Anmelden
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Die damalige Bundesaußenministerin Annalena Baerbock bei einem Termin in Brüssel 2023.
(Bild: Alexandros Michailidis/Shutterstock.com)
Das Berliner Verwaltungsgericht verpflichtet das Außenministerium zum Offenlegen digitaler Dienstnachrichten. SMS sind als amtliche Informationen einzustufen.
Das Auswärtige Amt muss Kurznachrichten der früheren Bundesaußenministerin Annalena Baerbock offenlegen, mit denen die Grüne bei anderen Staaten um Zustimmung zu einer UN-Resolution warb. Das hat das Verwaltungsgericht Berlin nach einer Klage der Transparenzplattform „Frag den Staat“ entschieden (Az.: VG 2 K 3/24).
Das Gericht stellt in seiner Entscheidung [1] klar, dass dienstliche SMS als amtliche Informationen einzustufen sind, wenn sie eine objektive Aktenrelevanz besitzen.
Das Urteil markiert einen Meilenstein für das Aktenzugangsrecht in Deutschland: Erstmals verpflichteten die Richter eine Bundesbehörde zur direkten Herausgabe von Smartphone-Nachrichten nach dem Informationsfreiheitsgesetz (IFG) [2] des Bundes.
Das Auswärtige Amt hatte den Antrag von „Frag den Staat“ 2023 zunächst mit der Begründung abgelehnt, dass Mobilfunkdaten generell nicht „veraktungswürdig“ seien. Relevante Inhalte würden ohnehin in separaten Vermerken erfasst.
Die Berliner Richter widersprachen dem: Gerade dem genauen Wortlaut der Nachrichten komme im diplomatischen Kontext ein erheblicher Informationswert zu. Deshalb reiche eine Zusammenfassung in Nebenakten nicht aus.
Das Verwaltungsgericht gestand dem Außenministerium nur minimale redaktionelle Einschränkungen zu: Zum Schutz der internationalen Beziehungen dürfen die Namen der Adressaten aus Senegal, Äthiopien, Nigeria und Brasilien sowie die länderspezifisch angepassten Bezeichnungen für den russischen Angriffskrieg geschwärzt werden.
In der Verwaltungspraxis scheiterten Anträge auf Informationszugang bisher fast ausnahmslos daran, dass SMS gelöscht oder verschwiegen wurden, wie die Informationsfreiheitsbeauftragten von Bund und Ländern schon lange beklagen [3]. Ministerien und Behörden zogen sich gern darauf zurück, dass Kurznachrichten für die Dienstkommunikation ohnehin untersagt sei. Daher dürften solche Daten gar nicht vorhanden sein.
Im aktuellen Fall war das Bestreiten der Existenz aber unmöglich, da Medien bereits über die konkreten Nachrichten berichtet hatten. Das Auswärtige Amt musste im Verfahren schließlich einräumen, dass der SMS-Versand hier nach einer internen Risikoabwägung offiziell genehmigt worden sei.
Die amtliche Kommunikation via Messenger stellt generell keine Ausnahme mehr im politischen Alltag dar. Gerade auf den Leitungsebenen von Ministerien sind direkte digitale Absprachen verbreitet, die am klassischen System der Aktenführung vorbeigehen.
Da es an verbindlichen rechtlichen Vorgaben zur systematischen Erfassung und Archivierung digitaler Verläufe fehlt, fordern Transparenzinitiativen seit Jahren eine Reform. Denn solange Kurznachrichten informell bleiben, ist ihre Existenz für Außenstehende kaum belegbar.
Vorherige Klagen von „Frag den Staat“ etwa wegen WhatsApp-Protokollen von Ex-Verkehrsminister Andreas Scheuer, SMS-Verläufen von Angela Merkel [4] oder Nachrichten des einstigen Außenministers Heiko Maas zum Truppenabzug aus Afghanistan scheiterten regelmäßig daran [5], dass die Daten bereits gelöscht waren oder die Gerichte den behördlichen Verweisen auf restriktive interne Nutzungsverbote und einen inoffiziellen Kommunikationscharakter [6] folgten.
Dass eine Trendwende einsetzt, zeigte sich kürzlich im Verfahren um das Bundesbildungsministerium unter Bettina Stark-Watzinger und den von ihr genutzten Dienst Wire. Hier konnten die Aktivisten einen vorläufigen Löschstopp im Eilverfahren erwirken [7].
URL dieses Artikels:
https://www.heise.de/-11299744
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Drew hat schon als Kind entdeckt, wie leicht er anderen online Geld abzocken kann. Aber Diebe kennen keine Ehre, so wurde er selbst zum Opfer seiner Komplizen.
Dies ist der erste Teil von „Kids ohne Skrupel". Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Dirty Coms [1]“.
Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint wöchentlich auf allen gängigen Podcast-Plattformen und kann hier abonniert [2] werden.
JACK: Die ältere Generation gibt uns so viel Lebenserfahrung und Weisheit, ich wüsste nicht, wo wir ohne sie wären. Sie warnen uns vor den Gefahren der Welt und geben uns Einblicke, für die wir allein Jahrzehnte bräuchten.
Aber das Internet… hat noch keine ältere Generation.
Wir sind immer noch die erste Generation von Nutzerinnen und Nutzern. Es ist erst 30 Jahre her, dass AOL Millionen von Menschen zum ersten Mal online gebracht hat. Und oh, wie sich das Internet seitdem verändert hat…
Aber wenn es keine ältere Generation gibt, die der jüngeren Generation zeigen kann, wie man sich online sicher bewegt, werden viele Kinder das auf die harte Tour lernen müssen. Ich weiß noch, als ich ein Teenager war, habe ich so viel im Internet rumgespielt, dass ich mir, ungelogen, jede Woche einen neuen Virus auf unserem Familiencomputer eingefangen habe. Es war überhaupt niemand da, der mir zeigen konnte, warum das passiert ist oder wie man sowas repariert. Meine Oma und mein Vater wussten kaum, wie man den Computer einschaltet, geschweige denn, wie man mit solchen Problemen umgeht.
In den Schulen wurde damals noch kein Computerunterricht angeboten, und als es endlich soweit war, wurden nur grundlegende Dinge wie Tippen oder die Nutzung bestimmter Anwendungen vermittelt. Nirgendwo im Lehrplan stand etwas über die Gefahren beim Herunterladen von Software, beim Online-Shopping oder beim Besuch von Chatrooms.
So etwas wurde einem nur von der Familie beigebracht – oder in meinem Fall von niemandem. Oft verlässt sich die ältere Generation auf uns jüngere, damit wir ihnen Computerdinge beibringen. So häufig habe ich gesehen, dass Eltern ihre Kinder bitten, den neuen Computer einzurichten oder ihnen zu zeigen, wie man soziale Medien benutzt. Wenn Kinder ihren Eltern die Gefahren sozialer Medien erklären müssen, ist das so, als würden Kinder ihren Eltern Verkehrsregeln vermitteln. Aber in so einer Welt leben wir, weil das Internet noch relativ neu ist. Wie wird das Internet im Jahr 2060 aussehen? Es wird besser informierte Nutzer geben, Nutzerinnen, die mit Eltern aufgewachsen sind, die die Schattenseiten des Internets kennengelernt haben und sie davor warnen und ihnen die Gefahren aufzeigen können. Aber diese Zeit ist noch nicht gekommen. Wir befinden uns immer noch in einer Zeit, in der die jüngere Generation uns den Weg weist. Ich hoffe sehr, dass sie wissen, wohin sie gehen.
JACK: Neulich hat mich jemand angesprochen, der bereit war, mir einen Einblick in einige Online-Communities zu geben, von denen ich bisher keine Ahnung hatte. Ich sage es euch gleich vorweg: Bei dieser Folge handelt es sich weniger um eine Geschichte als vielmehr um einen Einblick in das Geschehen in einigen dieser Untergrundgruppen – Gruppen, in denen sich Hacker, Betrüger und Diebe tummeln.
JACK: Hallo. Was geht, Mann?
DREW: Alles roger.
JACK: Gibt es einen Namen, den ich verwenden sollte, wenn ich in dieser Episode über dich spreche?
DREW: Du kannst mich Drew nennen.
JACK: Sicher? Ich weiß nicht, ob das dein richtiger Name ist oder nicht, aber es klingt wie ein…
DREW: Ja, nein, ist er nicht.
JACK: Okay. Einfach Drew, alles klar.
DREW: Ja, Drew.
JACK: Oh, zunächst: Ist es in Ordnung, unser Gespräch aufzuzeichnen, um ihn im Podcast Darknet Diaries zu verwenden?
DREW: Ja, du hast die Erlaubnis.
JACK: Okay, dann läuft die Aufnahme.
DREW: Alles klar. Willst du die ganze Geschichte?
JACK: Ja.
DREW: Okay, es fängt an, ich bin dreizehn Jahre alt es fängt bei Roblox an, also beim Roblox-Spielen, und ich fand raus, dass man billigere Robux bekommen konnte.
JACK: Okay, sorry, ich bin schon raus. Roblox liegt knapp außerhalb meines Blickfelds, und ich verstehe es nicht wirklich. Ich muss hier also kurz pausieren, etwas recherchieren und bin gleich wieder da. Okay, also zunächst mal ist Roblox ein Videospiel, aber es ist mehr als das; es ist eine Videospielplattform, die dir die Werkzeuge an die Hand gibt, um dein eigenes Videospiel zu entwickeln. Wenn du da etwas Cooles baust, wollen es vielleicht auch andere spielen. Allerdings gibt es da diese Sache namens Robux. Das ist die Spielwährung von Roblox, und bei einigen von Nutzenden erstellten Roblox-Spielen muss man Robux bezahlen, um sie spielen zu können. Habe ich das bisher richtig verstanden?
DREW: Ja, richtig, außer dass man eine Sache im Hinterkopf behalten muss: Kids wollen In-Game-Währung und sie sind bereit, alles dafür zu tun, weil sie das physische Geld nicht haben, da ihre Eltern dafür sicher kein Geld ausgeben wollen.
JACK: Kann man es mit echtem Geld kaufen?
DREW: Ja, man kann es nur mit echtem Geld kaufen.
JACK: Oh, man kann es sich nicht im Spiel verdienen?
DREW: Nein, es ist kein…
JACK: Okay.
DREW: Man kann‘s nicht im Spiel verdienen. Die Kids wollen‘s haben, können es sich aber nicht leisten, weil sie eben Kids sind und ihre Eltern halt nicht ständig für ihre Spiele bezahlen wollen. Also besuchen sie Websites, auf denen sie Umfragen ausfüllen und sich Werbung ansehen können, um dafür Robux zu bekommen.
JACK: Okay, ich sehe hier schon das Potenzial für Missbrauch. Es fließt echtes Geld in Roblox hinein und echtes heraus. Denn wenn man es schafft, ein Spiel zu entwickeln, für das Leute zu zahlen bereit sind, bekommt man als Spieleentwickler Geld. Wenn ich also Leute dazu bringen kann, mein Spiel zu spielen, ob legitim oder nicht, werde ich bezahlt. Aber auf der anderen Seite steht die Frage, wie die Leute an Robux kommen. Wie Drew sagte, haben Kinder kein Geld, also gehen sie auf diese Websites, füllen Umfragen aus und schauen sich Werbung an, um Robux zu bekommen. Diese Ad-Server verdienen Geld an ihren Klicks und zahlen einen Prozentsatz an die Kinder, die auf die Links klicken.
DREW: Ja, genau das ist das Modell. Vieles davon ist allerdings Scam, um ehrlich zu sein.
JACK: Ja, und nicht alle dieser Seiten zahlen auch wirklich aus. Man hat also Glück, wenn man für die Arbeit überhaupt Robux bekommt. Wenn ein Dreizehnjähriger unbedingt ein paar Robux haben will und eine Möglichkeit sieht, welche kostenlos zu bekommen, klickt er ohne Umschweife auf einen Link, installiert irgendeine Software, oder meldet sich für etwas an und gibt seine E-Mail-Adresse und Telefonnummer an. Drews Freunde hatten einen Ad-Server eingerichtet und schalteten Google Ads, um es für Kinder einfacher zu machen, diesen Server zu finden und vorbeizukommen und alle Links anzuklicken, um Robux zu verdienen.
DREW: Die Gewinnspannen waren der Wahnsinn. Es kostete ihn etwa 6 Dollar, ein Kind zu bezahlen, das ihm dann wiederum 50 Dollar einbrachte. Er hatte da etwa 2000 Kinder im Monat und verdiente dadurch dann 1000 bis 2000 Dollar pro Tag - echt! Das war cool mitzuerleben. Er ist in meinem Alter; so um die vierzehn, fünfzehn, und er macht das jeden einzelnen Tag.
