Neuigkeiten aus der KW38.2025 - meine Nachrichten als Wews

In dieser Woche fangen wir mit Murmeltiertag an, denn es gibt direkt zum Montag weitere NPM Neuigkeiten, und wie die letzten Wochen auch wieder meine 9 News der Woche, diesmal vom 15.-21.9.25 (KW38)

Artikel 1

Murmeltiertag bei den NPM Repositories, neue Angriffswelle diese Woche

Auch dein Code könnte infiziert sein! Habt ihr es mitbekommen? Ein neuer, großangelegter Angriff erschüttert das npm-Ökosystem und damit die Welt von Millionen von euch JavaScript-Entwicklern. Was als Angriff auf nur ein paar Dutzend Pakete begann, hat sich zu einer waschechten Pandemie im Code entwickelt. Und das Schlimmste: Es handelt sich diesmal nicht um Krypto-Diebstahl Schadcode, sondern um einen Wurm, der sich selbst vermehrt und immer mehr Pakete infiziert!

Der neue Schadcode, der auch bekannte Pakete wie @ctrl/tinycolor und sogar Bibliotheken des Security-Unternehmens Crowdstrike infiziert hat, ist extrem raffiniert. Er durchforstet eure Systeme nach geheimen Daten wie API-Credentials, GitHub-Tokens und Zugangsdaten für Google und Amazon Cloud. Anschließend leitet er diese Beute über einen Webhook an seine Angreifer weiter.

Dem Socket-Bericht nach lädt der Wurm unter anderem das Skript bundle.js nach, dass nach der Installation automatisch Trufflehog ausführt, ein von Truffle Security entwickeltes Open-Source-Tool zum Scannen nach Anmeldedaten.

Das Perfide daran: Er hat einen eingebauten Replizierungsmechanismus. Er sucht selbstständig nach weiteren Paketen, die vom kompromittierten Entwickler gewartet werden, infiziert sie mit seinem eigenen Code und lädt sie dann unter falscher Flagge in das npm-Register hoch. Darum spricht man bei dieser Schadsoftware auch von Wurm. Eine wahre Kettenreaktion der Malware!
Die Angreifer, die womöglich dieselben wie beim letzten großen Angriff sind, haben ihrem Wurm einen kuriosen Namen gegeben: „Shai-Hulud“, benannt nach den gottgleichen Sandwürmern aus dem Science-Fiction-Klassiker Dune.

Auf socket.dev findet man eine Liste mit 40+ betroffenen Versionen.

Update zum Wochenstart, nun sind über 500! Pakete betroffen. Uiuiui.

Was solltest du jetzt tun?

Die Bedrohung ist ernst, aber man kann sich schützen! Wenn du mit dem Node Package Manager arbeitest, solltest du unbedingt diese Schritte befolgen:

Paketliste überprüfen: Konsultiere sofort die Listen der betroffenen Pakete, die auch von Unternehmen wie StepSecurity und Aikido mit weiteren Details zur Erkennung veröffentlicht wurden. Überprüfe, ob du infizierte Versionen in deinen Projekten verwendest.
Löschen und neu installieren: Wenn du eine betroffene Version findest, lösche das Paket sofort und installiere eine sichere Version. Am besten ist es, den gesamten node_modules Ordner zu löschen und anschließend mit npm install neu zu installieren.
Zugangsdaten ändern: Der Wurm stiehlt eure Anmeldeinformationen! Daher ist es essenziell, dass du alle Zugangsdaten, Passwörter und Tokens, die mit npm, GitHub und deinen Cloud-Diensten (AWS, GCP etc.) verbunden sind, unverzüglich änderst.
Sicherheitsvorkehrungen treffen: Mache deine Entwicklungsumgebung sicherer. Achte darauf, package-lock.json zu verwenden und pinnen deine Paketversionen fest, um unerwünschte Updates zu vermeiden.

Auch wenn die npm-Verwalter bereits viele der schädlichen Versionen entfernt haben, besteht weiterhin ein hohes Risiko, da sich die Malware wie ein Lauffeuer ausgebreitet hat. Handle jetzt und schütze deine Projekte und Daten!

Artikel 2

Server-Festplatten über Monate ausverkauft. Lieferzeit bis zu einem Jahr!

