KI-Integration, Plattformskalierung, Security-Automatisierung und Developer Experience sind vier der Kernthemen bei der diesjährigen CLC-Konferenz am 19. und 20. November 2025 in Mannheim. Damit richtet sich das Event an alle Senior-Softwareentwickler, Softwarearchitekten, DevOps Engineers, Platform Engineers, Infrastructure/Cloud Engineers sowie Team- und Projektleiter, die sich über wichtige Trends informieren und auf Augenhöhe mit Gleichgesinnten austauschen wollen.

Keynotes thematisieren KI-Transformation und digitale Souveränität

Das Programm der von iX und dpunkt.verlag organisierten Konferenz umfasst deutsch- und englischsprachige Vorträge, Workshops, Panels und zwei Keynotes. Mirko Novakovic, CEO von Dash0, hält eine englischsprachige Keynote mit dem Titel „Why AI is Eating the World„. Darin beleuchtet er die transformative Kraft künstlicher Intelligenz in der Softwareentwicklung. Novakovic schlägt dabei eine Brücke zu seiner Keynote bei der ersten CLC-Ausgabe vor über einem Jahrzehnt, die den Titel „Why Software is Eating the World“ trug. In seinem aktuellen Vortrag resümiert er die Lehren des vergangenen Jahrzehnts und untersucht, wie KI das Programmieren, die Observability und die Automatisierung im Platform Engineering weiter verändern wird.

Die zweite Keynote hält Kurt Garloff, Open-Source-Befürworter und Kopf der Sovereign Cloud Stack-Bewegung, unter dem Titel „Digitale Resilienz oder Digitale Kolonie?„. Garloff wirft einen kritischen Blick auf moderne IT-Abhängigkeiten. Trotz vereinfachter Entwicklung hochkomplexer Softwaresysteme zeigten sich im Betrieb Schattenseiten wie hohe Kosten für Managed Services, eingeschränkte Flexibilität und problematischer Datenschutz. Die Gesellschaft für Informatik spreche laut Garloff angesichts zahlreicher Abhängigkeiten sogar von Europa als digitaler Kolonie.

Fachvorträge decken KI-Implementierung und Platform Engineering ab

Das Vortragsprogramm behandelt verschiedene Aspekte der KI-Integration. Mario-Leander Reimer von QAware zeigt in „Von der Idee zur Wirkung: Architektur und Aufbau einer Cloud-nativen AI-Plattform„, wie sich robuste KI-Infrastrukturen gestalten lassen. Robert Hoffmann von AWS demonstriert in „Works on my LLM„, wie KI-Coding-Assistenten entstehen, die über einfache Autocomplete-Funktionen hinausgehen. Thorsten Maier und Steffen Schluff von Accenture behandeln in „The Agentic Shift„, wie vernetzte KI-Agenten die Entwicklungsarbeit verändern.

Im Bereich Platform Engineering zeigt Alex Krause von QAware in „Make developers fly: Principles for platform engineering„, wie Plattformteams Mehrwert für Entwickler schaffen. Lian Li beleuchtet in „Many Cooks, One Platform“ Ownership und Kollaboration in großen Plattformstrukturen. Hossein Salahi und Fabian Brundke von Liquid Reply präsentieren mit „Composable Platforms: Modular Platform Engineering with Kratix and Backstage“ einen modularen Ansatz für Kubernetes-Teams.

Observability, Security und Developer Experience im Fokus

Das Programm widmet sich auch der Observability als Grundpfeiler moderner Softwareprojekte. Johannes Koch von FICO liefert Antworten auf „Why Do We Need Observability for CI/CD Pipelines?„. Dominik Schmidle von Giant Swarm zeigt die Skalierung von Observability-Plattformen für große Umgebungen. Matej Gera von E.ON vergleicht aktuelle eBPF-Möglichkeiten im Monitoring mit klassischen Ansätzen.