JACK: Plötzlich ging es nicht mehr darum, Roblox zu spielen, sondern darum, die Kinder zu einer Ware zu machen und an ihnen Geld zu verdienen – Kinder, die bereit waren, sich Werbung anzusehen, um Robux zu bekommen. Wie ich schon sagte, ist das nur die Oberfläche. Man kann sich alle möglichen Tricks vorstellen, um das Backend auszunutzen, zum Beispiel ein beliebtes Roblox-Spiel kopieren und dann das Original irgendwie lahmlegen, damit alle zu deinem Spiel wechseln, weil deins gerade läuft. Jetzt bekommst du Robux bezahlt - und es gibt alle möglichen Black-Hat-Strategien, über die in speziellen Hackerforen gesprochen wird – und genau dort hingen Drew und sein Freund herum.
DREW: Er hat damit um die 30.000 Dollar angehäuft. Also er und sein Freund hatten beide 30.000 Dollar und dachten sich, ey, schön viel Geld. Wie können wir das jetzt vervielfachen?
JACK: Sie schauen sich in den Foren um, um zu sehen, was andere Leute machen, und da erfuhren sie von Vanilla-Geschenkkarten. Das sind Geschenkkarten, die man vielleicht für gute Arbeit im Job oder als Geschenk irgendeiner Art bekommt. Es ist eine Visa-Geschenkkarte, die man überall verwenden kann, wo Visa-Karten akzeptiert werden, und wenn man eine bekommt, ist man vielleicht neugierig, wie viel Geld darauf ist.
DREW: Es muss überprüft werden, wieviel Guthaben auf der Geschenkkarte ist, deshalb geben die Leute "Geschenkkarten-Guthaben" oder "Vanilla-Geschenkkarten-Guthaben" in die Suche ein.
JACK: Seine Freunde richteten also eine Seite ein, die genau wie die Visa-Vanilla-Geschenkkarten-Seite aussah, und sie hatte ein kleines Formular zum Ausfüllen und Eingeben der Kartendetails, um das Guthaben abzufragen.
DREW: Sie sammeln die Kartendaten. Dann haben sie ein automatisiertes System, mit dem sie den Kartensaldo auf der echten Website überprüfen können. Anschließend verkaufen sie die Karte, wobei sie sich den Betrag über verschiedene Methoden wie G2A oder minds.com auszahlen lassen.
JACK: Ihre Seite stiehlt jedem die Geschenkkarte, der sie dort eingibt. Eigentlich würde natürlich niemand auf die Seite gehen, da sie unbekannt ist - und wenn man bei Google nach der Guthabenabfrage für Vanilla-Geschenkkarten sucht, erhält man die offizielle Visa-Seite als ersten Link. Es gibt jedoch eine Möglichkeit, seine Seite fast sofort über dem ersten Suchergebnis anzeigen zu lassen, und das kostet nur ein oder zwei Dollar pro Klick. Das geht mit Google Ads. Drews Freunde gaben Unmengen an Geld für Google Ads aus, damit ihr gefälschter Vanilla-Geschenkkarten-Guthabenchecker als erster Link erscheint, wenn man danach googelt.
DREW: Die Leute kennen oft den Unterschied zwischen zwei URLs nicht, oder zumindest sind sie nicht darauf trainiert, ihn zu erkennen. Sie klicken einfach auf das erste Ergebnis oder auf die Anzeige, und das ist in dem Fall eben eine Phishing-Seite.
JACK: Sie geben ihre Kartendaten ein, sehen ihr Guthaben, und bevor sie es ausgeben können, wird ihre Karte von Drews Freunden leergeräumt. Aber natürlich sind Drews Freunde nicht die Einzigen, die auf diese Weise Karten stehlen. Es gibt eine ganze Menge von Leuten, die Dutzende von Websites für all die verschiedenen Geschenkkarten erstellt haben, um jeden, der sein Geschenkkarten-Guthaben überprüft, dazu zu bringen, auf den Link zu klicken.
DREW: Ja, das ist die Sache, in die ich selbst am längsten involviert war. Ich war selbst Teil davon. Sobald ich damit aufgehört habe, habe ich es gehasst.
JACK: Ja, Drew wollte hier nicht länger tatenlos zusehen, wie seine Freunde mit ein bisschen Arbeit Tausende von Dollar verdienten. Er lernte dann, wie man eine Website klont, was wirklich einfach ist, und richtete seine eigene Phishing-Seite ein. Dann fing er selbst an, Google Ads zu schalten, um Leute dazu zu bringen, ihm ihre Karten zu geben - was furchtbar ist. Das ist Diebstahl. Es ist falsch, und es ist absolut beschissen, wenn einem auf diese Weise die Karte gestohlen wird. Aber warum geben Leute überhaupt ihre Geschenkkarten-Details auf einer beliebigen Seite ein? Also wirklich!
JACK: Also, Drew betreibt diesen Betrug eine Weile, und es bringt ihm etwas zusätzliches Geld ein, aber er hatte ein Glücksspielproblem. Wann immer er überschüssiges Bargeld hatte, ging er online und versuchte, es zu verdoppeln, zu verdreifachen oder zu vervierfachen. Viele Leute in dieser Community haben Glücksspielprobleme, also war das Geld, das er als Teenager verdiente, sofort wieder weg. Darum fängt er an zu schauen, woran er sich noch beteiligen kann, um mehr Geld zu verdienen, und da stieß er auf ein Forum namens OGUsers. Das ist ein Forum, in dem man Social-Media-Konten kaufen und verkaufen kann; Instagram-Konten, Snapchat-Konten, Kik, Skype-Benutzernamen, was auch immer. Nicht nur das, sondern auch andere Konten, wie Roblox-Konten und andere Videospiel-Konten. Er war einer der Ersten, die OGUsers beitraten.
DREW: Ich bin der 700. Nutzer, der sich einen OGUser-Account angelegt hat. Mittlerweile gibt es Hunderttausende - es ist wahrscheinlich das Wertvollste, was ich in meinem Leben besessen habe. Ich bin also schon ganz früh in diesem Forum dabei, was mich irgendwie seriös wirken lässt. Die Sache ist die: Was in Foren zählt, sind die Dauer der Mitgliedschaft – also wie lange man schon dabei ist – und Gutscheine. Je länger man dabei ist, desto mehr Gutscheine kann man sammeln. Ich hab mir Benutzernamen ausgedacht, zum Beispiel @dataframes auf dem Instant-Messenger Kik, und dann da verkauft. Die Leute mögen gute Kik-Benutzernamen, um damit mit anderen Betrügern zu kommunizieren. Sie wollen cool wirken.
JACK: Die Leute, die schon vor ihm auf OGUsers waren, machten ziemlich gute Verkäufe. Wenn man zum Beispiel einen kurzen, einprägsamen Benutzernamen auf Twitter hat, bringt das mehr Geld. Ich habe in der Vergangenheit in anderen Episoden über OGUsers gesprochen und darüber, wie furchtbar dieses Forum sein kann. Drew sah, wie die Leute Geld mit dem Verkauf von Konten verdienten, also beschloss er einfach, auf Kik zu gehen und ein paar clever klingende Benutzernamen zu finden, die noch nicht registriert waren, und sie einfach zu registrieren und dann zu versuchen, sie für etwa 15 Dollar pro Stück zu verkaufen. Seine Angebote verkauften sich zwar nicht, aber die anderen Nutzer im Forum sahen, was er zu tun versuchte, und er bemühte sich wirklich sehr, Geld zu verdienen, und sie wollten ihm irgendwie auf die Sprünge helfen. Also fingen sie an, ihm ein paar abzukaufen. Einen neuen Nutzer auf Kik zu erstellen und zu versuchen, ihn auf OGUsers zu verkaufen, ist nicht illegal; es ist ähnlich wie der Kauf einer .com-Domain und der Versuch, diese zu verkaufen.
DREW: Das ist ethisch überhaupt kein Problem, schon eher dass es natürlich extrem schlimm enden wird.
JACK: Ja.
DREW: Gib mir zehn Minuten; es wird mies, aber…
JACK: Oh, sicher.
DREW: … dabei fängt es noch ganz unschuldig an. Ich verdiene damit also hundert Dollar und - ich erinnere mich, dass ich eine Vanilla-Geschenkkarte zum Geburtstag bekommen habe.
JACK: Mit dem Geld, das er hat, geht er auf OGUsers, um zu versuchen, etwas zu kaufen, etwas, von dem er hofft, dass er es später zu einem höheren Preis weiterverkaufen kann. Er findet einen wirklich guten Benutzernamen zu einem ziemlich niedrigen Preis.
DREW: Ich krieg ihn sehr billig, weil ihn jemand schnell verkaufen will, um sofort an Geld zu kommen. Vielleicht steckt er in Schwierigkeiten oder ist einfach pleite - ja, das passiert häufiger, dass Leute schöne Benutzernamen haben, dann aber pleitegehen und den Namen verkaufen, um zumindest etwas Geld zurückzubekommen. Er hat mir einen wirklich schönen @ für etwa 200 Dollar verkauft.
JACK: Etwas Slang; ein @ ist ein Benutzername. Viele Benutzernamen haben das @-Symbol vorangestellt, also kürzt man es in diesen Foren einfach auf @ ab.
DREW: Ich habe den für um die 350 Dollar verkauft. ich hab also 150 Dollar an einem Tag verdient und bin ein stolzer kleiner Vierzehnjähriger.
JACK: Die Gefahr ist natürlich, dass man süchtig wird, sobald man einmal auf den Geschmack gekommen ist. Es ist wie Blut für einen Hai. Also taucht er tief in OGUsers ein und versucht, da weitere billige Deals zu ergattern und sie teurer zu verkaufen. Auf dem Weg dorthin lernt er mehr darüber, wie OGUsers funktioniert.
DREW: Also, okay, eine Einführung in den Benutzernamen-Markt. Es gibt einen Dienst namens Swapping. Nicht zu verwechseln mit SIM-Swapping. Hier geht's darum, einen Kontonamen von einem Konto auf ein anderes zu übertragen, aber mit Erlaubnis. Man macht das schnell, weil sonst andere Leute das Konto nehmen könnten, bevor man es beansprucht.
JACK: Was er meint, ist etwas kompliziert, aber ich versuche mal, das zu erklären: Angenommen, das Konto, das du kaufen willst, ist gestohlen. Wenn du es kaufst, besteht die Chance, dass der Kontoinhaber den Instagram-Support oder was auch immer kontaktiert und sein Konto wiederherstellt. Was also viele Leute auf OGUsers tun, ist: sobald sie einen gestohlenen Benutzernamen kaufen, ändern sie diesen Benutzernamen sofort in etwas anderes. Das führt dazu, dass für einen gewissen Zeitraum niemand diesen Benutzernamen hat, und man kann dann einfach ein neues Konto mit diesem Benutzernamen registrieren. Man kann somit das gerade gekaufte Konto wieder entspannt aufgeben, denn wenn der oder die eigentliche Besitzerin es wiederherstellt und ihr altes Konto zurückbekommt, hat es schon den geänderten Benutzernamen und ist somit nicht mehr dasselbe wie früher. Aber hier ist das Problem: Jeder auf OGUsers sieht, wenn jemand einen gestohlenen Benutzernamen kauft, und sie wissen, dass du den Benutzernamen ändern wirst, damit du ein neues Konto mit diesem Benutzernamen erstellen kannst. Was sie also tun, ist, dass sie versuchen, dir diesen Namen wegzuschnappen, indem sie ständig versuchen, ein Konto mit dem geklauten Namen zu erstellen, in der Hoffnung, dass sie ihn genau in dem Moment bekommen, wenn du ihn änderst, bevor du die Chance hast, damit ein neues Konto zu erstellen. Es gibt einen internen Krieg, der immer dann stattfindet, wenn ein Verkauf auf OGUsers stattfindet, und manche Leute verlieren ihren Kontonamen unmittelbar nachdem sie ihn gekauft haben gleich wieder.
DREW: Nun, die einzige Möglichkeit, das zu umgehen – oder zumindest das Risiko zu minimieren –, ist ein automatisiertes System, das als „Swapper“, „Claimer“ oder „Turbo“ bezeichnet wird. Das ist alles dasselbe. „Turbo“ ist der ursprüngliche Name dafür. Der Turbo nutzt also automatisch einen Instagram-Endpunkt, um diesen Nutzernamen für dich zu reservieren.
JACK: Das ist Wahnsinn. Man kann niemandem in diesen Gruppen vertrauen. Ernsthaft, es gibt ein ständiges Bombardement von Nutzenden, die versuchen, andere Nutzende zu hacken. Es ist endlos.
DREW: Leute würden – Graham Ivan Clark zum Beispiel, der Typ, der – der Typ, der Twitter gehackt hat…
JACK: Er spricht von Graham Ivan Clark, und das ist der Typ, der die Twitter-Accounts von Bill Gates, Elon Musk, Joe Biden und Barrack Obama gehackt hat und einen Betrug gepostet hat, damit die Leute ihm Bitcoin schicken. Graham war in diesen Gruppen, bevor er verhaftet wurde.