Auf heise.de hab ich am Dienstag gelesen, Festplatten werden wieder knapp. Könnt ihr euch noch an 2021 erinnern, als die grüne Bitcoin Alternative Chia den letzten Festplatten-Run ausgelöst hatte? Yay, fun times ahead!

Serverbetreiber, die aktuell HDDs für ihre Rechenzentren bestellen wollen, müssen sich auf eine Wartezeit von bis zu einem Jahr einstellen. Grund dafür ist eine unerwartet hohe Nachfrage, angetrieben durch den Hype um künstliche Intelligenz.

Marktbeobachter warnen vor massiven Engpässen bei Server-Festplatten (HDDs) der Nearline-Klasse. Laut Berichten aus Asien sind die Lagerbestände bei den Herstellern erschöpft, und es werden Lieferzeiten von bis zu zwölf Monaten gemeldet. Verantwortlich für den Engpass sind die vielen neuen Rechenzentren, die „Hyperscaler“ für KI-Anwendungen bauen.

Preise steigen, Lieferketten verändern sich

Als Reaktion auf die Knappheit haben die Hersteller bereits begonnen, die Preise zu erhöhen. Ein internes Schreiben von Western Digital (WD) an seine Partner kündigt eine unmittelbare Preiserhöhung für alle Festplatten an. Zudem stellt WD die Lieferwege um: Statt teurer Luftfracht soll nun die langsamere Seefracht genutzt werden. Dies spart zwar Kosten, verlängert aber die Lieferzeiten aus Asien nach Europa und in die USA auf bis zu zehn Wochen.

Hersteller wie WD waren offenbar nicht auf diesen rapiden Nachfrageanstieg vorbereitet und haben ihre Produktionskapazitäten in den letzten Jahren nicht wesentlich erweitert.

SSDs als teure Alternative

Die langen Lieferzeiten zwingen Serverbetreiber, auch SSDs für sogenanntes Cold Storage in Betracht zu ziehen, die Speicherung großer Datenmengen ohne häufigen Zugriff. Obwohl SSDs deutlich teurer sind, könnten sie die einzige sofort verfügbare Alternative darstellen. Dies hat bereits zu Preisanstiegen im NAND-Flash-Markt geführt:

Sandisk hat die Preise für NAND-Flash-Chips bereits um 10% erhöht.
Micron hat die Preisinformationen für eine Woche ausgesetzt, um Preiserhöhungen von bis zu 30% festzulegen.

Auswirkungen für Endkunden

Bislang sind Endkunden von den Preissteigerungen noch weitgehend verschont. Die Knappheit betrifft in erster Linie hochkapazitive QLC-Bausteine, die vor allem in Servern zum Einsatz kommen. Sollten die Hersteller ihre Produktion jedoch vermehrt auf Server-Hardware umstellen, könnte dies langfristig auch zu einer Verknappung und Preisanstiegen bei HDDs und SSDs für den Endverbraucher führen.

Ich lass euch dazu mal noch diesen Song ohne weiteren Kommentar da:

Artikel 3

Dirk-Jan Mollema informiert über echt dickes Ding! Entra-IDs über Global Token weltweit zugänglich.

Der renommierte Security-Autor Dirk-Jan Mollema hat eine monumentale Schwachstelle in Microsofts Entra ID (ehemals Azure AD) aufgedeckt, die es Angreifern potenziell ermöglicht hätte, jeden einzelnen Entra ID Tenant weltweit zu übernehmen.

Die Lücke, die am 17. September 2025 in seinem Blogpost „One Token to rule them all“ detailliert beschrieben wurde, hätte katastrophale Folgen haben können, da sie ohne jegliche Vorbedingungen und unbemerkt ausgenutzt werden konnte. Microsoft hat die Schwachstelle nach Mollemas Meldung umgehend behoben auf der die als CVE-2025-55241 | EUVD-2025-26828 mit Höchstscore 10.0 eingestuften Schwachstelle basiert.

Was ist passiert?

