Die Deutsche Bahn bietet ab sofort die Anmeldung mit Passkeys in der App und auf der Webseite an. Das erhöht die Zugangssicherheit signifikant.

In der App und auf der Webseite der Deutschen Bahn ist nun die Anmeldung mittels Passkeys möglich. Bevor das klappt, müssen Interessierte sich natürlich erst einmal Passkeys für ihre Geräte erstellen. Das gelingt in den Konto-Einstellungen über den Punkt „Login und Sicherheit“ und dort den Klick auf die Schaltfläche „Zum Account-Manager“. Darin finden sich die Passkeys unter „Alternative Login-Methoden“.

Dort lassen sich neue Passkeys erstellen – eine Mengenbegrenzung nennt die Seite jedoch nicht. Bereits erstellte Passkeys lassen sich umbenennen oder auch wieder entfernen.

Passkey-Anmeldung ohne SMS-Zweitfaktor

Eine eigene FAQ auf der Webseite der DB erklärt die Nutzung von Passkeys. Die Anmeldung mit Passkeys erfolgt dann ohne die sonst genutzte Zwei-Faktor-Authentifizierung mit SMS. Die sind dem CCC zufolge ohnehin keine gute Idee und können sich abfangen lassen. Die Zugangssicherheit bei der Deutschen Bahn gewinnt daher deutlich.

Passkeys setzen auf eine kryptografische Absicherung von Zugängen, anstatt lediglich Benutzername und Passwort zu nutzen. Die althergebrachten Zugangsdaten sind anfällig für Phishing oder landen als Remix in Datensammlungen im Internet, wo sie Kriminellen als Ausgangspunkt für Kontoübernahmen dienen. Passkeys hingegen nutzen einen privaten Schlüssel auf dem Endgerät, der dieses dann mit dem Zugang verknüpft. Zum Anmelden erfolgt dann in der Regel eine biometrische Identitätsprüfung, etwa mittels Fingerabdruck, Gesichtsscan mit Kamera oder einer PIN. Das ist deutlich komfortabler als das Eingeben von Passwörtern.

Inzwischen beherrschen diverse Passwort-Manager die Verwaltung von Passkeys, sodass sie sogar geräteübergreifend nutzbar sind. Etwa Microsofts Edge arbeitet so als Passwort-Manager, der über die Cloud die Passkeys auf die weiteren Geräte der Nutzer synchronisiert und sie dort bereitstellen kann.

(dmk)

Das Debian-Projekt hat ein Kommunikationsproblem. Entwickler, die keine Zeit oder kein Interesse mehr haben, ziehen sich still zurück – ohne ihre Verantwortung offiziell zu übertragen. Ein solches Verhalten gefährdet die Wartung von Paketen, die Sicherheit von Accounts und die Kontinuität wichtiger Teams. Debian-Projektleiter Andreas Tille hat das Problem in seiner Februar-Mitteilung an die Entwickler-Community detailliert beschrieben.

Das Kernproblem ist laut Tille nicht, dass Freiwillige aufhören zu arbeiten – das sei völlig normal. Problematisch sei vielmehr, dass sie dies nicht kommunizieren. „Debian existiert, weil Menschen sich freiwillig dafür entscheiden, ihre Zeit dafür aufzuwenden“, schreibt Tille. Doch die meisten seien mit Enthusiasmus beigetreten, ohne eine explizite Vereinbarung zu einer späteren Ankündigung, falls sich ihre verfügbare Zeit, Energie oder Interessen ändern.

Die Konsequenzen dieser stillen Abwanderung sind erheblich: Bugs bleiben unbearbeitet, sicherheitsrelevante Accounts ohne aktive Überwachung, delegierte Rollen existieren nur noch auf dem Papier. Besonders deutlich wurde das Problem bei der Reorganisation des FTPmaster-Teams, das über zwei Jahrzehnte für die Debian-Archive verantwortlich war. Im Oktober 2025 musste es aufgelöst und in zwei neue Teams aufgeteilt werden, weil wesentliche Arbeit von zu wenigen Menschen getragen wurde – mit negativen Auswirkungen auf Transparenz und Kommunikation.

MIA-Team soll automatisiert nach Inaktiven fahnden

Als Lösung schlägt Tille einen sechsstufigen automatisierten Prozess vor: Das MIA-Team (Missing In Action) soll mithilfe von Heuristiken inaktive Entwickler identifizieren und nach sechs Monaten ohne Aktivität automatisierte E-Mails versenden. Diese bieten einfache Optionen: Bestätigung der aktiven Präsenz, Übergang zum Emeritus-Status (ehrenhalber zurückgezogener Entwickler ohne aktive Pflichten) oder Kontaktaufnahme mit dem MIA-Team.

