Uncategorized

Das Projekt der von Apple initiierten Programmiersprache Swift hat die Gründung einer C++-Arbeitsgruppe bekanntgegeben. Ziel dabei ist eine Erweiterung der Interoperabilität zwischen Swift und C++, an der Communitymitglieder bereits seit Jahren arbeiten.

Swift-Entwicklerinnen wie Zoe Carver und Swift-Entwickler wie Egor Zhdan oder Michael Forster sowie zahlreiche weitere Kontributoren haben den Swift-Compiler in die Lage versetzt, einige C++-APIs sowie Typen aus der C++-Standard-Library wie std::string und std::vector zu nutzen.

Manifest für Interoperabilität zwischen C++ und Swift

Zudem gibt es auf GitHub ein C++ Interoperability Manifesto, das die Ziele und das Design für die Implementierung beschreibt. Die neu gegründete Arbeitsgruppe soll die Zusammenarbeit laut Ankündigung stärken und dem Thema innerhalb des Swift-Projekts einen eigenen, offizielleren Rahmen verschaffen. In der Workgroup soll die Diskussion über notwendige Änderungen am Swift-Compiler zum Implementieren der Interoperabilität mit C++ dauerhaft Raum finden, lässt sich der Ankündigung entnehmen.

Im Detail hat die Arbeitsgruppe sich konkrete Ziele gesteckt. Treffen sollen regelmäßig im Wochentakt per Videocall stattfinden, und der Fokus liegt eingangs auf raschen beziehungsweise rascheren Iterationen im Entwickeln des Zusammenspiels der beiden Programmiersprachen. Die Arbeitsgruppe erklärt sich verantwortlich für die weitere Entwicklung und das Design eines Interoperabilitätsmodells zwischen C++ und Swift. Zudem soll sie den bestehenden Prozess der Swiftentwicklung ergänzen.

An erster Stelle steht für die Arbeitsgruppe das Erstellen eines Modells, das anschließend formal zu evaluieren ist. Die Swift-Community soll durch die Beteiligung am Fortgang der gesamten Sprache eingebunden sein.

Arbeitsgruppe sucht Mitglieder mit konkreten Zielen

Technische Diskussionen finden in den Foren Raum in einer neuen Unterabteilung des Development-Bereichs (C++ Interoperability). Dort stehen künftig auch die Protokolle der Arbeitsgruppentreffen für Interessierte bereit. Wer sich aktiv einbringen will, ist bei der Swift-Community willkommen. Voraussetzung ist das klare Commitment, wöchentlich etwa 50 Minuten für Diskussionen freizuhalten und aktiv zum Projekt beizutragen. Sinnvolle Beiträge könnten laut Arbeitsgruppe sein:

• Im Interoperability-Layer des Swift-Compilers Änderungen am Code vornehmen
• Dokumentation für Nutzer schreiben
• Proposals sichten und einschätzen
• Design-Vorschläge für bestimmte Code-Muster einbringen

Engagement und weiterführende Hinweise

Wer Interesse hat, kann sich direkt mit Zoe Carver oder Alex Lorenz in Verbindung setzen, die bei der Arbeitsgruppe offenbar den Hut aufhaben. Diese beiden sowie acht weitere Community-Mitglieder haben die Arbeitsgruppe gegründet und organisieren alles Weitere. Kontaktmöglichkeiten und weiterführende Hinweise lassen sich der Ankündigung im Swift-Forum entnehmen.

(sih)

Ein am Samstag entdeckter Ransomware-Befall beim Logistikunternehmen Oiltanking führt dazu, dass an vielen Tankstellen nichts mehr laufe. Alle Be- und Entladesysteme des Unternehmens seien betroffen – Tankwagen können nicht beladen werden. Somit könnten diese die Kunden nicht versorgen, zu denen neben mittelständischen Unternehmen auch Shell gehöre, hat der Sprit-Lieferant seinen Geschäftspartnern laut dpa-Meldung geschrieben.

Oiltanking arbeite demzufolge mit Hochdruck zusammen mit externen Spezialisten und Behörden an einer Lösung und an der Klärung des Ausmaßes des Angriffs. Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), bestätigte den Angriff auf einem IT-Sicherheitskongress und bezifferte, dass 233 Tankstellen in Norddeutschland betroffen seien; das seien jedoch lediglich 1,7 Prozent aller Tankstellen in Deutschland. Dort sei teils keine Kartenzahlung möglich oder keine Anpassung der Preise. Er halte den Vorgang natürlich für ernst, aber nicht für gravierend.

