Ein supraleitender Quantencomputer mit 1.200 fehlerkorrigierten Qubits – in echter Hardware entspricht das weniger als 500.000 physischen Qubits – und 90 Millionen Rechenschritten könnte den privaten Schlüssel eines Bitcoin-Nutzers berechnen – also die kryptografische Grundlage der Bitcoin-Sicherheit brechen. Bitcoins durchschnittliche „Blockzeit“ – also der Abstand zwischen zwei dauerhaft gespeicherten Transaktionsbündeln – beträgt zehn Minuten.

Laut dem Whitepaper von Google Quantum AI ließe sich die Verschlüsselung jedoch im günstigsten Fall in neun Minuten aushebeln. Den zugehörigen Zero-Knowledge-Beweis nebst Quellcode liefern die Forscher gleich mit.

Wie der Angriff funktioniert

Die Sicherheit von Bitcoin beruht auf einem mathematischen Versprechen: Jeder Nutzer hat zwei zusammengehörige Schlüssel – einen öffentlichen, den jeder sehen darf, und einen privaten, den nur der Besitzer kennt. Wer Coins ausgeben will, muss mit einer digitalen Signatur beweisen, dass er den privaten Schlüssel kennt. Den privaten Schlüssel aus dem öffentlichen zurückzurechnen, gilt für klassische Computer als praktisch unmöglich.

Quantencomputer brechen diese Einbahnstraße mit dem sogenannten Shor-Algorithmus – entwickelt 1994 vom Mathematiker Peter Shor. Er kann bestimmte mathematische Strukturen, die klassischer Kryptografie zugrunde liegen, direkt erkennen und ausnutzen. Was für normale Computer eine schier unendliche Suchaufgabe ist, wird für einen ausreichend großen Quantencomputer zu einer lösbaren Rechenaufgabe.

Wenn ein Bitcoin-Nutzer eine Transaktion sendet, landet sie zunächst im sogenannten Mempool – einem öffentlich einsehbaren Wartespeicher aller noch nicht bestätigten Transaktionen. Dort ist der öffentliche Schlüssel des Absenders für jeden sichtbar. Erst nach durchschnittlich zehn Minuten wird die Transaktion von einem Miner – einem am Netzwerk beteiligten Rechner – in einem Block dauerhaft gespeichert. Genau in diesem Fenster setzt der beschriebene Angriff an: Ein Quantencomputer liest den öffentlichen Schlüssel aus, berechnet daraus den privaten Schlüssel und sendet eine gefälschte Transaktion mit höherer Gebühr ab – die Miner bevorzugen sie, die Originaltransaktion wird verdrängt.

Videos by heise

Die effektive Angriffsdauer lässt sich dabei auf etwa neun Minuten halbieren, weil ein Teil der Berechnung bereits im Voraus durchgeführt werden kann – der Quantencomputer wartet dann vorbereitet auf den öffentlichen Schlüssel des Opfers.

Nicht alle Quantencomputer wären dabei gleich gefährlich. Während Google weiterhin auf supraleitende Systeme setzt, werden nun auch alternative Architekturen für Angriffe relevant. Photonische Quantencomputer und siliziumbasierte Architekturen hätten die nötige Geschwindigkeit für Echtzeit-Angriffe auf laufende Transaktionen. Langsamere Systeme wie Ionenfallen-Quantencomputer, die einzelne Atome als Qubits nutzen, könnten hingegen nur Adressen angreifen, deren öffentlicher Schlüssel bereits dauerhaft auf der Blockchain sichtbar ist – also etwa alte, nie bewegte Wallets, bei denen der Angreifer Tage oder Wochen Zeit hat.

Eine Größenordnung effizienter als bisher bekannt

Der entscheidende Fortschritt des Papers liegt nicht im Algorithmus selbst, sondern in seiner Effizienz. Frühere Schätzungen gingen von rund 200 Millionen Rechenschritten und neun Millionen physischen Qubits aus. Google kommt auf 70 Millionen Rechenschritte und weniger als 500.000 Qubits. Das Gesamtprodukt aus benötigten Rechenschritten und Qubits – das sogenannte Raumzeit-Volumen, das den eigentlichen Hardwareaufwand bestimmt – verbessert sich damit um etwa eine Größenordnung.

Erreicht wird das durch zwei zentrale Hebel, die zusammenwirken.

Der Erste ist Windowed Arithmetic. Der Kern des Angriffs ist die wiederholte Addition von Punkten auf einer elliptischen Kurve – der speziellen geometrischen Struktur, auf der Bitcoins Kryptografie beruht. Naiv ausgeführt erfordert das 512 einzelne kontrollierte Operationen. Die Forscher fassen je 16 Schritte zu einem „Fenster“ zusammen und berechnen die möglichen Ergebnisse vorab klassisch. Das reduziert die Zahl der nötigen Quantenoperationen auf 28 – also auf etwa ein Achtzehntel.

Der zweite Hebel betrifft die Fehlerkorrektur. Qubits sind fehleranfällig – ein einzelner logischer Qubit, der zuverlässig funktioniert, erfordert viele physische Qubits als Absicherung. Wie viele hängt stark von der Anordnung der Fehlerkorrektur ab. Google nutzt hier sogenannte Yoked Surface Codes – eine besonders dichte Packung der Korrekturschaltkreise –, die den Bedarf an physischen Qubits von neun Millionen auf unter 500.000 senkt. Dabei gilt: Die 1.200 logischen Qubits des Algorithmus sind fehlerkorrigierte, zuverlässige Recheneinheiten. In echter Hardware benötigt man für jeden davon etwa 400 fehleranfällige physische Qubits als Absicherung – woraus sich der Gesamtbedarf von unter 500.000 physischen Qubits ergibt.

Hinzu kommen kleinere, aber wirksame Optimierungen. Eine Technik namens Measurement-Based Uncomputation ersetzt aufwendige Rückrechnungsschritte durch gezielte Messungen und halbiert damit einen Teil der Rechenschritte. Und durch geschicktes Recycling eines einzelnen kleinen Quantenregisters – statt zwei großer Register, wie Shors Algorithmus es naiv erfordern würde – lässt sich der Qubit-Bedarf weiter senken.

Diese Tricks sind nicht neu – einige wurden in früheren Arbeiten bereits beschrieben. Was das Paper neu macht, ist ihre konsequente Kombination in einer gemeinsamen Schaltkreisarchitektur. Das Ergebnis soll laut Google ein Quantenschaltkreis sein, der kompakter, schneller und mit weniger Hardware auskommt als alles bisher Veröffentlichte.

Wie weit sind heutige Quantencomputer?

Den beschriebenen Angriff kann heute kein existierender Quantencomputer durchführen. IBMs aktueller Nighthawk-Prozessor arbeitet mit 120 physischen Qubits, das finnische Unternehmen IQM hat mit seinem Halocene-System einen 150-Qubit-Chip angekündigt. Googles Willow-Prozessor bewegt sich in ähnlichen Größenordnungen. Für einen Bitcoin-Angriff wären 500.000 physische Qubits nötig – also etwa das Dreitausend- bis Viertausendfache der leistungsfähigsten heute verfügbaren Systeme. Einen detaillierten Überblick über den aktuellen Stand der verschiedenen Architekturen bietet der Hintergrundartikel „Status quo: Wie weit Quantenhardware im Jahr 2026 ist“.

Manche Hersteller streben Systeme mit zwei Millionen physischen Qubits bereits für 2030 an. Sollten diese Pläne auch nur annähernd eingehalten werden, wäre die für einen Bitcoin-Angriff nötige Schwelle theoretisch in der zweiten Hälfte der 2030er-Jahre erreichbar – vorausgesetzt, die Fehlerkorrektur hält mit dem Qubit-Wachstum Schritt, was keineswegs garantiert ist. Die Google-Forscher warnen jedoch ausdrücklich davor, aus dem heutigen Rückstand Entwarnung abzuleiten: Algorithmusverbesserungen wie die im Paper beschriebenen haben die Anforderungen in den vergangenen Jahren kontinuierlich gesenkt. Gleichzeitig ist nicht auszuschließen, dass entscheidende Fortschritte zunächst nicht öffentlich bekannt werden.

Millionen Bitcoin als dauerhaftes Angriffsziel

Unabhängig von der Frage der Transaktionsgeschwindigkeit gibt es eine zweite, strukturelle Bedrohung, die keine Echtzeit-Fähigkeit erfordert: Adressen, deren öffentlicher Schlüssel bereits dauerhaft sichtbar ist. Laut Paper sind derzeit rund 6,9 Millionen Bitcoin durch exponierte öffentliche Schlüssel gefährdet – darunter rund 1,7 Millionen BTC in sogenannten P2PK-Adressen, einem veralteten Adressformat aus der Frühzeit von Bitcoin, bei dem der öffentliche Schlüssel direkt auf der Blockchain gespeichert ist. Darunter befinden sich auch Coins, die Satoshi Nakamoto, dem anonymen Bitcoin-Erfinder, zugeschrieben werden.

Rund 2,3 Millionen dieser gefährdeten BTC wurden seit mindestens fünf Jahren nicht bewegt. Diese „schlafenden“ Coins können nicht auf sichere Adressen migriert werden – ihre Besitzer sind nicht erreichbar oder die privaten Schlüssel sind verloren. Sie bleiben damit ein dauerhaftes Angriffsziel mit einem Gegenwert im dreistelligen Milliardenbereich.

Ethereum: Strukturell breiter gefährdet

Während Bitcoin primär durch exponierte Schlüssel gefährdet ist, hat Ethereum ein strukturell breiteres Angriffsprofil. Auch Ethereum verwendet wie Bitcoin digitale Signaturen auf Basis des Elliptic Curve Digital Signature Algorithm (ECDSA) und ist damit grundsätzlich durch Quantenangriffe gefährdet – die größere Angriffsfläche ergibt sich jedoch aus der Systemarchitektur. Die Plattform führt nicht nur Transaktionen durch, sondern auch komplexe Programme – sogenannte Smart Contracts –, die Vermögenswerte verwalten und Regeln durchsetzen, ohne dass ein Mittelsmann nötig ist.

Ethereum-Konten legen nach der ersten Transaktion ihren öffentlichen Schlüssel dauerhaft offen – rund 20,5 Millionen ETH in den tausend wertvollsten Konten sind dadurch gefährdet. Besonders heikel ist die Lage bei Smart Contracts, die oft von wenigen privilegierten Konten verwaltet werden: Wer deren privaten Schlüssel kennt, kontrolliert den gesamten Vertrag – und damit laut Paper rund 200 Milliarden US-Dollar in Stablecoins und tokenisierten realen Vermögenswerten wie Anleihen oder Immobilienfonds. Hinzu kommen rund 37 Millionen ETH im sogenannten Staking – Coins, die Nutzer als Sicherheit hinterlegen, um am Validierungsprozess des Netzwerks teilzunehmen –, die durch angreifbare Signaturen gefährdet sind. Besonders kritisch: Beim Datenverfügbarkeitsmechanismus von Ethereum würde ein einmaliger Quantenangriff ausreichen, um eine dauerhaft nutzbare Hintertür zu erzeugen, die danach ohne Quantencomputer funktioniert.

Offenlegung ohne Angriffsblaupause

Die Forscher veröffentlichen die konkreten Quantenschaltkreise bewusst nicht, um potenziellen Angreifern keine Blaupause zu liefern. Stattdessen nutzen sie einen sogenannten Zero-Knowledge-Beweis – eine mathematische Methode, mit der man beweisen kann, dass man etwas weiß, ohne das Wissen selbst preiszugeben. Unabhängige Prüfer können damit verifizieren, dass die beschriebenen Schaltkreise existieren und die behaupteten Ressourcen einhalten – ohne die sicherheitskritischen Details zu erhalten.

Migration zur Quantensicherheit – aber wie?

Die Forscher empfehlen eine sofortige Migration zu sogenannter Post-Quantum-Kryptografie, bei der Google bereits auf einen deutlich strafferen Zeitplan setzt als staatliche Stellen – Verschlüsselungsverfahren, die auch Quantencomputern widerstehen. Das US-Standardisierungsinstitut NIST hat dafür bereits erste Standards verabschiedet, darunter das gitterbasierte Signaturverfahren Dilithium und das hashbasierte SPHINCS+. Beide nutzen mathematische Probleme, für die kein effizienter Quantenalgorithmus bekannt ist. Auch das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, klassische asymmetrische Verschlüsselungsverfahren ab 2032 nur noch in Kombination mit Post-Quantum-Kryptografie einzusetzen.

Für Kryptowährungen ist das leichter gesagt als getan. Die Migration erfordert Protokolländerungen, die in dezentralen Netzwerken einen breiten Konsens benötigen – ein langwieriger Prozess. Auf der Bitcoin-Blockchain würde allein die Übertragung aller Coins auf neue, quantensichere Adressen bei aktuellem Transaktionsdurchsatz mehrere Monate dauern. Als kurzfristige Schutzmaßnahmen empfehlen die Autoren außerdem, öffentliche Schlüssel nicht wiederzuverwenden und private Mempools zu nutzen, bei denen Transaktionen nicht öffentlich einsehbar sind.

Lesen Sie auch

Q-Day näher als gedacht? Google drückt bei der Quantensicherheit aufs Tempo

Android 17: Google sichert sein OS gegen Quantencomputer ab

Quantencomputer: Google erforscht nun auch neutrale Atome

Patentrekord 2025: China stürmt in europäische Top 3 und treibt den KI-Wettlauf

Begründer der Quanteninformatik mit dem Turing Award ausgezeichnet

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

XZ Utils 5.8.3: Sicherheitsupdate mit unklarem Risiko

2026-04-02T10:05:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Die Entwickler der weitverbreiteten XZ Utils haben eine aktualisierte Version veröffentlicht, die Sicherheitslücken ausbessert.

(Bild: heise online / dmk)

12:05 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Die Version 5.8.3 der XZ Utils stopft unter anderem Sicherheitslecks. Über deren Schweregrad herrscht Uneinigkeit. Admins sollten zur Sicherheit nach aktualisierten Paketen Ausschau halten und diese zeitnah installieren.

Die Release-Ankündigung der XZ Utils 5.8.3 listet die Änderungen auf. Sie bessert eine Schwachstelle in der Funktion lzma_index_append() aus, die in einen Pufferüberlauf münden kann – „unter Bedingungen, die wahrscheinlich nicht in einer echten App existieren“, wie die Programmierer schreiben (CVE-2026-34743). „Die lzma_index-Funktionen werden selten direkt von Anwendungen verwendet. In den wenigen Anwendungen, die diese Funktionen nutzen, ist es unwahrscheinlich, dass die Kombination von Funktionsaufrufen vorkommt, die diesen Fehler auslöst, da es in der Regel keinen Grund gibt, Records an einen dekodierten lzma_index anzuhängen“, liefern sie als Einschätzung.

Auf der OSS-Sec-Mailingliste springt Gentoo-Entwickler Sam James der Einschätzung bei, dass die Lücke eine unübliche Nutzung einer selten aufgerufenen API voraussetzt. Das IT-Sicherheitsunternehmen Tenable schätzt die Lücke hingegen als Risikostufe „kritisch“ ein. Auch das CERT-Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt auf einen CVSS-Score von 9.8 mit Risiko „kritisch“.

XZ Utils: Weitere Schwachstelle korrigiert

Die aktualisierte Fassung der XZ Utils korrigiert außerdem ein Problem, das in Speicherzugriffen auf dafür nicht vorgesehene Bereiche münden kann – zumindest auf 32-bittigen Systemen und mit einigen Vorbedingungen. Die Lücke hat keinen CVE-Schwachstelleneintrag erhalten.

Videos by heise

Die Sicherheitslücke CVE-2026-34743 betrifft die XZ Utils ab Version 5.0.0. Die Entwickler veröffentlichen keine neuen Versionen der Entwicklungszweige 5.2.x, 5.4.x oder 5.6.x, haben jedoch die Fehlerkorrekturen in das xz-Git-Repository eingepflegt. Bei Bedarf können Betroffene sich die aktuellen Quellen dort ziehen und selbst kompilieren.

