Angreifer können insgesamt an 40 Schwachstellen in ImageMagick ansetzen, um Computer zu attackieren. Nach erfolgreichen Angriffen kommt es in erster Linie zu DoS-Zuständen und somit zu Abstürzen. Bislang gibt es seitens des Softwareherstellers keine Hinweise auf laufende Attacken. Admins sollten mit dem Patchen aber nicht zu lange zögern.

Verschiedene Gefahren

Mit der freien Bildbearbeitungssoftware erstellt und bearbeitet man Raster- und Vektorgrafiken. Im Sicherheitsbereich der GitHub-Website des Projekts sind weiterführende Informationen zu den in den Ausgaben 6.9.13-40 und 7.1.2-15 geschlossenen Lücken aufgeführt. Von den 40 gelösten Sicherheitsproblemen sind acht mit dem Bedrohungsgrad „hoch“ eingestuft.

So kommt es etwa bei der Verarbeitung von SVG-Dateien zu Fehlern und es werden rund 674 GB Speicher beansprucht, was zu Abstürzen führt (CVE-2026-25985). Die Verarbeitung von PSD-Dateien mit einem ZIP-Compressed-Layer führt ebenfalls zu Abstürzen (CVE-2026-24481). Im Kontext von Speicherfehlern kommt es oft nicht nur zu DoS-Zuständen, sondern es kann auch Schadcode auf Systeme gelangen.

Wie solche Attacken im Detail ablaufen könnten, ist bislang unklar. Die knappen Beschreibungen der Schwachstellen lassen aber darauf schließen, dass Opfer eine von einem Angreifer präparierte Datei öffnen müssen, um eine Attacke einzuleiten. Im Kontext von Webanwendungen liegt es nahe, dass der Upload einer präparierten Datei Schaden anrichten kann.

Weitere mögliche Attacken

Der Großteil der verbleibenden Softwareschwachstellen ist mit dem Bedrohungsgrad „mittel“ versehen. In diesen Fällen können Angreifer unter anderem ebenfalls Speicherfehler auslösen oder die CPU zu 100 Prozent auslasten (CVE-2026-26283 „mittel“). Außerdem kann es zu Memoryleaks kommen.

(des)

Vom 19. bis 21. Mai 2026 findet in München-Unterhaching die MedConf statt, die etablierteste Networking-Plattform für Software- und Geräteentwicklung in der Medizintechnik. Die Veranstaltung von heise medien richtet sich an Fachexperten aus Forschung und Entwicklung, Qualitätsmanagement, Produktentwicklung und Regulatory Affairs. Rund 250 Teilnehmer nutzen die Konferenz jährlich, um sich über aktuelle Entwicklungen auszutauschen und praxisnahe Lösungen für die Herausforderungen der Branche zu finden.

Seit ihrer Gründung im Jahr 2007 hat sich die MedConf als zentrale Technologie-Drehscheibe der deutschsprachigen Medizintechnik-Branche etabliert. Die Konferenz adressiert das Spannungsfeld zwischen regulatorischen Anforderungen und agiler, effizienter Produktentwicklung. Das Themenspektrum wurde über die Jahre kontinuierlich erweitert und umfasst heute neben klassischen Themen wie Safety, Security und Usability auch KI in der Medizintechnik, Gerätevernetzung und Medical Apps.

Know-how von Spezialisten

Eine Besonderheit der MedConf sind die 100-minütigen Intensiv-Coachings in kleinen Gruppen mit handverlesenen Experten. Das Motto „Von KÖNNERN und nicht nur von Kennern“ verdeutlicht den praktischen Ansatz der Veranstaltung. Teilnehmer erhalten Zertifikate für die absolvierten Coachings. Neben den Vorträgen und Coachings bietet die MedConf eine Partnerausstellung mit Branchenunternehmen.

Das Programm der MedConf 2026 adressiert zentrale Probleme der Branche. An drei Tagen mit vier parallelen Tracks geht es um Usability in der Medizintechnik, Geräte-Entwicklung, Software-Engineering, KI in der Medizintechnik. Safety und Security, Normen und Richtlinien sowie Agilität. So befasst sich ein Vortrag von Constantin Hoya und Michael Kitzelmann mit agilen Frameworks in regulierten Umfeldern. Dabei geht es um die Frage, warum agile Methoden in MedTech-Organisationen oft nicht zu besseren Entscheidungen führen. Als Kernprobleme identifizieren die Referenten fehlendes Mandat für Product Owner, Teams ohne Risiko- oder Produkthoheit sowie Quality und Compliance als Kontrolle statt als Lernsystem.