Die Schwachstelle bestand aus zwei kritischen Komponenten:

Undokumentierte „Actor Tokens“: Hierbei handelt es sich um spezielle, von Microsoft intern genutzte Tokens für die Kommunikation zwischen ihren Diensten. Mollema fand heraus, dass diese Tokens keinerlei Sicherheitsrichtlinien wie Conditional Access unterliegen.
Fehler in der alten Azure AD Graph API: Die API, eine ältere Schnittstelle zur Verwaltung von Entra ID, validierte die Herkunft der Tokens nicht korrekt. Dies erlaubte es einem Angreifer, einen in seinem eigenen Lab-Tenant ausgestellten „Actor Token“ für den Zugriff auf jeden anderen Tenant der Welt zu verwenden.

Kurz gesagt: Ein einziger Token reichte aus, um sich als jeder beliebige Benutzer, einschließlich Global Admins, in einem fremden Entra ID Tenant zu authentifizieren und dessen vollständige Kontrolle zu übernehmen.

Die potenziellen Folgen

Die Tragweite dieser Schwachstelle ist kaum zu überschätzen. Da die Nutzung dieser Tokens keine Audit-Protokolle im Ziel-Tenant erzeugte, hätte ein Angreifer im Lesemodus völlig unbemerkt bleiben können.

Mit den gestohlenen Tokens hätten Angreifer auf folgende sensible Daten zugreifen können:

Alle Benutzerinformationen, inklusive persönlicher Details.
Gruppen- und Rollenzugehörigkeiten.
Einstellungen und Sicherheitsrichtlinien (z. B. Conditional Access Policies).
Details zu Anwendungen, Service Principals und Geräten, einschließlich BitLocker-Schlüsseln.

Eine Eskalation zum Global Admin hätte die Möglichkeit geschaffen, jegliche Daten in Microsoft 365 zu manipulieren oder zu exfiltrieren. Ein Angreifer hätte sich neue Konten mit Administratorrechten erstellen oder die Rechte bestehender Konten ändern können. Auch der Zugriff auf Azure-Ressourcen wäre möglich gewesen.

Die schockierende Art des Angriffs

Das Angreifen eines Tenants wäre erschreckend einfach gewesen. Der Angreifer hätte lediglich die öffentliche Tenant-ID und eine gültige „netId“ eines Benutzers im Ziel-Tenant benötigt. Diese „netId“ konnte der Angreifer auf verschiedene Weisen erhalten:

Durch Brute-Force-Angriffe, da die IDs inkrementell vergeben werden.
Aus alten, online gefundenen Tokens, die die „netId“ (auch bekannt als „puid“-Claim) enthielten.
Am effizientesten: Durch die Ausnutzung von B2B-Trusts. Da Gastkonten in fremden Tenants die „netId“ des Benutzers aus dessen Heimat-Tenant speichern, hätte sich ein Angreifer von einem Tenant zum nächsten hangeln und eine Kettenreaktion auslösen können, um eine riesige Anzahl von Entra ID Tenants zu kompromittieren. Mollema geht davon aus, dass die nötigen Informationen zur Kompromittierung der meisten globalen Tenants innerhalb von Minuten hätten gesammelt werden können.

Reaktion und Entwarnung

Mollema meldete die Schwachstelle umgehend an das Microsoft Security Response Center (MSRC). Microsoft reagierte blitzschnell und behob die Lücke innerhalb weniger Tage. Zusätzlich wurden weitere Maßnahmen ergriffen, um zu verhindern, dass Anwendungen diese unsicheren „Actor Tokens“ für die Azure AD Graph API anfordern können. Glücklicherweise hat Microsofts Telemetrie keine Hinweise darauf gefunden, dass die Schwachstelle vor ihrer Entdeckung ausgenutzt wurde. Für Admins, die dennoch nach Spuren suchen wollen, hat Mollema eine spezifische KQL-Abfrage zur Erkennung potenzieller Manipulationsversuche mit diesen Tokens veröffentlicht. Er erklärt im Blogpost:

Wenn Daten über die Azure AD Graph API mit Actor Tokens geändert werden, erzeugt dies seltsame Audit-Logs. Da der Actor Token sowohl die Anwendung als auch den imitierten Nutzer enthält, verwirrt dies das System. Das Log zeigt dann den UPN des imitierten Global Admin, aber den Anzeigenamen von Exchange.