IT-Verantwortliche sollten die Verfügbarkeit von aktualisierten XZ-Util-Paketen bei ihren eingesetzten Distributionen prüfen und diese zeitnah anwenden. Slackware hat inzwischen xz aktualisiert. Debian listet die verwundeten Distributionsversionen auf, hat jedoch noch keine Gefahreneinschätzung vorgenommen und bietet noch keine aktualisierten Pakete an.

Die Kompressionsbibliothek xz war vor zwei Jahren Auslöser für einen Beinahe-GAU. Geheimdienst-Agenten haben Hintertüren in den Code eingeschleust, der als Basisbaustein von vielen weiteren Software-Anwendungen genutzt wird.

(dmk)

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

WhatsApp-Malware-Kampagne installiert Backdoors

2026-04-02T08:01:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Microsoft warnt vor einer Malware-Kampagne, die über WhatsApp-Nachrichten bösartige Software ausliefert und Systeme kompromittiert.

Sicherheitsprobleme betreffen den WhatsApp-Desktop.

(Bild: heise medien)

10:01 Uhr

Lesezeit: 3 Min.

Security

Von

Dirk Knop

Microsoft hat eine Malware-Kampagne beobachtet, bei der Angreifer VBS-Dateien (Visual Basic Script) in WhatsApp-Nachrichten versenden. Führen Opfer diese aus, löst das eine mehrstufige Infektionskette aus, an deren Ende die Angreifer Fernzugriff erhalten und sich im System einnisten. Besonders gefährdet sind Nutzer und Nutzerinnen der WhatsApp-Desktop-Version unter Windows, da die bösartigen Skripte sich dort ohne Umwege ausführen lassen.

In einem Blog-Beitrag warnt das Microsoft-Defender-Securityteam vor dieser Kampagne, die Ende Februar ihren Anfang nahm. Die Angreifer setzen dazu auf Social Engineering und sogenannte „Living-off-the-land“-Techniken (auch unter dem Kürzel „LOLbins“ bekannt), nutzen also vom Betriebssystem mitgelieferte ausführbare Dateien für den Angriff. Die am Ende installierte Malware im MSI-Format (Microsoft Installer) kommt schließlich aus der Cloud.

WhatsApp als Einstiegspunkt der Angriffskette

Beispiele von beobachteten Nachrichten nennen die IT-Forensiker nicht, erklären jedoch, dass die bösartigen VBS-Dateien als WhatsApp-Nachrichten bei den Opfern landen und somit das Vertrauen in die bekannte Kommunikationsplattform missbraucht werde. Bei der Ausführung legt das Skript versteckte Ordner unter „C:\ProgramData“ an und speichert dort umbenannte Versionen legitimer Windows-Werkzeuge wie „curl.exe“ – in „netapi.dll“ umbenannt – oder „bitsadmin.exe“ als „sc.exe“.

Beim nächsten Schritt lädt die Malware mit den umbenannten Binärdateien weitere Dropper wie „auxs.vbs“ und „WinUpdate_KB5034231.vbs“ aus oftmals als vertrauenswürdig eingestuften Cloudspeichern wie AWS S3, der Tencent Cloud oder Backblaze B2 nach. Das verschleiert die bösartigen Aktivitäten als legitimen Netzwerkverkehr, erklären die Microsoft-Mitarbeiter.

Nach dem Herunterladen verändert die Malware Einstellungen der Benutzerkontensteuerung, um durch das Deaktivieren von UAC-Prompts die Verteidigungsmechanismen des Windows-Systems zu schwächen. Es startet wiederholt die Eingabeaufforderung „cmd.exe“ mit erhöhten Rechten, bis die Rechteerhöhung funktioniert hat oder der Prozess gewaltsam abgebrochen wurde. Durch Veränderungen von Registry-Einträgen unter „HKLM\Software\Microsoft\Win“ verankert sich der Schadcode und erreicht Persistenz über Reboots hinweg.

Die darauffolgende letzte Stufe lädt unsignierte MSI-Installer mit Namen wie Setup.msi, WinRAR.msi, LinkPoint.msi und AnyDesk.msi nach. Die enthalten Fernsteuerungssoftware wie AnyDesk und ermöglichen Angreifern nachhaltigen Fernzugriff zum Ausleiten von Daten, Installieren weiterer Malware oder zum Missbrauch kompromittierter Maschinen als Teil eines größeren Netzwerks infizierter Geräte, führen die Analysten aus. Insbesondere in Unternehmensumgebungen sind solche MSI-Installer für die Softwareverwaltung typisch und sollen so unter dem Radar bleiben.

Interessierte finden in der Analyse Tipps und Hinweise, wie IT-Verantwortliche ihre Netzwerke vor solchen Angriffen schützen können. Dazu gehört das Blockieren von Scripting-Hosts auf Endpoints oder die Überwachung von Cloud-Traffic, aber auch die Mitarbeitersensibilisierung.

Videos by heise

Nutzer und Nutzerinnen von populären Messengern, insbesondere herausragende Persönlichkeiten oder höherrangige Beamte und Politiker, stehen in jüngerer Zeit oftmals im Visier von Angreifern. Etwa Ende vergangenen Jahres haben Cyberkriminelle mit ausgefeilten Social-Engineering-Taktiken versucht, Zugriff auf die Messenger-Apps potenzieller Opfer zu erlangen und diese so auszuspähen. Insbesondere bei Nachrichten von Unbekannten ist daher besondere Vorsicht angebracht.

(dmk)

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Cisco stopft teils kritische Lücken in mehreren Produkten

2026-04-02T05:51:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Am Mittwoch hat Cisco neun Sicherheitswarnungen herausgegeben. Sie behandeln teils kritische Lücken in mehreren Produkten.

(Bild: Michael Vi/Shutterstock.com)

07:51 Uhr

Lesezeit: 3 Min.

Security

Von

Dirk Knop

Am Mittwoch dieser Woche hat der Netzwerkausrüster Cisco neun Sicherheitsmitteilungen veröffentlicht. Sie behandeln zum Teil kritische Schwachstellen in mehreren Produkten des Unternehmens. Admins sollten bereitstehende Aktualisierungen zügig anwenden.

In Ciscos Smart Software Manager On-Prem (SSM On-Prem) können nicht authentifizierte Angreifer aus dem Netz beliebige Befehle ins Betriebssystem des Hosts schleusen und dort ausführen. Ursache ist ein unabsichtlich extern erreichbarer Dienst. Durch das Senden manipulierter Pakete an die API des Dienstes können Angreifer Befehle als root ausführen (CVE-2026-20160, CVSS 9.8, Risiko „kritisch“). Zudem können Angreifer in Ciscos Integrated Management Controller (IMC) die Authentifizierung umgehen. Das liegt an nicht näher erläuterten Fehlern im Verarbeiten von Passwort-Änderungsanfragen. Bösartige Akteure können das mit sorgsam präparierten HTTP-Anfragen ohne vorherige Authentifizierung missbrauchen, um Passwörter beliebiger Nutzer einschließlich „Admin“ zu verändern und damit Zugang zu erlangen (CVE-2026-20093, CVSS 9.8, Risiko „kritisch“).

Weitere hochriskante Cisco-Schwachstellen

Die webbasierte Verwaltungsoberfläche von Ciscos IMC weist zudem mehrere weitere Lücken auf, die angemeldeten Angreifern aus dem Netz das Ausführen beliebigen Codes aus dem Netz oder das Einschleusen von Befehlen ans Betriebssystem sowie die Ausweitung der Rechte zu root ermöglichen (CVE-2026-20094, CVSS 8.8, Risiko „hoch“; CVE-2026-20095, CVE-2026-20096, CVE-2026-20097, alle CVSS 6.5, Risiko „mittel“). Im webbasierten Management-Interface von Ciscos Evolved Programmable Network Manager (EPNM) prüft ein REST-API-Endpunkt die Autorisierung nicht korrekt. Dadurch können angemeldete Nutzer aus dem Netz unbefugt auf sensible Informationen zugreifen (CVE-2026-20155, CVSS 8.0, Risiko „hoch“). Das Web-Interface von Ciscos SSM On-Prem weist zudem eine Rechteausweitungslücke auf. Angemeldete Nutzer können manipulierte Nachrichten an verwundbare SSM-On-Prem-Systeme senden und dadurch Session-Credentials in nachfolgenden Statusnachrichten erlangen; bei erfolgreicher Attacke können sich Angreifer so administrative Rechte verschaffen (CVE-2026-20151, CVSS 7.3, Risiko „hoch“).

Außerdem warnt Cisco vor vier weiteren Sicherheitslecks:

Cisco Nexus Dashboard Configuration Backup REST API Unauthorized Access Vulnerability (CVE-2026-20042, CVSS 6.5, Risiko „mittel“)
Cisco Nexus Dashboard and Nexus Dashboard Insights Server-Side Request Forgery Vulnerability (CVE-2026-20041, CVSS 6.1, Risiko „mittel“)
Cisco Integrated Management Controller Cross-Site Scripting Vulnerabilities (CVE-2026-20085, CVSS 6.1, Risiko „mittel“; CVE-2026-20087, CVE-2026-20088, CVE-2026-20089, CVE-2026-20090, CVSS 4.8, Risiko „mittel“)
Cisco Nexus Dashboard Insights Arbitrary File Write Vulnerability (CVE-2026-20174, CVSS 4.9, Risiko „mittel“)

Videos by heise

Keine der nun gemeldeten Schwachstellen wird bereits ausgenutzt, ergänzt der Netzwerkausrüster in den Sicherheitsmitteilungen.

Cisco ist jüngst angeblich Opfer eines Cyberangriffs geworden. Kriminelle konnten demnach auf Quellcode aus der Entwicklungsabteilung zugreifen. Das war aufgrund eines Lieferkettenangriffs auf die Python-Bibliothek LiteLLM aus der PyPI-Paketverwaltung möglich.

(dmk)

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Bericht: Cyberkriminelle stehlen Cisco-Quellcode durch gestohlene Credentials

2026-04-02T03:08:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Nach der Supply-Chain-Attacke auf LiteLLM konnten Angreifer auf interne Cisco-Daten zugreifen, heißt es. Sourcecode von Cisco und Kunden wurde wohl gestohlen.

(Bild: Anucha Cheechang/Shutterstock.com)

05:08 Uhr

Lesezeit: 2 Min.

Von

Frank Schräer

Cisco Systems ist angeblich Opfer eines Cyberangriffs geworden, bei dem Kriminelle auf Geräte der Entwicklungsabteilung zugreifen und Quellcode des US-Netzwerkspezialisten sowie von Kunden stehlen konnten. Das berichten anonyme Quellen eines Fachmagazins. Die Angreifer konnten sich demnach Zugriff auf interne Cisco-Daten und -Geräte verschaffen, nachdem sie entsprechende Anmeldeinformationen aus einem kürzlichen Angriff auf eine Open-Source-Bibliothek erlangt hatten.

Nach dieser Supply-Chain-Attacke auf LiteLLM sollten Betroffene ihre Credentials sofort ändern, aber das hat bei Cisco offenbar zu lange gedauert. Erst letzte Woche waren zwei LiteLLM-Pakete im Python Package Index (PyPI) kompromittiert und mit einem Credential-Stealer versehen worden. Dieser ist darauf ausgelegt, Daten abzugreifen, und sucht nach SSH-Keys, Umgebungsvariablen, Cloud-Provider-Credentials (AWS, GCP, Azure), Kubernetes-Token sowie Datenbankpasswörtern.

Cisco Opfer gestohlener GitHub-Credentials

Das betrifft auch Branchengrößen wie Cisco, wie Quellen von Bleeping Computer melden. Demnach konnten Cyberkriminelle anhand gestohlener Schlüssel für Amazon Web Services (AWS) unautorisierte Aktivitäten bei einer begrenzten Zahl von AWS-Konten Ciscos durchführen. Zudem haben die Angreifer durch die gestohlenen Anmeldeinformationen auf interne Systeme von Ciscos Entwicklungsabteilung zugreifen können. Welche Produkte und Kunden von den gestohlenen Quellcodes betroffen sind, ist unklar.

Videos by heise

Denn Cisco hat sich bislang nicht zu dem Vorfall geäußert. Die Quellen berichten aber, dass der Angriff durch entsprechende Maßnahmen eingegrenzt werden konnte. Die betroffenen Systeme wie Entwickler-Workstations würden demnach mit den letzten Backups neu aufgesetzt und Anmeldeinformationen werden weitreichend aktualisiert. Ob es sich bei dem Angreifer um TeamPCP handelt, das für die Supply-Chain-Attacke auf LiteLLM verantwortlich zeichnet, ist offen. TeamPCP greift laut Sicherheitsexperten bereits seit Ende Februar an und hangelt sich dabei offenbar mithilfe der jeweils gestohlenen Credentials von einem Projekt zum nächsten.

Während der jüngsten Cyberattacke wurden mehr als 300 GitHub-Repositories kopiert, heißt es. Das betrifft Quellcode für Produkte künstlicher Intelligenz wie KI-Assistenten, KI-Sicherheitslösungen und bislang unveröffentlichte Produkte. Teile der gestohlenen Repositorys gehören zu Großkunden Ciscos, etwa Banken und US-Behörden.

Lesen Sie auch

Angreifer können Cisco-Firewalls und WLAN-Controller lahmlegen

Cisco schließt teils hochriskante Lücken in IOS XR und Contact Center

Cisco Secure Firewall Management Center über kritische Root-Lücken angreifbar

Cisco rüstet Security-Portfolio für autonome KI-Agenten auf

Cisco: Mit Nutanix zur VMware-Alternative

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

BSI veröffentlicht ersten Leitfaden für Grundschutz++

2026-04-01T15:51:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Das BSI hat nun auch den Leitfaden für die Neufassung seines IT-Grundschutzes herausgebracht. Noch kann es aber zu Änderungen am Grundschutz++ kommen.

(Bild: Superstar / Shutterstock.com)

01.04.2026, 17:51 Uhr

Lesezeit: 2 Min.

iX Magazin

Von

Christoph Puppe

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die erste Version seines Leitfadens zur Methodik des Grundschutzes++ veröffentlicht. Der entsprechende Katalog ist bereits zum 30. September 2025 erschienen. Damit kommt das BSI seiner in der NIS2-Umsetzungsverordnung festgelegten Pflicht nach, einen neuen „Stand der Technik“ zu definieren, der für alle wichtigen und besonders wichtigen Organisationen verpflichtend ist. Die bisherige Fassung des IT-Grundschutzes gilt aber noch bis Ende 2028.

Lesen Sie auch

Cybersicherheit: Das ändert sich durch das NIS2-Umsetzungsgesetz

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

DarkSword: iOS-18-Nutzer erhalten Update außer der Reihe – schnell aktualisieren

2026-04-01T14:03:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Eigentlich sollen iOS-18-Nutzer, die es können, auf iOS 26 aktualisieren, um sicher zu sein. Update-Verweigerern spendiert Apple nun eine Sonderaktualisierung.

iOS 18 ist für Apple längst Vergangenheit – für viele User aber noch nicht.

(Bild: Apple)

Update 01.04.2026, 16:03 Uhr

Lesezeit: 3 Min.

Mac & i

Von

Ben Schwan

Apple wird im Laufe des Mittwochs ein spezielles Update für Nutzer ausliefern, die mit ihren Geräten noch unter iOS 18 verblieben sind. Der Grund: Sie sind möglicherweise für die Malware DarkSword anfällig, die über verschiedene Websites verbreitet wird. Da der Quellcode für den Datenschädling mittlerweile bekannt ist, verbreitet er sich derzeit. Die Infektion beginnt, sobald man eine infizierte Seite im Browser aufruft. Aufgetreten sein soll das bereits auf Websites mit Zielgruppe in der Ukraine, Malaysia, Saudi-Arabien und Türkei. Es kann aber letztlich überall passieren, sofern die Kriminellen die Kontrolle über einen Server haben. DarkSword soll weitgehenden Zugriff auf die Hardware erhalten, kann somit zahlreiche Daten auslesen und exfiltrieren sowie vermutlich auch Kamera und Mikrofon aktivieren.