Security-Themen ziehen sich durch weitere Sessions. Marius Shekow von SprintEins bespricht die Wahl sicherer Container-Images. Dominik Guhr von INNOQ erklärt Unterschiede und Einsatzmöglichkeiten der Autorisierung mit RBAC, ABAC, PBAC und ReBAC. Prerit Munjal von InfraOne zeigt die Absicherung der Software Supply Chain mit GUAC und GraphQL.

Bei der Developer Experience sprechen Miriam Greis und Daniel Kocot von codecentric über „Developer Experience für APIs stärken„. Sandra Parsick stellt neue Konzepte für lokale Entwicklungsumgebungen vor. Dominik Münch von Celonis und Tal Zwick von MetalBear zeigen in „Please don’t cry: How we fixed local development experience with mirrord„, wie sich das Einrichten lokaler Entwicklungsumgebungen erleichtern lässt.

Workshop-Programm bietet praxisnahe Vertiefung

Am 18. November, dem Vortag der Konferenz, finden vier ganztägige Workshops statt. Nicholas Dille führt durch CI/CD-Workflows mit GitLab von der Pipeline-Definition bis zur Absicherung der Lieferkette. Heiko Rupp und Benedikt Bongartz zeigen, wie sich mit OpenTelemetry verteilte Systeme durchgängig beobachten lassen. Thorsten Wussow behandelt GitOps mit Flux, inklusive Automatisierung, Rollbacks und Sicherheitsaspekten. Mario-Leander Reimer gibt Einblick in den Aufbau einer skalierbaren, Cloud-nativen KI-Plattform.

Die Workshops richten sich an IT-Fachleute wie Senior-Softwareentwicklern, Softwarearchitekten, DevOps Engineers, Platform Engineers, Infrastructure/Cloud Engineers, Team- und Projektleitern sowie Administratoren, die Werkzeuge und Methoden praktisch anwenden wollen. Die Teilnehmerzahl ist begrenzt, um Austausch und individuelles Lernen zu ermöglichen.

Frühbucherpreise noch bis 2. Oktober sichern

Noch bis zum 2. Oktober kostet das Konferenzticket mit Frühbucherrabatt nur 1149 Euro (alle Preise zzgl. MwSt.), für das Kombiticket aus Konferenz und 1-Tages-Workshop fallen 1699 Euro an. Die ganztägigen Workshops lassen sich einzeln zum Preis von 649 Euro buchen. Teams oder Gruppen ab drei Personen erhalten im Ticketshop zudem automatisch mindestens 10 Prozent Rabatt.

Interessierte können sich auf der Website der CLC 2025 für den Newsletter registrieren oder den Veranstaltern auf LinkedIn und unter dem Hashtag #CLC_Conf folgen.

(map)

Mit der Firmware 2.00 für die Nikon Z6 III signiert die Kamera Bilder, die nicht mit ihr aufgenommen wurden. Das ist genau das, was die „Content Authenticity Initiative“, gegründet unter anderem von Adobe 2019, verhindern wollte: Eine Kamera, die Bilder, die nicht aus ihr stammen, als quasi „echt“ ausgibt. Denn dass ein Foto mit einer bestimmten Kamera aufgenommen wurde, von wem, wann und wo genau, und das kryptografisch zu belegen, ist die ganze Idee hinter dem, was unter Namen wie CAI, C2PA oder Content Credentials gemeint ist. Die vielen Bezeichnungen, die da seit ganzen sechs Jahren unterwegs sind, zeigen schon, wie uneinheitlich die Branche agiert – und warum CAI, bleiben wir bei diesem Namen, nicht aus dem Quark kommt.

Was insbesondere Pressefotos, die in Sekunden weltweit verteilt werden, heute fehlt, ist die digitale Provenienz, also der Herkunftsnachweis. Dabei geht es nicht um absolute Fälschungssicherheit, die kann es nicht geben. Jedes System hat Lücken, Sicherheit ist ein Prozess, nicht etwas, das man durch eine einmalige Aktion wie den Kauf einer bestimmten Kamera herstellen kann. Aber am Anfang der Kette von der Aufnahme eines Bildes muss man irgendjemandem oder irgendetwas trauen, das ist die „chain of trust“. Und bei CAI, das oft auch als „Echtheitssiegel für Fotos“ bezeichnet wird, ist das die Kamera.