DREW: Bevor er zum „Simmer“ wurde, schränkte er den PayPal-Zugang anderer Leute ein. Er rief bei PayPal an und schwärzte da andere Leute an, indem er behauptete, diese Person würde betrügen.
JACK: Wenn Leute Konten auf OGUsers kaufen, können sie PayPal dafür nutzen. Was Graham also tat, war, bestimmte Konten bei PayPal zu melden, um zu versuchen, ihre Konten einfrieren zu lassen, nur um Leute zu ärgern und die Community anzugreifen, der er angehörte.
DREW: Der Kundenbetreuer denkt dann halt: „Oh Mann, der begeht Betrug“. Oder sie versuchen ihn davon zu überzeugen, dass der Kontoinhaber unter 18 ist. Das haben sie live im Stream mit Ninjas Konto gemacht.
JACK: Also, Ninja ist ein Twitch-Streamer, der dafür bekannt ist, Fortnite zu spielen. Er ist sogar der Twitch-Kanal mit den meisten Followern überhaupt, und sein richtiger Name ist Richard Tyler Blevins.
DREW: Meine Freunde meinten, wir wollen was Lustiges machen und wir kamen dann darauf, einen Mainstream-Typen zu hacken. Wir gehen zu Ninjas PayPal und schaffen es, das Konto einschränken zu lassen. Wir sagten einfach, dass wir Ninja sind. Das ging so: Hi, ich bin Tyler Blevins und nicht alt genug, um dieses Konto zu führen. Wie kann ich's schließen? Der Support-Agent sagt, was? Du bist nicht im richtigen Alter? Ich sage, ja, ich hab falsche Angaben gemacht, aber ich muss das schließen, weil ich ja bald achtzehn werde. Das ist die allgemeine Methode, oder war die Methode. Ich bezweifle, dass das noch funktioniert. Es ist schon viele Jahre her. Aber ja, sie haben dann Tylers – Ninjas Konto eingeschränkt. Ich fand das irgendwie lustig. Bei Paypal kann man auch Rückbuchungen vornehmen lassen, das heißt, man schickt eine Zahlung für irgendwas und holt sich das Geld dann wieder zurück. Das war'n riesige Betrugsmasche. Die Leute kauften Sachen, bezahlten, holten sich dann aber einfach das Geld zurück und behielten das Produkt. Man konnte also zum Beispiel einen OG-Benutzernamen für tausend Dollar bekommen; man musste nur eine Rückbuchung vornehmen.
JACK: Ich hasse Chargebacks besonders, weil das Opfer in dieser Situation so machtlos ist. Wenn jemand deine Kreditkarte stiehlt und etwas online kauft, kannst du der Kreditkartenfirma sagen, hey, ich habe diesen Kauf nicht getätigt, bitte stornieren; und die Kreditkartenfirma macht das. Das nennt man Chargeback. Sie nehmen das Geld zurück, das an den Händler gesendet wurde, aber obendrein verpassen sie dem Händler eine Strafe von 15 Dollar. Das kann also missbraucht werden. Leute können Dinge kaufen, den gewünschten Artikel bekommen und dann ein Chargeback veranlassen, und die Kreditkartenfirma stellt sich fast jedes Mal auf die Seite des Karteninhabers. Wie auch immer, dies ist nur ein weiteres Beispiel dafür, wie sich die Leute in diesen Communitys gegenseitig angreifen. Im Laufe ihres Bestehens wurde die OGUsers-Website selbst mindestens dreimal gehackt, wodurch alle Daten der dort registrierten Benutzerinnen und Benutzer offengelegt wurden. Da Drew ein Mitglied war, bedeutete dies, dass sein Konto bei einigen dieser Hacks dabei war.
JACK: Also muss ich dich jetzt fragen: Wurdest du schon mal durch eine dieser Maschen abgezockt?
DREW: Ich wurde von Leuten um Tausende von Dollar betrogen, teilweise sogar um Zehntausende von Dollar von meinen eigenen Freunden.
JACK: Du wurdest um 10.000 Dollar betrogen?
DREW: Wahrscheinlich mehr.
JACK: Wie wurdest du betrogen?
DREW: Ja, ich meine – die heftigsten Auseinandersetzungen, die ich online beobachtet habe, finden zwischen Kriminellen statt, denn Kriminelle kennen keine Grenzen - und sie sind anonym. Und es ist dann wie in dieser einen Studie mit den Wärtern, wenn sie maskiert sind, tun sie einem Gefangenen alles Mögliche an. Du kannst dir vorstellen, was Kriminelle, die maskiert sind, anderen Kriminellen antun. Sie erpressen dich und wenn sie es schaffen, an deine Dox zu kommen, also an eine Zusammenstellung deiner persönlichen Daten, dann tun sie dir buchstäblich alles an. Auch den eigenen Freunden. Sie werden dich erpressen, sie schicken dir Pizza-Bomben, aber es gibt natürlich noch allerhand schlimmere Dinge; zum Beispiel finden sie deine Sozialversicherungsnummer raus und nehmen dann einen Kredit auf.
JACK: Das klingt so, als wärst du gedoxxt worden.
DREW: Oh ja, mindestens dreimal.
JACK: Seine kompletten Daten wurden also offengelegt, und das landete natürlich in den Händen von jemandem, der ihn erpressen wollte. Diese Person nahm dann Kontakt auf und bedrohte ihn.
DREW: Sie drohen dir, ich schicke dir Pakete oder ich kontaktiere deine Eltern, wenn du dies oder das nicht tust und mir das Geld gibst. Es kommt auch vor, dass sie dich zwingen, Zeichen von ihnen auf dich zu malen, zum Beispiel ihren Instagram-Benutzernamen ...
JACK: Was meinst du mit, den Instagram-Namen auf dich schreiben? Verstehe ich nicht.
DREW: Zum Beispiel auf deine Stirn.
JACK: Okay, du schreibst also ihren Namen auf deine Stirn und machst dann ein Foto, um zu zeigen...
DREW: Ja, es ist...
JACK: ...dass du alles tust, was sie wollen?
DREW: Ja, es ist so'n Alpha-Ding, weißt du. Echt schräg. So'n Dominanz-Ding, glaub ich. Ich hab das nie richtig verstanden. Aber es gibt auch Sachen mit schwerwiegenderen Folgen; sie sagen dir, dass sie deinen Eltern erzählen, dass du ein Cyberkrimineller bist oder dass du etwas getan hast, was gar nicht stimmt. Zum Beispiel: Ich rufe deinen Vater an und erzähle ihm, dass du mich erpresst hast, obwohl ich ihn gar nicht kenne. Sachen, die ein Kind treffen würden, weil tatsächlich sind es meist Kinder gegen Kinder.
JACK: Okay, Drew wurde also unter Druck gesetzt und wollte es seinen Eltern nicht sagen, also schickte er den Erpressern einfach etwas Geld, und sie ließen ihn in Ruhe. Aber es gab noch ein anderes Mal, als er betrogen wurde, und das war noch seltsamer.
Während all das passiert, spielt er immer noch Roblox. Zu diesem Zeitpunkt hatte er mit seinen Freunden ein eigenes Spiel entwickelt und wollte einige Nutzer dafür anlocken, damit er möglicherweise Geld verdienen und ein paar dieser Robux bekommen könnte. Er hatte also sein kleines Spiel am Laufen, alles war eingerichtet und es war gut, aber es hatte einfach nicht viele Spieler.
DREW: Man will also sein Spiel auf die Roblox-Startseite bringen, um mehr Spieler und mehr Geld zu bekommen.
JACK: Und wie macht man das als durchtriebener Teenager? Man findet einen Weg, die Zahlen künstlich aufzublähen, damit das Spiel beliebter aussieht und die Leute beitreten.
DREW: Im Grunde wäre das ein Bot, der dein Spiel beliebter aussehen lässt, als es ist – und das würde über ein Botnetz laufen. Dadurch würden Spieler, die gar nicht existieren, dem Spiel beitreten.
JACK: Aber er hatte keinen Bot. Stattdessen heuerte er einen Dienst an, eine Art Roblox-Botmaster, jemanden, der sich darauf spezialisiert hat, gegen eine Gebühr mehr Spieler auf deine Roblox-Server zu bringen. Aber das sind überhaupt keine echten Spieler; es sind auch nur Bots. Drew hatte jedoch nicht genug Geld, um diese Person zu bezahlen, aber seine Freunde halfen ihm dabei aus. Er nimmt das Geld seiner Freunde und zahlt diesem Botmaster ein paar hundert Dollar, damit er seine Bots einschaltet. Der Botmaster nimmt das Geld, liefert aber keine Nutzer für sein Spiel. Stattdessen glaubt Drew, dass er eines Tages bei einer Bildschirmfreigabe versehentlich etwas preisgegeben hat, das seine wahre Identität verriet. Das bedeutete im Grunde, dass der Botmaster Drews echten Namen, seine Identität und seine Adresse kannte. Anstatt ihm also Bots in sein Spiel zu schicken, versuchte der Botmaster, Drew zu erpressen, er meinte: Gib mir 500 Dollar, oder ich mache dir das Leben zur Hölle. Dieser Botmaster-Typ zeigte Drew dass er seinen echten Namen und seine Adresse kennt und sagte: Hör zu, bezahl mich, sonst wirst du es bereuen. Ich weiß, wo du wohnst.
DREW: Eines Tages waren mein Vater und ich zu Hause. Ich lebte bei meinem Vater. Ein Paket auf meinen Namen landet bei uns. Er fragte mich: Hast du das bestellt? Ich sagte: Nein. Ich bin dreizehn. Ich habe keine Verwendung für USPS-Verpackungsmaterial.
JACK: Okay, er bekam also ein paar leere, flache Kartons von der US-Post. Wenn man auf usps.gov geht und auf Shop und dann auf Priority Mail klickt, ist das gesamte Priority-Mail-Verpackungsmaterial kostenlos. Man kann also einfach Kartons bestellen, so viele man will, und man muss nur die Versandkosten bezahlen. Genau so lief das ab. Weil er dem Botmaster nicht die geforderten 500 Dollar gezahlt hatte, bekam er ein paar Kartons mit der Post. Okay, das ist ein bisschen unheimlich, aber keine große Sache, oder?
DREW: Dann, zwei Monate später, sind es 10.000 Kartons. Ich komme von der Schule nach Hause und denk mir nur: Oh, oh, das ist nicht gut. Der ganze Vorgarten ist voller Kartons. Mein Vater ist noch nicht von der Arbeit zurück und ich hab mich nur gefragt: Wie verstecke ich's nur?
JACK: Es waren offenbar Paletten voller Kartons. Sie füllten die gesamte Veranda und den Gehweg, und es gab noch mehr. Stapel über Stapel von flachen USPS-Priority-Mail-Kartons standen vor seiner Tür, und sie waren an ihn adressiert. Ihr könnt euch vorstellen, wenn man als fünfzehnjähriges Kind mit so etwas konfrontiert wrid, dass man dann Angst bekommt. Man will auf gar keinen Fall, dass die Eltern es erfahren. Sein Vater war noch nicht zu Hause und Drew musste schnell handeln.
DREW: Ich bring also all diese Pakete weg vom Haus - irgendwohin. Ziemlich offensichtlich ist das sehr illegal und dumm. Ich bereue das zutiefst, aber ich habe sie einfach an irgendeinen Ort gebracht – in die Nähe eines Sees. Ich hab mehr als drei Stunden dafür gebraucht. Ich renne allein mit diesen Paketen durch die Gegend und versuch einfach nur, sie wegzuschaffen.
JACK: Er hat sie nicht in den See geworfen, nur daneben gelegt, und es hat funktioniert. Naja, zumindest hat sein Vater es nicht herausgefunden.
Gab es in dieser Zeit Nachrichten, die du bekommen hast, so in der Art: Mach dies oder das für mich, oder du bekommst noch mehr Kartons, oder irgendeinen klaren Grund?
DREW: Ja, so nach dem Motto: Bezahl mich, oder du bekommst mehr Kartons. Und dann fingen sie natürlich an, meinen Vater und so weiter zu kontaktieren.
JACK: Bezahl dir was? Wie viel haben sie...?
DREW: Sie wollten 500 Dollar.
JACK: Er war ja erst fünfzehn Jahre alt, und er hatte keine 500 Dollar hat, er schrieb das und auch, dass er nicht weiß, woher er 500 Dollar nehmen sollte. Aber das war demjenigen, der das tat, egal.
DREW: Das sind wahrscheinlich sechzehnjährige Kinder. Die sagen einfach: Ist mir egal.
JACK: Nachdem er kein weiteres Geld geschickt hatte, schickten sie ihm eine weitere Bestellung von 10.000 USPS-Verpackungskartons nach Hause. Wieder sieht er sie, als er von der Schule nach Hause kommt, und denkt sich: Oh Mann, nicht schon wieder. Augenblicklich verfolgt er demselben Plan wie beim letzten Mal, klemmt sich so viele wie möglich unter die Arme und rennt damit zu dem leeren Grundstück an einem See in der Nähe. Er konnte sie alle verstecken, bevor sein Vater nach Hause kam, und wieder erfuhr sein Vater nichts davon. Puh. Aber diesmal spazierte jemand um den See herum, sah all diese Kartons und ging der Sache nach. Und auf einigen waren noch Versandetiketten mit Drews Namen und Adresse.