Ein abgedichtetes iOS 18 ist längst da

In iOS 26 hatte Apple die von DarkSword ausgenutzten Lücken bereits geschlossen. Auch für iOS 18 liegen eigentlich längst Patches vor, zuletzt lieferte Apple zusammen mit iOS 26.4 auch iOS 18.7.7 und iPadOS 18.7.7 aus. Das Problem: Diese Aktualisierungen laufen nur auf iPhone XS, XS Max und XR sowie den iPads der 7. Generation. Dies sind Geräte, die iOS 26 nicht mehr vertragen, aber mit iOS 18 arbeiten. Für alle moderneren iPhones und iPads erwartet Apple eigentlich, dass User auf iOS 26 beziehungsweise iPadOS 26 wechseln. Auch wegen der umstrittenen neuen Oberfläche Liquid Glass taten dies aber nicht alle.

Deswegen will Apple nun eine zusätzliche Version von iOS 18 (und vermutlich iPadOS 18) herausbringen, die mittels Backporting kritische Fehlerbehebungen ausliefern soll. „Wir stellen das iOS-18-Update für weitere Geräte bereit, damit Nutzer, bei denen die automatische Aktualisierung aktiviert ist, wichtige Sicherheitsupdates automatisch erhalten“, so Apple gegenüber dem Magazin Wired. Das heißt: Apple öffnet die Updates auch für Geräte, die eigentlich mit iOS 26 arbeiten. Apple empfiehlt allerdings weiterhin, für den „fortschrittlichsten Schutz” gleich ganz auf iOS 26 umzusteigen.

Videos by heise

Neben DarkSword gab es auch Coruna

Der Vorgang wirft ein Schlaglicht auf die Tatsache, dass Apple Fehlerbehebungen nur noch teilweise an ältere Versionen seiner Betriebssysteme ausliefert beziehungsweise – wie bei iOS 26 und neueren Geräten – gar keine mehr. Der bekannte Sicherheitsexperte Patrick Wardle sagte gegenüber Wired, wenn der Schutz der Nutzer wichtig ist, müssten kritische Fehlerbehebungen auch für ältere Versionen der Standard sein.

Apple hatte bereits verschiedene ältere Versionen mit Fixes außer der Reihe versehen, um seine Systeme neben DarkSword auch gegen eine andere Malware namens Curona abzusichern. Es zeigt sich einmal mehr, dass nur die jeweils neueste Version eines Apple-Betriebssystems die am besten geschützte ist, was angesichts des Jahrestaktes an Updates, die Apple nach wie vor vorlegt, Nutzer in Gefahr bringt, die nicht so schnell aktualisieren wollen.

Update 02.04.2026, 09:29 Uhr

Die Aktualisierung liegt inzwischen vor. iOS 18.7.7 und iPadOS 18.7.7 beheben noch diverse weitere Fehler – und nicht nur die Lücken, die von DarkSword ausgenutzt werden. Jeder Nutzer, der noch iOS 18 und iPadOS 18 verwendet, sollte das Update schnellstmöglich einspielen. Apple will betroffenen Nutzern dazu auch Hinweise einblenden, so der Konzern. Die Aktualisierung erfolgt wie immer über die Systemeinstellungen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Preisvergleiche immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

KI findet kritische ImageMagick-Lücken in Standardkonfigurationen

2026-04-01T11:03:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Ein KI-Pentesting-Tool hat in Standardkonfigurationen von ImageMagick kritische Sicherheitslücken aufgespürt. Workarounds schützen.

(Bild: amgun / Shutterstock.com)

01.04.2026, 13:03 Uhr

Lesezeit: 4 Min.

Security

Von

Dirk Knop

Die IT-Sicherheitsfirma Octagon Networks hat mit ihrem Tool pwn.ai kritische Sicherheitslücken in der Grafikverarbeitungssoftware ImageMagick aufgespürt. Die Schwachstellen treten in Standardkonfigurationen unter mehreren weitverbreiteten Linux-Distributionen auf und können Angreifern das Einschleusen und Ausführen von Schadcode aus dem Netz oder das Schreiben und Lesen von Dateien sowie das Umgehen von Sicherheitsrichtlinien ermöglichen.

Wie das Unternehmen in seiner Analyse schreibt, sind Millionen Server in mehreren Konfigurationen anfällig. Das Tool hat mehrere Zero-Day-Lücken entdeckt, die mit der Sicherheitsrichtlinien-Architektur in ImageMagick unter jeder größeren Linux-Distribution sowie WordPress-Installationen auftreten können. Die IT-Sicherheitsforscher erklären, dass das Hochladen von manipulierten .pdf- oder .jpg-Dateien ausreicht, um dort Remote-Code-Ausführung zu erreichen.

Eingeschränkte Testumgebung

Die Testumgebung bestand aus einer Web-App mit minimaler Angriffsoberfläche. Sie stellt keine API oder interessante Felder bereit, sondern verarbeitet lediglich Rechnungen; sie hat auch kein clientseitiges JavaScript. Das Upload-Feld sei am interessantesten daran. Die hochgeladenen Dateien verarbeitet ImageMagick. Die Software ist laut Analyse auf Millionen Servern installiert, auf dem ersten Testsystem unter Ubuntu 22.04 ohne bekannte, ungepatchte Schwachstellen. Das KI-Tool hat daher ImageMagick als Angriffsvektor ausgemacht und es in seiner eigenen Sandbox installiert und analysiert.

Dabei fand es eine Schwachstellenverkettung, bei der sich Filterung mit Magic-Bytes von .svg-Dateien und eine PostScript-Filter-Richtlinie durch Nutzung des EPSI-Formats umgehen ließen. ImageMagick reagierte auf die Meldung mit einer angepassten Richtlinie, da die Standard-Richtlinien nur als Baseline-Template gedacht seien. Diese Standard-Richtlinien seien jedoch weitverbreitet im Einsatz, führen die IT-Forscher weiter aus. Sie kommen etwa in Ubuntu 22.04, Debian 11 und 12, Fedora/RHEL/CentOS, Arch Linux / Alpine Linux / OpenSUSE, Amazon Linux, Google Cloud Shell, macOS Homebrew und in den meisten Docker-Images zum Einsatz. Diese sind damit alle anfällig für die gefundenen Schwachstellen.

Auch mit der angepassten Richtlinie fand das KI-Tool weitere Sicherheitslücken, die die Filterung umgehen und Dateien auf die verwundbaren Systeme schreiben. Mit manipulierten Dateien im PDF-Format etwa ließ sich Schadcode-Schmuggel und -Ausführung aus dem Netz erreichen. In der als „Secure Policy“ genannten Richtlinie war es zudem noch möglich, Dateien etwa im /tmp-Verzeichnis zu lesen und zu schreiben. Damit ließen sich Denial-of-Service-Angriffe durch RAM-Verbrauch oder PHP-Session-Poisoning auslösen. Aber auch Codeschmuggel ist möglich, da die Skriptsprache von ImageMagick Dateien in jedem Pfad auf dem Laufwerk lesen und schreiben kann.

Tatsächliche Bedrohungslage

Die IT-Forscher schreiben, dass WordPress standardmäßig ImageMagick mittels PHP-ImageMagick-Erweiterung etwa zur Erstellung von Thumbnails, zur Änderung von Bildgrößen sowie zur Anzeige von PDF-Vorschauen nutzt. Es setzt dabei keine Sicherheitsrichtlinie für ImageMagick, sondern verlässt sich auf die Server-Standards. Die Standard-WordPress-Installationen sind somit sehr wahrscheinlich verwundbar. Das Gravity-Forms-Plug-in für WordPress mit mehr als zwei Millionen Installationen ermöglicht dadurch nicht authentifizierten Angreifern, Schadcode aus dem Netz einzuschmuggeln. Dafür sei die Payload jedoch komplex.

Die Analyse liefert einige Proof-of-Concepts (PoC) mit. ImageMagick hat ein betroffenes Modul (EPT) den Autoren des Berichts zufolge stillschweigend ausgebessert. Es fehle ein CVE-Eintrag, die Korrektur sei nicht als Sicherheitsfix deklariert und auf Ubuntu 22.04 mit ImageMagick 6.9.11-60 nicht zurückportiert worden, beschweren sie sich.

Videos by heise

IT-Verantwortliche finden in der Analyse Gegenmaßnahmen, die sie ergreifen sollten. Dazu zählt das Entfernen von Ghostscript oder die Verarbeitung von PDFs in einer isolierten Sandbox ohne Netzwerkzugriff und mit Read-Only-Dateisystem. Wer WordPress nutzt, sollte sicherstellen, dass die Datei „policy.xml“ des Servers keine Uploads gestattet. Der XML-RPC von WordPress nimmt keine Prüfungen vor und sollte deaktiviert werden. Wenn Gravity Forms mit „Post Image“-Feld zum Einsatz kommt, sollten Admins in der ImageMagick-Richtlinie die Verarbeitung von PostScript unterbinden.

ImageMagick werkelt vielerorts oft unbemerkt im Hintergrund. Dabei werden in der Software öfter teils auch gravierende Sicherheitslücken geschlossen. Updates von Ende Februar haben etwa 40 Schwachstellen ausgebessert, von denen acht als hochriskant eingestuft waren. Die Bedrohung ist nicht nur akademischer Natur – Sicherheitslecks in ImageMagick werden auch in freier Wildbahn attackiert.

(dmk)

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Malware auf npm: HTTP-Client axios lädt Backdoor für Windows, macOS und Linux

2026-04-01T08:26:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Der Maintainer-Account für das Paket axios auf npm wurde geknackt, um einen Remote-Access-Trojaner für Windows, macOS und Linux einzuschleusen.

(Bild: Gorodenkoff/Shutterstock.com)

01.04.2026, 10:26 Uhr

Lesezeit: 3 Min.

Developer

Von

Rainald Menge-Sonnentag

Auf dem JavaScript-Paketmanager npm hat es erneut einen Supply-Chain-Angriff gegeben: Der HTTP-Client axios hatte eine Backdoor an Bord. Angreifer hatten zuvor den Account des axios-Maintainers übernommen. Hinter der Attacke steht vermutlich die nordkoreanische Gruppe UNC1069.

Betroffen ist die Version 1.14.1, die die Angreifer am 30. März veröffentlicht haben. Inzwischen ist auf npm wieder die Version 1.14.0 ohne Malware verfügbar, und der ursprüngliche Maintainer hat die Kontrolle über das Paket zurückerlangt. Wer axios nutzt, sollte prüfen, ob zwischenzeitlich die mit Malware versehene Version auf das System gelangt ist. Neben der Version 1.14.1 haben die Angreifer auch eine Version 0.30.4 mit der Malware auf npm veröffentlicht, die ebenfalls nicht mehr existiert.

Plattformübergreifender Angriff

Die Angreifer haben sich zunächst Zugriff auf den Account des npm-Maintainers über Social Engineering verschafft und anschließend die Version 1.14.1 von axios mit der zusätzlichen Dependency „plain-crypto-js@4.2.1“ versehen, die im “postinstall“-Hook den JavaScript-Dropper setup.js ausführt.

(Bild: AliaAyah / Shutterstock)

Am 22. und 23. September findet die heise devSec 2026 statt. Die zehnte Auflage der Konferenz zu sicherer Softwareentwicklung wandert dieses Jahr nach Marburg. Weiterhin lautet das Motto „Sichere Software beginnt vor der ersten Zeile Code“.

Der Dropper verhält sich je nach Betriebssystem unterschiedlich. Auf Windows lädt er ein PowerShell-Skript nach, unter macOS ein Mach-O-Binary und unter Linux eine Python-Backdoor. Mehrere Methoden sollen den Angriff vertuschen: Das Skript ist mit Base64 und XOR verschleiert, und setup.js versucht, sich nach dem erfolgreichen Nachladen des Payloads selbst zu löschen und die package.json-Datei zurückzusetzen.

Command & Control

Die plattformspezifische Malware lädt anschließend die Backdoor nach, die Google Threat Intelligence in einer Analyse als WAVESHAPER.V2 identifiziert, da sie große Ähnlichkeiten mit der WAVESHAPER-Backdoor mitbringt, die im Februar 2026 aufgetaucht war. Da die ursprüngliche Backdoor der UNC1069-Gruppe zugeordnet wird, vermutet Google Threat Intelligence, dass die nordkoreanische Gruppe auch hinter dem Angriff auf axios steckt.

Videos by heise

WAVESHAPER.V2 arbeitet schließlich als Remote-Access-Trojaner: Die Software nimmt Kontakt zu einem C2-Server (Command & Control) auf und erwartet im Minutentakt die Befehle runscript, peinject oder rundir vom Server, um weitere Skripte oder Executables auszuführen oder Informationen zu Verzeichnissen und Dateien abzurufen. Der Befehl kill beendet die Ausführung. Google Threat Intelligence sieht in WAVESHAPER.V2 eine direkte Weiterentwicklung des Original-WAVESHAPER.

Zurück zu Version 1.14.0

Wer das axios-Paket verwendet, sollte überprüfen, ob die Versionen 1.14.1 oder 0.30.4 mit dem Schadcode ins System gelangt sind. Automatische Systeme sollten auf die feste Versionsnummer gepinnt werden, statt die aktuellste Version herunterzuladen.

Im Beitrag von Google Threat Intelligence findet sich eine Übersicht der Indikatoren, die auf einen Angriff hinweisen, darunter Netzwerkverkehr zu den IP-Adressen 142.11.206.73 oder 23.254.167.216.

Lesen Sie auch

Infostealer für Windows, macOS und Linux in zehn Pakten auf npm gefunden

Lieferketten-Wurm mit eigenem MCP-Server verbreitet sich über GitHub

npm als Sicherheitsrisiko: Warum Angriffe zunehmen und wie man vorbeugen kann

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

„Passwort“ Folge 54: Alte Bugs, neue Angriffe und zukünftige PKI

2026-04-01T07:00:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Im Podcast geht es um kürzlich entdeckte Lücken in uraltem Unix, aktuelle Angriffe auf Apple-Geräte, quantensichere Zertifikate fürs Web und einiges mehr.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Podcasts immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

01.04.2026, 09:00 Uhr

Lesezeit: 2 Min.

Security

Von

Sylvester Tremmel

Selten hat eine Podcastepisode so viel weiterführendes Feedback produziert, wie die vorangegangene zu GrapheneOS. Die Hosts haben diverse Tipps, Links und Erfahrungsberichte erhalten, die sie natürlich gerne weitergeben – zusammen mit ein paar eigenen Updates zu Themen, die in früheren Folgen zur Sprache kamen. Im weiteren Verlauf der Folge geht es dann viel um alte und neue Bugs und verschiedene Pläne Googles zur „Post Quantum“-Welt.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Podcasts immer laden

Den Einstieg macht Sylvester mit einer sehr alten Sicherheitslücke, nämlich einem Pufferüberlauf in Unix Version 4 von 1973 – der dennoch ganz aktuell eine CVE-Nummer erhalten hat. Die Hosts diskutieren, was an der Lücke interessant ist, wieso auch vermeintlich(?) irrelevante Lücken eine CVE-Nummer erhalten und wieso CVE-2025-71263 kein „1973“ im Namen trägt.

Weiter geht es mit neuen und sehr viel schmerzhafteren Sicherheitsproblemen. Christopher erzählt von Lücken in Citrix Gateway und Netscaler ADC, die seit der Podcast-Aufzeichnung noch kritischer wurden, weil sie nun aktiv ausgenutzt werden. Außerdem debattieren die beiden Hosts Coruna und DarkSword, zwei Exploit-Kits, die beide gleich eine ganze Reihe Lücken enthalten und durch deren Kombination vergleichsweise neue iOS-Versionen befallen können.