Darum wiegt Nikons Firmware-Bug auch ziemlich schwer, wenn es um das System CAI an sich geht: Wenn die Vertrauenskette schon im allerersten Glied massive Schwächen hat, ist es völlig egal, wie stabil der Rest ist. Da CAI noch kaum verbreitet ist, und es Wochen dauerte, bis das Ausmaß des Problems bekannt wurde, dürfte der tatsächliche Schaden, also Fake-Fotos, zwar gering sein. Wie eine falsch signierte Aufnahmen mit der Z6 III entsteht, und was der zeitliche Ablauf war, zeigt unsere ausführliche Meldung.

Der Moment der Aufnahme ist die einzige Chance

Dass das System unausgereift ist, wurde dadurch nämlich deutlich sichtbar. Darauf weist auch Michael J. Hußmann bei Docma hin: „Man hat nur eine einzige Chance, die Entstehung eines Bildes durch eine Aufnahme mit einer bestimmten Kamera fälschungssicher zu dokumentieren, nämlich während der Speicherung der Bilddatei in der Kamera.“ Und das ist der Punkt: Der Anfang der Kette. Alles, was danach kommt, Bearbeitung, Ausschnitt, Größenänderung, lässt sich – das ist im Workflow von C2PA vorgesehen – dokumentieren. Der Ursprung ist aber die Aufnahme an sich und deren Provenienz.

Weil ein solcher Fehler, wie bei Nikon mit der Firmware verursacht, aber offenbar bisher nicht bedacht wurde, blieb dem Unternehmen nur eine drastische Reaktion: Die Prüfung der C2PA-Signatur durch Nikons Onlinesysteme ist bis auf Weiteres ganz abgeschaltet. Und zwar für alle Nikons, nicht nur die Z6 III. Andere Prüfstellen, das zeigte der Entdecker Adam Horshack auch bereits, akzeptieren die verfälschten Bilder weiterhin. Darum schrieb ganz richtig auch Petapixel: Nikon kann das Problem allein nicht lösen.

Denn wie auch andere digitale Sicherheitsmechanismen basiert C2PA auf Zertifikaten. Das kennt man, vereinfachtes Beispiel: Wenn sie diese Kolumne gerade mit einem handelsüblichen Browser lesen, stellt der irgendwo ein kleines Schloss dar. Das sagt, dass die Verbindung zwischen Ihrem Gerät und dem Server – heise.de – tatsächlich zu unserem Angebot führt. Die Verbindung ist zwischen dem Gerät und uns verschlüsselt. Dafür hat der Server ein Zertifikat, das wir regelmäßig erneuern müssen, und das auch zurückgerufen werden kann. Wie gesagt, alles etwas vereinfacht.

Und ein globaler Rückruf dieser Zertifikate ist wohl bei C2PA nicht vorgesehen. Ebenso, dass die Kamera selbst darauf hinweist, dass ihr Zertifikat vielleicht ungültig oder veraltet ist. Das ist, neben Nikons eigenem Problem, das, was die ganze Allianz für C2PA, eben die CAI, lösen muss. Dass Nikon ein Firmware-Update bringt, und Fotos aus einer Z6 III mit Firmware 2.00 nirgendwo mehr akzeptiert werden, ist zwingend nötig.

Die CAI muss enger zusammenarbeiten

Sinnvoll wäre aber auch noch, und da werden wir dann endlich mal konstruktiv, wenn die zahlreichen Mitglieder der CAI im Verbund neue Firmware-Versionen auf solche Lücken prüfen. Konkurrenz unter den Firmen muss da beiseitegelegt werden, auch wenn die Markteinführung einer neuen Kamera oder ein Update für C2PA-Funktionen länger dauert. Die Zerfaserung der CAI, die wir schon vor gut anderthalb Jahren festgestellt haben, muss endlich aufhören. Das ganze System muss so sicher wie möglich sein, und nicht schon bei der Aufnahme ausgehebelt werden können.

