Kurz vor Jahresende noch eine letzte Nachlese der Weihnachts-Woche bis hin zu zwischen den Feiertagen (22.12-28.12.2025), wie üblich 9 Nachrichten aus Technik und IT, diesmal mit Meinung, Zimt und Zucker.
Compliance 26 | Cookie Consent | KI in Games | Bitlocker Speed | MongoDB CVE | Gmail-Alias-Namenswechsel | 39C3 EPA Fazit | 39C3 DiDay | Wired-Leak
Artikel 1
Rechtsvorschau 2026: Fokus auf KI-Compliance und IT-Sicherheit
Schöne Übersicht im iX-Magazin zum Jahresende: Das Jahr 2026 markiert im IT-Recht den Übergang von der Gesetzgebung zur praktischen Umsetzung. Während neue Großprojekte ausbleiben, rücken Nachjustierungen (Digital-Omnibus-Paket) und gerichtliche Grundsatzentscheidungen in den Fokus.
Die wichtigsten Themen im Ãœberblick:
KI-Regulierung (AI Act): Ab dem 2. August 2026 gelten die meisten Vorschriften des AI Acts, insbesondere für Hochrisikosysteme. Unternehmen müssen nun Governance-Strukturen schaffen, auch wenn das „Digital-Omnibus-Paket“ einige Fristen zur Entlastung der Wirtschaft bis 2027/28 strecken könnte.
KI & Urheberrecht: Nach dem GEMA-Urteil gegen OpenAI wird für 2026 ein wegweisendes Berufungsverfahren erwartet. Es geht um die Kernfrage, ob das Training von KI-Modellen eine Urheberrechtsverletzung darstellt oder unter eine gesetzliche Ausnahme fällt.
Datenrecht (Data Act): Ab September 2026 greifen die Pflichten zur Datenbereitstellung. Hersteller vernetzter Produkte (IoT) müssen technisch sicherstellen, dass Nutzer einfach auf ihre Daten zugreifen und diese zu anderen Anbietern mitnehmen können.
IT-Sicherheit (NIS2 & CRA): 2026 ist das erste volle Jahr unter dem neuen NIS2-Umsetzungsgesetz. Deutlich mehr Unternehmen fallen nun unter die Aufsicht des BSI und müssen strenge Risiko- und Meldepflichten erfüllen. Zudem greifen im Herbst 2026 erste Meldeanforderungen des Cyber Resilience Act (CRA).
Digitale Identität (eIDAS 2.0): Bis 2026 sollen die EU-Mitgliedstaaten das Digital Identity Wallet anbieten. Bürger können damit Ausweise oder Zeugnisse digital auf dem Smartphone verwalten und rechtssicher signieren.
Plattformen & Souveränität: Unter DSA und DMA werden erste Sanktionen gegen Big-Tech-Konzerne erwartet. In der öffentlichen Beschaffung zeichnet sich ein Trend zu „Buy European“ ab, wobei Souveränität und Cloud-Wechselfähigkeit wichtige Vergabekriterien werden.
Dieses Video von VamiSec fasst die wichtigsten Infos gut zusammen:
Fazit: 2026 wird das Jahr der Compliance-Prüfung. IT-Verantwortliche müssen bestehende Architekturen an die neuen regulatorischen Kategorien anpassen, um Bußgelder und Haftungsrisiken zu vermeiden.
Ende der Banner-Flut? Erster anerkannter „Einwilligungsagent“ gestartet
Artikel von heise.de. Ein wichtiges Puzzlestück für die digitale Selbstbestimmung geht in den Praxistest: Mit dem Tool „Consenter“ ist der bundesweit erste Dienst zur Verwaltung von Cookie-Einwilligungen verfügbar, der offiziell von der Bundesdatenschutzbehörde anerkannt wurde.
Die Details zum Start:
Silent Release: Das Browser-Plugin ist aktuell über einen Vorab-Link im Chrome Store verfügbar. Die offizielle Markteinführung und Listung für Firefox und Safari erfolgt am 26. Januar 2026.
Funktionsweise: Nutzer legen ihre Datenschutz-Präferenzen einmalig zentral im Browser-Plugin fest. Der Agent übermittelt diese automatisch an besuchte Webseiten, wodurch die lästigen manuellen Klicks auf Cookie-Banner entfallen sollen.
Die Hürde: Damit das System funktioniert, müssen auch Webseitenbetreiber mitspielen. Da viele bestehende Consent-Lösungen die Signale von Browser-Plugins noch nicht freiwillig verarbeiten, bietet das Team hinter Consenter ein eigenes, kompatibles Banner für Webseiten an.