DREW: Die Eigentümergemeinschaft fragt sich natürlich, warum ein Haufen Karton liegt. Sie den Namen auf den Kartons, kommen dann zu unserm Haus und fragen nach, warum wir bitte einen Haufen Kartons zum See gebracht haben. Ich geb dann zu, dass ich es war.
JACK: Sein Vater erfährt natürlich davon, und Drew bekommt Ärger.
DREW: Das erste Problem, dass ich die Kartons an einem einzigen Tag zurück zum Haus gebracht habe. Es war so viel Gewicht zu bewegen. Ich hatte einen unglaublichen Muskelkater am nächsten Tag. Aber die Hauptstrafe war natürlich, monatelang Hausarrest zu haben und – kein Computer. Also musste ich wahrscheinlich zwölf Monate meines Lebens jedes einzelne Wochenende Kartons zerschneiden, um sie in die Papiertonne zu werfen. Die gesamte Garage war bis zur Decke voller Kartons, Stapel auf Stapel.
JACK: Sie landeten alle in der Papiertonne.
DREW: Das ging über Monate. Ich fülle die gesamte Papiertonne mit Kartons, alle mit einem Messer zerschnitten und so angeordnet, dass möglichst viel reinpasst, es hätte sonst ewig gedauert.
JACK: Stimmt. Und hast du deinem Vater dann reinen Wein eingeschenkt und gesagt: Eigentlich wollten wir unseren Roblox-Server künstlich aufblähen, also haben wir diesen Typen bezahlt, und jetzt rächt er sich an uns?
DREW: Ja, später habe ich's erzählt, aber anfangs nicht, weil ich wusste, dass es irgendwie heikel war.
JACK: Es ist einfach so eine komplexe Geschichte für einen Teenager, um sie seinem Vater zu erzählen. So nach dem Motto: Also, das ist der Grund, warum diese ganze Scheiße gerade passiert ist.
DREW: Ja.
JACK: Hat er auch so in etwa reagiert? So wie: Moment, erzähl mir das noch ein drittes Mal, denn ich verstehe es nicht. Denn hier sitze ich, bei Minute fünfundvierzig unseres Anrufs, und ich verstehe es selbst erst jetzt. Ich kann mir nicht vorstellen, wie oft du das deinem Vater erklären musstest.
DREW: Ja.
JACK: Naja, irgendwie ist das auch eine lustige Geschichte. Kannst du jetzt darüber lachen, oder regt dich die ganze Sache immer noch auf?
DREW: Beides. Aber es fällt schon schwer, darüber zu lachen, denn ich frag mich: Mann, warum habe ich das bloß gemacht? Aber es ist, wie es ist.
JACK: Welche Lektion hast du daraus gelernt?
DREW: Also, da gibt es echt allerhand. Lass dich nicht doxxen. Ich hab dadurch viel über OpSec gelernt.
JACK: Hm. Lass uns kurz darüber sprechen.
DREW: Ich liebe es, mich mit Opsec zu beschäftigen, also zu verhindern, dass Daten in falsche Hände geraten. Ist echt mein Lieblingsthema mittlerweile.
JACK: Also, was sind denn die Tricks, um nicht doxxbar zu sein?
DREW: Okay, also sprechen wir vom FBI oder von einer Person?
JACK: Von einem anderen Teenager.
DREW: Okay. Wenn du vermeiden willst, dass ein anderer Teenager etwas mitbekommt, ist mein bester Rat, dass du auf keinen Fall deinen Bildschirm teilst, denn du wirst immer aus Versehen irgendwas zeigen. Selbst wenn du denkst, dass du nur Discord teilst, könnte jemand den Namen eines echten Freundes sehen. Verbinde keine Konten mit deinem – verbinde keine Konten mit deinem Discord, wie zum Beispiel dein Spotify, denn dann könnte man sehen, wem du folgst, wer dir folgt und dein Konto. Leg dir eine falsche Identität zu und benutze nicht dieselben E-Mail-Adressen, denn wenn sie eine deiner E-Mail-Adressen für geschäftliche Zwecke oder so kennen, könnten sie einfach eine Leak-Suche starten, ein Passwort finden, nachsehen, ob du gemeinsame Konten hast, und so weiter. Also: Verwende keine Passwörter mehrfach, verknüpfe keine Konten mit deinem Discord, teile keinen Bildschirm und vertraue einfach niemandem online. Es könnten deine Freunde sein, aber – und du könntest versehentlich deine Identität preisgeben, weil du denkst, sie seien harmlos, aber du weißt nie, was aus einem Freund in zwei Jahren im Internet wird.
JACK: Und klicke nicht auf Sachen.
DREW: Oh ja, offensichtlich; lass deine IP nicht loggen.
JACK: Okay, das ist eine Lektion, die du daraus gelernt hast. Was hast du noch von der Pappkartonsache mitgenommen?
DREW: Okay, also, abgesehen von meinen Opsec-Fehlern, die ich nie wieder machen werde, habe ich ein paar moralische Erkenntnisse gewonnen, zum Beispiel: Warum habe ich überhaupt mit diesen Leuten im Internet zu tun? Ich verdiene kein Geld, oder alles, was ich verdiene, verliere ich wieder. Und dann die Frage: Wo liegen eigentlich meine Prioritäten? Denn in der Schule war ich immer ein sehr guter Schüler. Ich habe die Schule immer sehr ernst genommen.
JACK: Drew erkannte, dass die Community, in die er verwickelt war, ziemlich toxisch und schlicht nicht gut für die Gesellschaft war. Aber er hat sich nicht davon abgekapselt. Stattdessen tauchte er wieder in diese Foren und Chatrooms ein, nur um sie genau zu studieren – um sie zu beobachten und zu lernen, was sie taten. Du bist dann da raus und willst das Ganze jetzt teilen, warum eigentlich?
DREW: Ich mag diese Community nicht und ich halt auch nichts von ihr. Wenn ich könnte, würde ich jedes einzelne dieser Kids da beim FBI melden. Leider wäre das natürlich selbstzerstörerisch, wegen meiner Vergangenheit. Aber ich will dennoch mehr über die Community erfahren, alles dokumentieren und hoffentlich eines Tages darauf zurückblicken und erkennen – und darüber sprechen, wie crazy das Internet war in meiner Kindheit war.
JACK: Whoa. Aus irgendeinem Grund trifft mich das ganz seltsam persönlich. Als ich ein Kind im Internet war, war das Internet ganz anders, und es gab eine ganze Menge von Leuten, mit denen ich mich heute immer noch verbunden fühle, weil sie dabei waren. Ich spreche von der Warez-Szene; MUDs, AOL-Chatrooms, Phreaking, Cracking, und schon allein dieses Geräusch weckt so viele Erinnerungen. Ich blicke darauf als „die guten alten Zeiten“ zurück. Obwohl es damals auch schwierig war, weil der Begriff „benutzerfreundlich“ nicht existierte, fühlte sich alles trotzdem nach einfacheren Zeiten an. Was online passierte, war tausendmal innovativer als die schwerfällige Welt da draußen. Online zu sein fühlte sich nach Gegenkultur an, und ständig entstanden neue Dinge wie Napster, Hacker-Gruppen und The Pirate Bay.
Polizei und große Medienunternehmen wussten nicht, wie sie uns stoppen sollten. Wir haben die Behörden so oft ausgelacht, weil sie bei der Überwachung des Internets so ineffektiv waren. Aber werden Jugendliche, die heute ihre Teenagerjahre durchleben und Teil der Online-Gegenkultur sind, später einmal auf ihre jetzige Zeit als die guten alten Zeiten zurückblicken? Sind es solche Geschichten, die sie zu dem formen, was sie später im Leben sein werden? Vielleicht. Wir wissen nicht, wie es für sie enden wird, aber es ist, als würden sie eine ähnlich schmerzhafte Feuerprobe durchmachen wie ich, nur mit Vollgas und ohne Bremsen.
An dieser Stelle enden wir für heute. Nächste Woche, in Folge 2, fängt Drew dann an, Namen zu nennen und berichtet von krassen Methoden, mit denen in diesen Untergrund-Communities Geld gemacht wird. Es bleibt spannend.
Diese Episode wurde im englischen Original von Jack Rhysider erstellt. Den Text haben Marko Pauli und Isabel Grünewald übersetzt und gesprochen.
Produktion: Marko Pauli
Titelmusik von Breakmaster Cylinder
Dies sind die Darknet Diaries auf Deutsch von Heise Online.
URL dieses Artikels:
https://www.heise.de/-11269068
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: Imilian/Shutterstock.com)
Die Malware-Autoren hinter dem npm-Wurm Shai-Hulud haben die Quelltexte veröffentlicht. Nun erscheinen die ersten Klone.
Das ist ein besonderes Open-Source-Projekt: Die Drahtzieher der Cybergang TeamPCP haben den Quellcode des npm-Wurms Shai-Hulud auf GitHub veröffentlicht. Im Untergrundforum BreachForums haben sie zudem einen Wettbewerb aufgezogen und andere Kriminelle aufgefordert, mit dem Code loszulegen.
In einem Blog-Beitrag schreiben IT-Forscher [1] von Mondoo, dass nur wenige Tage später die ersten Klone auf npm erschienen sind. Ein Einzeltäter etwa lud gleich vier bösartige Pakete hoch, eine nahezu identische Kopie von Shai-Hulud mit einer eigenen Command-and-Control-Infrastruktur – und drei Tippfehler-Versionen von „Axios“. Sie enthalten Botnet-Schadfunktionen, die infizierte Systeme in ein DDoS-Netzwerk integrieren. Ziel seien Programmierer mit dicken Fingern, erklären die IT-Forscher. Die Anzahl wöchentlicher Downloads liegt derzeit bei rund 2600, was für npm-Pakete tatsächlich wenig ist. Einige weitere Kopien listet OXsecurity [2] auf. Eine Schwemme an npm-Wurm-Paketen steht zu erwarten, da nun viele Interessierte auf dem Quellcode aufbauen können.
Dazu passt auch, dass Microsofts Threat Intelligence eine aufkommende Mini-Shai-Hulud-Lieferkettenattacke untersucht, wie die Gruppe auf Bluesky erklärt [3]. Die Angreifer haben es auf „antv“ abgesehen – sie konnten ein Konto eines Projekt-Maintainers kompromittieren und haben infizierte Versionen von weit verbreitet eingesetzten Paketen veröffentlicht, etwa „antv/g2“. Diese Pakete kommen als Abhängigkeit weitläufig zum Einsatz. Die kompromittierten Pakete propagierten sich in Bibliotheken wie „echarts-for-react“, wodurch ein großer Bereich von Apps und Build-Systemen betroffen sind.
Der Schadcode dient auch hier dazu, Zugangsdaten zu suchen und auszuschleusen. Begehrte Ziele sind persönliche GitHub-Zugriffstoken, OpenID-Token, Amazon AWS-Zugangsdaten und Sicherheitstoken, SSH-Keys, Kube-Konfigurationen oder andere Software-as-a-Service-Token, schreibt Microsoft. Eine Verknüpfung zum Shai-Hulud-Open-Source-Code erwähnt Microsoft allerdings nicht.
Der npm-Wurm Shai-Hulud hat Softwareentwickler im Visier. In sogenannten Lieferkettenangriffen ist der Schadcode in npm-Paketen eingebettet, die Programmierer in ihre Projekte einbinden. Dazu setzen die Malware-Autoren in der Regel auf Namensähnlichkeiten zu populären Paketen oder auf Tippfehler-Varianten der Namen der echten Pakete. Sofern die schädlichen npm-Pakete eingebunden sind, läuft auch der Schadcode mit. Shai-Hulud 2 hatte im vergangenen November so mehr als 27.000 Zugangsdaten geklaut [4]. Damit können die Angreifer etwa kostspielige Ressourcen bei Cloudanbietern missbrauchen oder Spionage betreiben und weitere Pakete infizieren.
URL dieses Artikels:
https://www.heise.de/-11299094
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Lenovos Lecoo Air 14
(Bild: Lenovo / Weibo)
Laptop-Hersteller starten eine Offensive gegen Apple. Im Mittelpunkt steht Intels Mobilprozessor Wildcat Lake.
Apples Einstiegs-MacBook Neo bekommt eine ganze Reihe an Konkurrenten: Hersteller wie Asus, Chuwi, Honor, HP und Lenovo stellen Windows-11-Notebooks vor, die umgerechnet 460 bis 650 Euro kosten. Das MacBook Neo ist ohne Rabatte ab rund 610 Euro erhältlich [1]. Die Windows-Konkurrenzmodelle sind alle mit neuen Core-300-Prozessoren alias Wildcat Lake [2] ausgestattet.
