind in den aktuellen Versionen der betroffenen Programme behoben, bei vielen ist das jedoch nicht der Fall. Teilweise, weil Patches zwar übernommen wurden, aber noch keine neue Version mit ihnen veröffentlicht wurde, teilweise aber auch, weil die Programmautoren kein zu korrigierendes Problem in ihrem Werkzeug sehen.
Besonders positiv hoben die Forscher die Reaktion auf die Lücke in age hervor: Nicht nur sei der Fehler in den verschiedenen age-Implementierungen gefixt, sondern auch die Spezifikation so aktualisiert worden, dass das Problem vermieden werden muss. Direkt auf dem Hackerkongress legte age-Entwickler Filippo Valsorda sogar noch nach: Er befand sich im Publikum des Vortrags und nutzte die obligatorische Fragerunde am Ende, um sich bei den Forschern für ihre Arbeit zu bedanken, sowie ihnen eine improvisierte Bug Bounty in Form von Bargeld und Schokoriegeln zu überreichen.
Zu den gefundenen Fehlern geben die Forscher auf ihrer Website [6] auch Ratschläge, wie sie sich vermeiden lassen – sowohl aus Entwickler- als auch aus Anwendersicht. Allgemein sollten Nutzer auch harmlos wirkende Fehlermeldungen als gravierende Warnung wahrnehmen und Klartext-Signaturen (cleartext signatures) meiden – wie es auch die GnuPG-Manpage empfiehlt. Die Forscher regen außerdem an, die Anwendung von Kryptografiewerkzeugen auf der Kommandozeile insgesamt zu überdenken: Durch die erwähnten ANSI-Sequenzen können Nutzer in die Irre geführt werden, selbst wenn alle Werkzeuge fehlerfrei arbeiten.
URL dieses Artikels:
https://www.heise.de/-11125308
Links in diesem Artikel:
[1] https://gnupg.org/
[2] https://sequoia-pgp.org/
[3] https://jedisct1.github.io/minisign/
[4] https://github.com/FiloSottile/age
[5] https://gpg.fail/
[6] https://gpg.fail/
[7] https://www.heise.de/ct
[8] mailto:syt@ct.de
Copyright © 2025 Heise Medien
Marcel Kunzmann
Künstlerische Darstellung der Landung des Rover Rosalind Franklin
(Bild: Airbus/ESA)
Die ESA startet 2028 einen Rover zum Mars. Als erste Mission ihrer Art soll sie gezielt nach Lebensspuren bohren – bis zu zwei Meter tief unter Oberfläche.
Die Europäische Weltraumorganisation ESA wird im Rahmen des ExoMars-Programms [1] 2028 erstmals eine Mission starten, die explizit darauf ausgelegt ist, nach vergangenem oder gegenwärtigem Leben auf dem Mars zu suchen. Der Rosalind Franklin Rover [2] soll dabei als erstes Fahrzeug überhaupt bis zu zwei Meter tief in den Marsboden bohren können.
"Die Bohrtiefe von zwei Metern wurde basierend auf wissenschaftlichen Zielen, technischer Machbarkeit und Missionsbeschränkungen gewählt", erklärte [3] Harry Marsh von der Universität Aberystwyth gegenüber dem Magazin The Debrief.
Diese Tiefe reiche aus, um unberührtes Material zu erreichen, das vor Oberflächenstrahlung und Oxidation geschützt sei – wesentlich für den Nachweis konservierter organischer Moleküle. Die ESA-Operateure auf der Erde werden den Rover ferngesteuert über den Roten Planeten navigieren, um Beweise für organische Verbindungen und Biomarker zu sammeln, die im Untergrund verborgen sein könnten.
In zwei Metern Tiefe könnte das Fahrzeug Proben bergen, die bis zu vier Milliarden Jahre alt sind – aus einer Zeit, als der Mars ähnliche Bedingungen wie die frühe Erde aufwies.
"Die Marsoberfläche wurde vollständig durch ionisierende Strahlung, Oxidationsmittel und ultraviolettes Licht verändert, was organische Moleküle schnell zerstört", sagte Marsh. Das Material zwei Meter unter der sonnenverbrannten Oberfläche sei hingegen vor diesen zerstörerischen Kräften geschützt gewesen.
Eine Bohrung über zwei Meter hinaus würde größere, schwerere und energieintensivere Ausrüstung erfordern, was für einen mobilen Rover unpraktisch wäre, fügte Marsh hinzu.