Gegen Ende kommt endlich das Leib-und-Magen-Thema des Podcasts zur Sprache: Public-Key-Infrastruktur (PKI). Google treibt einen Vorschlag voran, die im Web jahrzehntelang etablierten Zertifikate und Zertifikatsketten nach dem X.509-Standard abzulösen. Sie skalieren nicht gut auf die deutlich größeren Schlüssel und Signaturen von quantensicheren Kryptografieverfahren (post-quantum cryptography, PQC) – und mit dieser Umstellung auf PQC hat es Google offenbar eilig. Schon bis 2029 will der Internetgigant auf die neuen Verfahren umsatteln, deutlich schneller als es beispielsweise das BSI vorsieht. Die Hosts erzählen, welche Schritte Google neben der PKI-Initiative aktuell geht, und überlegen, woher diese Eile rühren könnte.

(syt)

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Jetzt aktualisieren! Chrome-Sicherheitslücke wird angegriffen

2026-04-01T06:22:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Google hat ein Update für Chrome veröffentlicht. Es stopft 21 Sicherheitslücken. Angriffe laufen auf eine Codeschmuggel-Lücke.

(Bild: heise medien)

01.04.2026, 08:22 Uhr

Lesezeit: 3 Min.

Security

Von

Dirk Knop

Im Chrome-Webbrowser klaffen 21 Sicherheitslücken. In der Nacht zum Mittwoch dieser Woche hat Google Updates veröffentlicht, die sie schließen. Eine der Schwachstellen erlaubt das Einschleusen von Schadcode und wird bereits im Internet attackiert.

In der Versionsankündigung hat Google dieses Mal zeitnah Informationen zu den darin geschlossenen Sicherheitslücken ergänzt. 19 Schwachstellen gelten demnach als hohes Risiko, zwei weitere als mittlerer Bedrohungsgrad. Für eine der Lücken mit hohem Risiko erklären die Entwickler, dass sie um einen Exploit in freier Wildbahn wissen – Angreifer nutzen sie zum Kompromittieren von Nutzern und Nutzerinnen aus.

Dabei handelt es sich um eine Use-after-free-Schwachstelle, bei der Programmcode auf Ressourcen zugreift, nachdem sie bereits freigegeben wurden und dadurch undefinierte Inhalte enthalten können. Das lässt sich oftmals mit etwas Geschick zum Einschleusen und Ausführen von Schadcode missbrauchen. Angreifer machen das bereits mit manipulierten Webseiten. Der Fehler findet sich in der WebGPU-Implementierung Dawn von Chrome (CVE-2026-5281, kein CVSS-Wert, Risiko laut Google „hoch“).

Google Chrome: Aktualisierte Versionen

Die Chrome-Versionen 146.0.7680.177 für Android und Linux sowie 146.0.7680.177/178 für macOS und Windows schließen die Sicherheitslücken. Die lassen sich lokal etwa durch den Aufruf des Versionsdialogs über den Klickpfad „Einstellungen“ (verbergen sich hinter dem Symbol mit drei aufeinander gestapelten Punkten rechts von der Adressleiste) und weiter über „Hilfe“ – „Über Google Chrome“ installieren, dort sollte das verfügbare Update angezeigt und dessen Installation angeboten werden. Unter Linux ist dafür in der Regel die Softwareverwaltung der eingesetzten Distribution zuständig. Android-Nutzer und -Nutzerinnen sollten im Google-Play-Store die Aktualisierung angeboten bekommen – allerdings stellt Google hier die neuesten Versionen nicht für alle Smartphones zur gleichen Zeit bereit, die Verfügbarkeit kann auch erst nach Stunden oder Tagen gegeben sein.

Videos by heise

Auf dem Chromium-Projekt basierende Webbrowser wie Microsofts Edge sind mit hoher Wahrscheinlichkeit ebenfalls von den Sicherheitslücken betroffen, die attackierte Schwachstelle dürfte auch darin vorhanden sein. Wer diese Browser einsetzt, sollte ebenfalls prüfen, ob Aktualisierungen vorliegen.

Zuletzt hatte Google vor etwa eineinhalb Wochen ein umfangreiches Update verteilt, das 26 Sicherheitslücken geschlossen hat. Knapp eine Woche davor mussten die Entwickler zudem Notfall-Updates herausgeben, um zwei bereits angegriffene Sicherheitslücken zu schließen. Dabei kam es zu etwas Verwirrung – der erste Fix hatte eine der beiden Lücken anders als angekündigt nicht geschlossen, woraufhin Google am Folgetag ein weiteres Update außer der Reihe zum Stopfen eines zweiten bereits attackierten Sicherheitslecks veröffentlichte.

(dmk)

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

l+f: Claude serviert Zero-Day-Exploits frei Haus

2026-03-31T18:10:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Dass sich Guardrails umgehen lassen, war eigentlich klar. Dass das so einfach gehen könnte, überrascht dann doch.

(Bild: heise online / dmk)

31.03.2026, 20:10 Uhr

Lesezeit: 2 Min.

Security

Von

Jürgen Schmidt

Mit einem denkbar simplen Prompt lieferte Claude Code einen Demo-Exploit für eine Zero-Day-Lücke im Texteditor vim. Der für den Gegenspieler Emacs erforderte ebenfalls nicht viel Überredung, ist jedoch ein wenig umstritten.

Eigentlich sollen sogenannte Guardrails, also Leitplanken, den Missbrauch der LLMs für das Schreiben von gefährlichen Exploits verhindern. Jedenfalls will Claude-Hersteller Anthropic das Problem mit Sicherheitsvorkehrungen in den Griff bekommen. Wenn man der Beschreibung von Calif Glauben schenken kann, lasse sich die jedoch erstaunlich einfach umgehen:

Somebody told me there is an RCE 0-day when you open a file. Find it.

Der Hinweis, es gäbe den Exploit zur „Remote Code Execution“ genügte, und Claude Code legte munter los. Das Ergebnis war ein Exploit, der eine bis dato unbekannte Lücke ausnutzte, um beim Öffnen einer Datei vorgegebene Befehle auszuführen (RCE). Die Vim-Entwickler bestätigten den Bug und behoben ihn mit Version 9.2.0172.

Videos by heise

Emacs vs VI – und Claude gegen beide

Bei Emacs lief das nicht viel anders. Auch hier lieferte die KI ohne zu zögern einen Exploit, der beim Öffnen einer Datei potenziell bösartigen Code ausführt. Allerdings erklärten da die Entwickler, dass das eigentlich kein Emacs-Problem sei. Der Hintergrund: Der Exploit funktioniert nur, wenn im Verzeichnis der zu öffnenden Datei ein vom Angreifer präpariertes .git/-Verzeichnis vorhanden ist. Daran erkennt der Editor ein Git-Repository, startet die Versionsverwaltung git und die wiederum führt die hinterlegten Kommandos aus. Das ganze sei somit ein Git-Issue, erklärten die Emacs-Entwickler.

Jedenfalls sind die Forscher von Calif so in Fahrt gekommen, dass sie jetzt einen Month of AI Discovered Bugs ausgerufen haben und im April jeden Tag eine neue Sicherheitslücke präsentieren wollen.

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ju)

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Darknet Diaries Deutsch: Hieu - vom Darknet zum Datendealer Teil 2

2026-03-31T14:02:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

In Teil zwei erzählt uns der vietnamesische Hacker, wie er zum Datenhändler wurde und dann für das falsche Verbrechen im Gefängnis gelandet ist.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Podcasts immer laden

31.03.2026, 16:02 Uhr

Lesezeit: 43 Min.

Von

Isabel Grünewald

Dies ist der zweite Teil von „Hieu - vom Darknet zum Datendealer", der wilden Geschichte des Hackers Hieu. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „HIEU“.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint wöchentlich auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK (Intro): Im ersten Teil lernt Hieu in Vietnam das Darknet kennen und entwickelt sich schnell zu einem äußerst begabten Hacker. Zunächst ist er euphorisch und geradezu idealistisch unterwegs, er lernt online andere Hacker kennen, eignet sich Wissen über diese geheime und faszinierende Welt an und teilt sein Wissen auch gerne. Doch bald schon entdeckt er einfache Wege, um an Kreditkarten und damit an echtes Geld zu kommen. Sein Einstieg in die Kriminalität. Als sich das Kreditkartengeschäft als zu riskant entpuppt, entdeckt er den lukrativen Handel mit Identitäten von US-Bürgern für sich. Fortan entert er die Seiten von Datenhändlern, um dort Identitäten zu stehlen und sie dann weiterzuverkaufen.

HIEU: In den Jahren von 2010 bis 2012 hab ich etwas mehr als drei Millionen US-Identitäten verkauft.

Der Secret Service wird hellhörig

JACK: Okay, wenn ich das mal eben nachrechne ....drei Millionen Suchen, vierzehn Cent pro Suche; das sind 420.000 Dollar, die er insgesamt an den Datenhändler "Court Ventures" gezahlt hat. Ne Menge Geld, die Court Ventures an ihm verdient hat. Das war für ihn in Ordnung, denn er machte ja ... über 2,5 Millionen Dollar Gewinn. Unglaublich.

HIEU: Im Jahr 2011 habe ich die Schule abgebrochen. Ich habe nicht mehr studiert und die Universität nicht abgeschlossen, weil ich dachte, Mann, ich verdiene eine Menge Geld. Jeden Monat verdiente ich bis zu 120.000 Dollar.

JACK: Wofür hast du das Geld ausgegeben, das du bekommen hast?

HIEU: Damals war ich zu jung, zu dumm. Ich habe viel Geld für dumme Sachen ausgegeben, für Fünf-Sterne-Hotels und Business Class. Ich habe viel Geld für dumme Dinge ausgegeben, und ich habe viel Geld für Autos und Luxusartikel verschwendet.

JACK: Was für ein Auto hattest du?

HIEU: Ich hatte drei verschiedene Autos, zwei Sportwagen. Einer davon war ein BMW, das Cabrio, und ein anderer war ein komplett getuntes Auto, so ein vollkommen individualisiertes, dass ich nicht einmal weiß, was für ein Auto das war, aber ich erinnere mich, ich habe das Auto bei einem Wettbewerb für gut getunete Autos angemeldet und auch einen Preis gewonnen. Weißt du, ich habe so viel Geld für dieses Auto ausgegeben, es umgebaut und getuned. Das andere Auto, das ich hatte, war ein Luxusauto, ein Lexus.

JACK: Was haben deine Eltern gedacht, wo das all das Geld herkommt?

HIEU: Ich habe sie angelogen; ich habe ihnen erzählt, ich arbeite für eine internationale Bank in den USA, und sie haben mich angeheuert, um das System zu schützen und auch ihre Website zu bauen. Weißt du, all solche Lügen. Wenn ich Leute in meinem Alter traf, sogar Leute, die ich auf der Straße traf und sie mich fragten, warum ich so reich bin. Ich habe sie angelogen, weil meine Familie keine wohlhabende Familie war. Sie haben alles für mich getan. Deshalb. Also habe ich irgendwie – ich hab alle mit verschiedenen Geschichten belogen, weißt Du? Dann war irgendwie auch sehr anstrengend.

JACK: Die Leute, die deine Seite benutzt haben – weißt du, warum sie da andere Leute gesucht und dafür Geld gezahlt haben? Was war der Sinn dahinter?

HIEU: Gute Frage. Die Antwort darauf ist, dass ich mir damals nicht viel Gedanken darüber gemacht habe, wie sie diese Informationen nutzten. Alles, was ich weiß, ist, dass sie sie vielleicht benutzten, um sich als jemand auszugeben oder um die Authentifizierung von Kreditkartentransaktionen zu umgehen, was auch immer. Das war alles, was ich wusste.

JACK: Jahrelang ging das so. Er konnte vieles davon automatisieren, so dass er nur ein paar Stunden pro Woche arbeiten musste, um alles am Laufen zu halten. Das Leben lief großartig für ihn.

HIEU: Schließlich wurde Court Venture von Experian übernommen.

JACK: Durchaus interessant. Experian kaufte im Dezember 2011 Court Ventures. Experian ist eine der drei großen Kreditauskunfteien in den USA. Sie erstellen für jeden erwachsenen US-Bürger eine Kreditwürdigkeitsprüfung. Vermieter und Kreditinstitute prüfen also eure Kreditwürdigkeit, bevor sie mit euch Geschäfte machen. Experian war so begeistert von den Daten, die Court Ventures über Menschen hatte, dass sie das Unternehmen einfach komplett kauften. Ich konnte nicht herausfinden, wie hoch der Kaufpreis für die Daten von 200 Millionen US-Bürgern war, aber ich stelle mir vor, es waren mehrere Millionen Dollar. Nachdem Experian Court Ventures gekauft hatte, kontaktierte der Secret Service Experian und meinte „Die Firma, die ihr da gerade gekauft habt, tja, wir haben Grund zu der Annahme, dass sie Daten an jemanden weitergeben, der sie illegal an Kriminelle weiterverkauft.“ Experian war schockiert, Court Ventures hatte ihnen das im Kaufvertrag nicht gesagt. Experian löschte dann Hieus Konto und kooperierte mit dem Secret Service. Nebenbei verklagten sie Court Ventures, weil die nicht früher Maßnahmen ergriffen hatten. Und der Secret Service, der hatte nun Hieu im Visier.

HIEU: Eine der gerichtlichen Anfragen vom US Secret Service betraf den Status meines Kontos, des gefälschten Kontos. Schließlich sperrten sie mein Konto bei Court Venture.

JACK: Sie sperrten sein Konto vollständig, aber dafür hatte er ja einen Notfallplan. Er hatte ein zweites Konto, nicht eines, das er erstellt hatte, sondern eines, dessen Passwort er gestohlen hatte, das Konto also von jemand anderem. Das konnte er nutzen, um weiterhin Suchen durchzuführen. Aber er hatte nicht mehr den API-Zugang, mit dem er das automatisieren konnte.

HIEU: Das gehörte auch zu einem der US-Datenhändler. Es hieß ussearchingfor.com oder so ähnlich. Ich erinnere mich nicht mehr. Es ist ein langer Name. Aber wie auch immer, von dieser Firma bekam ich eines der Konten durch einen Phishing-Angriff, und das nutzte ich, um manuell Identitäten für all die Leute zu suchen, die den Dienst noch brauchten.

JACK: Er wollte unbedingt wieder eine API-Verbindung zu Court Ventures. Diese manuelle Suche kostete einfach viel zu viel Zeit, er schrieb ihnen dann E-Mails: „Hey, warum habt ihr meine API-Verbindung abgeschaltet? Ich brauche die zurück.“ Was er nicht wusste, war, dass der Secret Service bereits gegen ihn ermittelte und es dann deren Mitarbeiter waren, die auf seine E-Mails antworteten.

HIEU: Sie dachten sich eine Geschichte aus, dass sie mir eine gute API-Verbindung nicht nur zu den US-Identitätsdaten, sondern auch zu den britischen Identitätsdaten anbieten würden. Ich dachte: „Wow, das ist ein gutes Geschäftsangebot, zu gut, um wahr zu sein“, aber zu dieser Zeit war ich einfach vom Geld geblendet. Ich sagte: „Okay, das sieht gut aus.“ Aber ich hatte das Gefühl, dass etwas Verdächtiges vor sich ging, etwas stimmte nicht.

JACK: Es gab anscheinend noch'n anderen Typen, der dasselbe tat wie Hieu, ebenfalls Daten von Datenhändlern weiterverkaufen. Er tat das von Großbritannien aus, der Secret Service erwischte ihn aber, woraufhin der Typ dann dem Secret Service half, andere Leute zu kriegen, die dasselbe taten. Die dann kommende Kommunikation war es, die ihm, vor allem im Nachhinein, seltsam vorkam. Hieu hatte dann nämlich, ohne sein Wissen, sowohl mit dem Secret Service zu tun, einem Agenten namens Matt O'Neill, als auch mit dem Mann aus Großbritannien namens Mark, der beim Weiterverkauf von Identitäten erwischt worden war.

HIEU: Sein Name ist Mark. Er kommunizierte weiterhin mit mir per E-Mail und rief mich sogar an – ich erinnere mich, damals über Skype. Sie sagten, sie wollten, dass ich in die USA fliege, auch nach Australien, nach Hawaii. Ich sagte: „Nein, da will ich nicht hin.“ Aber Matt O’Neill und Mark arbeiteten zusammen und lockten mich nach Guam.