Folgen abgefedert

Eine Shell-Sprecherin erklärte der dpa zufolge, dass das Unternehmen von Oiltanking am Wochenende informiert worden sei, dass es eine Cyber-Attacke gegeben habe. Mögliche Auswirkungen auf ihre Versorgungsketten könnten zum gegenwärtigen Zeitpunkt über alternative Ladepunkte ausgeglichen werden.

Nach Einschätzung des Geschäftsführers des Unabhängigen Tanklagerverbands, Frank Schaper, sei die Versorgung der Bundesrepublik Deutschland mit Kraft-, Heiz- oder Brennstoffen durch den Angriff nicht gefährdet. Auf dem Markt seien insgesamt 26 Unternehmen aktiv, sodass kein Risiko eines Komplettausfalls der Tankversorgung in Deutschland bestehe.

Logistikunternehmen im Visier von Cybergangs

Bislang unbestätigten Mutmaßungen zufolge handelt es sich um einen Angriff mit Ransomware. Dabei verschlüsseln die Angreifer wichtige Dateien und fordern in der Regel hohe Beträge als Lösegeld. Für Details und Hintergründe zu dem Angriff war bis jetzt niemand bei Oiltanking oder der Muttergesellschaft Marquard & Bahls erreichbar; eine Antwort auf unsere schriftliche Anfrage hierzu steht noch aus.

Der Fall erinnert an die Cyberattacke auf Colonial Pipeline im Mai des vergangenen Jahres. Ein Ransomware-Befall führte zu Lieferengpässen beim Treibstoff und zu höheren Spritpreisen, da die 8800km lange Pipeline des Unternehmens sicherheitshalber abgeschaltet wurde. Da das Unternehmen etwa 45 Prozent aller an der Ostküste der USA verbrauchten Kraftstoffe darüber lieferte, ging tausenden Tankstellen der Sprit aus.

Das Unternehmen zahlte fatalerweise die Lösegeldsumme – vergebens. Auch das BSI rät wie das FBI davon ab, in einem Fall von Ransomware zu zahlen. Damit legitimiere man sonst das kriminelle Geschäftsmodell und motiviere Nachahmer, erläuterte das BSI.

(dmk)

Ein Beispielprogramm führt eine Sicherheitslücke zum Ausweiten der eigenen Rechte in Windows vor, die eigentlich von den Windows-Updates im Januar geschlossen wurde. Da die Microsoft-Patches jedoch auf einigen Systemen arge Probleme bereiteten, haben einige Administratoren sie deinstalliert. Spätestens jetzt sollten sie die außerplanmäßigen Updates einspielen, die Microsoft kürzlich veröffentlicht hat.

Die Sicherheitslücke in Win32k betrifft die meisten derzeit unterstützten Betriebssysteme, wie diverse Windows 10-, 11- und Windows-Server-Versionen. Microsoft stuft sie als hohes Risiko ein (CVE-2022-21882, CVSS 7.0). Die Aktualisierungen vom Januar, die das Leck stopfen, hatten jedoch unerwünschte Nebenwirkungen: Windows Server Domain Controller machten teils unerwartete Neustarts. Virtuelle Maschinen starteten gar nicht mehr und einige VPN-Verbindungen wurden gestört; zudem konnten mit ReFS-formatierte entfernbare Medien nicht mehr eingebunden werden.

Problem: Deinstallierte Updates

Zunächst gab es für betroffene Administratoren und Nutzer lediglich die Hinweise und Möglichkeit, die Januar-Updates wieder zu deinstallieren. Zwar hatte Microsoft kurze Zeit darauf stabilere Updates veröffentlicht. Jedoch haben sehr wahrscheinlich einige Administratoren sie noch nicht wieder installiert.

Der jetzt aufgetaucht Proof-of-Concept-Exploit (PoC) führt vor, wie Nutzer ihre Rechte im System ausweiten können. Sicherheitsforscher bestätigen die Funktion des verfügbaren Codes, der im Beispiel den Editor im System-Kontext startet.