Intel selbst startet mit dem Projekt Firefly eine Initiative, um Gerätepreise nach unten zu drücken. Prozessorleistung und Bauqualität sollen dabei höher liegen als bei anderen typischen Billig-Notebooks. Auch Microsoft steuert womöglich mit Windows-Preisnachlässen bei.
Asus hat schon im März einen Ausblick auf so eine Allianz zwischen Notebook-Herstellern, Intel und Microsoft [3] gegeben. Die ersten bestellbaren Modelle sind allerdings außerhalb dieser Allianz entstanden.
Das einzige Manko: Bisher beschränken sich die Vorstellungen auf China. Intel hat auf Nachfrage bestätigt, dass Firefly-Notebooks bislang nicht für den Westen vorgesehen sind. Günstige Modelle mit Core 300 sollen aber ab Juni auch in Europa erscheinen.
Core 300 ist der kleine Bruder des Intel Panther Lake alias Core Ultra 300. Core 300 nutzt die gleiche Architektur und Intels aktuellen Fertigungsprozess 18A, allerdings ist es für günstigere Preise abgespeckt. Statt 16 CPU-Kernen sind es maximal sechs, das Speicher-Interface ist halbiert, die Grafikeinheit ist kleiner und es gibt weniger PCI-Express-Lanes.
Das Chuwi Unibook [4] ist die günstigste Neuvorstellung für umgerechnet 460 Euro. Der 14-Zöller ist eins von wenigen Modellen mit dem Fünfkerner Core 3 304. Die Speicherausstattung deckt mit 8 GByte LPDDR5X-7467-RAM und einer 256-GByte-SSD das Nötigste ab. Das IPS-Display stellt 1920 × 1200 Pixel im 16:10-Format dar. Überraschend vielseitig sind die Anschlüsse: Es gibt reichlich USB, HDMI 2.0, Ethernet, eine Audioklinke und einen Schacht für microSD-Karten. Sogar die Pro-Version von Windows 11 ist laut Hersteller vorinstalliert.
(Bild: Chuwi)
Für umgerechnet 560 bis 650 Euro gibt es in China Notebooks mit dem Sechskerner Core 5 320, 16 GByte RAM und 512-GByte-SSD, etwa Asus' Vivobook 14SE und 16SE [5], Honors X14 [6] und HPs Omnibook 3. Teilweise steigt die Auflösung auf 2560 x 1600 Pixel und die Bildwiederholrate auf bis zu 144 Hertz.
Zu Intels Projekt Firefly gehören zum Start Lenovos Lecoo Air 14 [7] und HPs Omnibook Plus 14. Das HP Omnibook Plus 14 kostet mit 16 GByte RAM und 512-GByte-SSD umgerechnet etwa 760 Euro.
(Bild: HP)
Intel liefert hier die Blaupause für die zugrundeliegende Plattform. Notebook-Hersteller sparen, weil sie nicht jeweils eigene Plattformen entwerfen müssen. „Optimiere einmal, profitiere global“ schreibt Intel in einer Mitteilung.
Projekt Firefly guckt demnach bei Smartphones ab, was Mainboard-Aufbau und die Lieferketten angeht. Mainboards sind in den Notebooks modular und mit einheitlichen Steckverbindungen aufgebaut. Die Platinenfläche sinkt so laut Intel um fünf Prozent, die Anzahl der benötigten aufgelöteten Komponenten um sieben Prozent.
Die Notebooks sollen mit flachen Gehäusen trotzdem einen Premiumanstrich behalten. Eine Dicke von zugeklappt unter 14 mm spricht sogar für Metallgehäuse; Kunststoffgehäuse sind typischerweise dicker, um Stabilität zu wahren. Und HP bewirbt ein beiliegendes 65-Watt-Netzteil mit Galliumnitrid (GaN) zum Schnellladen.
URL dieses Artikels:
https://www.heise.de/-11299692
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: @MakeSomething)
Gordix möchte die Portalfräse durch ein mobiles CNC-Robotersystem für große Werkstücke auf kleinem Raum ersetzen. Umbaubar zu Laser-Cutter und Plotter.
Portable CNC statt Portalfräse: Das taiwanische Team hinter den Cubiio-Laserwerkzeugen sammelt auf Kickstarter Geld für „Gordix“ ein. Die knapp über vier Kilogramm leichte Maschine verzichtet auf klassische Linearachsen und bewegt sich stattdessen per acht Zahnriemen über Werkstücke bis zu 1,22 × 2,44 Meter. Laut Hersteller soll das System Holz, Kunststoff und sogar dünne Metallplatten bearbeiten können.
Das Gerät kombiniert CNC-Router, Lasergravierer und Plotter in einem Gerät. Als Werkzeugaufnahme dient unter anderem eine Makita-Oberfräse mit 65-mm-Spannhals. Die angegebene Genauigkeit liegt bei ±0,5 Millimetern, die maximale Zustelltiefe bei 30 Millimetern. Neben Fräsen und Gravieren unterstützt Gordix auch Laserbearbeitung mit einem optionalen 10-Watt-Modul sowie großformatiges Zeichnen per Plotteraufsatz.
Interessant ist die Positionierung zwischen klassischen CNC-Konzepten: Gegenüber stationären Portalfräsen spart Gordix massiv Platz und Gewicht, erreicht dafür aber nicht deren Steifigkeit und Bearbeitungsgeschwindigkeit. Im Unterschied zu handgeführten Oberfräsen arbeitet das System automatisiert per G-Code. Gleichzeitig erinnert das Konzept an die portable CNC-Fräse „Shaper Origin [1]“, bei der Anwender die Maschine manuell führen und die Elektronik nur kleine Korrekturen ausführt.
Auch Parallelen zur offenen „Maslow CNC [2]“ sind offensichtlich: Beide Systeme arbeiten mit Riemen beziehungsweise Ketten statt starren Achsen und sind für große Holzplatten gedacht. Während die Maslow jedoch vertikal an der Wand hängt und eher als günstige DIY-Lösung gilt, setzt Gordix auf ein kompaktes, mobiles Robotersystem mit automatischer Kalibrierung und optionalen Zusatzwerkzeugen.
Die Einrichtung soll in wenigen Minuten erledigt sein: Anwender spannen die acht Gurte (vier unten, vier oben) diagonal über den Arbeitstisch bis zu den Ecken. Als Ankerpunkte dienen mitgelieferte Teile, an denen man die Endpunkte der Gurte befestigt. Das System kalibriert sich anschließend selbst. Dabei nimmt das System die Maße des „Frästischs“ (die Software kann sich mehrere Tische merken), die der Anwender vorher gemessen hat, und kompensiert auch Fehler in Winkligkeit der Grundplatte. Richtig messen muss man aber.
G-Code-Dateien lassen sich direkt in die Fräse importieren, alternativ erzeugt die Browser-Software aus Bildern automatisch Werkzeugpfade. Über das runde Display mit Drehencoder steuert man auch die Fräsvorgänge.
Das Kickstarter-Projekt ist bereits kurz nach dem Start deutlich überfinanziert [4]. Die günstigste Konfiguration startet bei 1850 US-Dollar, das Komplettpaket mit Laser- und Plottermodul kostet derzeit 1950 US-Dollar. Die Auslieferung ist für Herbst 2026 geplant. Wie immer gilt für Kickstarter-Kampagnen: Nichts ist garantiert, die Finanzierung geht auf das eigene Risiko.
URL dieses Artikels:
https://www.heise.de/-11299639
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: Postmodern Studio / Shutterstock.com)
Knapp sechs Jahre nach dem Rauswurf durch Apple vertreibt Epic Games seinen Shooter fast überall wieder im App Store. Der Streit um Provisionen geht weiter.
Eines der größten und längsten App-Store-Dramen nähert sich dem Ende. Epic Games hat Fortnite wieder (fast) global in Apples App Store gelistet, wie die Spielefirma am Dienstag mitteilte. Knapp sechs Jahre nach dem von Epic provozierten Rauswurf durch Apple ist der Shooter damit auch in Deutschland erneut in dem auf jedem iPhone und iPad vorinstallierten Vertriebskanal zum Download erhältlich.
Die „letzte Schlacht“ mit Apple stehe aber noch bevor, betonte Epic in einer Mitteilung und stellte zugleich in Aussicht, weiterhin gegen Apples „wettbewerbswidrige App-Store-Praktiken“ vorgehen zu wollen. Dennoch sei Fortnite jetzt bereits zurück im App Store, „weil wir zuversichtlich sind, dass Regierungen auf der ganzen Welt Apples Abzockgebühren nicht länger zulassen, sobald Apple gezwungen wird, seine Kosten offenzulegen“, schreibt Epic [1]. Nur im australischen App Store ist das Spiel vorerst nicht zu finden. In den USA vertreibt Epic es wieder in Apples Laden, seit dem iPhone-Konzern dort gerichtlich untersagt wurde, eine Provision auf externe Käufe in Apps zu veranschlagen [2]. Das Verfahren läuft noch (Epic Games vs. Apple, Aktenzeichen 25-2935, Court of Appeals for the Ninth Circuit).
Letztlich geht es um riesige Umsätze mit In-App-Käufen, besonders in Spielen: Dem Rechtsstreit zufolge hat Fortnite allein mit der iOS-Version in den zwei Jahren seiner App-Store-Verfügbarkeit über 700 Millionen US-Dollar eingenommen und Apple durch die Provision daran weit über 100 Millionen US-Dollar mitverdient.
Fortnite hat sich im Jahr 2020 an die Spitze großer App-Anbieter gestellt, die weniger oder keine Provision mehr für In-App-Käufe an Apple und Google zahlen wollen. Die beiden Plattformbetreiber haben auf In-App-Käufe lange bis zu 30 Prozent Provision einbehalten, inzwischen gibt es eine deutlich komplizierte Gebührenstruktur mit vielen Ausnahmen und Sonderregelungen.
Epic Games integrierte damals eine direkte Kaufmöglichkeit für seine In-Game-Währung V-Bucks in Fortnite, verstieß damit bewusst gegen Apples und Googles App-Regeln – und wurde prompt aus den zentralen App-Läden für iOS und Android geworfen. Epic zog daraufhin vor Gericht: Das Verfahren gegen Apple verlor der Spieleentwickler zwar haushoch, konnte aber ein Unterlassungsurteil erzielen, das Apps externe Kauflinks grundsätzlich erlaubt – auch darüber wird noch gestritten. In der EU musste Apple inzwischen bereits alternative App-Läden zulassen, dort war Fortnite im Epic Games Store schon verfügbar – allerdings installierte bislang wohl nur ein winziger Teil der iPhone-Nutzer solche Dritt-Läden.
URL dieses Artikels:
https://www.heise.de/-11299654
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Symbolbild
(Bild: KI-generiert)
Helsing und OHB gründen ein Joint Venture, das KI-gestützte Zielerfassung aus dem All ermöglichen soll – mit Milliarden im Rücken.
Die Zeitspanne zwischen dem Erkennen eines Ziels und dem Befehl zum Waffeneinsatz – im Militärjargon "Kill Chain" – schrumpft.
Wenn es nach den Plänen des Münchner KI-Rüstungsunternehmens Helsing und des Bremer Satellitenbauers OHB geht, soll die Bundeswehr diesen Prozess künftig direkt aus dem Orbit steuern.
Beide Unternehmen gaben am Montag die Gründung des Joint Ventures KIRK [1] bekannt. Der Arbeitstitel steht für "Künstliche Intelligenz und Raumfahrt-Kompetenz" – und markiert den bislang offensivsten Vorstoß der deutschen Rüstungsindustrie in die weltraumbasierte Zielerfassung.
Das neue Unternehmen übernimmt zugleich die Führung eines bereits im Dezember 2025 gebildeten Konsortiums. Neben Helsing und OHB gehören ihm der norwegische Rüstungskonzern Kongsberg Defence & Aerospace sowie der Sensorik-Spezialist Hensoldt an.
Die vier Partner wollen ein System entwickeln, das taktische Überwachung, Aufklärung und KI-gestützte Zielerfassung in nahezu Echtzeit kombiniert – und damit die Grundlage für den Einsatz moderner Abstandswaffen schaffen soll, wie Helsing in seiner Mitteilung erklärt.
Helsing-Co-Chef Gundbert Scherf lässt keinen Zweifel daran, was hinter dem Tempo des Projekts steckt: "Der Krieg in der Ukraine zeigt, wie wichtig weltraumbasierte Zielerfassung ist", sagte er laut Unternehmensmitteilung. Europa müsse den Kampf um seine Souveränität im Orbit gewinnen.
Die Botschaft ist unmissverständlich: Wer Satellitendaten schneller in Zielkoordinaten übersetzen kann, dominiert das Gefechtsfeld.
Die Bundeswehr hat den Weltraum längst als entscheidende Dimension erkannt. Verteidigungsminister Boris Pistorius (SPD) will bis 2030 insgesamt 35 Milliarden Euro in diesen Bereich investieren.