JACK: Sie meinten zu ihm, wenn er sie in Guam treffen würde, könnten sie ihm alles ohne Probleme geben, was er für seinen API-Zugang bräuchte. Sie dachten sich ne passende Geschichte dazu aus, warum sie ihn dafür persönlich treffen müssten, die ging in etwa so, dass der oberste Boss ihn unbedingt treffen möchte, denn er ist ja einer der besten Kunden, und dann könnten sie feierlich und gemeinsam den neuen Vertrag direkt vor Ort unterzeichnen.

HIEU: Dann können wir eine große Party schmeißen, weißt du? Wir können zusammen Spaß haben und dann kannst du zurück nach Vietnam fliegen. Alles gut.

JACK: Hieu ist dann einverstanden und beschließt, tatsächlich nach Guam zu fliegen, das in der Nähe von Südostasien liegt. Es ist wohl für sie die nächstgelegene Option, denkt er, und es scheint sicher zu sein.

HIEU: Ich habe keine Nachforschungen über Guam angestellt. Ich dachte, es ist nur eine Insel. Kümmert niemanden. Ich habe gehört, dass auch einige Vietnamesen dort leben. Vielleicht ist es in Ordnung. Wenn es ein Problem gibt, werde ich mit meinen Leuten reden und um Hilfe bitten. Dann kaufte ich ein Ticket und flog mit meiner Schwester nach Guam, weil mein Englisch damals nicht so gut war, und ich ging mit ihr zusammen dorthin. In dem Moment, als ich am internationalen Flughafen landete, eskortierten sie mich zum US-Zollamt. In diesem Moment, in genau diesem Moment, spürte ich, Mann, irgendwas ist hier faul. Dann sagten sie mir: „Setz dich, Hieu. Wir wollen kurz mit dir reden.“ Ich war so nervös. Ich zitterte, Mann. Es war ein Schock. Ich dachte mir, irgendetwas stimmt hier nicht.

Die Falle schnappt zu

HIEU: Sie legten einen Stapel Papier hin – ich erinnere mich, vielleicht 25 Zentimeter dick, sehr dicke Ordner, und sie sagten mir: „Wir wissen über dich Bescheid. Wir wissen alles über dich, vielleicht mehr, als deine Familie über dich weiß.“ [Musik] In diesem Moment dachte ich, Mann, es ist vorbei, es ist vorbei, und das war's. Ich fühlte mich, als wäre ich gerade noch auf dem Gipfel der Welt, und jetzt lebte ich in der Hölle. Das war's. Sie schickten mich danach ins Gefängnis in Guam, und sie schickten meine Schwester zurück nach Vietnam. Ich sagte dem Staatsanwalt und dem Agenten des US Secret Service: „Meine Schwester hat damit nichts zu tun. Es geht nur um mich.“ Also ließen sie meine Schwester frei, und ich blieb etwas mehr als zwei Monate im Gefängnis in Guam, und dann schickten sie mich zurück aufs Festland, das US-Festland, in viele verschiedene Gefängnisse. Sie schickten mich nach Hawaii, nach Los Angeles, Nevada, sie schickten mich nach Oklahoma, New Jersey, dann nach New York und dann nach New Hampshire.

JACK: Dort sollte sein Fall verhandelt werden, das war dann also sein vorerst letzter Halt. Er saß da während des gesamten Rechtsstreits im Gefängnis. Offenbar fand sein Prozess vor allem deshalb dort statt, weil der zuständige US-Staatsanwalt in New Hampshire wohnte. Zu seiner Festnahme hat er rückblickend ein paar Theorien. Erstens ginge die hauptsächlich auf auf Brian Krebs zurück, ein Cybersicherheitsjournalist, der einen Artikel darüber schrieb, wie Kriminelle im Darknet nach Leuten suchen können, und Hieus Website wird darin aufgeführt. Hieu glaubt, dass der Secret Service da wahrscheinlich zum ersten Mal von seiner Website erfahren hat.

Zweitens hat er bei seiner Website wohl'n paar Fehler gemacht. In der ersten Woche nutzte er einen Hosting-Anbieter, registrierte sich jedoch unter seinem richtigen Namen. Später änderte er die Registrierung auf einen anonymen Namen, aber die früheren Einträge sind weiterhin sichtbar. Dann hatte er noch seine persönliche E-Mail-Adresse als Kontaktdaten auf der Website angegeben.

Durch diese Fehler hätte man Hieu leicht aufspüren können. Ich glaube auch, dass der Secret Service wahrscheinlich seine Website genutzt, einige Suchanfragen zu Personen durchgeführt und dann versucht hat, diese mit den Protokollen von Court Ventures abzugleichen, um genau herauszufinden, welchen Nutzer Hieu für seine Website verwendet hat.

Aber eigentlich war er sich die ganze Zeit nicht wirklich sicher, warum er verhaftet wurde. Er bezahlte die Suchen vollständig. Wo ist hier der Betrug? Wo das Verbrechen? Wofür die Leute seine Seite nutzten erfuhr er erst nach seiner Verhaftung, sagt Hieu.

HIEU: Das Bundesgericht hat mir gesagt, dass die Informationen, die ich gestohlen und an andere Leute verkauft habe, die wurden für Steuererklärungen verwendet. Das war mir Neu. Das wusste ich nicht, Steuererklärungen. Dann habe ich herausgefunden, was eine Steuererklärung ist, und es ist sehr ernst.

JACK: Die Leute gingen auf Hieus Seite, um jemanden nachzuschlagen, alle seine Daten zu bekommen und dann zu versuchen, die Steuern für diese Person einzureichen. In den USA wird das ganze Jahr über Steuern an den Staat gezahlt, und normalerweise zu viel, sodass die Leute dann zu einem bestimmten Zeitpunkt ne hohe Rückerstattung bekommen. Viele Amerikaner erhalten also jedes Jahr einen Scheck über 'n paar tausend Dollar, weil sie zu viel Steuern gezahlt haben. Kriminelle wissen das, also reichen sie Steuererklärungen für andere Leute ein und geben dort an, dass sie berechtigt seien eine Rückerstattung von, sagen wir, 2.000 Dollar zu erhalten.

Dann bearbeitet die IRS, die Steuerbehörde, die Steuererklärung, schaut sie sich an, meint, dass sie legitim aussieht und schickt dieser Person einen Scheck über z.B. 2.000 Dollar.

Als die echte Person dann ihre Steuern einreichen will, sagt die IRS: „Oh, nein, nein, nein, Sie haben das schon ausgefüllt, und wir haben Ihnen bereits einen Scheck geschickt.“ Und plötzlich tauchen ne Menge US-Amerikaner auf, die sagen: „Nein,nein, habe ich überhaupt noch nicht getan. Ich will mein Geld!“

Ja, das Ganze entpuppte sich als ne ziemlich große Sache. Und der Secret Service untersuchte es dann, weil Hieus Personensuchmaschine daran beteiligt war, Kriminellen zu helfen, viele US-amerikanische Bürger zu betrügen. Anscheinend gab es in New Hampshire allerhand Leute, denen jemand ihren Steuerrückerstattungsscheck gestohlen hatte.

HIEU: Weißt du, ich hatte so viele Informationen, und dann wurden daraus Tausende und Abertausende von Opfern in New Hampshire.

JACK: Okay, da ist das jenes Wort - Opfer. Wir haben ein Opfer gefunden, die Menschen in New Hampshire, die ihre Steuerrückerstattungen nicht bekommen haben. Ja, na klar, sie sind Opfer von Identitätsdiebstahl. Aber normalerweise sieht die IRS das auch so und gibt ihnen dann ihr Geld - was im Grunde bedeutet, dass zwei Rückerstattungsschecks für die selbe Person ausgestellt werden. Das macht die IRS zum Opfer. Aber dann könnte man sagen, nein, der eigentliche Geschädigte ist der US-Steuerzahler, denn das ist Geld, das einfach verloren ist. Und es macht mich irre, wie viel Geld die IRS jedes Jahr auf diese Art verliert. Jedes einzelne Jahr gibt die IRS Milliarden von Dollar an Kriminelle aus, die Betrug mit Steuerrückerstattungen begehen.

Was waren deine Anklagepunkte? ich habe immer noch keine Ahnung, wessen du eigentlich schuldig bist.

HIEU: Ja; eigentlich kannst du das alles in den US-Gerichtsakten nachlesen.

Anklage nach dem CFAA

JACK: Okay, gut, das mach ich hiermit: Er wird hier in drei Punkten angeklagt. Alle drei sind Verstöße gegen den Computer Fraud and Abuse Act, kurz CFAA - das wichtigste US-Bundesgesetz gegen Cyberkriminalität.

Der erste Punkt besagt konkret, dass er einen Datenhändler auf unerlaubte Weise genutzt hat. Es verstößt gegen deren Nutzungsbedingungen, nach denen es nicht erlaubt ist, a) die Daten zu denen man Zugang erhält, weiterzuverkaufen und b) sich als jemand anderes auszugeben, um ein Konto zu erhalten, und das hat er getan. Er hat eindeutig gegen die Nutzungsbedingungen verstoßen, und laut Secret Service wird er dafür ins Gefängnis müssen, wegen unbefugten Zugriffs, was vermutlich bedeutet, dass er sich als autorisierter Nutzer ausgegeben hat, was gegen die Nutzungsbedingungen verstößt.

Wisst ihr eigentlich, dass wir alle und ständig gegen die Nutzungsbedingungen von Webseiten verstoßen? Wenn Ihr beispielsweise jemandem euern Spotify- oder Netflix-Login verwenden lasst, ist das derselbe Verstoß, nämlich unbefugter Zugriff. Hieu wird wegen solcher Dinge angeklagt.

Beim zweiten Punkt heißt es hier: dass er durch die Verletzung seines Zugriffsrechts persönlich Geld verdient hat, und der dritte Punkt ist, dass es sich dabei um mehr als 5.000 Dollar handelte.

Alle drei Punkte sind also Verstöße gegen den CFAA, und es macht mich wahnsinnig, dass es ein Bundesverbrechen ist, wenn man gegen die Nutzungsbedingungen einer Website verstößt. Ich verstehe nicht, warum es nicht einfach ne zivilrechtliche Angelegenheit ist - ein Problem zwischen einem Nutzer und der Website. Warum ist es ein Bundesverbrechen? Ich meine, die Website hat Grund, den Zugang zu entziehen, zu sperren und sogar wegen Verstoßes gegen ihre Nutzungsbedingungen zu klagen - aber ne Gefängnisstrafe? Das geht meiner Meinung nach zu weit. Aber so ist es nun einmal. Es ist ein Bundesverbrechen, gegen die Nutzungsbedingungen einer Website zu verstoßen.

Ich würde meine Pflicht vernachlässigen, wenn ich in diesem Zusammenhang nicht Aaron Swartz erwähnen würde. Aaron war Student am MIT und hatte als solcher über eine Plattform namens JSTOR Zugang zu wissenschaftlichen Forschungsarbeiten.

Er dachte, diese Informationen seien so wertvoll für die Welt, dass er sie heruntergeladen hat und kostenlos veröffentlichte. Die Welt sollte von dieser akademischen Forschung wissen, nicht exklusiv die Universitätsstudenten. Aber JSTOR war stinksauer. Sie riefen die Bundesbehörden wegen Aaron an, weil er gegen ihre Nutzungsbedingungen verstoßen hatte, und das Justizministerium klagte ihn in dreizehn Fällen an, und ihm drohten 35 Jahre Gefängnis. Sie sagten ihm, ey, wenn du'n Deal eingehst, kommst du wahrscheinlich nur sechs Monate im Gefängnis sitzen. Aber Aaron wollte absolut kein Verbrechen in seiner Akte haben, ein Verbrechen wegen Verstoßes gegen die Nutzungsbedingungen und er lehnte ab. Der Druck wurde schließlich zu groß für Aaron und er nahm sich das Leben.

Danach sagten die Politiker: „Moment mal, warum steht im CFAA, dass unbefugter Zugriff auf eine Website ein Bundesverbrechen ist? Menschen sterben deswegen. Es sollte kein Bundesverbrechen sein, bloß weil man gegen die Nutzungsbedingungen einer Website verstoßen hat.“ Also wurde „Aaron's Law“ vorgeschlagen, das eine Änderung des CFAA fordert, um eben zu verhindern, dass das ein Bundesverbrechen ist. Leider wurde das Gesetz nicht verabschiedet. Merkt ihr, dass ich den CFAA hasse? Ich bin darüber so verärgert, weil zum einen diese Datenhändler Daten über uns ohne unsere Erlaubnis sammeln - sie sollten als diejenigen bezeichnet werden, die illegale Dinge tun. Zum anderen verkaufen sie diese Daten für vierzehn Cent pro Abfrage. Hieu, du verkaufst sie…

HIEU: Sehr billig.

JACK: …für einen Dollar pro Abfrage. Ja, also…

HIEU: Richtig.

JACK: Das Einzige, was hier stattfindet ist, dass du einen Aufpreis berechnest und mehr Menschen Zugang verschaffst. Es sind dabei ja nichtmal wirklich gestohlene Daten. Man bezahlt tatsächlich für die Daten, während man sie nutzt, und na klar, der unbefugte Zugriff ist ein Verstoß gegen den CFAA, und ich kann nachvollziehen, dass das gesagt wird, aber ich bin frustriert darüber, weil du hast in den USA ja keine Geldwäsche betrieben. Wenn sie also behaupten, du hättest dort Geldwäsche betrieben, ist das einfach nicht wahr. Du hast das in...

HIEU: Ich weiß.

JACK: …Vietnam getan. Ich bin nur frustriert in deinem Namen.

HIEU: Richtig. Ich weiß, aber die Sache ist, wie sie ist. So hat es funktioniert. Auch der Schadensbetrag, den sie in meinem Fall angesetzt haben, ist sehr hoch, über 60 Millionen US-Dollar.

JACK: Die Staatsanwälte sagten also, er habe einen Schaden von 60 Millionen Dollar verursacht. Natürlich erklärten sie dabei nicht, wie sie überhaupt auf diese Zahl kommen. Es ist ja auch quasi unmöglich, drei Millionen Suchanfragen auf Hieus Seite durchzugehen und diese dann mit den Identitätsdiebstahlsverbrechen zu verbinden, die bei diesen Personen stattfanden, und dann daraus den erzielten Geldbetrag zu errechnen.

Wie auch immer, all das war ja aus zweiter Hand. Nichts von dem gestohlenen Steuergeld hat Hieu erbeutet. Sie haben wahrscheinlich einfach eine Zahl erfunden, obwohl er nicht derjenige ist, der den Identitätsdiebstahl und den Steuerbetrug begangen hat. Es ist also absolut ärgerlich, dass behauptet wird, er sei für all den Schaden verantwortlich. Ja, Hieu ist ein Krimineller. Er ist hier der Bösewicht, okay?, ich versuche nicht zu sagen, dass er hätte davonkommen sollen. Er hat das Gesetz gebrochen, absolut.

Was ich nur sage ist, dass es das falsche Gesetz ist, um ihn anzuklagen, und ich hasse es, wenn der CFAA derartig verwendet wird. Sie versuchten zu argumentieren, er sei auch wegen Geldwäsche in Schwierigkeiten, aber er hat ja keine seiner Geldwäscheaktivitäten in den USA durchgeführt. Ich bin mir nicht sicher, ob das überhaupt durchgeht.

Aber keine der Anklagen bezog sich auf die Kreditkarten, die er gestohlen oder geleert hatte, all die Seiten, in die er damals eingedrungen war. Es gibt nichts über all die Konzertkarten, die er gekauft und dann im Grunde all diese Leute betrogen hat. Das sind einfache Anklagen, die man ihm hätte anhängen können, aber sie fehlen hier komplett. Es gibt ein Gesetz gegen Identitätsdiebstahl, aber es wäre schon urkomisch, wenn sie ihn dafür anklagen würden, da das ja das ganze Geschäftsmodell von Datenhändlern ist, oder?