Forscher der Universität Aberystwyth haben mit dem Enfys-Infrarotspektrometer eine zentrale Komponente der Mission entwickelt. Das Gerät wird nun nach Italien verschickt, um in einer simulierten Mars-Umgebung getestet zu werden.
Enfys arbeitet zusammen mit dem Kamerasystem PanCam und soll Daten für die Auswahl optimaler Bohrstandorte liefern.
"Dieser Meilenstein markiert einen stolzen Moment für die walisische Wissenschaft und stellt Aberystwyth ins Zentrum eines der fortschrittlichsten planetaren Erkundungsprojekte der Geschichte", erklärte Dr. Matt Gunn vom Fachbereich Physik der Universität Aberystwyth.
Die ESA hat Airbus mit dem Design und Bau der Landeplattform für den Rover beauftragt. Die Ingenieursteams von Airbus in Großbritannien werden die mechanischen, thermischen und Antriebssysteme der Plattform für eine sichere Landung auf dem Roten Planeten entwickeln.
Die Landung auf dem Mars gilt als eine der kritischsten Herausforderungen der Mission. Vom Eintritt in die Atmosphäre bis zur Landung wird der Abstieg des Raumfahrzeugs nur sechs Minuten dauern. Fallschirme und Bremsraketen sollen den Lander von 45 Metern pro Sekunde auf weniger als drei Meter pro Sekunde kurz vor dem Aufsetzen abbremsen.
Ursprünglich sollte die Mission 2022 starten, wurde aber aufgrund der russischen Invasion in der Ukraine verschoben. Durch außergewöhnliche Anstrengungen haben die ESA, ihre Mitgliedstaaten und die europäische Industrie die Mission mit neuen Partnerschaften umgestaltet.
"Den Rosalind Franklin Rover auf die Marsoberfläche zu bringen ist eine riesige internationale Herausforderung und der Höhepunkt von mehr als 20 Jahren Arbeit", sagte Kata Escott, Geschäftsführerin von Airbus Defence and Space UK.
Die Mission soll auch Schlüsseltechnologien demonstrieren, die Europa für künftige planetare Erkundungsmissionen beherrschen muss - einschließlich sicherer Landung auf einem Planeten, Bewegung auf der Oberfläche und autonomer Probenanalyse. Der Rover soll 2030 auf dem Mars landen, um eine Landung während der globalen Staubsturmsaison des Planeten zu vermeiden.
URL dieses Artikels:https://www.heise.de/-10771710
Links in diesem Artikel:[1] https://de.wikipedia.org/wiki/ExoMars[2] https://www.esa.int/Science_Exploration/Human_and_Robotic_Exploration/ExoMars_Rosalind_Franklin_rover_will_have_a_European_landing_platform[3] https://thedebrief.org/drilling-to-this-depth-is-unprecedented-on-mars-how-the-esas-new-robotic-rover-will-take-the-search-for-alien-life-to-new-depths/
Copyright © 2025 Heise Medien
Matthias Lindner
(Bild: Mishchenko Svitlana / Shutterstock.com)
Moskau setzt ein Zeichen: 500 Drohnen und 40 Raketen treffen Kiew - genau einen Tag vor dem entscheidenden Treffen in Florida.
Europa blickt dieser Tage einmal mehr nach Nordamerika. US-Präsident Donald Trump empfängt in Florida den ukrainischen Präsidenten Wolodymyr Selenskyj. Beide wollen über den Friedensplan [1] diskutieren, den die Ukrainer gemeinsam mit Vertretern aus EU-Staaten überarbeitet haben.
Vor diesem Treffen hat der Kreml erneut seine Muskeln spielen lassen. In der Nacht zum Samstag starteten die russischen Truppen einen der schwersten Luftangriffe auf die Ukraine. Nach Angaben ukrainischer Behörden waren rund 500 Drohnen [2] und etwa 40 Raketen beteiligt, darunter auch Kinzhal-Hyperschallwaffen [3].
Die Luftangriffe trafen nicht nur militärische Ziele, sondern auch Energieanlagen und Wohngebiete in der Hauptstadt Kiew. Mindestens ein Zivilist kam ums Leben, berichtet [4] Politico unter Berufung auf ukrainische Angaben. Mehr als 20 weitere wurden verletzt.
Besonders die Zivilbevölkerung leidet unter den Folgen dieser Angriffe. Bei Temperaturen um den Gefrierpunkt fielen in weiten Teilen Kiews Strom und Heizung aus.