Bleibt eine Antwort aus, folgen sechs Monate lang monatliche Erinnerungen. Danach versucht das MIA-Team, die Person manuell zu erreichen, und warnt vor der Verwaisung ihrer Pakete. Erfolgt auch dann keine Reaktion, werden die Pakete nach einem weiteren Monat verwaist und der Account wird schließlich den Debian Account Managers zur möglichen Entfernung gemeldet.

Der Vorteil dieses automatisierten Systems: Es vermeidet direkte Fragen, die für manche Menschen sozial schwierig seien. Viele Entwickler empfinden es als unangenehm, von Freunden oder Kollegen direkt auf ihre Inaktivität angesprochen zu werden. „Aus gegenseitiger Rücksicht vermeiden wir es oft, zu fragen. Aus derselben Rücksicht vermeiden wir es auch, proaktiv zu sagen, dass wir zurückgetreten sind“, beschreibt Tille das Dilemma.

Delegation mit Ablaufdatum als weiterer Ansatz

Für delegierte Rollen schlägt Tille zusätzlich einen leichten Erneuerungsmechanismus vor. Delegierte sollen sechs Monate vor Ablauf ihrer Delegation einen kurzen Bericht mit Erneuerungsantrag einreichen. Bleibt dieser aus, läuft die Delegation automatisch ab. Dieser Ansatz normalisiere die Rotation und mache sie zu einem regulären Prozess statt einer konfliktbeladenen Ausnahmesituation.

Ein Beispiel für die Folgen fehlender Kommunikation ist das Data Protection Team: Alle bisherigen Delegierten sind zurückgetreten, die Delegation wurde widerrufen. Debian hat derzeit kein aktives Datenschutz-Team, obwohl die Aufgabe im DSGVO-Kontext wichtig ist. Der Workload war dabei gering – nur vier Anfragen im Jahr 2025.

Tille betont, dass bessere Sichtbarkeit von Inaktivität auch Chancen für neue Freiwillige schafft. Über eineinhalb Jahre hat er täglich ein langfristig inaktives Paket zur Zusammenarbeitsplattform Salsa migriert. Dies senke die Barriere für Beiträge erheblich und sende ein klares Signal, dass Hilfe willkommen ist. Bei aktiven Maintainern seien die Antworten meist konstruktiv gewesen – bei Paketen ohne Aktivität seit Jahren blieb die Reaktion dagegen meist aus.

Unklar ist derzeit, wie viel vom vorgeschlagenen MIA-Prozess bereits implementiert wurde. Tille fordert die Community auf, den aktuellen Status sichtbar zu machen, und lädt Interessierte explizit ein, sich einzubringen. Das Problem betreffe nicht nur Debian: „Dies ist eine wichtige Initiative für die Gesundheit des Debian-Projekts – und tatsächlich für jedes Open-Source-Projekt“, schreibt der Projektleiter.

(fo)

Setzen Angreifer erfolgreich an Sicherheitslücken in BIG-IP-Appliances wie Advanced WAF/ASM oder APM an, können sie Abstürze auslösen oder eigentlich geschützte Daten einsehen. Dagegen stehen abgesicherte Versionen zum Download bereit. Bislang gibt es keine Berichte zu Attacken.

Abstürze und Datenlecks

Am gefährlichsten gilt eine Schwachstelle (CVE-2026-22548 „hoch“) in BIG-IP Advanced WAF/ASM. Wie aus einer Warnmeldung hervorgeht, sollen DoS-Attacken aus der Ferne ohne Authentifizierung möglich sein. Dabei stürzt der bd-Prozess ab, was zu einer Unterbrechung des Netzwerkverkehrs führt. Wie ein derartiger Angriff im Detail ablaufen könnte, führen die Entwickler derzeit nicht aus. Dagegen ist die Version 17.1.3 gerüstet.

Die verbleibenden Lücken sind größtenteils mit dem Bedrohungsgrad „niedrig“ eingestuft. Nach erfolgreichen Attacken können Angreifer etwa im Kontext von BIG-IP APM und APM Clients auf eigentlich abgeschottete sensible Daten zugreifen (CVE-2026-20730). Weitere Informationen zu den Schwachstellen und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen.

(des)