Da der PoC als Quelltext verfügbar ist, dürften etwa Cybergangs ihn schnell in ihr Arsenal an Programmen zum Kompromittieren von Servern und Netzwerken aufnehmen. IT-Verantwortliche, Administratoren und Nutzer sollten jetzt schnell die aktualisierten Windows-Updates für den Januar 2022 installieren, sofern das noch nicht geschehen ist.

(dmk)

Zur Eröffnung des 18. IT-Sicherheitskongresses hat die neue Bundesinnenministerin Nancy Faeser (SPD) einen Ausbau des Bundesamts für Sicherheit in der Informationstechnik (BSI) angekündigt. Die Bonner Behörde soll künftig als “Zentralstelle im Bund-Länder-Verhältnis” fungieren. Bisher ist das Amt direkt nur für die Behörden des Bundes zuständig, hat in den vergangenen Jahren aber Kooperationsverträge mit mehreren Landesregierungen geschlossen.

Mit der neuen Aufstellung des BSI will Faeser Cyberangriffen auf öffentliche Verwaltungen wie im Landkreis Anhalt-Bitterfeld entgegenwirken. Hier konnten Experten des BSI nur im Rahmen der Amtshilfe tätig werden. Künftig sollen Doppelstrukturen zwischen Bund und Ländern abgebaut werden, das BSI soll eine koordinierende Rolle übernehmen.

Verantwortliches Schwachstellen-Management

Faeser skizzierte mehrere Vorhaben, mit denen die neue Bundesregierung die Sicherheitslage verbessern und die Digitalisierung der Verwaltung vorantreiben wolle. So soll ein neues Schwachstellenmanagement beim BSI und den Sicherheitsbehörden installiert werden, um einen verantwortungsvollen Umgang mit Sicherheitslücken sicherzustellen.

Zudem sollen Hersteller künftig für die Schäden haften, die durch Schwachstellen in ihren Produkten entstehen. Gleichzeitig will Faeser das Erforschen von Schwachstellen für Sicherheitsforscher vereinfachen, wenn diese ihre Erkenntnisse “in einem verantwortlichen Verfahren” meldeten.

Faeser sieht ihr Ressort in einer Schlüsselposition. “Wir als Bundesinnenministerium wollen Vorreiter und Antreiber für den digitalen Staat sein”, erklärte die Ministerin. Zusammen mit dem Bundesministerium für Digitales und Verkehr arbeite man an einem neuen Datengesetz, das öffentliche Daten verfügbar machen solle. Im Kampf gegen Hassrede im Internet will sich Faeser besser mit anderen europäischen Regierungen abstimmen.

Wirtschaft warnt vor Überregulierung

Mit den neuen Aufgaben geht wohl auch ein Ausbau der ohnehin stark gewachsenen Bonner Behörde einher. Wie BSI-Präsident Arne Schönbohm erklärte, umfasst die Behörde inzwischen 1550 Mitarbeiter und hat ihre Größe damit in den vergangen sechs Jahren mehr als verdoppelt. Einen neuen Schwerpunkt will Schönbohm in Verbraucheraufklärung setzen. So soll am Dienstag das erste IT-Sicherheitskennzeichen verliehen werden, das Verbraucher vor dem Kauf über qualitativ hochwertige Produkte informieren soll.

Die Wirtschaft sieht diesen Zuwachs mit gemischten Gefühlen. Iris Plöger vom Bundesverband der Deutschen Industrie (BDI), begrüßte auf dem IT-Sicherheitskongress zwar die Unterstützung im Kampf gegen die immer noch ansteigenden Angriffe gegen Unternehmen, warnt aber auch vor einer Überregulierung. So solle die Bundesregierung darauf achten, dass die Vorschriften durch das IT-Sicherheitsgesetz und die derzeit auf EU-Ebene verhandelte NIS2-Richtlinie handhabbar und zielführend seien. Auch andere Staaten wie China machten Unternehmen immer neue Vorgaben in Sachen IT-Sicherheit.

BDI: Keine Ausnahmen für Behörden

Im Gegenzug für strengere IT-Gesetze fordert der BDI entsprechende Gegenleistungen der Verwaltung. Diese müsse digitale Antragsverfahren etablieren. Zudem sei es unverständlich, wenn Behörden selbst von den strengen IT-Vorgaben für die Wirtschaft ausgenommen seien. “Machen sie das Thema Cybersicherheit auch in ihrem Haus zur Chefinnen-Sache”, appellierte Plöger an Faeser.