Wissenschaftlicher Hintergrund: Das Projekt wurde vom Bundesforschungsministerium gefördert und unter Leitung von Prof. Dr. von Grafenstein (UdK Berlin) entwickelt. Ziel ist es, „Einwilligungsmüdigkeit“ zu bekämpfen und echte digitale Souveränität zu ermöglichen.
Warum das für IT-Entscheider wichtig ist: Der Consenter bietet eine automatisierte Risikobewertung für Drittanbieter-Tools. Webseitenbetreiber, die das System implementieren, erhalten eine Art unabhängige Datenschutzfolgenabschätzung. Das kann nicht nur die Compliance rechtssicherer machen, sondern durch höhere Transparenz auch die Akzeptanz bei den Nutzern steigern.
Artikel 3
KI-Einsatz kostet Indie-Award: „Clair Obscur – Expedition 33“ verliert Titel
Gelesen auf Reddit. Das französische Studio Sandfall Interactive muss kurz nach dem Erfolg bei den Indie Game Awards 2025 zwei Titel wieder abgeben. Grund ist ein Verstoß gegen die strengen Richtlinien zur Nutzung Künstlicher Intelligenz.
Die Hintergründe der Entscheidung:
Null-Toleranz-Politik: Die Indie Game Awards erlauben nur Nominierungen für Spiele, die komplett ohne KI-Werkzeuge entwickelt wurden. Sandfall Interactive hatte im Bewerbungsprozess versichert, diese Vorgabe einzuhalten.
Das „Kauderwelsch“-Indiz: Bereits kurz nach Release entdeckten Spieler KI-generierte Texturen (unleserlicher Text auf einer Litfaßsäule). Das Studio gab daraufhin in einem Interview zu, „ein bisschen KI“ für Platzhalter-Texturen genutzt zu haben, die versehentlich in der Verkaufsversion verblieben waren.
Die Konsequenzen: Das Spiel verliert nachträglich die Auszeichnungen als „Indie-Spiel des Jahres“ (geht nun an Blue Prince) und den „Debut Game Award“ (geht an Sorry We’re Closed).
Wichtige Unterscheidung: Den allgemeinen, plattformübergreifenden Titel „Game of the Year“ der separaten The Game Awards darf das Spiel behalten, da dort der KI-Einsatz nicht zum Ausschluss führt.
Relevanz für die IT- und Kreativbranche: Der Fall unterstreicht die wachsende Kluft in der Bewertung von KI: Während sie in der AAA-Industrie als Effizienz-Tool Standard wird, gilt sie in der Indie-Szene oft als Tabu. Für Entwickler bedeutet das: Die Transparenz über den „Tech-Stack“ wird bei Award-Einreichungen und im Marketing zunehmend zum juristischen und reputationsrelevanten Risiko.
Artikel 4
Hardware-Beschleunigung für BitLocker: Mehr Speed für NVMe-Drives
Microsoft hat eine bedeutende Architektur-Änderung für die Windows-Verschlüsselung angekündigt. Mit dem hardwarebeschleunigten BitLocker adressiert das Unternehmen Performance-Einbußen, die bisher vor allem bei extrem schnellen NVMe-SSDs und rechenintensiven Aufgaben (Video-Editing, Gaming) spürbar waren. Umgesetzt werden soll dies mit den kommenden CPU Generationen in 2026.
Die technischen Highlights:
Crypto Offloading: Die Verschlüsselungsarbeit wird von der Haupt-CPU auf eine dedizierte Crypto-Engine im SoC (System on Chip) ausgelagert. Das spart laut Microsoft im Schnitt 70 % CPU-Zyklen und schont den Akku.
Hardware Protected Keys: Die Verschlüsselungs-Keys werden hardwareseitig isoliert („wrapped“). Ziel ist es, BitLocker-Keys künftig komplett aus dem CPU-Cache und dem Arbeitsspeicher zu verbannen, um sie vor Auslese-Attacken zu schützen.
Algorithmus: Unterstützte Geräte nutzen standardmäßig XTS-AES-256.
Verfügbarkeit und Voraussetzungen:
Software: Voraussetzung ist das Windows 11 Update vom September 2025 (Version 24H2) oder die neue Version 25H2.
Hardware: Den Anfang machen Geräte mit Intels kommenden „Panther Lake“-Prozessoren (Core Ultra Series 3). Weitere Hersteller sollen folgen.
Check: Über den Befehl manage-bde -status in der Eingabeaufforderung lässt sich prüfen, ob die „Hardware-Beschleunigung“ aktiv ist.
Wichtiger Hinweis für Administratoren: Hardware-BitLocker wird deaktiviert, wenn Gruppenrichtlinien (GPOs) veraltete oder inkompatible Algorithmen (wie AES-CBC) erzwingen. Microsoft empfiehlt, Richtlinien auf XTS-AES-256 umzustellen, um die Performance-Vorteile nutzen zu können.