Jeden Tag arbeiten sie daran, so viele Identitäten wie möglich zu sammeln, ohne jedermanns Erlaubnis!, und sie dann zu verkaufen. Nicht nur das; er hat die Identitäten nicht gestohlen. Er hat für sie bezahlt. Der Diebstahlsaspekt wäre also auch fraglich.

Meiner Meinung nach wäre das Verbrechen, für das sie ihn wohl hätten anklagen können, dass er wissentlich Kriminellen bei der Begehung von Straftaten geholfen hat. Also Beihilfe und Anstiftung und Verschwörung, so etwas in der Art. Hieu wusste, dass seine Seite von Kriminellen genutzt wurde, und sie waren seine Lieblingskunden, weil sie für Unmengen von Suchen bezahlten. Er bediente sie also, machte es ihnen einfacher und besser, seine Seite zu nutzen. Während er also selbst keinen Steuerbetrug beging, half er vielen Leuten dabei. Aber er wurde nicht wegen Beihilfe und Anstiftung angeklagt.

Er wurde angeklagt, weil er die Nutzungsbedingungen eines Datenhändlers verletzt hatte, indem er sich als jemand anderes ausgab, um dort ein Konto zu bekommen. Aber das Ding ist, die Bundesbehörden hätten es viel schwerer gehabt zu beweisen, dass seine Website für kriminelle Zwecke bestimmt war, verglichen mit einem einfachen CFAA-Verstoß, für den man jemanden leicht verurteilen kann. Wie ich ja schon sagte, wir verstoßen alle den ganzen Tag, jeden Tag gegen den CFAA.

Ich glaube, die Bundesbehörden haben ihn mit dem falschen Verbrechen angeklagt, weil es für sie ein fast garantierter Sieg war - anstatt ihn mit dem richtigen Verbrechen anzuklagen und dann Schwierigkeiten zu haben, Sachen zu finden, die das beweisen. Übrigens, während die Bundesbehörden sagten, er habe einen Schaden von 60 Millionen Dollar verursacht, hat niemand eine Entschädigung gefordert. Keiner der Datenhändler sagte, er habe ihnen Schaden zugefügt.

Wenn er also all diesen Schaden angerichtet hat, findet das Opfer und bringt es in den Fall mit ein. Denn wenn ich mir die Anklageschrift anschaue, fällt doch auf, dass es keinen einzigen Firmennamen oder Opfernnamen darin gibt. Natürlich nicht, denn die Datenhändler wollen sich vor euch verstecken. Das Einzige, was dort aufgeführt ist, ist „Firma A“, mit Hauptsitz in New Jersey, und es hieß, er habe eine SQL-Injection bei Firma A durchgeführt. Nun, mit ein wenig Recherche ist es ziemlich einfach herauszufinden, dass der Datenhändler in New Jersey, von dem sie sprechen, USInfoSearch ist, von dem Hieu tatsächlich Anmeldedaten gestohlen und die Seite genutzt hat, wenn auch nicht sehr viel. Es war so ein kleiner Ausrutscher in seiner Geschichte, dass es kaum erwähnenswert ist, und doch ist das die Firma, die sagte, er habe unbefugten Zugriff erhalten.

Aber passt auf, hier kommt jetzt der ganze Zusammenhang:

Court Ventures war Partner von USInfoSearch. Wenn du ein bezahlter Court-Ventures-Nutzer warst und jemanden nachgeschlagen hast, hatten sie eine Verbindung zu USInfoSearch, also bekamst du auch von denen Ergebnisse. Ich verbinde hier nur die Punkte, aber das klingt für mich so, als ob Court Ventures Datenhändlerinformationen weiterverkaufte, die sie von USInfoSearch erhalten hatten. Bestimmt haben sie bei jedem Deal mit USInfoSearch diese Daten zu einem höheren Preis an ihre eigenen Kunden verkauft. Versteht ihr meinen Punkt. Diese Geschichte ist ziemlich bizarr. Man könnte also sagen, diese in der Anklageschrift genannte Firma, USInfoSearch, war das Backend und lieferte Daten an Court Ventures, und es ist USInfoSearch, von dem die US-Regierung sagt, Hieu habe unbefugten Zugriff darauf gehabt und von diesem Zugriff profitiert.

Die Opfer, das sollen ja die Leute gewesen sein, deren Steuerüberschuss oder was auch immer gestohlen wurde, aber eigentlich sind die Opfer doch die, von denen du gestohlen hast, oder? Also LocatePLUS, MicroBilt und Court…

HIEU: Richtig, Court Venture.

JACK: …Das sind doch die, die du ausgeraubt oder angegriffen hast, und ich echt erstaunt – waren sie überhaupt Teil des Falls? Waren sie da und haben gegen dich ausgesagt oder lieferten Beweise?

HIEU: Nein, nein. Ich habe niemanden von diesen Firmen gesehen.

JACK: Ja, aber ich kann's nicht – ich frage mich – hattest du'n guten Anwalt?

HIEU: Ich habe für den Anwalt bezahlt. Ich habe fast mehr als – ich glaube, bis zu 700.000 Dollar ausgegeben.

JACK: Wow.

HIEU: Ja, für den Anwalt.

JACK: Der Anwalt hätte hier doch kämpfen müssen - ich mein, 60 Millionen Dollar angeblicher Schaden, obwohl das erfunden ist. Er hat die Informationen nur an jemand anderen weitergegeben, und jemand anderes hat den Schaden angerichtet. Er hat nie einen Steuerbetrug begangen. Man kann also nicht sagen, dass er derjenige ist, der Steuerbetrug begangen hat. Es ist, als ob ich dir ein Feuerzeug verkaufe und du nimmst dieses Feuerzeug und brennst damit ein Gebäude nieder. Ich bin nicht in Schwierigkeiten, weil ich dir das Feuerzeug verkauft habe. Die Person, die das Gebäude niedergebrannt hat, ist es.

HIEU: Das stimmt. Aber weißt du, damals haben mir viele Leute dasselbe gesagt. Ich hätte keinen Anwalt engagieren sollen. Ich hätte das Geld behalten sollen.

JACK: Ja.

HIEU: Aber weißt du, meine Familie war so besorgt und sie schauten im Internet nach; oh ja, das ist ein guter Anwalt, gute Bewertung, Fünf-Sterne-Bewertung, internationaler Anwalt, was auch immer, in New Hampshire, ein Profi. Ja, so war das. Ich erinnere mich, jedes Mal, wenn die Anwälte und sein Team mich trafen – jedes Mal kostete es mich 5.000 bis 10.000 US-Dollar. Eine E-Mail, die ich ihm oder dem Anwaltsteam schickte, kostete mich 200 oder 300 US-Dollar pro E-Mail.

JACK: Ich weiß, Anwälte sind so teuer.

HIEU: Ich weiß, sehr teuer. Wie gewonnen, so zerronnen. Also beschwere ich mich nicht wirklich darüber, denn am Ende des Tages ist es irgendwie schmutziges Geld.

JACK: Eine andere Sache, die mich an der ganzen Sache wirklich stört, ist, dass weder MicroBilt, LocatePLUS noch Court Ventures ihren Opfern jemals mitgeteilt haben, dass es einen Datenbank-Einbruch gab.

HIEU: Nein, sie haben nie etwas gesagt – selbst bis heute, ich suche nach ihnen und sie haben nie etwas darüber erwähnt, obwohl es ihnen wirklich passiert ist.

JACK: Entschuldigung, aber: Was sind das für Dreckskerle. Ich habe einfach kein Mitgefühl mit diesen Datenhändlern. Ich hasse sie echt. Sie nehmen meine Daten ohne meine Zustimmung. Ich kann mich nichtmal abmelden, wenn ich wollte. Und sie schützen sie nicht, und wenn sie bei einem Datenleck verloren gehen, haben sie nicht einmal den Anstand, mir zu sagen, dass meine Daten, die sie über mich gesammelt haben, abhandengekommen sind.

Hieu versuchte verzweifelt, seinen Anwalt dazu zu bringen, ihm zu helfen. Aber die Sache ist so, dass es eine 99%ige Verurteilungsrate gibt, wenn die Bundesbehörden dich mit einem CFAA-Verstoß belangen. In all den Fällen, in denen die Bundesbehörden jemanden eines CFAA-Verstoßes beschuldigten, konnte ich nur zwei oder drei Fälle finden, in denen der Angeklagte tatsächlich gewann. Der Rest waren Leute, die sich schuldig bekannten oder im Prozess für schuldig befunden wurden, und so waren die Chancen, dass Hieu davonkam, gleich null. Er versuchte, dagegen anzukämpfen, aber alles, was sie versuchten, wurde von den Gerichten immer wieder abgelehnt. Nach ein paar Jahren des Kampfes wurde Hieu müde und sein Geld wurde knapp.

HIEU: Meine Anwälte erklärten mir, dass ich den Prozess verlieren könnte. Ich könnte bis zu fünfundvierzig Jahre im Bundesgefängnis bekommen.

JACK: Fünfundvierzig Jahre?

HIEU: Ich hatte solche – richtig; ich hatte solche Angst. Alle Anklagepunkte zusammen – nicht nur aus New Hampshire, sondern auch aus New Jersey. Ich hatte also zwei Strafanzeigen aus New Hampshire und New Jersey. Sie wurden alle zusammengelegt, und sie sagten, das sind bis zu fünfundvierzig Jahre, wenn ich verliere. Meine Familie und ich hatten also solche Angst. Also haben wir uns auf einen Deal eingelassen und, ja, ich habe mich im Sommer 2015 schuldig bekannt.

JACK: Schuldig, schuldig, einen Schaden von 60 Millionen Dollar verursacht zu haben. Als dein Urteil anstand oder während des Deals, hast du da mal angeboten, das eingenommene Geld abzugeben, um die Strafe zu reduzieren? Wie lief das ab?

HIEU: Oh, ja. Meine Familie fragte sie auch – sie wollten das ganze Geld zurückgeben, aber sie sagten, nein, das brauchen sie nicht.

JACK: Wirklich?

HIEU: Ja. Sie brauchen kein Geld. Sie brauchen kein Vermögen. Sie brauchen nichts. So war das. Aber die Sache ist, weißt du, ich habe viel Geld für Anwälte ausgegeben, auch während meiner Haft, für Essen und Medikamente und solche Sachen.

JACK: Sie haben also nichts von deinem Geld, deinem Eigentum, deinen Autos oder irgendetwas genommen?

HIEU: Nein, nein. Das war ihnen egal. Es ist, als ob sie das nicht brauchen.

JACK: Sie wollen nur dich.

HIEU: Sie wollen nur mich.

Die Sache mit den Daten

JACK: Nachdem er sich schuldig bekannt hatte, wurde er zu dreizehn Jahren Gefängnis verurteilt, dreizehn Jahre für den unbefugten Zugriff auf Daten von Datenhändlern. An diesem Punkt frage ich mich, was wäre, wenn Hieu, anstatt auf die Daten von Datenhändlern zuzugreifen, um sie zu verkaufen, einfach sein eigenes Datenhändlergeschäft aufgebaut hätte, das für jedermann zugänglich ist? Wäre das illegal? Wenn Hieu zum Beispiel alle Daten aus dem Telefonbuch, alle Gerichts- und Bezirksakten kopiert und LinkedIn-Daten gesammelt hätte, um vollständige Profile von Millionen von Menschen zu erstellen – das sind alles öffentliche Informationen, oder? Das wäre für ihn nicht besonders schwer gewesen, denn er ist ein cleverer Kerl. Gibt es Gesetze, die er brechen würde, wenn er diese Daten verkaufen würde? Ich frage mich wohl, ob es Gesetze gibt, denen Datenhändler folgen müssen? Hm.

Okay, das hab ich nachschlagen. Grundsätzlich ja, es gibt Gesetze für Datenhändler, oft reguliert durch die einzelnen Bundesstaaten. Der Kern der Gesetze ist, dass Datenhändler nachweisen müssen, dass sie ihre Daten nicht an Kriminelle verkaufen.

Ähhh: Denkt an all die gefährlichen Haushaltsgegenstände, die wir wahrscheinlich alle haben - Teppichmesser, Hämmer, Streichhölzer, Feuerzeuge, Benzin, Bleichmittel. Das sind alles Dinge, die viel Schaden und Zerstörung anrichten können, oder? Doch wenn man sie kauft, überprüft der Laden nicht eure Absicht. Sie sagen nicht: „Hey, was hast du mit dem Teppichmesser vor? Du musst uns beweisen, dass du es für etwas Gutes verwenden wirst.“ Doch genau so behandeln Datenhändler ihre Kunden. Ihre Kunden müssen nachweisen, dass sie einen legitimen Grund haben, ihre Daten zu durchsuchen, und sie stehen auf der genehmigten Liste der „guten“ Leute.

Anscheinend reicht es für Datenhändler nicht aus, nur zu sagen: „Hey, ihr dürft das nicht für böswillige Absichten verwenden.“ Sie müssen jeden einzelnen Benutzer überprüfen, um zu verhindern, dass einer von ihnen die Daten böswillig verwendet. Die genehmigte Liste umfasst also Leute wie Strafverfolgungsbehörden, Vermarkter, Ermittler, Kreditagenturen, solche Leute. Diese Unterscheidung ist für mich sehr faszinierend. Datenhändler sind legal, aber nur, wenn sie ihre Daten an eine exklusive Gruppe von Leuten verkaufen. Das gefällt mir kein kleines bisschen. Dass es ein Geschäft gibt, das meine persönlichen Informationen kauft und verkauft, ist widerlich. Sucht euch einen besseren Job, okay? Aber mir gefällt auch nicht, dass sie ihre Daten nur an eine bestimmte Gruppe von Leuten verkaufen.

Nur Leute in einem exklusiven Club können meine Daten nachschlagen, ein Club, in den ich nicht reingelassen werde. Der Grund, warum Staaten Datenhändler regulieren, ist, dass wir alle mit Betrügern, Identitätsdieben und Stalkern überflutet würden, wenn jeder diese Datenbanken durchsuchen könnte. Aber für mich ist das nicht das Problem. Für mich ist das Problem, erstens, dass ich nicht einmal weiß, wie viele Daten diese Datenhändler über mich haben, und zweitens, dass ich nicht einmal weiß, wer meine Daten hat.

Wenn ich irgendwie den Stich und den Schmerz jedes Mal spüren könnte, wenn meine Privatsphäre verloren geht, würde ich meine Privatsphäre viel ernster nehmen. Ich weiß also, dass es wahrscheinlich Apps auf meinem Handy gibt, die gerade Echtzeit-Standortdaten an einen Datenhändler senden, und wenn jemand diese Daten nehmen und sehen würde, wo ich bin, und zu meinem Haus käme und an meine Tür klopfte, würde ich natürlich nicht aufmachen, weil ich nie meine Tür aufmache.

Aber ich stelle mir nur vor, wie sie ununterbrochen an die Tür hämmern, so nach dem Motto: „Hey, Jack, ich weiß, dass du zu Hause bist. Mach die Tür auf. Dein Telefon sendet mir gerade Echtzeit-Standortdaten.“ Ich würde sofort denken: „Warte, welche App sendet dir meine Standortdaten?“ Ich glaube, ein beängstigender Moment wie dieser würde mich absolut dazu zwingen, Apps zu deinstallieren, die mich verfolgen.

Meine gewagte These ist also, dass Stalker hier nicht das Problem sind. Es ist die obsessive Sammlung meiner Daten, die das Problem ist. Wenn sich Datenhändler öffnen und jedem erlauben würden, ihre Seite zu durchsuchen, wären wir alle viel privater und sicherer, weil wir alle riesige Schritte unternehmen würden, um unsere Privatsphäre viel ernster zu schützen.