(vbr)

Das Bundesverfassungsgericht hat Beschwerden von elf Klägern nicht zur Entscheidung angenommen, die sich gegen Landesklimaschutzgesetze richteten oder dagegen, dass es in einigen Ländern kein solches Gesetz gibt. Angesichts der bereits existierenden gesetzlichen Regelung auf Bundesebene könne das Gericht nicht feststellen, die Schutzpflichten gegenüber den Beschwerdeführenden vor den Gefahren des Klimawandels würden verletzt. Es sei nicht ersichtlich, dass fehlende Landesklimaschutzgesetze hieran etwas ändern könnten.

Geklagt hatten – unterstützt von der Deutschen Umwelthilfe – elf Kinder und junge Menschen. Sie hatten geltend gemacht, dass ihre zukünftige Freiheit nicht ausreichend geschützt werde. Auf sie könnten hohe Belastungen zukommen, weil die Länder die Reduzierung von Treibhausgasen nicht ausreichend geregelt hätten.

Fehlende Maßgaben

Verfassungsbeschwerden können eingelegt werden gegen Regelungen, die festlegen, welche Gesamtmenge an CO₂ in näherer Zukunft emittiert werden darf und wenn sie auf die künftige Zeit vorwirken, erläutert das Bundesverfassungsgericht. Dafür müsse der jeweilige Gesetzgeber einem erkennbaren Budget noch zulässiger CO₂-Emissionen unterliegen. Außerdem müsse sich die Verfassungsbeschwerde grundsätzlich gegen die Regelung der gegenwärtig zugelassenen CO₂-Emissionen richten, weil diese die Reduktionlasten unverhältnismäßig auf die Zukunft verschieben könnte.

Es fehlten aber bereits Reduktionsmaßgaben, denen sich landesspezifische CO₂-Restbudgets entnehmen ließen, erläutert das Gericht. Es sei nicht ersichtlich, dass die von den Beschwerdeführenden angegriffenen Regelungen vorwirken. Den einzelnen Landesgesetzgebern sei keine überprüfbare Gesamtreduktiongröße vorgegeben, die sie auch auf Kosten grundrechtlich geschützter Freiheit einzuhalten hätten. Eine solche landesspezifische Reduktionsmaßgabe sei derzeit weder dem Grundgesetz noch dem einfachen Bundesrecht zu entnehmen.

Zu einer anderen von der Deutschen Umwelthilfe unterstützten Beschwerde hatte das Bundesverfassungsgericht voriges Jahr entschieden, dass der Bund die Reduktionsziele für Treibhausgasemissionen für die Zeit nach 2030 näher regeln müsse. Gegen das danach novellierte Bundesklimaschutzgesetz geht die Umwelthilfe erneut nach Karlsruhe.

(anw)

Sie hat vier Intel-Netzwerkkarten vom Typ I350-T4 gekauft – drei davon waren Fälschungen, die nicht von Intel selbst stammten. Das war die Bilanz der Firma die.spezi@listen, die bei drei eigentlich seriösen deutschen Shops einkaufte und im Vorfeld sogar Rücksprache mit den Händlern hielt.

Die Firma kam auf heise online zu, um mit einem Bericht das Bewusstsein für solche Fälschungen im deutschen Handel zu schärfen. Betroffen sind nämlich nicht nur Plattformen wie der Amazon-Marktplatz, Ebay und asiatische Handelsplätze wie Alibaba, sondern zum Teil auch namhafte deutsche Shops. Mittlerweile ist ein Kontakt zu Intel Deutschland hergestellt, wo man die Fälle überprüft.

Dreimal zwei unterschiedliche Fälschungen

Der erste Kauf lief über den Unternehmensausrüster Servertronic. Die zugeschickte Netzwerkkarte identifizierte die.spezi@listen aufgrund einer Dokumentation im Forum von ServeTheHome eigenständig als Fälschung, unter anderem wegen des flachen Kühlkörpers. In Absprache mit dem Shop ging die Bestellung im Rahmen des Widerrufsrechts zurück. Mit enthaltenen Intel-Logos handelte es sich um die überzeugendste (mutmaßliche) Fälschung.