Artikel 5
Dringender Patch-Aufruf: Kritische Sicherheitslücke in MongoDB
Gelesen auf Bleepingcomputer.com: MongoDB warnt Administratoren vor einer schwerwiegenden Schwachstelle (CVE-2025-14847) in der Speicherverwaltung, die sofortiges Handeln erfordert.
Die wichtigsten Fakten:
Das Risiko: Ein Fehler in der zlib-Implementierung des Servers ermöglicht es nicht authentifizierten Angreifern aus der Ferne, nicht initialisierten Speicher (Heap Memory) auszulesen. Die Attacke ist wenig komplex und erfordert keine Interaktion durch Nutzer.
Mögliche Folgen: Laut Sicherheitsexperten könnte die Lücke im schlimmsten Fall dazu führen, dass Angreifer die Kontrolle über betroffene Systeme übernehmen.
Betroffene Versionen: Die Liste ist lang und umfasst nahezu alle gängigen Versionen (von v4.4 bis v8.2) sowie alle Versionen der Reihen v4.2, v4.0 und v3.6.
Sofortmaßnahmen:
Update: Aktualisierung auf die Versionen 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 oder 4.4.30.
Workaround: Falls ein Update nicht sofort möglich ist, sollte die zlib-Kompression deaktiviert werden. Dies geschieht durch Starten von mongod oder mongos mit der Option, zlib explizit aus den networkMessageCompressors auszuschließen.
Einordnung für die IT-Sicherheit: Da MongoDB eine der weltweit meistgenutzten NoSQL-Datenbanken ist (über 62.000 Kunden, darunter viele Fortune-500-Unternehmen), stellt diese Lücke ein attraktives Ziel für automatisierte Angriffe dar. Administratoren sollten die Patch-Einspielung aufgrund der Remote-Ausführbarkeit ohne Authentifizierung priorisieren.
Artikel 6
39C3: Scharfe Kritik an der ePA denn Sicherheitsmängel bleiben ungelöst
Ein Jahr nach Einführung der elektronischen Patientenakte (ePA) zieht die Sicherheitsforschung auf dem 39. Chaos Communication Congress eine ernüchternde Bilanz. Die Forscherin Bianca Kastl warnt, dass zentrale strukturelle Probleme weiterhin bestehen.
Die Kernkritikpunkte:
Unsichere Identitäten: Das Hauptproblem liegt in den Authentifizierungsverfahren der Telematikinfrastruktur. Kastl kritisiert, dass die Prozesse zur Identitätsprüfung organisatorisch fehleranfällig sind und Missbrauch ermöglichen, was sich nicht durch kleine Korrekturen beheben lasse.
Mangelnde Transparenz: Die Kommunikation des Bundesgesundheitsministeriums (Kampagne „ePA, na sicher!“) wird als beschönigend eingestuft. Kritische Hinweise von Experten würden ignoriert oder relativiert.
Diffuse Verantwortlichkeit: Zwischen Politik, Behörden und Akteuren werde die Verantwortung für Sicherheitsrisiken hin- und hergeschoben. Das volle Risiko trügen am Ende die Versicherten (z. B. bei Datenlecks oder Fehlzugriffen).
Warnung vor der EU-ID-Wallet: Mit Blick auf die geplante staatliche EU-ID-Wallet (siehe eIDAS 2.0) warnt Kastl davor, die gleichen strukturellen Fehler erneut zu begehen – jedoch mit weitaus größeren Auswirkungen auf die digitale Souveränität.
Heise war mit vor Ort und hat dazu auch Videomaterial online:
Artikel 7
Gmail-Revolution: E-Mail-Adresse endlich änderbar (Alias-System)
Nach über 20 Jahren lockert Google eine seiner striktesten Regeln: Nutzer können nun ihre primäre @gmail.com-Adresse ändern, ohne ein neues Konto eröffnen zu müssen. Dies ist besonders für jene ein Segen, die eine „Jugendsünde“ als Mail-Namen (z. B. party-maus2005@) gegen eine seriöse Adresse tauschen möchten.
So funktioniert das neue System:
Automatische Alias-Funktion: Wenn du deine Adresse änderst, wird die alte Adresse nicht gelöscht. Sie bleibt als Alias dauerhaft mit deinem Konto verknüpft.
Kein Datenverlust: Alle E-Mails, Fotos, Drive-Dateien und Logins bleiben erhalten. Du empfängst weiterhin Mails, die an die alte Adresse gesendet werden, trittst nach außen hin aber mit dem neuen Namen auf.
Flexibler Login: Du kannst dich weiterhin mit beiden Adressen (alt und neu) bei Google-Diensten anmelden.
Einschränkungen: * Die Änderung ist nur einmal alle 12 Monate möglich.
- Insgesamt sind maximal drei Adressänderungen pro Konto erlaubt.