Etwa ein Drittel der Hauptstadt blieb ohne Wärmeversorgung, erklärte [5] der ukrainische Außenminister Andrii Sybiha laut Reuters. Mehr als 600.000 Haushalte in Kiew und Umgebung waren zeitweise ohne Elektrizität.
Der staatliche Netzbetreiber Ukrenergo musste zeitweise die Stromversorgung abschalten, um einen Zusammenbruch des Netzes zu verhindern.
Das russische Verteidigungsministerium erklärte [6] laut Bloomberg, die Angriffe hätten vom ukrainischen Militär genutzte Energieinfrastruktur und andere Einrichtungen der Verteidigungsindustrie gegolten.
Während die Angriffe andauerten, machte sich Selenskyj auf den Weg in die USA. Zunächst traf er in Halifax, Kanada, den kanadischen Premierminister Mark Carney. Gemeinsam führten sie, so berichtet Reuters, ein Videogespräch mit europäischen Staats- und Regierungschefs.
Am Sonntag ist das Treffen mit Trump in dessen Club Mar-a-Lago in Palm Beach angesetzt.
Russische Vertreter führten "langwierige Gespräche, aber in Wirklichkeit sprechen Kinzhals und Shaheds für sie", schrieb Selenskyj auf X. Der ukrainische Präsident wertet die Angriffe als Moskaus Antwort auf die laufenden Friedensbemühungen.
Die nächtlichen Bombardements zeigten, warum starke Sicherheitsgarantien [7] die wichtigste Überlegung bei Friedensverhandlungen seien, so Selenskyj.
Im Zentrum der Gespräche steht ein überarbeiteter 20-Punkte-Friedensplan. Selenskyj bezeichnete ihn als zu 90 Prozent fertiggestellt.
Drei Themen bleiben besonders umstritten: rechtlich bindende Sicherheitsgarantien für die Ukraine, die territoriale Kontrolle über den Donbass [8] und die Zukunft des von Russland besetzten Kernkraftwerks Saporischschja [9].
Die USA haben nach Selenskyjs Angaben ein 15-jähriges Abkommen über Sicherheitsgarantien vorgeschlagen, das verlängert werden könne. Kiew fordert jedoch ein längerfristiges Abkommen mit stärkerer rechtlicher Bindung.
Bei der territorialen Frage prallen die Positionen aufeinander. Moskau verharrt auf seiner Forderung, dass sich die ukrainische Armee aus Teilen der Region Donezk zurückziehen müsse, die in dem fast vier Jahre währenden Krieg nicht besetzt werden konnten.
Die Ukraine will dagegen die Kämpfe entlang der aktuellen Frontlinien stoppen. Als Kompromiss wurde eine Freihandelszone vorgeschlagen, falls sich ukrainische Truppen aus Teilen der Oblast Donezks zurückziehen – die Details sind den Berichten zufolge jedoch noch offen.
Trump stellte klar, dass jedes Abkommen von seiner Zustimmung abhängt. "Er hat nichts, bis ich es genehmige", sagte der US-Präsident über Selenskyj.
Form, Dauer und Zeitpunkt der US-Sicherheitsgarantien liegen damit in Trumps Hand. Beide Seiten haben auch eine gemeinsame Vision für den Wiederaufbau der Ukraine [10] entwickelt, die mehrere Investmentfonds vorsieht.
Aus Moskau kommen gemischte Signale. Der stellvertretende russische Außenminister Sergej Rjabkow bezeichnete die jüngsten Pläne Kiews laut Bloomberg als "radikal anders" als das, was Moskau mit den USA diskutiert habe.
Gleichzeitig zeigte er sich optimistisch, dass die Suche nach einer Lösung einen "Wendepunkt" erreicht habe.