Zwei weitere Netzwerkkarten von CSV und Bechtle sahen äußerlich identisch aus. Bei ihnen fehlte auf der Vorderseite das Intel-Logo nahe der Slot-Blende und auf der Rückseite ein Aufkleber mit einem QR-Code. Intels internationaler Support bestätigte beide Modelle als Fälschungen: “Die Herstellungsdaten stimmen nicht überein + [die Seriennummer] ist für den Einzelhandel bestimmt, aber das Etikett zeigt, dass es sich um eine OEM-Nummer handelt. Dieses Produkt ist nicht authentisch.”

Bild 1 von 11

Bechtle nahm die I350-T4-Karte ohne Beanstandung und zur Prüfung sofort zurück. CSV schob die Schuld auf den Distributor, der laut eigenen Angaben direkt bei Intel einkaufte, nahm die Netzwerkkarte nach anfänglichem Murren aber doch zurück. Erst eine zweite bei Bechtle gekaufte I350-T4 aus einer späteren Lieferung erwies sich als echt. Von der ersten Bestellung (15.12.21) bis zur Ankunft einer echten Intel-Netzwerkkarte (17.01.22) verging gut ein Monat.

Vorsicht bei Herstellergarantie

Die Krux bei gefälschten Netzwerkkarten liegt bei der grundsätzlichen Funktionstüchtigkeit. Anders als etwa viele gefälschte USB-Sticks machen die Karten nach dem Einbau erst einmal genau das, was sie machen sollen: In diesem Fall vier Ethernet-Ports mit Geschwindigkeiten von jeweils 1 Gbit/s bereitstellen. Allerdings stehen Fälschungen im Ruf, schneller kaputtzugehen. Bei einem Defekt bekommt man keinen Support von Intel, wenn das Produkt als Fälschung identifiziert wird.

(mma)

“Um die Klimaziele im Verkehrsbereich einzuhalten, reicht es nicht, sich allein auf den Ausbau der Elektromobilität zu konzentrieren.” Damit reagiert das Bundesverkehrsministerium auf eine Greenpeace-Studie, in der gefordert wird, bis 2030 müssen in Deutschland 20 Millionen und nicht wie geplant 15 Millionen Elektroautos zugelassen sein.

Es gelte vielmehr, das Potenzial der unterschiedlichen Verkehrsträger zu nutzen, also auch der Bahn und Schifffahrt, um die Klimaziele zu erreichen, teilte das Ministerium heise online mit. Der Koalitionsvertrag nenne neben der deutlichen Erhöhung des Anteils elektrischer Pkw noch zahlreiche andere Maßnahmen.

Neben dem Schienengüter- solle auch der Schienenpersonenverkehr deutlich gesteigert werden, erläutert das Ministerium. Im Klimaschutzprogramm 2030 sei beschlossen worden, dass im schweren Straßengüterverkehr der Anteil elektrisch oder auf Basis strombasierter Kraftstoffe angetriebener Fahrzeuge erhöht werden solle; das gelte auch für den Anteil elektrisch angetriebener Stadtbusse im öffentlichen Personennahverkehr.

“Antriebswende beschleunigen”

Eine Analyse des Wuppertal Instituts im Auftrag von Greenpeace war zu dem Schluss gekommen, dass mit den bisherigen Plänen die Ziele der Regierung im Klimaschutz verpasst würden. Abgesehen von einer Verschiebung des motorisierten Individualverkehrs hin zum ÖPNV müsse vor allem die Antriebswende erheblich beschleunigt werden.

Auf den Verkehr entfielen laut Studie 2020 mit etwa 146 Millionen Tonnen fast 20 Prozent aller CO₂-Emissionen in Deutschland. Falls der Anteil der CO₂-Emissionen des Pkw-Verkehrs an den gesamten Emissionen des Straßenverkehrs in Zukunft in etwa konstant bleibe, ergebe sich dieses Bild: Das Klimaschutzgesetz nennt 2030 ein Sektorziel von höchstens 85 Millionen Tonnen CO₂ im Verkehr – das entspreche einer Minderung gegenüber dem Jahr 1990 um etwa 48 Prozent. Die Emissionen des Pkw-Verkehrs müssten bis zum Jahr 2030 auf etwa 52 Millionen verringert werden. Mit 15 Millionen batterieelektrischen Autos würde der Pkw-Verkehr im Jahr 2030 aber noch über 64 Millionen Tonnen CO₂ verursachen.

Bild 1 von 54

(anw)