Diese Kuriosität ist ein Glücksfall für Sicherheitsexperten, da sie einen Hinweis auf die Nutzung von Actor Tokens gibt. Zusammen mit den Forschern Fabian Bader und Olaf Hartong wurde eine KQL-Abfrage entwickelt, die solche verdächtigen Einträge aufspüren kann:

AuditLogs
| where not(OperationName has "group")
| where not(OperationName == "Set directory feature on tenant")
| where InitiatedBy has "user"
| where InitiatedBy.user.displayName has_any ( "Office 365 Exchange Online", "Skype for Business Online", "Dataverse", "Office 365 SharePoint Online", "Microsoft Dynamics ERP")

Timeline laut seinem Blogpost:

July 14, 2025 – reported issue to MSRC.
July 14, 2025 – MSRC case opened.
July 15, 2025 – reported further details on the impact.
July 15, 2025 – MSRC requested to halt further testing of this vulnerability.
July 17, 2025 – Microsoft pushed a fix for the issue globally into production.
July 23, 2025 – Issue confirmed as resolved by MSRC.
August 6, 2025 – Further mitigations pushed out preventing Actor tokens being issued for the Azure AD Graph with SP credentials.
September 4, 2025 – CVE-2025-55241 issued.
September 17, 2025 – Release of this blogpost.

Artikel 4

Google integriert jetzt die Gemini AI direkt in Chrome

Jetzt mal unabhängig davon ob ihr dass nutzt oder nicht, einige der vorgestellten Features kann man durchaus als praktisch ansehen. Ob es das „braucht“ steht auf einem anderen Blatt.

Google selbst sagt dazu: Heute präsentieren wir Ihnen das größte Chrome-Upgrade aller Zeiten. Wir zeigen Ihnen, wie wir die neueste Google-KI nutzen, um Ihr Surferlebnis zu verbessern. Wir integrieren Google KI auf mehreren Ebenen in Chrome, damit Chrome Ihre Bedürfnisse besser antizipieren, Ihnen helfen kann, komplexere Informationen zu verstehen und Sie beim Surfen im Internet produktiver zu machen – und das alles bei gleichzeitiger Sicherheit.

Hier sind zehn neue Möglichkeiten, wie KI uns hilft, Chrome intelligenter, sicherer und nützlicher als je zuvor zu machen:

Gemini in Chrome: Ab sofort für Desktop-Nutzer in den USA (Mac und Windows) verfügbar. Es kann komplexe Informationen auf Webseiten zusammenfassen und wird bald auch auf mobilen Geräten verfügbar sein.

Agenten-Funktionen: In den kommenden Monaten soll Gemini in Chrome in der Lage sein, wiederkehrende Aufgaben wie die Buchung eines Friseurbesuchs oder das Bestellen von Lebensmitteln zu übernehmen.

Zusammenfassung mehrerer Tabs: Gemini kann Informationen aus mehreren geöffneten Tabs vergleichen und zusammenfassen, um zum Beispiel Reisepläne zu erstellen.

Historie-Suche: Bald können Sie Gemini fragen, um Webseiten zu finden, die Sie in der Vergangenheit besucht haben, ohne durch Ihre Chronik scrollen zu müssen.

Integration mit Google-Apps: Eine tiefere Integration mit Apps wie Google Kalender, YouTube und Maps ermöglicht es, Termine zu planen oder Details zu finden, ohne die aktuelle Seite zu verlassen.

KI-Modus in der Adressleiste: Eine neue Option ermöglicht es, direkt in der Chrome-Adressleiste auf Googles leistungsfähigsten KI-Suchmodus zuzugreifen.

Seitenbezogene Fragen: Sie können Fragen zur gesamten Seite stellen und erhalten eine KI-Übersicht von Google Search direkt neben der Seite.

Verbesserte Betrugserkennung: Gemini Nano wird verwendet, um noch besser vor Betrugsversuchen, wie gefälschten Virenwarnungen oder Gewinnspielen, zu schützen.

Weniger lästige Benachrichtigungen: Chrome erkennt potenziell unerwünschte Benachrichtigungen und fragt weniger aufdringlich nach Berechtigungen.

Passwort-Änderung mit einem Klick: Bald können Sie kompromittierte Passwörter auf unterstützten Websites mit einem einzigen Klick ändern.