URL dieses Artikels:https://www.heise.de/-11125336
Links in diesem Artikel:[1] https://www.heise.de/tp/article/Lehren-aus-Budapest-Die-Ukraine-Frage-unter-Trump-10223068.html[2] https://www.heise.de/tp/article/Ukraine-Krieg-Wie-totale-Schlachtfeld-Transparenz-die-Militaerdoktrin-veraendert-11088268.html[3] https://www.heise.de/tp/article/Ukraine-Krieg-Russlands-Oreschnik-Die-neue-Rakete-der-Eskalation-10473016.html[4] https://www.politico.eu/article/russia-drone-barrage-kyiv-ukraine-putin-war-defense-poland-jet-scramble/[5] https://www.reuters.com/world/europe/russian-drones-missiles-pound-ukraine-before-zelenskiy-trump-meeting-2025-12-27/[6] https://www.bloomberg.com/news/articles/2025-12-27/kyiv-hit-by-russian-barrage-a-day-before-zelenskiy-trump-meeting[7] https://www.heise.de/tp/article/Lehren-aus-Budapest-Die-Ukraine-Frage-unter-Trump-10223068.html[8] https://www.heise.de/tp/article/Was-ist-das-Besondere-an-den-Bodenschaetzen-der-Ukraine-10311551.html[9] https://www.heise.de/tp/article/Zwischen-Abschaltung-und-GAU-Die-nukleare-Gratwanderung-der-Ukraine-11089260.html[10] https://www.heise.de/tp/article/Ukraine-Wer-soll-das-Land-nach-dem-Krieg-wieder-aufbauen-11103518.html
Copyright © 2025 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
(Bild: Anna Gundler / heise medien)
Ein Sicherheitsexperte zeigte auf dem 39C3, wie sich bei der E-Ärztepost KIM Nachrichten fälschen, Identitäten stehlen und sensible Metadaten abgreifen lassen.
Der IT-Sicherheitsforscher Christoph Saatjohann ist kein Unbekannter in der Welt der medizinischen IT. Seit 2019 beobachtet er die Einführung der Telematikinfrastruktur (TI) kritisch. Bereits in den vergangenen Jahren legte er den Finger in die Wunde eines Systems [1], das eigentlich den Austausch im deutschen Gesundheitswesen absichern soll. Unter dem Label "Kommunikation im Medizinwesen" (KIM), werden täglich Arztbriefe, elektronische Arbeitsunfähigkeitsbescheinigungen und Laborbefunde verschickt. Doch die Bilanz, die Saatjohann nun in Hamburg auf dem 39. Chaos Communication Congress (39C3 [2]) zog, ist entzaubernd: Das Versprechen einer schier lückenlosen Sicherheit ist auch nach Jahren voller Korrekturen noch nicht erfüllt.
Nicht alles ist schlecht. Saatjohann räumte ein, dass KIM in den Praxen mittlerweile gut angekommen sei und die Gematik bereits früher gemeldete Schwachstellen – wie etwa gravierende Fehler bei der Schlüsselverwaltung [3] – geschlossen habe. Doch kaum ist ein Loch gestopft, tun sich neue Abgründe auf. So berichtete der Professor für eingebettete und medizinische IT-Sicherheit an der FH Münster von einem "KIM of Death": Durch fehlerhaft formatierte E-Mails konnten Angreifer das Clientmodul – die Software-Schnittstelle beim Arzt – gezielt zum Absturz bringen.
In einem Fall musste Saatjohann in einer Praxis, in der er nebenberuflich an Wochenenden experimentieren darf, selbst Hand anlegen und ein Python-Skript schreiben, um die blockierenden Nachrichten manuell vom Server zu löschen. "Es war knapp, dass die Praxis am Montag wieder funktioniert hat", kommentierte er die Tragweite eines solchen Denial-of-Service-Angriffs. Ein solcher könnte theoretisch alle rund 200.000 KIM-Adressen gleichzeitig lahmlegen.
Als besonders perfide erwiesen sich Schwachstellen beim neuen KIM-Attachment-Service (KAS), der den Versand von Dateien bis zu 500 MB ermöglicht. Da das Clientmodul dabei Anhänge von externen Servern nachlädt, können Angreifer laut Saatjohann dem System eigene Server als Download-Quelle unterschieben. Das Ergebnis sei ein "IP-Mining" im großen Stil. Übeltäter könnten so ein präzises Lagebild einer kritischen Infrastruktur erhalten: einbezogen wären die IP-Adressen von Praxen, Apotheken und Krankenkassen, die den Anhang herunterladen wollen.
Schlimmer noch: Da T-Systems als Mailserver-Betreiber zeitweise das Feld für den Absender ("Mail-From") nicht validierte, ließen sich KIM-Nachrichten mit beliebigem Absender fingieren – etwa im Namen des Bundesministeriums für Gesundheit. Der Professor warnte: Da solche E-Post einen "besonderen Vertrauensvorschuss" genieße, wäre dies die perfekte Basis für hochwirksame Phishing-Kampagnen.
