Chinesische Branchenriesen wollen so schnell wie möglich so viel wie möglich: Die Rede ist von Nvidias H200-AI-Beschleunigern, die nun wieder nach China exportiert werden dürfen. Doch schon mehren sich die Fragen, ob denn die Menge, die Nvidia gefertigt hat oder noch fertigen wird, überhaupt ausreicht.

Die namhaften Hersteller in China, allen voran Alibaba, ByteDance und Tencent, wollen und müssen offizielle Wege einhalten. So ist das Interesse an H200-Chips nach der Aufhebung des Exportbans entsprechend groß, würde es die AI-Fähigkeiten der Unternehmen doch deutlich voranbringen. Die letzten westlichen Beschleuniger, die in großer Stückzahl gekauft werden konnten, waren vorrangig Nvidia H20.

US-Präsident Trump hatte H200 zu Wochenbeginn nach Bekanntgabe der neuen Exportrichtlinien mit 25 Prozent Preisaufschlag primär schlecht geredet. Doch in China ist der technische Stand von H200 kein Showstopper, denn H200 ist noch immer das beste und schnellste Produkt, welches China aktuell überhaupt erwerben kann. H200 ist deutlich besser aufgestellt als die zuvor kastrierten Versionen rund um den H20-Chip und einheimischen Lösungen, die noch nicht das Niveau erreichen.

Sorgen machen sich die Firmen aber über den Bestand an H200-Chips und ob es überhaupt genügend geben wird. Die Produktion seitens Nvidia wurde inzwischen überwiegend auf Blackwell umgestellt, schnell zusätzliche N4- und vor allem Packaging-Kapazitäten bei TSMC für den alten H200 zu bekommen ist nahezu unmöglich.

Der Schwarzmarkt blüht weiterhin

Wie sehr chinesische Firmen auch ohne offizielle Genehmigungen auf Nvidia-Chips setzen, zeigt ein neuer Bericht von The Information. Demnach wird das im Februar 2026 erwartete neue AI-Modell von DeepSeek erneut auf eigentlich verbotenen Nvidia-Chips umgesetzt. Dabei sollen mehrere Tausend Blackwell-Chips zum Einsatz kommen, die nach China geschmuggelt wurden

Die Taktik ist dabei altbekannt: Die Chips werden in Ländern gekauft, in die Nvidia und ihre Partner exportieren dürfen. Dort werden die Server entweder zerlegt oder komplett nach China verschickt. Zu Jahresbeginn stand Singapur ganz groß im Rampenlicht, später Malaysia, die Milliarden Umsätze für Nvidia generierten, selbst aber kaum Chips nutzen.

Nachdem Google erst in der vergangenen Woche 13 Schwachstellen in Chrome 143 geschlossen hatte, folgen nun in der aktuellen Version des Browsers drei weitere Sicherheitslücken, von denen zumindest eine mit einem hohen Gefährdungspotenzial eingestuft wird. Zwei weitere Lücken werden hingegen nur als moderat gefährlich bewertet.

Keine genaueren Informationen

Auch wenn Google nahezu wöchentlich neue Versionen seines Browsers mit behobenen Schwachstellen veröffentlicht, gibt es dieses Mal eine Besonderheit zu beobachten. Der Konzern macht zwar grundsätzlich nur selten genauere Angaben zu den gefundenen Problemen, auch um Nutzern ausreichend Zeit für ein Update zu lassen und Angreifern keine zusätzlichen Informationen an die Hand zu geben, benennt üblicherweise jedoch zumindest die betroffenen Komponenten.

Das ist dieses Mal anders: Bei der als kritisch eingestuften Sicherheitslücke beschränkt sich die Information der Sicherheitsexperten von Google auf den Hinweis, dass sich das Problem noch „in Abstimmung“ befinde. Entsprechend gibt es bislang keine Angaben dazu, in welchem Bereich die Schwachstelle zu verorten ist, noch wurde sie mit einer CVE-Kennung versehen. Google bestätigt lediglich, dass der Exploit bereits im Umlauf ist und aktiv für Angriffe genutzt wird.