Fluch oder Segen? Warten wir es ab. Der Assistent der die Chronik durchsucht hört sich zumindest nach einem nützlichen Feature an. Verbesserte Sicherheit nehm ich auch mit, wobei mir da auch ein Passwort-Safe und/oder Sicherheitssoftware hilft die eh schon eingebaut sind. Ob jetzt Karl Klammer noch mit dem Finger drauf zeigen muss?

Artikel 5

Werbung auf deinem Kühlschrank? Samsung macht’s möglich!

Manche Dinge klingen so absurd, dass sie schon fast wieder Satire sein könnten. Doch leider ist das hier bitterer Ernst. Bisher für US Kunden von Samsung

Stellt euch vor: Ihr habt tief in die Tasche gegriffen, um euch einen dieser schicken, vernetzten Samsung-Kühlschränke zu kaufen. Dinger, die nicht selten über 1.800 US-Dollar kosten und euch mit ihrem großen Bildschirm das Leben erleichtern sollen. Und jetzt kommt Samsung mit einer „großartigen“ Neuerung um die Ecke: Werbung auf dem Display!

Richtig gehört. Laut einer aktuellen Meldung von Aamir Siddiqui von Android Authority hat Samsung bestätigt, dass sie ein Pilotprogramm für ihre Family Hub-Kühlschränke in den USA starten. Was bedeutet das? Ganz einfach: Wenn euer teures Gerät untätig herumsteht und der „Cover Screen“ aktiv ist, wird euch das Unternehmen mit gesponserten Inhalten beglücken. Man nennt es wohl „Promotions und kuratierte Werbung“.

Also, statt einer simplen Wetteranzeige oder einer schönen Farbe, bekommt ihr jetzt das neueste Angebot für Tiefkühlpizzen serviert. Das Ganze soll als „Mehrwert“ für die Kunden verkauft werden, was fast schon eine Beleidigung ist. Man bezahlt eine Unsumme für ein Gerät und wird im Anschluss zur Werbefläche gemacht. Klar, es gibt Ausnahmen – Kunst- und Fotogalerie-Modi bleiben wohl werbefrei. Und ja, man kann die Anzeigen angeblich „wegwischen“. Aber wer will das schon ständig machen?

Wir sind an einem Punkt angelangt, an dem selbst unsere Küchengeräte zu Litfaßsäulen werden. Was kommt als Nächstes? Ein Toaster, der mir morgens die neuesten Angebote für Brot vorbrüllt?

Dieses Vorgehen ist nicht nur frech, sondern wirft auch die Frage auf, ob man noch etwas besitzen kann, das nicht permanent versucht, uns etwas zu verkaufen. Die einzige Lösung, die scheinbar die Werbung stoppt, ist, das Internet vom Kühlschrank zu trennen. Damit verliert man aber genau die „smarten“ Funktionen, für die man ursprünglich bezahlt hat.

Danke für nichts, Samsung. Da fühlt man sich doch glatt wieder wie in den 90ern, mit den durch kurze Inhalte unterbrochenen Dauerwerbesendern, nur dass man jetzt einen High-Tech-Kühlschrank hat, der sich als Werbeplakat oder Litfaßsäule identifiziert.

Artikel 6

Nvidia Einstieg verhilft Intel Aktie zum Höhenflug

Neue Kooperation am Horizont: Intel entwirft Systems-on-Chips (SoCs) mit x86-CPU-Kernen und GeForce-RTX-Grafikeinheiten von Nvidia.

Nvidia steigt mit einer Investition von 5 Milliarden US-Dollar, die einem Anteil von über vier Prozent entspricht, bei Intel ein. Die beiden Unternehmen gehen eine Partnerschaft ein, bei der sie zusammen an Prozessoren arbeiten. Für Nvidia mit Marktkapitalisierung von 4 Billionen US-Dollar (ja, dass ist auch kein Übersetzungsfehler, das sind 4000 Milliarden!) ein Einstieg aus der Portokasse. Zukünftig soll Intel System-on-Chips (SoCs) für Notebooks und Desktop-PCs entwickeln, die sowohl x86-CPU-Kerne als auch GeForce-RTX-Grafikeinheiten von Nvidia enthalten, die über eine Nvlink-Verbindung miteinander kommunizieren.