Auch die Identitätsprüfung innerhalb des Walled-Garden-Systems der TI stellte sich als löchrig heraus. Saatjohann demonstrierte, wie er sich problemlos eine KIM-Adresse unter falschem Namen erstellen konnte, da die Plausibilität der Adressen nicht geprüft wurde. Zudem war es ihm möglich, KIM-Nachrichten mit einem beliebigen TI-Schlüssel zu signieren, ohne dass das Empfängermodul Alarm schlug: die Prüfung zwischen Signatur und tatsächlichem Absender fehlte. Selbst das Mitlesen verschlüsselter Nachrichten war unter bestimmten Bedingungen möglich. Durch das Unterschieben eines eigenen POP3-Servers und die Ausnutzung einer mangelhaften Zertifikatsprüfung der Clientmodule konnten Nachrichten im Klartext an einen Angreifer weitergeleitet werden.
Aufzeichnung des Talks von 39C3 (Quelle: media.ccc.de)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagierte auf die Enthüllungen besorgt, bemühte sich aber um Schadensbegrenzung. Gegenüber NDR und Süddeutscher Zeitung erklärte die Behörde [5], die gefundenen Sicherheitslücken seien nur mit technischen Fachkenntnissen ausnutzbar. Ein unmittelbares Risiko für die Patienten sei unwahrscheinlich.
Dennoch bleibt die Kritik an der Sicherheitskultur im KIM-System bestehen. Während die Gematik auf Saatjohanns Meldungen schnell reagierte und Mitte November Hotfixes für die Clientmodule sowie schärfere Zertifikatsprüfungen auf den Weg brachte, reagierte T-Systems gegenüber dem Forscher nicht. Laut Saatjohann wurden die Schwachstellen dort zwar stillschweigend gefixt, eine transparente Kommunikation oder Dokumentation habe jedoch gefehlt.
Trotz der neuen Mängel zog Saatjohann ein differenziertes Fazit. Er hob hervor, dass die Architektur zwar an vielen Stellen "strukturell falsch" sei. Das liege auch an der Komplexität von über 130 verschiedenen Praxisverwaltungssystemen, die alle eigene Sicherheitsanforderungen erfüllen müssten. Das System KIM agiere aber grundsätzlich "auf recht hohem Niveau". Das Sicherheitsrisiko sei im Vergleich zum völlig unverschlüsselten Fax-Versand oder herkömmlichen E-Mails immer noch geringer. Er selbst würde sensible Daten eher über KIM verschicken als über die konventionellen Wege.
Der Wissenschaftler gab zugleich zu bedenken: "Eine Restunsicherheit bleibt." Die Gematik plane zwar über eine zur Konsultation freigegebene Vorabveröffentlichung [6] bereits weitere Schutzmaßnahmen wie eine zusätzliche Signatur in den Mail-Headern. Doch solange die Authentifizierung der Clientmodule nicht verpflichtend und die freie Wahl der Absendernamen möglich sei, bleibe KIM eine Lösung, deren Vertrauensanker auf tönernen Füßen stehe.
URL dieses Artikels:
https://www.heise.de/-11125264
Links in diesem Artikel:
[1] https://www.heise.de/news/rC3-Es-krankt-an-der-Sicherheit-im-Gesundheitswesen-5001060.html
[2] https://events.ccc.de/congress/2025/infos/startpage.html
[3] https://www.heise.de/news/37C3-Schluessel-fuer-E-Mail-Dienst-KIM-fuer-das-Medizinwesen-mehrfach-vergeben-9583275.html
[4] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[5] https://www.tagesschau.de/investigativ/ndr/ccc-sicherheitsluecken-arztpraxen-100.html
[6] https://gemspec.gematik.de/prereleases/Draft_KIM_1_5_5
[7] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[8] mailto:nie@heise.de
Copyright © 2025 Heise Medien
Regionalexpress im Bremer Hauptbahnhof.
(Bild: heise online / anw)
Gestohlene Kryptoschlüssel, Zahlungsbetrug in dreistelliger Millionenhöhe und wochenlange Untätigkeit wegen Urlaub: Zwei Sicherheitsforschende ziehen Bilanz.
