Das Telekommunikationsunternehmen Vodafone ist Opfer von Cyberkriminellen geworden. Die kriminelle Online-Vereinigung Lapsus$ ist in IT-Systeme eingedrungen und hat etwa Software-Quelltexte abgegriffen. Nach offenbar erfolglosen Erpressungsversuchen sind die Daten nun offen im Netz gelandet.

Die Darknet-Webseite von Lapsus$ ziert ein neuer Beitrag, der den Datenklau bei Vodafone ankündigt. Er datiert auf den vergangenen Donnerstag und soll Dokumente zur „vollen Infrastruktur, Quelltextdateien, GitHub-Tree und interne Netzwerkkarten“ umfassen. Den dortigen Angaben zufolge hat das Archiv „VODA_FULL_DUMP.tar.xz“ einen Umfang von 180 GByte an Daten. Das Archiv ist zudem verlinkt und lässt sich unter anderem von der Darknet-Leaksite der Lapsus$-Bande herunterladen.

Vodafone bestätigt Datenleck

Auf Anfrage von heise online bestätigt Vodafone den unfreiwilligen Datenabfluss. „Vodafone kann bestätigen, dass im März 2026 eine kriminelle Organisation unbefugten Zugriff auf eine sehr begrenzte Anzahl von Software-Quellcodedateien erlangt hat. Die kopierten Dateien wurden am 10. Mai veröffentlicht“, erklärt das Unternehmen. Sicherheitsexperten von Vodafone hätten den Vorfall bereits im März 2026 unmittelbar erkannt und eingedämmt. Der Telekommunikationsanbieter legt Wert auf die Feststellung, dass keine sensiblen Informationen von Kunden kopiert wurden.

Zudem habe es keinen Zugriff auf interne Systeme gegeben. Es kam demnach auch zu keinerlei Beeinträchtigungen der internen Infrastruktur, von Netzwerken oder Produktionssystemen.

Es bleibt unklar, wie der Angriff ablief und welche Systeme kompromittiert wurden. Auch über die Höhe der Lösegeldforderung ist nichts bekannt. Es handelt sich nicht um den ersten IT-Vorfall aus dem Vodafone-Umfeld. Mitte 2023 konnten Cyberkriminelle etwa bei einem Vertriebspartner sensible Daten kopieren. Im vergangenen Jahr hat die Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) Louisa Specht-Riemenschneider gegen Vodafone zwei Bußgelder in Höhe von 15 beziehungsweise 30 Millionen Euro verhängt. Dabei ging es unter anderem um Kundendaten, die Vertriebspartner im Auftrag von Vodafone zur Kundengewinnung unzulässig genutzt haben.

(dmk)

Wer Home Assistant mit den Companion-Apps unter Android oder iOS steuert, sollte die verfügbare Aktualisierung schleunigst anwenden. Das Update für die Apps schließt eine Sicherheitslücke, durch die Angreifer ein Zugriffstoken abgreifen und damit die komplette Home-Assistant-Instanz übernehmen können.

Details liefert eine Sicherheitsmeldung im GitHub-Repository von Home Assistant, der CVE-Schwachstelleneintrag wurde nun am Wochenende öffentlich (CVE-2026-44698, CVSS 8.3, Risiko „hoch“). Die Schwachstelle beschreibt die Sicherheitsmeldung als Cross-Origin IFrame Token-Exfiltration mittels WebView-JavaScript-Bridge-Callback-Injection. Etwas weniger hakelig: Ein Iframe etwa von einer in Home Assistant eingebundenen externen App kann aufgrund der Schwachstelle beliebigen JavaScript-Code in der Companion-App innerhalb des Haupt-Frames ausführen und dabei den Zugriffstoken des angemeldeten Nutzers ausleiten. Angreifer können sich damit als dieser Nutzer ausgeben und die Kontrolle übernehmen, je nach Rolle des Users auch die komplette Instanz.

Als Angriffsszenario beschreiben die Entwickler, dass ein Opfer die Home-Assistant-Companion-App installiert hat und damit am Server angemeldet ist. Zudem hat das Opfer eine Webseite (Iframe)-Karte zu einem Dashboard hinzugefügt, die auf eine Drittanbieter-Webseite verweist, die Angreifer kontrollieren können – entweder direkt oder etwa nach einem Einbruch in einen solchen Dienst. Das Opfer öffnet das Dashboard, woraufhin der Zugriffstoken an die Angreifer übermittelt wird. Der wiederum nutzt dann den Token zum Zugriff auf die Home-Assistant-REST-API mit den Rechten des angemeldeten Users.