Zusätzlich wird Intel Custom-x86-Prozessoren für Nvidias Rechenzentren herstellen. Diese Kooperation wird als Stärkung der x86-Architektur gegenüber ARM gesehen. Die Nachricht führte zu einem Kurssprung der Intel-Aktie von 30 Prozent. Die endgültige Umsetzung des Deals steht noch unter dem Vorbehalt der Genehmigung durch die US-Behörden. Da allerdings auch bereits die US Regierung selbst mit mehr als der doppelten Menge Anteile (~10%) für nur wenig mehr Kapital (8,9 Milliarden USD) bei Intel eingestiegen ist dürfte das wohl kein Problem werden.

Bei Heise gibt es noch mehr Infos: Einige Fragen bleiben derweil offen, etwa wie der Aktien-Deal aussehen wird. Läuft es ähnlich wie beim Einstieg der US-Regierung, gibt Intel neue Aktien aus und verwässert damit das Wertpapier. Nvidia zahlt pro Aktie 23,28 US-Dollar, sofern die US-Behörden grünes Licht geben.

Auch der Heise Podcast „Bit-Rauschen“ beschäftigt sich diese Woche mit dem Thema, hört da gern auch mal mit rein.

Für Rechenzentren legt Intel Custom-x86-Prozessoren nach Nvidias Vorstellungen auf. Nvidia will sie in den eigenen Plattformen integrieren, aber auch einzeln an Drittfirmen verkaufen. Dieser Schritt überrascht weniger als die Endkunden-Prozessoren: Nvidia setzt bereits Xeon-Prozessoren in seinen DGX-Systemen ein und Intel betont schon seit Jahren, angepasste CPUs an Unternehmenskunden verkaufen zu wollen.

Nvidia könnte damit zweigleisig fahren: Eigene Serverboards bestehend aus CPU und GPU tragen selbstentworfene ARM-Prozessoren, während zumindest manche große Server mit Intel-Prozessoren kommen. Aktuell nutzt die Firma noch den betagten 64-Kerner Grace, den kommendes Jahr der Nachfolger Vera ablösen soll.

Ich frage mich bei der Nummer ob das was damit zu tun haben könnte, dass vor paar Wochen jemand dem Donald erklärt hat was Nvidia eigentlich ist und wie groß die sind, worauf hin der jetzt einen Deal eingefädelt hat um Intel nach dem Gen13 und Gen14 CPU Debakel unter die Arme zu greifen? Hat bestimmt auch nichts mit den Einfuhr-Zoll Drohungen zu tun gehabt. Oh, und anstatt einen Konkurrenten aufzubauen kommt man so über Beteiligung ja evtl. noch bequemer an das benötigte Fachwissen. Und der Monopolist zahlt dafür auch noch was. Win-Win!

Schauen wir uns mal an wie dass weiter gehen wird. Die letzten 2-3 Jahre waren ja quasi schon Mist und 2025 lief bisher nicht wirklich viel besser. Könnt ihr euch nicht mehr erinnern? Steve von GamersNexus hilft euch:

Artikel 7

Deutsche Forscher entwickeln KI, die Krankheiten 20 Jahre im Voraus vorhersagt

Ein Team deutscher Wissenschaftler hat in Zusammenarbeit mit dem Deutschen Zentrum für Diabetesforschung (DZD) eine revolutionäre Künstliche Intelligenz entwickelt.

Das System mit dem Namen „Health-Risk-Radar“ soll in der Lage sein, das individuelle Risiko einer Person für bestimmte Krankheiten bis zu 20 Jahre im Voraus zu berechnen.

Die KI analysiert dafür persönliche Gesundheitsdaten wie Blutwerte, Gewicht und Lebensstil und vergleicht sie mit einer riesigen Datenbank von über 50.000 Patientinnen und Patienten. Das Ziel ist es, gesunden Menschen frühzeitig aufzuzeigen, welche Risiken sie tragen, um eine präventive und personalisierte Vorsorge zu ermöglichen.

Das System kann unter anderem das Risiko für Typ-2-Diabetes, Fettleber, Bluthochdruck und Herz-Kreislauf-Erkrankungen vorhersagen. Es zeigt dem Nutzer dabei nicht nur die Risikofaktoren auf, sondern simuliert auch, wie sich einfache Lebensstiländerungen, wie mehr Bewegung oder eine gesündere Ernährung, positiv auf das persönliche Risiko auswirken würden. Es sei ein „GPS für die Gesundheit“, so die Forscher.