Gute Nachrichten zuerst: Im Kampf gegen den massiven Betrug beim Deutschlandticket bewegt sich etwas. Wie die Sicherheitsforscher Q Misell und Maya „551724“ Boeckh in ihrem Vortrag „All my Deutschlandtickets gone“ auf dem 39. Chaos Communication Congress (39C3) berichteten, nutzen inzwischen diverse Verkehrsunternehmen eine zentrale Sperrliste für sogenannte UIC-Tickets des Deutschlandtarifverbund (DTVG). Dabei handelt es sich um elektronische oder ausgedruckte Zugtickets, bei denen die Fahrkartendaten in einem 2D-Barcode nach dem Standard des UIC (Union internationale des chemins de fer) kodiert werden, der sich im Vorfeld als besonders leicht zu fälschen erwiesen hatte. [1]
Die Deutsche Bahn führt derzeit 98 Prozent aller Abfragen dieser Sperrliste durch. Hinzu kommen laut den Vortragsfolien [2] die bConn GmbH, deren System die Magdeburger Verkehrsbetriebe, Autobus Oberbayern, das Busunternehmen Lehner und die Harzer Schmalspurbahnen nutzen. Über die AMCON GmbH sind Transdev, die Nahverkehrsgesellschaft Hochstift, Elbe-Weser, VGE ZOB, der Landkreis Würzburg sowie die Unternehmen Kalmer und Veelker angebunden. Auch INSA nutzt die Sperrliste für die PVGS Altmarkkreis Salzwedel. Zudem arbeite die Branche an einer zentralen Ausstellung von UIC-Deutschlandtickets, um künftige Sicherheitslücken zu schließen.
(Bild: Q Misell, Maya Boeckh)
Doch der Weg dorthin war lang – und der Vortrag dokumentiert ein erschreckendes Ausmaß an Versäumnissen. Er fasst viele der Betrugsfälle zusammen, welche die Sicherheitsforschenden Q Misell und Flüpke zusammen mit heise online Anfang des Jahres öffentlich gemacht hatten [3]. Es lohnt sich aber auch jeden Fall, die Aufzeichnung des Talks anzuschauen [4], weil Q und Maya die gesamte Geschichte sehr unterhaltsam aufgerollt haben.
Aufzeichnung des Talks vom 39C3 (Quelle: media.ccc.de)
Den größten Schaden verursacht der sogenannte Dreiecksbetrug: Kriminelle kaufen mit gestohlenen Bankdaten echte Tickets bei Verkehrsverbünden und verkaufen diese über Telegram-Kanäle weiter. Wie Q Misell im Februar aufdeckte [6], boten zahlreiche illegale Shops Deutschlandtickets für 5 bis 30 Euro an.
Das Grundproblem: Viele Verkehrsunternehmen stellen Tickets sofort aus, bevor die SEPA-Lastschrift vollständig verarbeitet ist. Eine Validierung der Kontodaten findet oft nicht statt. Der Gesamtschaden durch alle Betrugsarten belief sich auf bis zu 267 Millionen Euro allein für den Zeitraum Januar bis Oktober 2024. Insgesamt dürfte bis dato sogar bis zu einer halben Milliarde Euro an entgangenen Ticketeinnahmen aufgelaufen [7] sein.
Besonders dreist waren die Betreiber des illegalen Ticketshops d-ticket.su [8]. Dieser hatte monatelang Deutschlandtickets verkauft, die mit einem offenbar entwendeten kryptografischen Schlüssel der Vetter Verkehrsbetriebe signiert waren. Die Deutsche Bahn fand bei einer nachträglichen Prüfung rund 50.000 solcher Tickets in ihren Kontrollprotokollen – was einem Mindestschaden von 2,9 Millionen Euro entspricht. Die tatsächliche Summe dürfte deutlich höher liegen, da nicht alle Tickets bei der DB kontrolliert werden.
Wie der Schlüssel in falsche Hände geriet, ist bis heute ungeklärt. Die Forscher präsentierten mehrere mögliche Szenarien: von kryptografischen Schwächen des verwendeten DSA-1024-Verfahrens mit SHA-1 über klassischen Diebstahl bis zu schlichter Nachlässigkeit – etwa einem öffentlich zugänglichen Schlüssel. Besonders brisant: Der Technologiepartner mo.pla, ein Münchner Startup, hatte bei einer Firmenübernahme offenbar auch alte Schlüssel von Vetter übernommen. Ob diese dabei „verloren gingen“, bleibt Spekulation. Nachdem Vetter in der Vergangenheit engere Zusammenarbeit mit mo.pla bestritten hatte, hat Q Misell etwas gegraben und nachvollziehbare Verbindungen gefunden [9].
Besonders kritisch bewerteten Q und Maya in ihrem Talk die Sicherheitspraktiken des Technologiepartners mo.pla. Sie dokumentierten eine Schwachstelle im PayPal-Zahlungsprozess, die es ermöglichte, mit einem leeren PayPal-Konto Tickets zu erwerben. Der Fehler sei inzwischen behoben. Bezeichnend: Code von mo.pla-Entwicklern fand sich auf Stack Overflow – „typischer Startup-Code“, hieß es in dem Vortrag.