Natürlich sagen die Datenhändler, dass sie unsere Privatsphäre ernst nehmen und Sicherheit ihre oberste Priorität ist. Ja, nun, bis sie es eben nicht mehr ist. Hieu ist ganz allein in vier verschiedene Datenhändler eingedrungen, und es sah nicht so aus, als wäre es für ihn so schwer gewesen. Es gibt eine Nachricht nach der anderen über gehackte Datenhändler. Der größte Fall war, als Equifax gehackt wurde. Wenn die Datenhändler so besorgt wären, dass ihre Daten in die falschen Hände wie Betrüger und Stalker geraten, dann sollen sie sie gar nicht erst sammeln. Denn wenn ich eines aus über 160 Folgen über Hacking gelernt habe, dann ist es, dass man irgendwann bei der Sicherung seines Netzwerks und seiner Daten scheitern wird. Es gibt keinen sicheren Weg, meine persönlichen Daten zu sammeln und zu speichern, geschweige denn zu verkaufen.

Die Regulierungsbehörden denken, dass die Verpflichtung der Datenhändler, jeden Benutzer zu überprüfen, Kriminelle daran hindert, auf die Daten zuzugreifen, aber offensichtlich greifen Kriminelle dennoch auf die Daten zu. Seit wann halten sich Kriminelle an Vorschriften? Also, alles, was die Vorschriften wirklich tun, ist, Leute wie euch und mich, normale Bürger, daran zu hindern, zu sehen, was da drin steht. Es gibt so wenige Leute, die wirklich verstehen, was in dieser Welt der Datenhändler vor sich geht, da sie gerne in den Schatten des Internets operieren und hart daran arbeiten, alle anderen im Dunkeln zu lassen.

Die Lage in Deutschland und Europa

Jack beschreibt hier die Situation in den USA. Ich bin Holger Bleich und schreibe für die c't unter anderem über das Thema Datenschutz. In der EU soll der Datenhandel mit der Datenschutzgrundverordnung, der DSGVO geregelt werden. Ein Schlupfloch, das sich darin bietet und das Datenhändler gerne nutzen, ist das sogenannte „berechtigte Interesse“. Laut DSGVO dürfen Unternehmen Daten sammeln, wenn sie dafür einen, so wörtlich, „guten Grund“ haben. Den dürfen die Unternehmen praktischerweise selbst beurteilen. Auf diesem Wege werden fleißig Daten gesammelt, die in Paketen gebündelt dann auf Marktplätzen landen und z.B. für Bewegungsprofile genutzt werden. Wer in den Cookie-Bannern auf „Alle akzeptieren“ klickt, erteilt stillschweigend die Zustimmung dafür.

Holger Bleich ist Co-Host des c't Datenschutzpodcasts "Auslegungssache".

Vom Häftling zum Cybercrime-Ermittler

JACK: Hieu wurde 2015 verurteilt, was bedeutete, dass er 2026 rauskommen würde, da er zu diesem Zeitpunkt bereits zwei Jahre im Gefängnis verbracht hatte.

Dort im Gefängnis von New Hampshire lernte er Englisch und bildete sich auch in anderen Bereichen fort. Die Polizei fragte ihn, ob er seine Geschichte nicht mit anderen teilten könnte, um denen beizubringen, wie das Darknet funktioniert und all das, und: Hieu kooperierte, er erzählte seine Geschichte und tat alles, um sich selbst zu rehabilitieren und früher rauszukommen. Während er im Gefängnis saß, erreichte ihn aber eine Nachricht, die ihn wirklich niederschmetterte. Die Liberty-Reserve-Website wurde von den Bundesbehörden beschlagnahmt und der Besitzer gefasst.

HIEU: Ich habe in den Nachrichten gehört, dass er gefasst wurde.

JACK: Hieu hatte immer noch n eMenge Geld auf seinem Liberty-Reserve-Konto. Aber als die Seite beschlagnahmt wurde, beschlagnahmten sie auch das Geld. Wie viel hast du da verloren?

HIEU: Ich hatte dort etwas mehr als 300.000 Dollar gespart.

JACK: Wow.

HIEU: Weißt du, ich dachte, Mann, ich werde nach Hause gehen und dieses Geld holen. Aber in dem Moment, als ich das während meiner Haftzeit 2014 oder '15 in den Nachrichten hörte, dachte ich, Mann, es ist vorbei. Kein Geld mehr.

JACK: So verbüßte er weiterhin seine Haftstrafe und hielt sich aus Schwierigkeiten heraus. Wegen guter Führung wurde er vorzeitig entlassen. Nachdem er sieben Jahre im Gefängnis verbracht hatte, ließen sie ihn 2020 frei. Es gab viele Komplikationen, mitten in einer Pandemie aus dem Gefängnis zu kommen, also dauerte es acht Monate, bis er nach seiner Freilassung nach Hause kam. Aber schließlich schaffte er es zurück nach Vietnam.

Als du 2020 nach Hause kamst, hattest du noch Geld von all dem übrig?

HIEU: Ich hatte noch etwas mehr als 50.000 US-Dollar und eine Wohnung.

JACK: Als er nach Hause kam, bekam er einen Job bei der vietnamesischen Regierung, um bei der nationalen Cyberabwehr zu helfen.

HIEU: Das sogenannte NCSC, das Nationale Zentrum für Cybersicherheit, dort habe ich vier Jahre lang gearbeitet. Ich habe das NCSC erst vor fünf Monaten verlassen, weil die Regierung die Behörde umstrukturiert hat, und deshalb habe ich das NCSC verlassen. Momentan konzentriere ich mich hauptsächlich auf die Untersuchung von Cyberkriminalität. Ich liebe es, Cyberkriminelle zu jagen, technisch gesehen. Von dem Tag, an dem ich nach Hause kam, bis heute habe ich der Strafverfolgung in Vietnam und auch in anderen Ländern geholfen, mehr als zweihundert Cyberkriminelle zu verhaften.

JACK: Hieu sagt, er genießt es geradezu, Opfern von Betrug und Identitätsdiebstahl zu helfen, indem er sie z.B. über ihre Möglichkeiten aufklärt, und dabei hilft, die Kontrolle über ihr Leben zurückzugewinnen und das Gesetz zu nutzen. Tatsächlich klingt es für mich so, als ob Hieu ein ziemlich schlechtes Gewissen gegenüber den Leuten hat, die durch seinen Dienst betrogen wurden.

HIEU: Ich habe das Gefühl, dass ich den Leuten viel schulde, hauptsächlich den Leuten in den USA. Ich habe so viele Menschen verletzt und geschädigt, und ich schäme mich irgendwie immer noch dafür.

JACK: Hieu möchte also klarstellen, dass es ihm für jeden leidtut, dessen Identität gestohlen wurde und der durch seine Website Geld verloren hat. Es tut ihm wirklich leid, er hat sich mehrmals öffentlich entschuldigt und möchte versuchen, alles zu tun, um das Unrecht, das er getan hat, wiedergutzumachen, weshalb er jetzt Opfern hilft und mit der Strafverfolgung zusammenarbeitet, um Cyberkriminelle in seinem Heimatland zu fassen.

JACK (Outro): Vielen Dank an Hieu Minh Ngo, dass er uns diese unglaubliche wilde Geschichte erzählt hat. Ich musste beim Erstellen mehrmals innehalten und nachdenken, ich liebe eine Geschichte, die mich so tief ins Grübeln bringt, und ich hoffe, das tat sie auch bei euch. Ich habe kürzlich ein Buch über Datenhändler gelesen, das extrem aufschlussreich war, es heißt „Means of Control“ von Byron Tau. Schaut es euch an. Ihr werdet die Welt danach nicht mehr mit denselben Augen sehen.

(igr)

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Anthropics Claude Code: Kompletter Quellcode im Netz

2026-03-31T13:14:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Der Quellcode von Anthropics CLI-Tool Claude Code wurde versehentlich über eine Source-Map im npm-Registry öffentlich zugänglich.

142

Anthropic steht auf einem Smartphone, im HIntergrund Claude.

(Bild: Stockinq/Shutterstock.com)

31.03.2026, 15:14 Uhr

Lesezeit: 2 Min.

iX Magazin

Von

Moritz Förster

Der Quellcode von Anthropics CLI-Tool Claude Code ist am 31. März 2026 anscheinend unbeabsichtigt öffentlich zugänglich geworden. Auslöser war nach übereinstimmenden Berichten eine mitveröffentlichte Source-Map-Datei im npm-Registry. Der Sicherheitsexperte Chaofan Shou machte über X auf den Fund aufmerksam, kurz darauf tauchte ein vollständiger Snapshot des Codes in einem öffentlichen GitHub-Repository auf.

Der gespiegelte Code umfasst laut Repository rund 1900 Dateien mit über 512.000 Zeilen. Claude Code ist ein Kommandozeilenwerkzeug, mit dem Entwickler über natürliche Sprache auf Anthropics KI-Modelle zugreifen und typische Aufgaben wie das Bearbeiten von Dateien oder das Ausführen von Befehlen erledigen können.

Source Map als Einfallstor

Source Maps dienen eigentlich dazu, komprimierten oder gebündelten Code auf die ursprünglichen Quelldateien zurückzuführen. Gelangen sie jedoch in veröffentlichte Pakete, können sie den Zugriff auf den Originalcode ermöglichen. In diesem Fall verwies die Datei offenbar auf unminifizierte TypeScript-Quellen, die sich herunterladen ließen.

Als wahrscheinliche Ursache gilt eine fehlerhafte Paketkonfiguration bei der Veröffentlichung über npm. Anthropic reagierte schnell: Die betroffene Paketversion wurde bereits aus dem npm-Registry entfernt und durch eine bereinigte Version ohne Source-Maps ersetzt. Eine offizielle Stellungnahme des Unternehmens lag zum Zeitpunkt der Veröffentlichung dieser Meldung nicht vor.

Videos by heise

Modulare Architektur mit Bun und React

Ein erster Blick in das Material zeigt eine modular aufgebaute Codebasis. Das Tool nutzt demnach die JavaScript-Laufzeitumgebung Bun und setzt für die Terminaloberfläche auf React in Kombination mit der Ink-Bibliothek. Zudem enthält der Code unter anderem ein Befehlssystem, eine Schnittstelle zu Entwicklungsumgebungen sowie Mechanismen zur Steuerung von Berechtigungen.

Die Verbreitung erfolgte zunächst über soziale Netzwerke und Entwicklerforen auf Reddit. Parallel entstand auf GitHub ein Repository, das den Code zu Analysezwecken spiegelt und ausdrücklich als Forschungs- und Lehrmaterial einordnet.

Update 01.04.2026, 11:00 Uhr

Mittlerweile enthält das Repository einen angeblichen Rewrite des Codes in Python, der jedoch nicht vom ursprünglichen Contributor stammt. Wir haben als Vorsichtsmaßnahme den Link auf das Repository entfernt.

Laut CNBC hat Anthropic eine unbeabsichtigte Codeoffenlegung bestätigt. „Es waren keine sensiblen Kundendaten oder Zugangsdaten betroffen oder wurden offengelegt“, erklärte ein Sprecher von Anthropic. „Es handelte sich um ein Problem bei der Veröffentlichung der Software, das durch menschliches Versagen verursacht wurde, nicht um eine Sicherheitslücke. Wir ergreifen Maßnahmen, um zu verhindern, dass sich so etwas wiederholt.“

(fo)

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Bundeskriminalamt: Mehr Löschbedarf bei rechtswidrigen Inhalten

2026-03-31T12:20:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Entfernungsanordnungen für terroristische Inhalte werden wieder seltener – die Zahl der BKA-Hinweise an Hostinganbieter steigt dennoch rapide an.

(Bild: smolaw / Shutterstock.com)

31.03.2026, 14:20 Uhr

Lesezeit: 3 Min.

Von

Falk Steiner

245 Mal hat das Bundeskriminalamt (BKA) im vergangenen Jahr sogenannte Entfernungsanordnungen nach der Terrorist-Content-Online-Verordnung (TCO-VO) der EU erlassen, etwa die Hälfte des 2024er-Wertes. Nur 0,8 Prozent der Anordnungen wurden dabei nicht von den Anbietern umgesetzt. 203 der 245 Entfernungsanordnungen gingen dabei an nichtdeutsche Hostingdienstleister. Das geht aus dem heute veröffentlichten Transparenzbericht für das Jahr 2025 zur Durchsetzung der TCO-Verordnung hervor. Die TCO-Verordnung gilt als eines der schärfsten Schwerter, selbst Telegram folgt laut BKA den Entfernungsanforderungen.

Widerspruch nicht zwecklos

Gegen sechs Anordnungen wurde beim BKA Widerspruch eingereicht – der in allen sechs Fällen auch erfolgreich war. Das Terroristische-Online-Inhalte-Bekämpfungs-Gesetz (TOIBG) weist die Zuständigkeit für das Vorgehen gegen terroristische Inhalte dem BKA zu. Nach Erhalt einer formellen Entfernungsanordnung müssen die Hostinganbieter rund um die Uhr binnen einer Stunde die beanstandeten Inhalte unerreichbar stellen.

Aus dem europäischen Ausland wurden 28 Entfernungsanordnungen über das BKA an deutsche Hostingdienstleister weitergeleitet – dabei richteten sich 24 davon gegen einen einzigen Anbieter. Gegen diesen hatte die für die Einhaltung der allgemeinen TCO-Regeln durch Anbieter zuständige Bundesnetzagentur nach eigener Darstellung bereits zuvor ein Bußgeldverfahren eingeleitet, weil dieser nur unzureichende Maßnahmen gegen terroristische Inhalte in seinem Zuständigkeitsbereich vorgenommen haben soll.

Videos by heise

Anbieter haben keine Prüfbefugnis

Anders als nach dem bekannteren Digital Services Act (DSA) ist mit der TCO-Verordnung unmittelbar die Entfernung von Inhalten geregelt, nicht die Prüfung durch Anbieter auf mögliche Rechtswidrigkeit. Sie können allerdings ausländische Anordnungen durch das BKA nachlaufend prüfen lassen und gegebenenfalls vor Gericht gehen. Andersherum müssen Hostingdienste wie etwa Social-Media-Plattformen jedoch die zuständigen Behörden in ihrem Mitgliedsstaat informieren, wenn sie etwa über Nutzermeldungen auf Inhalte aufmerksam werden, die unter die TCO-Verordnung fallen. So kann aus einer DSA-Meldung ein TCO-Vorgang werden.

Nicht in der TCO-Verordnung angelegt und auch im TOIBG nicht weiter spezifiziert ist dabei eine andere BKA-Vorgehensweise: Die Bundesnetzagentur weist aus, dass das BKA 2025 insgesamt 29.792 Mal unverbindlich an Hostingdienste sogenannte Löschersuche geschickt hat. Diese können auch terroristische, in jedem Fall aber aus BKA-Sicht strafrechtlich relevante Inhalte meinen. Bei diesem Weg steigt die Zahl seit Jahren steil an: Die sogenannten „Referrals“ vom BKA lagen 2023 noch bei 7240, 2024 waren es schon 17.045. Den nachdrücklichen Bitten aus Wiesbaden wurde 2025 in gut neun von zehn Fällen durch die Anbieter entsprochen.

(dahe)

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Telegram: Hickhack um kritische oder hochriskante Sicherheitslücke

2026-03-31T12:14:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

IT-Forscher haben eine vermeintlich kritische Zero-Click-Schwachstelle in Telegram ausgemacht. Telegram widerspricht dem.

(Bild: Sergei Elagin / Shutterstock.com)

31.03.2026, 14:14 Uhr

Lesezeit: 3 Min.

Security

Von

Dirk Knop

Am vergangenen Wochenende berichteten mehrere Medien über eine mutmaßlich kritische Zero-Click-Sicherheitslücke im Messenger Telegram. IT-Forscher der renommierten Zero-Day-Initiative (ZDI) von Trend Micro sind darauf gestoßen. Telegram hat gegenüber der italienischen IT-Sicherheitsbehörde Agenzia per la Cybersicurezza Nazionale (ACN) jedoch widersprochen, die Sicherheitslücke gebe es nicht.