Aktuell befindet sich das Projekt noch in der Pilotphase und ist kein offiziell zugelassenes medizinisches Gerät. Ein wichtiger Fokus liegt auf dem Datenschutz, da die KI eine große Menge an sensiblen Informationen verarbeitet, diese Daten werden anonymisiert.

Die Entwickler hoffen, dass das System in Zukunft bei medizinischen Vorsorgeuntersuchungen zum Einsatz kommt, um Menschen zu motivieren, ihre Gesundheit aktiv in die Hand zu nehmen und Krankheiten zu verhindern, bevor sie überhaupt entstehen.

Quellen: Nature.com | Focus.de

Artikel 8

Bye-bye, AAA-Blockbuster: Warum uns die Indies jetzt die besten Games liefern

Der Markt verändert sich: Die Megatitel der großen Publisher enttäuschen, während uns kleine Teams mit Überraschungshits begeistern.

Ist euch dass auch schon mal passiert in der letzten Zeit? Die großen Gaming-Publisher hauen einen Blockbuster nach dem anderen raus und trotzdem hat man das Gefühl, da fehlt was. Riesige Budgets, AAA(A)-Titel und dann kommt doch oft nur ein schneller Flop dabei raus. Aber was, wenn die wahren Schätze ganz woanders zu finden sind? Genau das ist gerade der Trend in der Spielebranche! Auf Golem.de hab ich da einen schönen Artikel gelesen.

Warum Indiegames die neuen Helden sind

Früher waren Indie-Titel die kleine, pixelige Nische für Kenner oder Liebhaber. Heute? Indiegames sind der neue Mainstream! 2025 hätte eigentlich das Jahr von GTA 6 werden sollen, aber stattdessen haben uns kleinere Studios mit ihren Titeln total begeistert. Da wäre zum Beispiel Clair Obscur – Expedition 33, das überraschend über 3,5 Millionen Mal verkauft wurde, oder das Koop-Game Peak, das mit 10 Millionen Verkäufen zum echten Phänomen wurde. Und natürlich Hollow Knight: Silksong, das schon vor Release einen unfassbaren Hype ausgelöst hat.

Die großen Publisher wie Ubisoft und Electronic Arts konzentrieren sich immer mehr auf ein paar wenige Megatitel mit gigantischen Budgets – oft ohne Erfolg. Man denke nur an die Flops wie Concord oder Suicide Squad. Gleichzeitig werden viele kleinere Studios geschlossen und Tausende von Entwicklern entlassen. Das Problem? Qualität hat nicht unbedingt was mit dem Budget zu tun.

Kreativität statt Quartalszahlen

Das Erfolgsrezept der Indies ist einfach: Sie sind unabhängig. Ein Team wie Larian Studios, die Macher von Baldur’s Gate 3, haben zwar 500 Leute, sehen sich aber immer noch als Indies. Ihr Geheimnis? Sie müssen sich nicht um Quartalsprofite oder die Wünsche von Aktionären kümmern. Larian-Chef Swen Vincke äußerte sich erst vor kurzem zu dem Thema. Er betreut zwar mittlerweile auch 500 Mitarbeiter, sieht sich selbst weiter als Indie-Studio-Entwickler und hat nicht die Probleme, seine Aktionäre glücklich machen zu müssen. Gerade in der Zeit als die AAA Publisher trotz mehreren Rekordquartalen hunderte von Mitarbeiter entlassen hatten, hat er es schon letztes Jahr auf der GDC in San Francisco auf den Punkt gebracht:

„Es geht dort immer nur noch um Quartalsprofite. […] Das Einzige, was zählt, sind die Zahlen. […] Das geht mir richtig auf die Nerven.“

Diese Unabhängigkeit ermöglicht kreative Freiheit. Statt auf den breiten Massengeschmack zu schielen, bedienen Indie-Entwickler oft ein begeistertes Nischenpublikum. Wer hätte gedacht, dass ein Hardcore-Rollenspiel wie Baldur’s Gate 3 ein 15-Millionen-Seller wird? Oder dass ein Ein-Mann-Studio mit einem Poker-Roguelike namens Balatro Millionen macht?