Probleme im Passwort-Manager und der Symbolleiste

Anders verhält es sich bei den beiden als mittlere Bedrohung eingestuften Schwachstellen. Die erste betrifft eine Use-after-free-Lücke im Passwort-Manager. Dabei greift die Anwendung auf bereits freigegebenen Speicher zu, was Angreifern das Einschleusen und Ausführen von schadhaftem Code ermöglichen kann. So lassen sich private Daten – wie eben Passwörter – abgreifen oder im schlimmsten Fall die Kontrolle über das System übernehmen. Die zweite mittlere Schwachstelle geht auf eine fehlerhafte Implementierung in der Symbolleiste zurück.

Schnelles Einspielen empfohlen

Angesichts der Bedrohungslage und der bislang unklaren Details zu möglichen Schäden rät Google dazu, die aktualisierte Browser-Version umgehend einzuspielen. Diese liegt mit Version 143.0.7499.109/.110 für Windows und macOS vor, während Linux-Nutzer zu Version 143.0.7499.109 greifen. Für Android steht ebenfalls Version 143.0.7499.109 bereit, eine angepasste Fassung für iOS dürfte erfahrungsgemäß ebenso zeitnah folgen. Korrekturen für auf Chromium basierende Browser wie Microsoft Edge werden üblicherweise ebenfalls in Kürze nachgereicht.

Zudem wurden die genannten Schwachstellen mit Version 142.0.7499.235 auch in der Chrome-Variante mit verlängerter Unterstützung behoben.

Ab sofort verfügbar

Nutzer können das Update über die integrierte Aktualisierungsfunktion des Browsers anstoßen. Alternativ lässt sich die korrigierte Version wie gewohnt bequem über den Link am Ende dieser Meldung aus dem Download-Bereich von ComputerBase beziehen. Android- und iOS-Nutzer finden die aktualisierten Ausgaben hingegen im Google Play Store beziehungsweise im App Store von Apple.

Behörden und Verwaltungen verwenden eine Vielzahl an Domains. Wenn diese aber nicht mehr benötigt und aufgegeben werden, können diese sich zu einer Schwachstelle entwickeln. Von einem Fall beim Bundesamt für Migration und Flüchtlinge (BAMF) berichten Netzpolitik.org und das im Bereich Cybersicherheit tätige Start-up Mint Secure.

Ausgangspunkt war ein neuer Name. Bis 2005 hieß das BAMF noch Bundesamt für Anerkennung ausländischer Flüchtlinge (BAFL). Eine der Domains, die daher genutzt wurde, war www.bafl.de. Bis mindestens 2013 leitete diese noch zur aktuellen BAMF-Seite weiter. Irgendwann wurde sich bei der Behörde aber offenkundig dafür entschieden, Altlasten loszuwerden – die BAFL-Domain wurde aufgegeben.

Aufgegebene Domain erhält immer noch Anfragen aus Bundesnetzen

Intern ist dieser Schritt aber nicht komplett umgesetzt worden, zeigt nun die Analyse von Mint Secure. Der Gründer und IT-Sicherheitsexperte Tim Philipp Schäfers hatte sich die Domain bafl.de gekauft, die Vorbesitzer hatten anscheinend kein Interesse mehr. Interessiert hatte ihn laut dem Bericht von Netzpolitik.org, inwieweit ehemalige Behörden-Domains noch aufgerufen werden.

Was er bei seinem Test feststellte: Selbst aus den Netzen von Bundesbehörden erfolgen noch täglich DNS-Anfragen. Ein Herkunftsort ist etwa das Bundesinnenministerium. „Seit September 2025 hat es Tausende solcher DNS-Anfragen gegeben. Einige finden täglich und automatisiert statt, andere offenbar durch manuelle Pings oder Anfragen an IT-Systeme“, heißt es in der Analyse auf Mint Secure.

Schäfers vermutete hinter den Zugriffen auf bafl.de eine Fehlkonfiguration interner Systeme. Er meldete den Vorfall daher bereits im September beim CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es dauerte etwas, bis sich das BAMF meldete. Ein Sprecher bestätigte mittlerweile aber auch gegenüber Netzpolitik.org die Probleme.