- In einigen tief verwurzelten Systemen (wie alten Kalendereinträgen) kann die ursprüngliche Adresse eventuell noch sichtbar sein.
Zusatz-Feature „Shielded Email“: Parallel dazu rollt Google die sogenannten „Shielded Emails“ aus. Damit lassen sich temporäre Alias-Adressen für Newsletter oder App-Anmeldungen erstellen (ähnlich wie Apples „E-Mail-Adresse verbergen“). Diese leiten Nachrichten an dein Hauptpostfach weiter, halten aber deine echte Adresse geheim und schützen so vor Spam.
Die Alias-Funktion selbst ist übrigens gar nicht neu, lediglich der Wechsel der „Hauptadresse“ die somit zu einer Alias-Adresse wird.
Artikel 8
39C3: Bündnis ruft zum „Digitalen Unabhängigkeitstag“ auf
Gelesen auf golem.de: Auf dem 39. Chaos Communication Congress (39C3) hat ein breites Bündnis um den Chaos Computer Club (CCC) und Wikimedia Deutschland eine neue Initiative gegen die Dominanz von Big-Tech-Konzernen gestartet.
Der „Di.Day“: Ab dem 4. Januar 2026 wird an jedem ersten Sonntag im Monat der digitale Unabhängigkeitstag gefeiert. Ziel ist es, den Einfluss von US-Plattformen auf demokratische Prozesse und die Privatsphäre zu verringern.
Wechselpartys & Workshops: In Hackerspaces in über zehn Städten finden Workshops statt, die beim Umzug helfen – etwa von WhatsApp zu Signal, von Chrome zu Firefox oder von Windows zu Linux.
Prominente Unterstützung: Der Autor Marc-Uwe Kling warb auf dem Kongress für die Aktion. Ziel sei es, den „Überwachungskapitalismus“ hinter sich zu lassen und digitale Souveränität durch „Wechselpartys“ (auch offline) zu fördern.
Wechselrezepte: Auf der Kampagnenseite Di.Day finden Nutzer konkrete Anleitungen, wie sie Daten exportieren und sicher zu freien Alternativen migrieren können.
Artikel 9
Datenleck bei WIRED: Hacker veröffentlicht Millionen Nutzerdaten
Und nochmal Bleepingcomputer.com: Ein Cyberkrimineller mit dem Pseudonym „Lovely“ hat eine Datenbank des renommierten US-Magazins WIRED geleakt. Das Leck ist Teil eines größeren Angriffs auf den Medienkonzern Condé Nast, bei dem laut Drohung des Hackers insgesamt bis zu 40 Millionen Datensätze verschiedener Publikationen (darunter Vogue, The New Yorker und Vanity Fair) im Umlauf sein könnten.
Die Details zum Vorfall:
Umfang: Die veröffentlichte WIRED-Datenbank enthält ca. 2,37 Millionen Datensätze.
Inhalt: Geleakt wurden E-Mail-Adressen, interne IDs und Zeitstempel. Bei einem Teil der Abonnenten sind zudem Klarnamen, physische Adressen, Geburtsdaten und Telefonnummern enthalten. Passwörter scheinen nach aktuellem Stand nicht direkt im Klartext enthalten zu sein, jedoch wurden die Daten bereits durch Abgleich mit anderen Info-Stealer-Logs verifiziert.
Hintergrund: Der Hacker behauptet, er habe Condé Nast zuvor einen Monat lang vergeblich auf Sicherheitslücken hingewiesen. Da das Unternehmen nicht reagiert habe, veröffentlichte er die Daten nun als „Strafe“. Sicherheitsexperten stufen den Täter jedoch nicht als ethischen Forscher, sondern als klassischen Erpresser ein.
Aktueller Status: Die Daten wurden bereits in den Dienst „Have I Been Pwned“ eingepflegt. Nutzer können dort prüfen, ob ihre E-Mail-Adresse betroffen ist.
Bedeutung für die IT-Sicherheit: Dieser Fall zeigt erneut das Risiko der „Credential Stuffing“- und Phishing-Attacken. Da die Datenbank Informationen bis zurück ins Jahr 1996 enthält, sind auch langjährige Nutzer gefährdet. IT-Abteilungen sollten Mitarbeiter sensibilisieren, die Firmen-E-Mails für private Abonnements bei Condé-Nast-Titeln genutzt haben.
Zum Jahresabschluss müsst ihr mit mir vorlieb nehmen, wie letzte Woche schon mitgeteilt ist Kollege Sun-Tsu im wohlverdienten Weihnachtsurlaub und hat gerade Spaß auf der Retro-LAN. Ich mach es kurz: Kommt gut rüber und wir sehen uns im neuen Jahr in alter Frische!
DE 
EN 
ES 
FR 
IT