Worst Practices und Compliance by Design

Bernd Schleimer und Joachim Pfeffer präsentieren in unterhaltsamer Form Worst Practices der MedTech-Produktentwicklung. Das Format orientiert sich an „Fuckup-Nights“ aus der Start-Up-Szene und richtet sich speziell an Produkt Manager und Clinical-/Regulatory Affairs Spezialisten. Der Vortrag schließt mit der Vorstellung von „Compliance by Design“ als Leading Practice. Eine Vertiefung erfolgt in einem Praxis-Workshop mit TÜV-Rheinland-Build-in-Compliance-Modulen.

Die Digitalisierung im Gesundheitswesen steht im Fokus eines Vortrags von Susanne Bublitz. Sie zeigt Praxischallenges auf, darunter Medienbrüche, doppelte Dokumentation und semantische Inkonsistenzen zwischen Praxisverwaltungssystemen, Krankenhausinformationssystemen und der elektronischen Patientenakte. Als zentrale Spannungsfelder identifiziert sie HL7v2-Bestandskommunikation versus FHIR-basierte Zielarchitekturen sowie die Integration von KI-Assistenzsystemen mit offenen Verantwortungsfragen.

(odi)

Laut Polizeigesetz von Baden-Württemberg ist Videoüberwachung des öffentlichen Raums erlaubt, wenn dort besonders viel Kriminalität stattfindet und das auch in Zukunft zu erwarten ist. Boris Palmer, Ex-Grüner und nun parteiloser Oberbürgermeister von Tübingen, wollte auf Basis dieses Gesetzes Kameras im Bereich vor dem Hauptbahnhof errichten lassen.

Doch der Landesdatenschutzbeauftragte von Baden-Württemberg, Tobias Keber, stellte sich gegen den Plan. In dem Areal finde gar nicht übermäßig viel Kriminalität statt, zuletzt seien die Zahlen sogar gesunken, argumentierte er. „Bei der Videoüberwachung handelt es sich um eine Maßnahme mit hoher Eingriffsintensität, da großflächig Grundrechte von Bürgerinnen und Bürgern eingeschränkt werden, die hierfür keinen Anlass gegeben haben. Ein solcher Grundrechtseingriff kann ausnahmsweise gerechtfertigt sein“, schrieb er. Die Voraussetzungen für diese Ausnahme seien aber nicht erfüllt.

Auch aus Tübingen selbst gab es Widerstand. Der Verwaltungsausschuss der Stadt beschloss: „Die Stadtverwaltung wird aufgefordert, keine Kameras zur Videoüberwachung auf dem Europaplatz zu installieren.“ Der Gemeinderat strich dem Projekt die Finanzierung.

Videoüberwachung nach Datenschutzgesetz

Boris Palmer und das Tübinger Regierungspräsidium, das die Überwachungspläne unterstützt, haben daraufhin die Rechtsgrundlage gewechselt, mit der sie die Videoüberwachung rechtfertigen. Nun soll nicht mehr nach Polizeigesetz, sondern nach Landesdatenschutzgesetz überwacht werden. Demnach ist Videoüberwachung erlaubt, um Personen zu schützen, die sich in öffentlichen Einrichtungen oder deren Nähe bewegen, oder um Kulturgüter, Gebäude und Sachen zu sichern.

Anfang Februar wurde die Novelle des Landesdatenschutzgesetzes vom Landtag beschlossen. Tübingen soll nun zum Vorreiter in der Nutzung dieses Gesetzes zur Videoüberwachung werden.

Ob dessen sehr niedrige Eingriffsschwelle reicht, um die massiven Persönlichkeitsrechtsverletzungen aller Passant*innen an diesem belebten Areal zu rechtfertigen, ist fragwürdig. Gerade prüft der Landesdatenschutzbeauftragte das Vorgehen.

Sechs Kameras geplant

Das Regierungspräsidium teilte dem Reutlinger General-Anzeiger (GEA) mit, „dass die Videoüberwachung am Europaplatz in Tübingen mit den im Landesdatenschutzgesetz genannten Zielen begründet werden kann und es der polizeirechtlichen Begründung nicht mehr bedarf“. Die Überwachung werde deshalb nun eingeführt. Die Stadtverwaltung ließ GEA wissen, dass man bereits Angebote für die Installation von sechs Kameras einhole.

Und auch die Tatsache, dass der Gemeinderat die finanziellen Mittel für die Überwachng gesperrt hat, will die Verwaltung unter Boris Palmer umgehen. Sie verkündete gegenüber dem SWR, dass man ja Mittel umschichten könne, bis zu 70.000 Euro könne Palmer auch freihändig investieren. 20.000 Euro sollen die sechs Kameras kosten.

Dabei gab Palmer in einer Stellungnahme gegenüber dem Jugendgemeindebeirat zu, dass es auch andere Möglichkeiten gäbe, das Sicherheitsgefühl der Bevölkerung vor dem Bahnhof zu steigern, die weniger in das Persönlichkeitsrecht eingreifen: Notrufsäulen, verbesserte Beleuchtung, verstärkte Bestreifung.