Zudem weigere sich mo.pla, am branchenweiten Sperrsystem teilzunehmen, und habe stattdessen ein eigenes Revokationssystem etabliert. Das bedeutet zusätzlichen Integrationsaufwand für alle Unternehmen, die mo.pla-Tickets kontrollieren wollen.
Obwohl die DTVG bereits im Dezember 2024 von dem Missbrauch durch d-ticket.su wusste, wurde der kompromittierte Schlüssel erst Anfang Februar 2025 gesperrt. Die Begründung war bezeichnend [10]: „Ein Sperren des Ticketschlüssels noch im Dezember 2024 wurde aufgrund von Urlaub und Krankheit des verantwortlichen Mitarbeiters nicht durchgeführt. Ein Back-up für diese Fälle existiert bei der DTVG aufgrund enger Personaldecke nicht.“
Auf Nachfrage von heise online hatte Vetter damals behauptet, man tausche Schlüssel inzwischen „regelmäßig“ aus. Die Forscher widerlegten dies im Vortrag: Ein aktuell gekauftes Vetter-Ticket werde weiterhin mit demselben Schlüssel signiert wie im März.
Erst nachdem das Ausmaß des Betrugs und die Untätigkeit der Verantwortlichen publik wurden [11], bewegte sich die Branche. Interne Protokolle hatten belegt, dass den Entscheidungsträgern die Probleme seit Anfang 2024 bekannt waren – konkrete Gegenmaßnahmen aber an Partikularinteressen und gescheiterten Abstimmungen scheiterten.
Im Mai 2025 einigten sich die Verkehrsunternehmen schließlich auf verbindliche Sicherheitsmaßnahmen [12]. Dazu gehören eine verpflichtende Bankkontoverifizierung, zentrale Sperrlisten, sichere Schlüsselverwaltung in Trustcentern und ab 2026 kopiergeschützte Handytickets. Seit Oktober 2025 sollten eigentlich nur noch Tickets gültig sein, welche die neuen Standards erfüllen. Dieses Ziel ist bisher nur in Teilen erreicht worden.
Immerhin ist die Finanzierung des Deutschlandtickets inzwischen bis 2030 gesichert [13]. Der Preis steigt allerdings zum Jahreswechsel auf 63 Euro [14]. Ob die nun beschlossenen Sicherheitsmaßnahmen den Betrug tatsächlich eindämmen können, wird sich zeigen. Die Forscher bedankten sich am Ende ihres Vortrags bei den Mitarbeitern der DTVG und der Deutschen Bahn, die bei der Aufklärung geholfen hatten – und machten deutlich, dass ohne externen Druck wohl wenig passiert wäre.
URL dieses Artikels:
https://www.heise.de/-11125194
Links in diesem Artikel:
[1] https://www.heise.de/news/Vorsicht-vor-ungueltigen-Deutschlandtickets-Schwarzfahrer-wider-Willen-10279694.html
[2] https://magicalcodewit.ch/39c3-slides
[3] https://www.heise.de/hintergrund/Bis-500-000-000-Euro-Schaden-Wie-die-Bahnbranche-das-Deutschlandticket-riskiert-10361820.html
[4] https://events.ccc.de/congress/2025/hub/de/event/detail/all-my-deutschlandtickets-gone-fraud-at-an-industrial-scale
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[6] https://www.heise.de/hintergrund/Illegale-Ticketshops-Weitere-Betrugsfaelle-bei-Deutschlandtickets-aufgedeckt-10295754.html
[7] https://www.heise.de/hintergrund/Bis-500-000-000-Euro-Schaden-Wie-die-Bahnbranche-das-Deutschlandticket-riskiert-10361820.html
[8] https://www.heise.de/hintergrund/Bis-500-000-000-Euro-Schaden-Wie-die-Bahnbranche-das-Deutschlandticket-riskiert-10361820.html
[9] https://magicalcodewit.ch/39c3-slides/#/43
[10] https://www.heise.de/hintergrund/Bis-500-000-000-Euro-Schaden-Wie-die-Bahnbranche-das-Deutschlandticket-riskiert-10361820.html
[11] https://www.heise.de/hintergrund/Bis-500-000-000-Euro-Schaden-Wie-die-Bahnbranche-das-Deutschlandticket-riskiert-10361820.html
[12] https://www.heise.de/news/Gegen-Betrug-Einigung-auf-Sicherheitsmassnahmen-beim-Deutschlandticket-erzielt-10375918.html
[13] https://www.heise.de/news/Deutschlandticket-Finanzierung-bis-2030-zugesagt-aber-ohne-Preisdeckel-11070805.html
[14] https://www.heise.de/news/Das-Deutschlandticket-wird-wieder-teurer-und-ab-2027-11125090.html
[15] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[16] mailto:vza@heise.de
Copyright © 2025 Heise Medien
(Bild: dpa, Peter Endig)
Hamburg ist kurz vor Jahresende wieder der Nabel der Hacker-Welt. Der Chaos Computer Club lädt zum 39. Chaos Communication Congress. Tausende werden erwartet.