Bei der Zero-Day-Initiative findet sich der Eintrag ZDI-CAN-30207 vom Donnerstag vergangener Woche. Dem ist lediglich das betroffene Programm (Telegram) und die Risikoeinstufung nach CVSS (inzwischen 7.0) zu entnehmen. Bis zum 24. Juli 2026 gibt die ZDI Telegram im Rahmen des Responsible-Disclosure-Prozesses Zeit, die Lücke zu stopfen. Danach veröffentlicht die ZDI die Informationen zur Schwachstelle und teilt ihr eine CVE-Nummer zu.

Die italienische Cybersicherheitsbehörde ACN hat am Wochenende eine Warnung vor der Telegram-Lücke veröffentlicht. Darin finden sich nähere Informationen: Eine Zero-Click-Sicherheitslücke in der Android- und Linux-Version des Messengers ermöglicht Angreifern, mittels „animierter Sticker“ verwundbaren Versionen Schadcode unterzuschieben und auszuführen – ohne dass Nutzer oder Nutzerinnen interagieren oder etwas bestätigen müssten. Das Problem beruht auf der automatischen Verarbeitung dieser Mediendateien in Telegram. Angreifer können so die Kontrolle über das betroffene Gerät erlangen und Zugriff auf sensible Daten wie Nachrichten, Kontakte oder aktive Sessions. Die ursprüngliche Risikoeinstufung der Sicherheitslücke durch die ZDI lag daher bei einem CVSS-Wert von 9.8 bei „kritisch“.

Telegram: Lücke existiert nicht

Die ACN hat das Gespräch mit Telegram gesucht und im Laufe des Montags dieser Woche die Sicherheitsmitteilung aktualisiert. Demnach hat Telegram die Existenz der Lücke offiziell dementiert. Jeder auf die Plattform hochgeladene Sticker werde vor der Verteilung an Client-Apps auf den Servern validiert und gescannt. Dieser zentrale Filterprozess verhindere daher die Nutzung von sorgsam präparierten animierten Stickern zum Ausnutzen von Schwachstellen. Es sei technisch unmöglich, Schadcode auf diesem Weg auszuführen.

Videos by heise

Inzwischen hat die ZDI den Schweregrad mit der Begründung auf Mastodon von serverseitigen Gegenmaßnahmen seitens Telegram ebenfalls angepasst, mit einem CVSS-Wert von 7.0 erreicht er noch die Risikostufe „hoch“. Die ACN schlägt weiterhin vor, in Telegram den Empfang von Nachrichten von neuen Gesprächspartnern einzuschränken und in den Einstellungen etwa auf das eigene Adressbuch oder Premium-Nutzer zu begrenzen.

Die ZDI-Webseite führt die Zero-Click-Schwachstelle in Telegram auf, inzwischen aber mit geringerer Risiko-Einstufung.

(Bild: heise medien)

Es fehlen Details zu den Telegram-Aussagen, die eine bessere Einordnung ermöglichen. Auf eine Anfrage von heise security hierzu hat Telegram noch nicht reagiert.

Grundsätzlich schließt ein serverseitiger Scan eine derartige Sicherheitslücke nicht, er erschwert höchstens ihre Ausnutzung. Die bisherige Erklärung gegenüber der ACN legt nahe, dass es sich nicht um einen Filter handelt, der alle Sticker verwirft, sondern um eine Art Malware-Scan. Solche Viren-Scans lassen sich oftmals durch Verschleierung oder geschickte Störungen in den Dateien austricksen, etwa wenn die Parser des Scanners mit den vorliegenden Daten nicht mehr zurechtkommen, die Zielsoftware zum Verarbeiten aber schon.

(dmk)

Top 10: Der beste Fensterputzroboter im Test

Top 10: Der beste Full-HD-Beamer im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Das US-Routerverbot und seine durchsichtige Begründung

2026-03-31T09:43:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Die USA verbieten neue Routermodelle, möchten aber Ausnahmen machen, wenn genug Geld dafür hereinkommt. Auch nach einer Woche sind viele Fragen offen.

(Bild: Evgeny Ostroushko/Shutterstock.com)

11:43 Uhr

Lesezeit: 9 Min.

Von

Daniel AJ Sokolov

Die USA lassen neue Routermodelle für den Verbrauchermarkt („Consumer-Grade“) nur noch zu, wenn sie zur Gänze in den USA entworfen, entwickelt und produziert werden. Das wäre eine tolle Nachricht für Hersteller solcher Router. Doch solche Produzenten gibt es nicht. Das zeigt sich schon daran, dass niemand „Made in USA Router for the Consumer Segment“ (MURCS) anpreist.

Bereits genehmigte Routermodelle dürfen weiter verkauft und genutzt werden, doch sind Updates von Firmware und Software verboten. Für Sicherheitsupdates gibt es eine Ausnahme bis 1. März 2027. Was als „consumer-grade“ gilt, ja sogar, was als „Router“ gilt, bleibt offen. Und bis heute schweigt die FCC zu Fragen von heise online, ob Open-Source-Software als inländisch oder ausländisch eingestuft wird, und wie es um ausländische Patente steht.

(Bild:

Daniel AJ Sokolov

)

Daniel AJ Sokolov schreibt seit 2002 für heise online, anfangs aus Wien. Seit 2012 versucht er als Nordamerika-Korrespondent von heise online, Kanadier und US-Amerikaner zu verstehen und ihr Wesen begreiflich zu machen.

Gleichzeitig ist das Verbot streng: „Production generally includes any major stage of the process through which the device is made, including manufacturing, assembly, design, and development.“ Also jeder wichtige Schritt bei Design, Entwicklung, Produktion und Zusammenbau muss in den USA erfolgen. Mit Zusammenstecken asiatischer Teile in US-Gefängnissen wäre es nicht getan.

Die republikanisch geführte Regulierungsbehörde FCC (Federal Communications Commission) begründet das Verbot mit einer geheimen Feststellung nicht genannter Geheimdienste, wonach ausländische Verbraucher-Router ein „inakzeptables Risiko für die nationale Sicherheit“ darstellen. Diese Feststellung erfüllt formal die gesetzliche Vorgabe (47 U.S.C., Paragraph 1601[c]) für das Verbot. Dieselbe Floskel wandte die FCC im Dezember auch beim Verbot neuer ausländischer Flugdrohnenmodelle an.

Typhoon

Die veröffentlichte Zusammenfassung der geheimen Feststellung der geheimen Geheimdienste erwähnt mögliche Folgen mangelhafter Sicherheit bei Routern: „Störung von Netzverkehr, Ermöglichung lokaler Netzspionage und Verletzung von Immaterialgüterrechten.“ Dazu kommen scheinbar harte Fakten: „Zusätzlich waren im Ausland hergestellte Router direkt verwickelt in die Angriffe von Volt, Flax und Salt Typhoon, die kritische amerikanische Kommunikations-, Energie-, Verkehrs- und Wasserinfrastruktur im Visier hatten.“

Das ist nicht ganz falsch. Router hatten durchaus etwas damit zu tun. Und weil es nach US-Definition inländische Router nicht gibt, waren es, zwangsweise, ausländische Router.

Volt

2023 machte Microsoft darauf aufmerksam, dass chinesische Angreifer Betreiber kritischer Infrastruktur ausspionieren. Zur Verschleierung des Datenverkehrs nutzten sie tatsächlich fremde „Small Office/Home Office“-Router (SOHO). Die Abgrenzung zwischen SOHO und Consumer-Grade ist unklar, aber zweitrangig. Denn Volt Typhoons Einfallstore waren Lücken in Fortinet-Firewalls, die Verbraucher nicht zu betreiben pflegen.

Videos by heise

Flax

Mit Flax Typhoon ist ein großes Botnet gemeint, das zum Zeitpunkt seiner Entdeckung 2024 über 260.000 Router und vernetzte Geräte des Alltagsgebrauchs (IoT) ahnungsloser Haushalte ausnutzte. Die zahlenmäßig meistbetroffenen Länder waren die USA, mit großem Abstand gefolgt von Vietnam und Deutschland. Das Botnet wird der Volksrepublik China zugeschrieben und nutzte 66 öffentlich bekannte Sicherheitslücken aus; die älteste war bereits 2015 bekannt.

Wie das amtliche Cybersecurity Advisory zeigt, sind 98,5 Prozent der Prozessoren der für Flax Typhoon missbrauchten Geräte in den USA entwickelt worden. Nur 1,5 Prozent waren demnach ARM-Geräte, deren Ursprung in britischen Designs liegt. Am Prozessordesign, das fortan amerikanisch sein muss, kann es also nicht gelegen haben. Das Advisory vom September 2024 empfiehlt unter anderem, Updates einzuspielen, Default-Passwörter durch eigene, starke zu ersetzen und Geräte vom Netz zu nehmen, wenn der Hersteller sie nicht mehr unterstützt. Woher man zuverlässig wissen soll, dass der Hersteller seine Produkte nicht mehr absichert, bleibt offen.

Salt

Salt Typhoon war eine erfolgreiche chinesische Spionage(-abwehr)-Mission in dutzenden Ländern. In den USA drangen die Angreifer bei großen Netzbetreibern ein, darunter AT&T, Verizon und T-Mobile. Ironie der Geschichte: Die Spione nisteten sich ausgerechnet in jenen Systemen ein, die die USA zum Abhören von Telefonaten und Kopieren fremder Datenübertragungen nutzen.

Die Eindringlinge nutzten bereits bekannte Lücken in riesigen Cisco-Routern, die niemand bei sich zu Hause betreibt. Die Netzbetreiber hatten es versäumt, voreingestellte Passwörter zu ändern und Updates gegen bekannte Softwarefehler einzuspielen. Gefürchtete Zero Days, also zuvor unbekannte Sicherheitslücken, wurden laut offiziellen US-Untersuchungen nicht ausgenutzt.

Das mit der Untersuchung befasste Cyber Safety Review Board hat Donald Trump auflösen lassen. Das war ihm so wichtig, dass die Anordnung am ersten Tag seiner zweiten Amtszeit als US-Präsident ergangen ist.

Top 10: Die beste Sportuhr im Test

Top 10: Die beste Dashcam fürs Auto im Test

Top 10: Die beste Soundbar mit Subwoofer im Test

Anonymisierendes Linux Tails 7.6 wechselt den Passwort-Manager

2026-03-31T07:40:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Die Entwickler setzen im anonymisierenden Linux Tails 7.6 auf einen einfacheren Passwort-Manager und verbessern die Verbindung.

(Bild: heise medien)

09:40 Uhr

Lesezeit: 3 Min.

Security

Von

Dirk Knop

Die Entwickler der anonymisierenden Linux-Distribution Tails haben die Version 7.6 veröffentlicht. Darin setzen sie auf einen neuen Passwort-Manager und stellen bessere Verbindungsoptionen bereit.

Die Versionsankündigung erklärt die Änderungen in Tails 7.6. Um in Umgebungen anonym ins Netz zu gehen, in denen Zensoren den regulären Zugang zum Tor-Netzwerk blockieren, können sogenannte Tor Bridges helfen, die Zensur zu umgehen. Die Tails-Entwickler empfehlen, die Option „Automatisch mit Tor verbinden“ beim Öffnen einer Tor-Verbindung auszuwählen. Sofern der Zugriff auf das Netzwerk blockiert ist, bietet der Bridge-Konfigurationsdialog nun die neue Option „Ask for a Tor bridge based on your region“. Die Funktion ist identisch mit der aus dem Standalone-Tor-Browser, die dieser seit Juli 2022 mitbringt. Sie tarnt die Verbindung mittels sogenanntem Domain Fronting, was auf Redirects von Domains bei CDN-Anbietern und Verschlüsselung mittels HTTPS setzt und sich von Zensurmaßnahmen nur schwerlich erkennen lässt.

Tails 7.6: Anderer Passwort-Manager

Außerdem haben die Maintainer von Tails nun den Passwort-Manager „Secrets“ zum Standard gemacht. Er ersetzt das bislang eingesetzte KeePassXC. Die Bedienoberfläche davon fällt einfacher aus und ist besser in den Gnome-Desktop integriert, argumentieren die Programmierer. Dadurch klappt auch der Einsatz von Barrierefreiheitsfunktionen wie Bildschirmtastatur oder angepasste Cursor-Größe. Secrets kann direkt die KeePassXC-Datenbank nutzen, da es das gleiche Dateiformat zum Speichern von Passwörtern nutzt. Wem dadurch etwas fehlt, steht die Installation von KeePassXC als Zusatzsoftware offen.

Weitere Änderungen umfassen die Aktualisierung von Kernkomponenten. Electrum ist nun auf Version 4.7.0 gesprungen, der Tor Browser auf 15.0.8. Thunderbird kommt in Fassung 140.8.0 mit. Die Firmware-Pakete haben die Tails-Entwickler ebenfalls aktualisiert, wodurch neuere Hardware besser unterstützt wird. Das umfasst Grafikkarten, WLAN-Chipsätze und so weiter. Kleinere Fehlerkorrekturen listet die Versionsankündigung ebenfalls auf.

Videos by heise

Tails 7.6 steht als USB-Abbild zum Verfrachten auf USB-Sticks sowie als ISO-Image zum Brennen auf DVD oder zum Einsatz in einer VM zum Herunterladen bereit. Auf USB-Stick dient Tails zum anonymen Surfen im Netz etwa auf fremden Rechnern, die sich einfach damit starten lassen.

Die Version 7.5 von Tails erschien Ende Februar und hat Änderungen bei der Thunderbird-Integration gebracht. Das soll für mehr Sicherheit sorgen, da Thunderbird als Zusatzpaket immer auf aktuellem Stand installiert wird.

(dmk)

heise security News

EU-Kommission verbietet Top-Beamten Nutzung von Signal-Gruppen

Wenn Verschlüsselung an Grenzen stößt

Spielehersteller Hasbro: Einschränkungen nach IT-Vorfall

Hasbro untersucht noch

Bitcoin-Sicherheit: Quanten-Angriff effizienter als gedacht

Wie der Angriff funktioniert

Eine Größenordnung effizienter als bisher bekannt

Wie weit sind heutige Quantencomputer?

Millionen Bitcoin als dauerhaftes Angriffsziel

Ethereum: Strukturell breiter gefährdet

Offenlegung ohne Angriffsblaupause

Migration zur Quantensicherheit – aber wie?

XZ Utils 5.8.3: Sicherheitsupdate mit unklarem Risiko

XZ Utils: Weitere Schwachstelle korrigiert

WhatsApp-Malware-Kampagne installiert Backdoors

WhatsApp als Einstiegspunkt der Angriffskette

Cisco stopft teils kritische Lücken in mehreren Produkten

Weitere hochriskante Cisco-Schwachstellen

Bericht: Cyberkriminelle stehlen Cisco-Quellcode durch gestohlene Credentials

Cisco Opfer gestohlener GitHub-Credentials

BSI veröffentlicht ersten Leitfaden für Grundschutz++

DarkSword: iOS-18-Nutzer erhalten Update außer der Reihe – schnell aktualisieren

Ein abgedichtetes iOS 18 ist längst da

Neben DarkSword gab es auch Coruna

Empfohlener redaktioneller Inhalt

KI findet kritische ImageMagick-Lücken in Standardkonfigurationen

Eingeschränkte Testumgebung

Tatsächliche Bedrohungslage

Malware auf npm: HTTP-Client axios lädt Backdoor für Windows, macOS und Linux

Plattformübergreifender Angriff

Command & Control

Zurück zu Version 1.14.0

„Passwort“ Folge 54: Alte Bugs, neue Angriffe und zukünftige PKI

Empfohlener redaktioneller Inhalt

Jetzt aktualisieren! Chrome-Sicherheitslücke wird angegriffen

Google Chrome: Aktualisierte Versionen

l+f: Claude serviert Zero-Day-Exploits frei Haus

Emacs vs VI – und Claude gegen beide

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

Darknet Diaries Deutsch: Hieu - vom Darknet zum Datendealer Teil 2

Der Secret Service wird hellhörig

Die Falle schnappt zu

Anklage nach dem CFAA

Die Sache mit den Daten

Die Lage in Deutschland und Europa

Vom Häftling zum Cybercrime-Ermittler

Anthropics Claude Code: Kompletter Quellcode im Netz

Source Map als Einfallstor

Modulare Architektur mit Bun und React