Um es auszuhebeln, reicht es im Übrigen nicht, wie vielfach behauptet, einen Monitor, eine Leinwand oder einen Ausdruck abzufotografieren. Es geht, siehe oben, um die komplette Provenienz: Wer hat das Bild wo, wann und mit welchem Gerät gemacht? Das wird verschlüsselt mit den Bilddaten in der Kamera bei Aufnahme gespeichert. Und später mit Servern abgeglichen. Wenn Max Mustermann ein Foto des US-Präsidenten, aufgenommen von seinem Monitor in Hintertupfing, veröffentlicht, dann hat das wenig Glaubwürdigkeit. Und gar keine, wenn solche Daten fehlen.

Wenn dagegen ein namentlich bekannter Berufsfotograf von einer großen Agentur dieses Bild veröffentlicht, aufgenommen vor dem Weißen Haus, dann ist allein das schon ein Hinweis auf Authentizität. Und erst recht, wenn die Daten der Aufnahme kryptografisch gesichert sind. Ein Grund, warum es C2PA braucht, ist ja, dass sich EXIF-Daten beliebig verändern lassen, ohne dass der Verlauf nachprüfbar festgehalten würde. Im Übrigen speichern C2PA-Kameras oft auch viel mehr Daten als per EXIF, teilweise auch Informationen des Autofokus für die Tiefe der Elemente in einem Bild. Darauf wies kürzlich Sony hin.

Preise für den Blick ins All

Nach diesem schwierigen Thema ist ein bisschen Entspannung angesagt. Also blicken wir doch in den Himmel, oder vielmehr, lassen Astrofotografen das tun. Denn der „Astrophotography Prize 2025“ wurde in der vergangenen Woche vergeben. Wenn man die Galerie der Bilder bei DPreview im Vollbild ansieht – unser Long Click zum Wochenende – stehen da auch die Aufnahmedaten, natürlich nicht per C2PA signiert, aber mit Namen der Fotografen. Alternativ gibt es einen Long Watch von knapp einer Stunde auf YouTube von der Preisverleihung mit Kommentaren der Juroren zu den wunderschönen Bildern.

(nie)

Erstmals hat Microsoft selbst direkt bestätigt, was bereits zuvor durchgesickert war: Windows-10-Nutzerinnen und -Nutzer in Europa werden auch nach dem offiziellen Supportende weiterhin Sicherheitsupdates erhalten – und zwar kostenlos.

In einem aktuellen Beitrag im deutschen Microsoft Newsroom bekräftigt der Konzern damit die zuvor von Medienberichten angestoßene Diskussion rund um den erweiterten Sicherheitssupport. Dort heißt es, dass Microsoft für Privatkundinnen und -kunden ab dem 15. Oktober 2025 ein „Extended Security Update (ESU)“-Programm ohne zusätzliche Kosten bereitstellt – allerdings nur für ein Jahr, also bis zum 13. Oktober 2026. Voraussetzung dafür ist ein Microsoft-Konto und ein Wohnsitz im Europäischen Wirtschaftsraum (EWR). Die Updates enthalten ausschließlich Sicherheitsaktualisierungen; neue Funktionen oder Produktverbesserungen sind nicht mehr vorgesehen. Microsoft empfiehlt weiterhin, langfristig auf Windows 11 oder neue Geräte umzusteigen.

Windows 10 wird selbst auf die neue Möglichkeit hinweisen. Microsoft schreibt: „Ein Einrichtungsassistent wird über Benachrichtigungen sowie in den Einstellungen verfügbar sein“. Schon in den vergangenen Monaten hatte Windows 10 durch Benachrichtungen im Infobereich (Systray) und durch bildschirmfüllende Nachrichten vor der Anmeldung nach einem Neustart auf das Support-Ende hingewiesen.

Der Schritt dürfte vor allem für Privatanwenderinnen und -anwender wichtig sein, die bislang noch nicht auf Windows 11 gewechselt haben – und zeigt, dass Microsoft auf anhaltende Kritik und regulatorischen Druck in Europa reagiert.

(nb)