Beim ITZ-Bund – also dem zentralen IT-Dienstleister der Bundesverwaltung – hat das BAMF mittlerweile beantragt, dass bafl.de aus allen Konfigurationen entfernt wird. So wolle man potenzielle Gefahren und Missbrauch verhindern. So schnell lassen sich die Server-Konfigurationen aber offenbar nicht anpassen. Mint Secure registriert bis heute noch DNS-Anfragen aus Bundesnetzen.

Solche Anfragen sind ein Risiko, Mint Secure bezeichnet die bafl.de-Domain als potenziell „unkontrollierten technischen Einstiegspunkt in interne Netze von BMI [Bundesinnenministerium] und BAMF“. Angreifer hätten damit „interne Hostnamen, Dienste und Netzstrukturen auslesen und so detaillierte Informationen über die IT-Infrastruktur gewinnen können“, was im Worst-Case-Szenario dazu führt, dass am Ende die Systeme des Bundes kompromittiert werden.

Generell bestehe die Gefahr, dass ein solcher Fall zu erheblichen technischen und sicherheitsrelevanten Schäden für die betroffenen Bundesbehörden führen könne.

bafl.de wurde zeitweise von Dritten verwendet

Angreifbar sind aber nicht nur die Bundesbehörden. Auch Bürger können durch ehemalige Domains getäuscht werden. Unter bafl.de fand lange Zeit nichts statt, ab August 2022 war dort aber zeitweise eine Webseite abrufbar, die vermeintlich über Asyl informierte. Diese bestand aber vor allem aus Stockbildern und KI-Texten und hatte zudem kein Impressum.

Ein direkter Schaden wurde damit offenbar nicht angerichtet, heißt es bei Netzpolitik.org. Wie eine Rückwärtssuche von Bildern der Webseite ergab, wurden die Inhalte offenbar für mehrere Web-Auftritte verwendet. Aufgrund des ähnlichen Vorgehens vermutet Mint Secure, dass die Betreiber sich damit SEO-Vorteile verschaffen wollten, um auf dubiose Angebote wie etwa Glücksspielportale zu verweisen.

Domains wie bafl.de sind dafür besonders geeignet, weil diese in Nachrichtenarchiven, Forschungsarbeiten sowie bei Behörden und Ämtern – und sogar auf Bundestag.de – noch auftauchen. Auf den ersten Blick wirken diese also vergleichsweise seriös, Betrugsabsichten lassen sich so gut tarnen.

Alte Domains aus Sicherheitsgründen besser reservieren

Dass Domains freigegeben werden, obwohl interne Systeme diese noch ansteuern, hält Schäfers für ein schweres Versäumnis. Behörden müssten sicherstellen, dass diese „intern auf keinem System mehr verwendet wird oder sicherheitshalber reserviert halten, wenn man das nicht garantieren kann“, sagte er zu Netzpolitik.org.

Diese Haltung wird auch vom BAMF bestätigt. Aus Sicherheitsgründen sei es erforderlich, nicht mehr genutzte Domains weiter zu registrieren.

Wie verbreitet das Problem ist, lässt sich aber nicht sagen. Für eine Analyse wird zunächst eine Liste mit allen Bundes-Domains sowie denjenigen, die in den letzten Jahren aufgegeben worden sind, benötigt. Diese Informationen will die Bundesregierung aber nicht freigeben. Eine Antwort auf eine Anfrage der Linken wird als Verschlusssache und damit als geheim eingestuft, heißt es im Bericht von Netzpolitik.org. Schätzungen legen indes nahe, dass die Anzahl der Bundes-Domains in die Tausende geht.

Lösungsansätze sind ebenso nicht einfach umsetzbar. Ein konkretes Regelwerk existiert nicht, die jeweiligen Behörden sind für die Absicherung der Domains zuständig. Angedacht ist auch eine „Digitale Dachmarke“, die neben einer einheitlichen Bild-Wort-Marke auch Domain-Namen vorsieht, die auf gov.de enden. Das Projekt befindet sich aber noch in der Pilotphase, berichtet Netzpolitik.org.