Ein weiterer großer Pluspunkt: der Preis. Viele Indie-Hits kosten keine 5 Euro, während die großen AAA-Games immer teurer werden. Und dank Crowdfunding und Early-Access können sich die Studios heute auch ohne riesige Publisher finanzieren.

Was die Zukunft bringt

Die großen Studios schauen neidisch auf die Indie-Erfolge, denn ihre Datenmodelle können die Hits einfach nicht vorhersagen. Es braucht Experimentierfreude und Instinkt, um die Spieler zu begeistern. Und während die AAA-Publisher auf KI hoffen, um ihre Spiele schneller und günstiger zu machen, bleibt der kreative Zauber wohl den unabhängigen Entwicklern vorbehalten.

Ihr seht also: Die Gaming-Welt ist im Umbruch. Die besten Erlebnisse kommen nicht mehr nur von den Big Playern, sondern immer öfter von den kleinen, mutigen Studios.

Habt ihr in letzter Zeit ein Indie-Game entdeckt, das euch total umgehauen hat? Wart ihr auf der Gamescom in der IndieArena?

Artikel 9

Das Wort zum Sonntag: „Komm heim ins Reich“, US-Edition aka Tech-Konzern-Panik nach Trump-EO

Auf T3N durfte ich dieses Gem finden: US-Regierung verlangt 100.000 Dollar im Jahr für Arbeitsvisa

Stellt euch vor, ihr arbeitet in den USofA, plant eine Auslandsreise für eure Firma und zack, gibt’s eine neue Regel, die alles auf den Kopf stellt! Genau das ist gerade in den USA passiert und sorgt für ordentlich Chaos bei den großen Tech- und Finanzkonzernen.

Die US-Regierung hat nämlich ab dem 21. September 2025 die Gebühren für die sogenannten H-1B-Arbeitsvisa massiv erhöht und zwar per Executive Order direkt vom „Chef“ auf 100.000 US-Dollar pro Person und Jahr! Bisher waren das nur ein paar Tausend Dollar. Kein Wunder, dass Tech-Riesen wie Amazon, Microsoft und Meta in Panik geraten sind. Sie haben sofort ihre Mitarbeitenden, die sich gerade im Ausland aufhalten, aufgefordert, schleunigst in die USA zurückzukehren. Wer das nicht zügig schafft, muss wohl im Ausland auf neue Anweisungen warten.

Warum dieser drastische Schritt? Die US-Regierung will die Firmen wohl dazu bringen, verstärkt US-Fachkräfte einzustellen, anstatt sich Leute aus Indien oder China zu holen. Das ist natürlich ein harter Schlag für Unternehmen, die auf diese hochqualifizierten Fachkräfte angewiesen sind. Für Amazon zum Beispiel, das allein 2024 etwa 15.000 solcher Visa bekommen hat, könnten die Kosten auf 1,5 Milliarden Dollar pro Jahr steigen. Ganz schön heftig, oder?

Als kleines Trostpflaster (oder eher ein sehr teures Gegenstück) gibt es jetzt auch noch das neue „Trump Gold Card“-Programm. Wer eine Million Dollar zahlt, bekommt eine Daueraufenthaltsgenehmigung. Und für Firmen, die zwei Millionen Dollar berappen, gibt es die Möglichkeit, eine Mitarbeiter ins Land zu holen der dann auch dauerhaft als Citizen bleiben darf. Da sind die 100.000 Dollar fast ein Schnäppchen… fast. Ach ja, eine Platin Card ist auch noch in der Mache, die soll dann 5 Millionen Dollar kosten, euch einen 270 Tage Arbeits-Aufenthalt ermöglichen bei US Steuerfreiheit, allerdings ohne Staatsbürgerschaft. Quasi nur die „Komme aus dem (Steuer)Gefängnis frei Karte“

Fun times ahead! Zumindest die US-Tech-Welt dürfte dieses Wochenende anständig in Aufregung sein.

Sun-Tsu, unser Sicherheitsbeauftragter nach ISO27001 hat auch diese Woche wieder einen Tipp für euch. „Die Stärke des Teams liegt in seiner Einheit“ Fördere die Zusammenarbeit und Kommunikation innerhalb deines IT-Teams. Ein fragmentiertes oder zerstrittenes Team ist anfällig für Fehler und Angriffe.