Das bestehende Radar-Aufklärungssystem SARah – drei SAR-Satelliten, für die OHB als Hauptauftragnehmer fungierte – liefert zwar allwetterfähige Bilder, gilt aber als klassisches Einzelsensor-System ohne KI-Integration.
KIRK setzt dagegen auf einen grundlegend anderen Ansatz.
Der technische Kern von KIRK ist ein softwarezentrierter Ansatz. Die geplanten Kleinsatelliten von Kongsberg sollen als "software-defined" implementiert werden – ihre Fähigkeiten also per Software-Update an neue Bedrohungslagen angepasst werden können.
Helsing liefert die KI für Echtzeit-Datenverarbeitung direkt an Bord und am Boden, dazu Multisensorfusion und automatisierte Zielerkennung. Hensoldt steuert weltraumtaugliche Sensorik für allwetterfähige Dauerüberwachung bei, Kongsberg ein globales Bodenstationsnetzwerk über seine Tochter KSAT sowie C4ISR-Integration.
Wie Hartpunkt berichtet [2], zielen die Partner offenbar auf das satellitengestützte Aufklärungsprogramm SPOCK 2 der Bundeswehr, das sich derzeit in Vorbereitung befindet.
Offiziell bestätigt ist das nicht. Klar ist jedoch: SPOCK 1 existiert bereits als reines SAR-Programm, SPOCK 2 soll als Multi-Sensor-Folgephase deutlich weiter gehen.
Helsing ist kein unbeschriebenes Blatt. Das 2021 gegründete Unternehmen, das mit seiner Altra-Plattform KI-gestützte Zielerfassung und die Kamikaze-Drohne HX-2 entwickelt, steht laut Berichten kurz davor, seine Bewertung auf rund 18 Milliarden US-Dollar zu steigern [3].
OHB-Chef Marco Fuchs betonte, Raumfahrtsysteme seien "essenziell, um aus der Bundeswehr die stärkste und modernste Armee Europas zu machen".
Konkrete Leistungsdaten zu Sensorauflösung, Wiederholrate oder der angestrebten Latenz in Sekunden oder Minuten nannte das Konsortium bislang nicht.
Ebenso offen bleibt, wie die KIRK-Fähigkeiten mit bestehenden Waffenplattformen der Bundeswehr vernetzt werden sollen – und welche völkerrechtlichen Fragen ein privat geführtes Konsortium als Betreiber weltraumbasierter Zielerfassung aufwirft.
Die "time to information" soll radikal sinken. Wie radikal, das zeigt sich erst, wenn aus dem Akronym KIRK tatsächlich Satelliten im Orbit werden.
URL dieses Artikels:
https://www.heise.de/-11299696
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Bild: Shutterstock.com
Nach RBB-Skandal sollen 51 geloste Bürger Empfehlungen zur Zukunft erarbeiten – ohne klare Fragestellung droht das Gremium zur Alibi-Veranstaltung zu werden.
Nach Skandalen und Vertrauensverlust steht der öffentlich-rechtliche Rundfunk unter Reformdruck. Brandenburg will nun die Perspektive der Beitragszahler einbinden.
Ein Bürgerrat soll Empfehlungen zur Zukunft des Rundfunks erarbeiten. Hier klingt eine Neujustierung an: mehr Bürgernähe. Angesichts der generell gegen den öffentlich-rechtlichen Rundfunk erhobenen Vorwurf einer zu großen Staats- und Regierungsnähe sieht das wie ein konstruktiver Schritt in eine bessere Richtung aus.
Doch ist damit auch die Skepsis ausgeräumt: Ist dies ein echter Schritt zu mehr Bürgerbeteiligung oder nur Fassadenpolitik?
Die entscheidende Frage wäre, mit welchem konkreten Mandat der Bürgerrat ausgestattet wird.
Nach Angaben des Evangelischen Pressedienstes [1] (epd) soll in Brandenburg künftig ein Bürgerrat zur "Zukunft des öffentlich-rechtlichen Rundfunks" eingerichtet werden. Das Gremium wird beim Landtag angesiedelt.
Die Regierungsfraktionen von SPD und CDU erklärten, es gehe darum, die Perspektiven der Bürgerinnen und Bürger stärker in die Debatte einzubringen. Hintergrund seien unter anderem die gesellschaftlichen und technologischen Veränderungen, vor denen die Rundfunkanstalten stehen.
Doch bei aller Aufbruchsrhetorik: Ohne eine präzise Fragestellung kann das Ganze zu einer Ablenkungsveranstaltung werden. Nur wenn der Bürgerrat mit konkreten, handlungsleitenden Fragen arbeitet, können umsetzbare Empfehlungen entstehen.
Andernfalls besteht das Risiko, dass 51 unterschiedliche, individuelle Einschätzungen abgegeben werden, die ohne Wirkung bleiben.
Für die politisch Verantwortlichen und die Senderführung würde das bedeuten: Man erzielt nach außen einen Effekt – nach dem Motto "Wir kümmern uns um die Meinung der Bürger" – ohne dass das Ganze zu größeren Veränderungen führen muss. Der Bürgerrat würde so instrumentalisiert, um Handeln vorzutäuschen, während alles beim Alten bleibt.
Die Einsetzung des Bürgerrats ist im Koalitionsvertrag von SPD und CDU verankert. Laut Evangelischen Pressedienst heißt es dort, den "notwendigen Reformprozess für den öffentlich-rechtlichen Rundfunk" wolle man mit einem Bürgerbeteiligungsformat flankieren.
Der Bürgerrat soll aus 51 Brandenburgerinnen und Brandenburgern bestehen, die durch ein extern organisiertes Zufallsverfahren ausgewählt werden, berichtet Deutschlandfunk Kultur [2].
Dabei sollen verschiedene Kriterien berücksichtigt werden, um ein möglichst vielfältiges Abbild der Gesellschaft zu gewährleisten.
Aufgabe des Bürgerrates sei es, Empfehlungen zur Zukunft des öffentlich-rechtlichen Rundfunks zu erarbeiten, zum Beispiel zu Transparenz, Effizienz und regionaler Verankerung, so die Koalitionsfraktionen. Die Ergebnisse sollen dem Landtag Brandenburg vorgelegt werden. Brandenburg ist zusammen mit Berlin für die Zwei-Länder-Anstalt RBB zuständig.
Doch genau hier liegt das Problem: Die bisherigen Aussagen beschreiben die Aufgabe des Bürgerrats nur in allgemeinen Floskeln. Was genau soll transparenter werden? Wo genau soll effizienter gearbeitet werden? Und was bedeutet "regionale Verankerung" konkret?
Solange diese Fragen nicht präzisiert werden, bleibt unklar, worüber die Bürgerinnen und Bürger eigentlich beraten sollen.
Nach Angaben des Tagesspiegel [3] sagte der SPD-Fraktionsvorsitzende Björn Lüttmann, das Gremium solle sich mit den Erwartungen der Menschen an einen öffentlich-rechtlichen Rundfunk beschäftigen.
Das daraus entstehende "Bürgergutachten" solle dann an den Landtag und den Rundfunkrat weitergegeben werden.
Im Koalitionsvertrag haben SPD und CDU festgelegt, dass der öffentlich-rechtliche Rundfunk "weiter reformiert, effizienter und klarer im Auftrag" werden soll, berichtet epd. Die Rundfunkbeiträge "sollen stabil bleiben und nachvollziehbar sein".
Beim öffentlich-rechtlichen Rundfunk setzt die Koalition zudem auf "Konzentration auf die Kernaufträge Information, Bildung und Kultur". Beim RBB gehe es um "mehr Brandenburg".
Diese Formulierungen sind sehr allgemein. Was ist eine "Konzentration auf Kernaufträge"? Soll der RBB weniger Unterhaltung produzieren? Geht es nur um Einsparungen? Ohne klare Definitionen bleibt der Spielraum für Interpretation beliebig groß.
Der Hintergrund für all diese Reformbemühungen ist der Skandal um den RBB und das damit offenbar gewordene Kontrollversagen. Der Landesrechnungshof Brandenburg stellte in seinem Jahresbericht 2025 [4] fest, dass der Verwaltungsrat und der Rundfunkrat des RBB bis zum Jahr 2022 wiederholt ihrer Kontrollfunktion nicht ausreichend nachgekommen sind.
So stimmte der Verwaltungsrat defizitären Finanzplanungen zu, begnügte sich mit allgemeinen Einsparankündigungen der RBB-Spitze und hinterfragte die Höhe der Gehälter nicht ausreichend.
Beim geplanten "Digitalen Medienhaus" versäumte es der Verwaltungsrat über Jahre hinweg, eine notwendige Wirtschaftlichkeitsuntersuchung anzufordern, während sich die angesetzten Kosten von 117 Millionen Euro auf 311 Millionen Euro mehr als verdoppelten.
Der Bürgerrat agiert dabei nicht im luftleeren Raum. Nach Angaben des Landtages Brandenburg [5] hat das Parlament im November 2025 bereits dem Siebten Staatsvertrag zur Reform des öffentlich-rechtlichen Rundfunks zugestimmt.
Dieser ändert den Medienstaatsvertrag der Bundesländer und ihre Vereinbarungen zu den Sendeanstalten ARD, ZDF, Deutschlandradio sowie der Rundfunkfinanzierung. Die öffentlich-rechtlichen Sender sollen künftig verstärkt kooperieren und sparsamer haushalten.
Doch viele Beobachter halten diese Reformen für nicht weitreichend genug. Der Verein Mehr Demokratie [6] schlägt größere Öffnungen der Institution vor. So kritisiert Ralf-Uwe Beck, Bundesvorstandssprecher von Mehr Demokratie:
"Mit der Berufung der Mitglieder des Rundfunkrates aus den großen Verbänden lässt sich die Aufgabe, die gesamte Gesellschaft zu repräsentieren, nicht mehr erfüllen."
Es werde Zeit, auch die unorganisierte Zivilgesellschaft mit an den Tisch zu holen.
Noch weiter gehen Mitarbeiterinnen und Mitarbeiter von ARD, ZDF und Deutschlandradio, die im April 2024 ein Manifest für eine Reform des öffentlich-rechtlichen Rundfunks veröffentlichten. Laut der Webseite buergerrat.de [7] schlagen sie vor, die Kontrollgremien mit gelosten Bürgerinnen und Bürgern zu besetzen.
"Den Beitragszahlern gehört der neue öffentlich-rechtliche Rundfunk. Ihre mehrheitliche Einbindung in den Kontrollgremien ist daher selbstverständlich", heißt es im Manifest.
Die repräsentative Zusammensetzung der Kontrollgremien könne beispielsweise nach dem Vorbild der Besetzung von Bürgerräten erfolgen. Direkte Wahl, Rotationsprinzip oder Losverfahren seien Möglichkeiten, um die Gesellschaft repräsentativ abzubilden.
Die in Brandenburg geplante Losversammlung wäre nicht die erste zu einem Medienthema. 2025 hatte sich in Baden-Württemberg das Bürgerforum "Über Medien. Über Verständigung. Über uns" mit der Zukunft der Medienlandschaft befasst, berichtet buergerrat.de. Gefordert wurde unter anderem Transparenz beim Umgang mit Gebührengeldern. Auch sollte eine europäische Mediathek geschaffen werden.
Der öffentlich-rechtliche Rundfunk solle als "kritische Infrastruktur" eingestuft werden. In Krisen- oder Extremfällen müsse die Bevölkerung verlässlich, flächendeckend und unabhängig informiert werden können.
URL dieses Artikels:
https://www.heise.de/-11299292
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Amazons Cloudsparte AWS hat viele besonders skrupellose Unternehmen unter seinen Kunden. Das ergab der Greenpeace-Report mit dem Namen Amazons Toxic Web Services, der am 20. Mai 2026 vorgelegt wurde. Darunter sind JBS, Brasiliens größter Fleischkonzern und Treiber der Amazonas-Abholzung; Palantir, bekannt für umstrittene Überwachungstechnologie; Anduril, Entwickler autonomer Kampfdrohnen, die Angriffsziele ohne menschliche Kontrolle selbstständig identifizieren.
Auch der Ölkonzern Shell nutzt AWS-Dienste, um neue Vorkommen auszubeuten. Mauricio Vargas, Wirtschaftsexperte von Greenpeace, sagte: "AWS macht sogar mit Konzernen Geschäfte, von denen selbst Finanzakteure aus ethischen Gründen die Finger lassen. Das ist schockierend."
"AWS darf nicht länger der Handlanger skrupelloser Konzerne sein. Wer Regenwaldzerstörern und autonomen Kampfrobotern die Server hinstellt, macht sich mitschuldig. Anders als Banken oder die Pharmaindustrie entzieht sich der Tech-Sektor bislang jeder Verantwortung", sagte Vargas.