Aktualisierte Software fixt das Problem

Die Schwachstelle bessern die Home-Assistant-Companion-Apps in Version 2026.4.4 für Android und 2026.4.1 für iOS aus. Wer nicht umgehend auf die aktualisierten Apps umsteigen kann, soll jede Webseiten-Karte aus den Dashboards entfernen und einen Bogen um das Einbinden von Drittanbieter-URLs etwa für Wetter-Widgets, Status-Seiten oder externe Dashboards machen.

Wer Interesse an Smart-Home-Steuerung mittels Home-Assistant hat und einen Weg zum Einstieg sucht, findet hier eine ausführliche Home-Assistant-Einführung.

(dmk)

Technologiekonzerne rechtfertigten den enormen Energiehunger ihrer neuen Rechenzentren oft mit dem Argument, Künstliche Intelligenz sei ein entscheidendes Werkzeug zur Bewältigung der Klimakrise. Eine Untersuchung mehrerer Nichtregierungsorganisationen, darunter AlgorithmWatch und Beyond Fossil Fuels, komme nun jedoch zu dem Schluss, dass diese Behauptungen auf einer schwachen Datenbasis beruhten. Die Autoren der Studie werfen der Branche vor, Umweltschäden durch irreführende Kommunikation zu verschleiern.

Unterscheidung zwischen herkömmlicher und generativer KI

Ein zentraler Kritikpunkt der Studie ist die fehlende Differenzierung beim Begriff der Künstlichen Intelligenz. Die Untersuchung zeigt, dass sich die von Unternehmen wie Google oder Microsoft propagierten positiven Klimaeffekte fast ausschließlich auf „herkömmliche“ KI-Anwendungen beziehen. Dazu zählen etwa Modelle zur Wettervorhersage.

Der aktuelle Boom und der damit verbundene massive Ausbau von Rechenzentren würden jedoch primär durch sogenannte „generative“ KI für Endverbraucher angetrieben – also Systeme wie ChatGPT, Copilot oder Gemini, die Texte, Bilder und Videos erzeugen. Für diese ressourcenintensiven Anwendungen konnten die Studienautoren kein Beispiel finden, das eine nachweisbare und substanzielle Reduktion von Treibhausgasemissionen belege.

Die Verknüpfung des Klimanutzens herkömmlicher KI mit dem Ausbau generativer Modelle bezeichnen die Autoren als eine neue Form des „Greenwashings“. Darunter versteht man die Strategie, sich durch irreführende, unklare oder unbelegte Behauptungen über angebliche Umweltvorteile ein klimafreundlicheres Image zu geben und so von den tatsächlich verursachten Umweltschäden abzulenken.

Dünne Beweislage für Klimaversprechen

Für die Analyse wurden 154 öffentlichkeitswirksame Behauptungen von Tech-Unternehmen und Institutionen über die positiven Klimaeffekte von KI ausgewertet. Das Ergebnis zeigt eine deutliche Diskrepanz zwischen Versprechen und wissenschaftlicher Evidenz: Lediglich 26 Prozent der untersuchten Aussagen stützten sich auf veröffentlichte wissenschaftliche Studien. Bei 36 Prozent der Behauptungen wurden überhaupt keine Belege angeführt, während ein Großteil des Rests lediglich auf eigene Unternehmenswebseiten oder -berichte verwies.

Die Autoren schlussfolgern, dass selbst bei herkömmlicher KI der angebliche Nutzen für das Klima oft stark übertrieben dargestellt wird, während die negativen Auswirkungen des KI-Wachstums klar messbar sind. Julian Bothe, Senior Policy Manager bei AlgorithmWatch, sagte, wenn es Nachhaltigkeitsvorteile durch Künstliche Intelligenz gebe, dann durch Anwendungen traditioneller KI mit wenig Ressourcenverbrauch. „Die großen sprach- und bildgenerierenden Modelle wie ChatGPT, um die es beim aktuellen KI-Hype vor allem geht, verbrauchen Unmengen an Strom und Wasser, verursachen CO₂-Emissionen in der Höhe ganzer Länder, bringen aber keinerlei positiven Nutzen für die Umwelt.“

(mho)