Rund 16.000 Teilnehmer und Teilnehmerinnen werden zum 39. Jahreskongress des Chaos Computer Clubs in Hamburg erwartet. Unter dem Motto „Power Cycles“ stehen bis Dienstag beim Chaos Communication Congress im CCH (Congress Centrum Hamburg) eine Fülle von Vorträgen und Workshops [1] an. Auch heise online ist vor Ort und wird berichten.
„Die Community will in diesem Jahr ganz im Sinne des Mottos „Power Cycles [2]“ sinnieren, wie es nach der anhaltenden Selbstdemontage der Großmächte weitergeht und wo sie als Schockwellenreiter im Strudel zyklisch rotierender Weltordnungen stehen“, heißt es in der Einladung des Clubs.
Auf dem Programm finden sich insgesamt 165 Vorträge [3] – teils als nächtliche Veranstaltungen. Der Kongress soll nach Angaben der Veranstalter „in einer anregenden, aber für alle sicheren Umgebung zum Mitdenken und Mitmachen, Hacken und Basteln, Vernetzen und Visionen entwickeln einladen“.
Unter anderem soll es darum gehen, wie man „der allgegenwärtigen Resignation vor den aufdringlichen ‚KI‘-Overlords, die den Mächtigen mehr Werkzeuge in die Hand geben wollen, selbstdenkende Menschen aus kreativen Berufen zu verdrängen“, begegnen solle. Oder wie sich „lebenswerte digitale Zukünfte“ bauen lassen, „wo Menschen mehr Wertschätzung erfahren, die offene Software, Protokolle und Schnittstellen bauen und solidarische Ideen in Technologie umsetzen als aufmerksamkeitsoptimierte Influencer“.
URL dieses Artikels:
https://www.heise.de/-11125134
Links in diesem Artikel:
[1] https://fahrplan.events.ccc.de/congress/2025/fahrplan/
[2] https://events.ccc.de/congress/2025/infos/index.html
[3] https://www.heise.de/news/39C3-ist-aufgegleist-Der-Fahrplan-des-Chaos-Communication-Congress-ist-da-11099880.html
[4] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[5] mailto:mho@heise.de
Copyright © 2025 Heise Medien
(Bild: Jess Rodriguez/Shutterstock.com)
Bislang war nur Gmail-Nutzern das Ändern ihrer Mail-Adresse verwehrt. Das soll sich laut einer Supportseite von Google bald ändern.
Im Netz sind Hinweise aufgetaucht, dass nun bald auch Gmail-Nutzer die Mail-Adresse für ihren Google-Account ändern dürfen. Bislang konnten Anwender die Adresse nur wechseln, sofern es sich nicht um eine @gmail.com handelte. Auf einer indischen Supportseite kündigt Google jetzt jedoch an, dass sich das ändern soll.
Auf der Seite in Hindi [1] heißt es: „Wichtiger Hinweis: Die Funktion zum Ändern der E-Mail-Adresse eines Google-Kontos wird schrittweise für alle Nutzer eingeführt. Daher ist diese Option möglicherweise derzeit für Sie nicht verfügbar.“ (übersetzt mit DeepL). Eine Änderung von einer @gmail.com- ist nur in eine andere @gmail.com-Adresse möglich. Die alte Adresse bleibt als Alias bestehen und kann weiter Nachrichten empfangen sowie für das Login verwendet werden.
Auch bereits vorhandene Daten und Nachrichten bleiben erhalten. Eine Änderung ist einmal im Jahr möglich. Dass das Dokument derzeit nur in Indien erscheint, könnte darauf hindeuten, dass Google die Funktion dort vor einem weltweiten Start testen möchte.
URL dieses Artikels:
https://www.heise.de/-11125224
Links in diesem Artikel:
[1] https://support.google.com/accounts/answer/19870?dark=0&sjid=13129471057818824497-NA&hl=hi#zippy
[2] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[3] mailto:who@heise.de
Copyright © 2025 Heise Medien
FreshRSS