Greenpeace habe dazu eine Ethik-Richtlinie entwickelt, die klare Ausschlussregeln definiert: keine Clouddienste für Öl- und Gaskonzerne mit Expansionsplänen, für Unternehmen, die Regenwälder roden, für Hersteller autonomer Waffensysteme oder für Überwachungstechnologien wie Echtzeit-Gesichtserkennung. Vargas: "Der Ball liegt bei Amazon. Die Richtlinie wartet auf ihre Unterschrift."
AWS macht traditionell keine Angaben zu Kundenbeziehungen ohne deren Zustimmung. "Kunden von AWS sind verpflichtet, unsere Richtlinie zur akzeptablen Nutzung und die Richtlinie für verantwortungsvolle KI von AWS einzuhalten, die eine Vielzahl von Missbrauch untersagen, einschließlich jeglicher illegaler Aktivitäten", steht in den Nutzungsbedingungen von AWS.
Der durchgängige Ausbau eines gesamten Mehrfamilienhauses mit Glasfaser ist ökonomisch zweifellos sinnvoll. Das sagte Cara Schwarz-Schilling, Geschäftsführerin beim WIK (Wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste), am 19. Mai 2026 auf der Kongressmesse Anga Com in Köln. "Es ist ja relativ evident, dass es eigentlich günstiger ist, ein Haus auf einmal auszubauen und nicht einzeln, separat nach Einheiten."
Heute würden oft nur einzelne Wohnungen ausgebaut, weshalb auch die Take-up-Rate so problematisch sei, "weil es für Kunden viel zu lange dauert, bis sie einen Anschluss bekommen", betonte Schwarz-Schilling.
Länder wie Spanien, die heute erfolgreich beim Glasfaserausbau seien, hätten "sehr früh sehr klare Regeln getroffen. Und da war immer klar, wenn ein Netzbetreiber an ein Haus herankommt, wird es komplett ausgebaut", sagte sie.
Deutschland, so betonte Schwarz-Schilling, stünde aber mit 30 Millionen Wohneinheiten da, von denen gerade mal 5 Millionen FTTH-Anschlüsse hätten. "Also das ist ja nicht so besonders gut gelaufen bis jetzt", schlussfolgerte sie. "Und da haben wir leider einen ganz großen Nachholbedarf."
Verträge sollen Wettbewerb verhindern
Wer dagegen schon Verträge mit den Wohnungskonzernen hat, will möglichst verhindern, dass Konkurrenten dort aktiv werden. Stefan Rüter, Chief Commercial Officer bei dem Vodafone Joint Venture OXG Glasfaser, sagte: "Es geht jetzt hier darum, dass ein Recht geschaffen wird, was den Vollausbau unattraktiv macht. Wir werden mit dieser Rechtsprechung nicht mehr Netze bauen, sondern weniger." Bestehende Partnerschaften, die gut laufen, würden so nur gestört, meinte Rüter.
Um den Glasfaserausbau in Mehrfamilienhäusern zu beschleunigen, plant das Bundesdigitalministerium von Karsten Wildberger (CDU) derzeit das TKG-Änderungsgesetz 2026. Der Ausbau in Mehrfamilienhäusern hinkt oft hinterher, weil Eigentümer zustimmen müssen. Das neue Gesetz soll hier ansetzen. Unternehmen sollen erweiterte Zugangsrechte zu den Gebäudenetzen erhalten, um die Glasfaserleitungen einfacher bis in die einzelnen Wohnungen verlegen zu können. Wenn es physisch oder wirtschaftlich unsinnig beziehungsweise unmöglich ist, ein zweites, eigenes Netz im Gebäude aufzubauen, werden Netzbetreiber verpflichtet, anderen Zugang zu bereits bestehenden Glasfaserverteilern im Gebäude zu gewähren.
Rüter betonte dagegen: "Das wird dazu führen, dass Wettbewerber, wie zum Beispiel die Deutsche Telekom, ein Rosinenpicken machen und einzelne Häuser ausbauen. Und das führt nicht zu mehr, sondern zu weniger Ausbau."
Kristin Lumme, Leitung Multimedia bei dem Wohnungskonzern Vonovia, hatte zuvor kritisiert, dass die Telekom zum Beispiel in Berlin, attraktive Objekte plötzlich ausbauen wolle. Das gefährde jedoch bestehende Partnerschaften. Laut Schwarz-Schilling müsse der Ausbau jedoch beschleunigt werden.
1&1 wird von Branchenkollegen dafür kritisiert, in Glasfasernetzen einen Tarif von 50 MBit/s im Download und 20 MBit/s im Upload für 10 Euro anzubieten. Andreas Laukenmann, Chief Consumer Officer bei Telefónica Deutschland, sagte am 19. Mai 2026 auf der Kongressmesse Anga Com in Köln: "Ich finde, wir wollen ja eigentlich Deutschland die Infrastruktur geben, die wir verdient haben als Land. Und dann ist 50 MBit schon langsam ein bisschen wenig."
Regulär ist der 1&1-Zugang für 34,99 Euro erhältlich, Neukunden zahlen in den ersten 10 Monaten oftmals aber einen reduzierten Aktionspreis von 9,99 Euro.
Laut Laukenmann hätten Operators und Weiterverkäufer "auch ein bisschen die Aufgabe dafür zu sorgen, dass gute Produkte am Markt sind und nicht so ein Minimum", legte Laukenmann nach. "Aber ich finde auch, wir müssen die Chance nutzen, zu sagen, es gibt mal ein Upgrade. Irgendwie zu sagen, ich mache Glasfaser mit 50 MBit/s, hört sich ein wenig komisch an. Ich gehe auf die neueste Technologie und baue dann erst einmal eine Bremse ein."
Auch Ruben Queimano, Chief Commercial Officer bei Deutsche Glasfaser, erklärte, dass seine Kunden vor allem höher bitratige Zugänge buchen würden. Man könne den Kunden die Zugänge auch nicht schenken, erklärte Queimano. Matthias Lorenz, Geschäftsführer Privatkunden bei Vodafone Deutschland, fragte: "Wie können wir die auch für höhere Geschwindigkeiten bringen? Muss das 50 Megabit sein? Ich finde nicht."
Borislav Tadić, Chief Production Officer bei 1&1 Versatel, der ebenfalls auf dem Podium saß, entgegnete, dass es bei einem solchen Tarif, bei dem man "wenig verdient", um die Kundenbeziehung gehe.
(Bild: Ole.CNX / Shutterstock.com)
TanStack verschärft nach Supply-Chain-Attacken seine Sicherheitsmaßnahmen. Pull Requests könnte es künftig nur noch auf Einladung geben.
Als Reaktion auf die jüngst erlittenen Supply-Chain-Attacken hat TanStack seine internen Sicherheitsmaßnahmen verstärkt. Zudem denkt der Anbieter von JavaScript/TypeScript‑Libraries über eine weitere Schutzvorkehrung nach. Sie könnte darin bestehen, Pull Requests künftig nur noch auf Einladung zuzulassen.
Im Rahmen der seit Ende April laufenden Mini Shai-Hulud-Angriffswelle [1] nahmen Cyberkriminelle auch TanStack ins Visier [2]. Dabei platzieren sie zahlreiche mit Credential-Stealern verseuchte @tanstack/*-Pakete auf dem JavaScript-Paketmanager npm.
Bei TanStack dient den Cyberkriminellen ein manipulierter Pull Request (PR) als Angriffsvektor. Der PR wird durch pull_request_target automatisch ausgeführt und kann so den GitHub‑Actions‑Cache infizieren. Inzwischen hat sich die Welle auch auf das AntV-Ökosystem von Ant Group ausgeweitet [5].
In seinem Blog schreibt TanStack, zu unvorsichtig gehandelt zu haben [6], zumal GitHub bereits seit Jahren [7] vor Sicherheitslücken im Zusammenhang mit pull_request_target warnt. Den GitHub‑Actions‑Event‑Trigger hat TanStack nun aus der CI entfernt und durch den von GitHub empfohlenen workflow_run ersetzt. Des Weiteren sind mittlerweile alle pnpm‑ und GitHub-Actions-Caches deaktiviert, alle Actions auf feste Commit‑SHAs gepinnt und die SMS‑basierte 2FA auf npm und GitHub abgeschaltet.
Als zusätzliche Sicherheitsmaßnahmen will TanStack das statische Analyse-Tool zizmor als verpflichtenden PR‑Check für alle Repositories einführen und eine CODEOWNERS-Datei für die .github‑Ordner einsetzen, sodass sich Änderungen an Workflows nur noch von Kern‑Maintainern vornehmen lassen. Außerdem tritt an die Stelle des pnpm‑Setup‑Cache nun die Funktion actions/cache/restore, die durch ihr deutlich konservativeres Standardverhalten Angriffe erschweren soll.
Über eine weitere diskutierte Maßnahme ist man sich bei TanStack am wenigsten einig [8]. Bei ihr geht es darum, ob es externen Mitwirkenden nicht mehr erlaubt sein sollte, Pull Requests gegen TanStack‑Repos zu eröffnen. Man befürchtet eine abschreckende Wirkung, da der klassische Weg vom Nutzer zum Committer zum Maintainer oft mit dem Eröffnen eines PRs und dessen Review beginne. Gegen die Supply-Chain-Attacke, in der ein bösartiger PR in der CI ausgeführt wurde, hätte diese Maßnahme ohnehin nicht geholfen, wie TanStack einräumt.
URL dieses Artikels:
https://www.heise.de/-11299058
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: Imilian/Shutterstock.com)
Die Malware-Autoren hinter dem npm-Wurm Shai-Hulud haben die Quelltexte veröffentlicht. Nun erscheinen die ersten Klone.
Das ist ein besonderes Open-Source-Projekt: Die Drahtzieher der Cybergang TeamPCP haben den Quellcode des npm-Wurms Shai-Hulud auf GitHub veröffentlicht. Im Untergrundforum BreachForums haben sie zudem einen Wettbewerb aufgezogen und andere Kriminelle aufgefordert, mit dem Code loszulegen.
In einem Blog-Beitrag schreiben IT-Forscher [1] von Mondoo, dass nur wenige Tage später die ersten Klone auf npm erschienen sind. Ein Einzeltäter etwa lud gleich vier bösartige Pakete hoch, eine nahezu identische Kopie von Shai-Hulud mit einer eigenen Command-and-Control-Infrastruktur – und drei Tippfehler-Versionen von „Axios“. Sie enthalten Botnet-Schadfunktionen, die infizierte Systeme in ein DDoS-Netzwerk integrieren. Ziel seien Programmierer mit dicken Fingern, erklären die IT-Forscher. Die Anzahl wöchentlicher Downloads liegt derzeit bei rund 2600, was für npm-Pakete tatsächlich wenig ist. Einige weitere Kopien listet OXsecurity [2] auf. Eine Schwemme an npm-Wurm-Paketen steht zu erwarten, da nun viele Interessierte auf dem Quellcode aufbauen können.
Dazu passt auch, dass Microsofts Threat Intelligence eine aufkommende Mini-Shai-Hulud-Lieferkettenattacke untersucht, wie die Gruppe auf Bluesky erklärt [3]. Die Angreifer haben es auf „antv“ abgesehen – sie konnten ein Konto eines Projekt-Maintainers kompromittieren und haben infizierte Versionen von weit verbreitet eingesetzten Paketen veröffentlicht, etwa „antv/g2“. Diese Pakete kommen als Abhängigkeit weitläufig zum Einsatz. Die kompromittierten Pakete propagierten sich in Bibliotheken wie „echarts-for-react“, wodurch ein großer Bereich von Apps und Build-Systemen betroffen sind.
Der Schadcode dient auch hier dazu, Zugangsdaten zu suchen und auszuschleusen. Begehrte Ziele sind persönliche GitHub-Zugriffstoken, OpenID-Token, Amazon AWS-Zugangsdaten und Sicherheitstoken, SSH-Keys, Kube-Konfigurationen oder andere Software-as-a-Service-Token, schreibt Microsoft. Eine Verknüpfung zum Shai-Hulud-Open-Source-Code erwähnt Microsoft allerdings nicht.
Der npm-Wurm Shai-Hulud hat Softwareentwickler im Visier. In sogenannten Lieferkettenangriffen ist der Schadcode in npm-Paketen eingebettet, die Programmierer in ihre Projekte einbinden. Dazu setzen die Malware-Autoren in der Regel auf Namensähnlichkeiten zu populären Paketen oder auf Tippfehler-Varianten der Namen der echten Pakete. Sofern die schädlichen npm-Pakete eingebunden sind, läuft auch der Schadcode mit. Shai-Hulud 2 hatte im vergangenen November so mehr als 27.000 Zugangsdaten geklaut [4]. Damit können die Angreifer etwa kostspielige Ressourcen bei Cloudanbietern missbrauchen oder Spionage betreiben und weitere Pakete infizieren.
URL dieses Artikels:
https://www.heise.de/-11299094
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
(Bild: Shutterstock/chanpipat)
Mehrere Sicherheitslücken in BigBlueButton ermöglichen Angreifern, Netze auszuforschen oder sich als andere User auszugeben.
Drei Sicherheitslücken in der quelloffenen Web-Konferenzsoftware BigBlueButton ermöglichen Angreifern, sich etwa als andere Nutzerinnen und Nutzer auszugeben oder sensible Informationen aus dem Netzwerk abzugreifen. Aktualisierte Softwareversionen, die die Schwachstellen ausbessern, stehen bereit.
Die Schwachstelleneinträge sind am Ende vergangener Woche erschienen. Demnach konnten beliebige User gültige Anfragen an Endpoints senden, die ohne eine Checksumme auskamen (CVE-2026-46353 [1], CVSS 8.1, Risiko „hoch“). Das geht auf eine unzureichende Zugriffskontrolle zurück. Außerdem führt die Nutzung von unzureichend zufälligen Zufallszahlen dazu, dass sich Session-Tokens von Nutzerinnen und Nutzern erraten lassen. Dadurch können Angreifer sich als diese Nutzer ausgeben (CVE-2026-46351 [2], CVSS 8.1, Risiko „hoch“). Bösartige Akteure, die anderweitig Zugriff erhalten haben, können Inhalte im Netz ausforschen aufgrund einer Schwachstelle vom Typ Server-Side Request Forgery (SSRF) (CVE-2026-46404 [3], CVSS 6.8, Risiko „mittel“).
Die ersten beiden Schwachstellen korrigiert die BigBlueButton-Software ab Version 3.0.21. Die ist der Release-Übersicht zufolge [4] seit Ende Januar verfügbar. Version 3.0.23 von Mitte März stopft das SSRF-Sicherheitsleck.
BigBlueButton kommt oft im Universitätsumfeld oder bei dem Schulkommunikationssystem iServ zum Einsatz. Admins sollten sicherstellen, hier zeitnah mindestens auf die fehlerbereinigten Versionen zu aktualisieren. Da Informationen zu Sicherheitslücken teils jedoch mit sehr langem Verzug gemeldet werden, empfiehlt sich das Upgrade auf die aktuelle Version, zum Meldungszeitpunkt 3.0.27. Darin könnten bereits weitere Sicherheitslücken geschlossen sein, von denen die Öffentlichkeit erst in Wochen erfährt.
Mitte vergangenen Oktober gab es zuletzt Hinweise über signifikante Sicherheitslücken in BigBlueButton [5]. Die wurden dort mit Version 3.0.13 der Konferenzsoftware geschlossen.
URL dieses Artikels:
https://www.heise.de/-11298922
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Was unsere Redakteurin gerne bedacht hätte, bevor sie nur mit ihrem iPhone ausgestattet verreiste und das Gerät gestohlen wurde.
Ein Montag im Herbst 2025 in Barcelona: Die Sonne schien, ich bummelte mit einer Freundin entspannt durch die engen Gassen der katalonischen Hauptstadt – bis ich bemerkte, dass mein Handy fehlt. Das Wochenende zuvor war ich auf dem Mozilla Festival gewesen, einer von Mozilla ausgerichteten Konferenz, die sich um das Internet, KI und Datenschutz drehte.
Ich leerte den kompletten Inhalt meiner Tasche auf den Bürgersteig aus und sammelte die Gegenstände einzeln wieder ein – kein Handy. Ich bat meine Freundin, die Nummer anzurufen – kein Klingeln weit und breit. Vielleicht hatte ich es verloren oder irgendwo liegengelassen? Ich versuchte sofort, mich über das Android-Gerät meiner Freundin in mein Apple-Benutzerkonto einzuloggen, um das iPhone über die „Wo ist?“-Funktion zu orten. Dass mir das Befolgen gängiger IT-Sicherheitsempfehlungen zum Verhängnis werden könnte, hatte ich nicht auf meiner Bingo-Karte.
„Wo ist“ kann man alternativ zur nativen App auch über den Browser aufrufen [8] [8], um den Standort von Apple-Geräten abzurufen, Töne abzuspielen und sie in den Verloren-Modus zu setzen, sofern man die mit dem Apple-Konto verknüpfte E-Mail-Adresse oder Telefonnummer und das zugehörige Passwort kennt. Den zweiten Faktor – ich hatte die Zwei-Faktor-Authentifizierung für meinen Apple-Account [9] [9] vor langer Zeit aktiviert – braucht man dafür nicht.
URL dieses Artikels:
https://www.heise.de/-11241371
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Apples Live Recognition: Hilft nicht nur sehbehinderten Menschen.
(Bild: Apple)
Mit den nächsten Versionen von iOS, iPadOS, watchOS und macOS plant Apple neue Features nicht nur für Menschen mit Behinderung. Sie nutzen Apple Intelligence.
Apple hat diverse Verbesserungen für seine Barrierefreiheitsfunktionen angekündigt, die unter anderem VoiceOver, Voice Control, den Accessibility Reader sowie die Untertitelung von Videos betreffen. Außerdem zeigte der Konzern, wie sich per Augentracking mit der Vision Pro ein Rollstuhl bedienen lässt. Die Features sollen in den kommenden Monaten freigegeben werden, vermutlich zusammen mit iOS 27, iPadOS 27, macOS 27 und watchOS 27, die für Herbst erwartet werden. Die neuen Betriebssysteme stellt Apple am 8. Juni auf seiner Entwicklerkonferenz WWDC 2026 [1] vor.
Mit VoiceOver ist es bekanntermaßen möglich, sich die Oberfläche von Apple-Geräten erklären zu lassen, um sie dann direkt zu bedienen – etwa, wenn man sehbehindert ist. Die Funktion kann aber auch die Umgebung beschreiben. Mit dem sogenannten Image Explorer erlaubt es VoiceOver künftig, alle auf dem System auftauchenden Bilder zu analysieren. Dank Apple Intelligence soll das bei Fotos, Dokumenten, gescannten Rechnungen und mehr möglich sein – auch wenn es sich um reine Bilddateien handelt. Die verbesserte Lupe (Magnifier) nutzt ebenfalls KI, um die Umgebung zu beschreiben und stellt dies dann so dar, dass es auch Menschen mit geringer Sehkraft sehen können.
(Bild: Apple)
Die sogenannte Live Recognition über die Aktionstaste des iPhone erkennt, was im Sichtfeld ist und erlaubt das Stellen von Fragen – etwa, was auf einem Fahrstuhl gedruckt steht. Erstmals ist es möglich, Folgefragen zu stellen, die sich auf das bereits Gesagte beziehen. Voice Control, die Systemsteuerung per Sprache für Menschen, die das Apple-Gerät nicht oder nur schwer direkt bedienen können, versteht nun natürliche Sprache besser, was auf iPhone und iPad funktioniert. Statt bestimmte Bereiche des Bildschirms nennen zu müssen, können Benutzer beispielsweise sagen, dass der „gelbe Ordner“ geöffnet werden soll. Auch Knöpfe und Steuerelemente lassen sich so aktivieren. Das KI-gestützte Voice Control ist zudem hilfreich, wenn App-Entwickler nicht oder nur teilweise korrekte Labels für Bedienbereiche gesetzt haben.
Weitere Neuerungen betreffen den sogenannten Accessibility Reader. Dieser bietet spezielle Lesemodi vorhandener Dokumente an, ausgerichtet etwa nach Sehvermögen oder Dyslexie. Das System kann etwa wissenschaftliche Artikel oder PDFs aufbereiten, kommt mit Bildern, Tabellen und mehreren Spalten klar. Dank Apple Intelligence sollen Analyse und Darstellung verbessert worden sein, auch eine integrierte Übersetzung ist vorhanden. Schließlich gibt es Zusammenfassungen und tiefe Konfigurationsmöglichkeiten, was Schrift, Farbe und Layout betrifft.
(Bild: Apple)
Zunächst leider nur für das US-Englische vorgesehen ist eine neue KI-Untertitelfunktion. Diese ist für alle Videos – also auch solche, die man selbst aufgenommen hat – verfügbar und lässt sich beliebig an- und ausschalten. Apple teilte nicht mit, wann es weitere Sprachvarianten gibt. Da die Technik seit Jahren etwa bei YouTube mehrsprachig zum Einsatz kommt, bleibt eine baldige Umsetzung zu erhoffen. Bis dahin lassen sich die vorhandenen Live-Untertitel [2] verwenden.
Eine beeindruckende neue Funktion hat Apple im Zusammenhang mit seinem Headset Vision Pro [3] demonstriert: Zusammen mit TOLT Technologies und LUCI wird es eine Software geben, bei der man einen Rollstuhl über Augentracking steuern kann. Nutzer müssen dazu nur auf bestimmte virtuelle Buttons im Sichtfeld schauen. Die Technik funktioniert sowohl über Bluetooth als auch drahtgebunden (wobei unklar blieb, ob dann ein Dev Strap [4] notwendig ist) und soll dank API künftig auch anderen Anbietern voll motorisierten Rollstühlen zur Verfügung gestellt werden. Preise nannte Apple nicht, doch allein die Vision Pro kostet mindestens 3700 Euro.
(Bild: Apple)
Apple wollte auf Nachfrage nicht mitteilen, wie stark serverbasierte KI für die neuen Funktionen verwendet wird. Wie bei Apple Intelligence üblich, teilt sich die Benutzung auf lokale Modelle und solche in Apples Private-Cloud-Compute-Umgebung [5] (PCC) auf. Die Frage ist nun, was passiert, wenn man beispielsweise in einer U-Bahn-Station steht, in der kein Mobilfunkempfang verfügbar ist. Welche Fallback-Mechanismen hier geplant sind, muss erst die Erprobung zeigen. Apple teilte wie üblich nicht mit, wann die neuen Features kommen und ob sie Teil der Betaversionen von iOS 27 und Co. sein werden. Funktionen zur Barrierefreiheit sind oft auch für Menschen ohne Handicap sehens- und nutzenswert. Oft landen sie auch in abgewandelter Form im „normalen“ Betriebssystem [6].
URL dieses Artikels:
https://www.heise.de/-11298952
Links in diesem Artikel:
Copyright © 2026 Heise Medien
macOS 26 auf verschiedenen Macs.
(Bild: Apple)
Apple hat Details zu Fehlerbehebungen und anderen Optimierungen in der jüngsten Tahoe-Inkarnation publiziert, die für Firmenkunden und Admins gedacht sind.
Apple hat im Rahmen von macOS 26.5 [1] auch für Administratoren und Enterprise-Nutzer verschiedene Funktionen nachgelegt – beziehungsweise für den Geschäftsbetrieb notwendige Bugfixes vorgenommen. Ein entsprechendes Informationsdokument [2] hat das Unternehmen inzwischen nachgereicht. Admins und MDM-Verantwortliche sollten es sich schnellstmöglich durchlesen.
Im Gegensatz zum Vorgänger macOS 26.4.1, bei dem Apple nur Probleme mit 802.1X-WLANs [3] behoben hatte, die bei bestimmten Maschinen mit M5-Prozessor und aktivem Inhaltefilter auftraten, sind die Firmen betreffenden Fixes in macOS 26.5 umfangreicher. So kam es vor, dass Macs nach einem Software-Update mit schwarzem Bildschirm starteten – ob dies nur gemanagte Systeme betraf oder alle Rechner, ließ Apple offen.
Beim Mounten von SMB-Shares kam es zudem zu Neustarts des gesamten Systems, ebenso beim Einsatz von „einigen“ Inhaltefilter-Erweiterungen bei MacBook Air M5 sowie MacBook Pro M5 Pro und M5 Max. Nutzten Unternehmen Smartcards zum Einloggen am Mac, konnte dieser trotz erfolgreicher Anmeldung Passwortfehler zeigen. Schließlich zeigen X11-Apps, die XQuartz nutzen (was sehr selten vorkommen sollte) nun wieder korrekte Fenster, wenn deren Größe verändert wurde.
Apple hat zudem einen Fehler behoben, bei denen Root- und Intermediate-Zertifikate beim Erneuern des Enrollments eines MDM-Geräts nicht aktualisiert wurden. Die letzte Neuerung betrifft SMB-Verbindungen bei Macs ohne Anbindung an ein Active Directory: Hier werden nun DNS-SRV-Lookups für die nsmb.conf konfigurierten Adressen _ldap._tcp.<serverName> und _gc._tcp.<serverName> durchgeführt. Werden Domänencontroller gefunden, versucht der Client, sich der Reihe nach bei diesen anzumelden. Geht das wiederum schief, nutzt der Client als Fallback den ursprünglichen Servernamen.
Die Installation von macOS 26.5 sollte auch deshalb schnell erfolgen, weil Apple wie üblich zahlreiche Sicherheitsprobleme behoben [4] hat, von denen einige auch aus der Ferne angegriffen werden können. Insgesamt sind es über 50 im Detail dokumentierte Bugs plus mehr als zwei Handvoll Lücken, die Apple nicht näher beschreibt.
URL dieses Artikels:
https://www.heise.de/-11297288
Links in diesem Artikel:
Copyright © 2026 Heise Medien
FreshRSS