AMD-Chefin Lisa Su gibt zu, die Nachfrage nach Serverprozessoren falsch eingeschätzt zu haben. Das Unternehmen kann in den nächsten Monaten nicht so viele Epyc-CPUs liefern, wie Cloud-Hyperscaler für ihre KI-Rechenzentren kaufen würden. Zuvor stellte schon Intel manche Produktionslinien von Desktop- und Notebook- auf Serverprozessoren um. Offensichtlich haben sich beide Firmen verschätzt.

Auf einer Analystenkonferenz sagte Su: „Ja, es gibt Versorgungsengpässe, aber das liegt wirklich daran, dass der Markt größer ist, als wir vor drei oder sechs Monaten prognostiziert hatten. Und so braucht es immer etwas Zeit, bis die Lieferkette mit den Anforderungen des Marktes Schritt halten kann. Ich kann sagen, dass wir aus Sicht der Versorgung sehr, sehr gut aufgestellt sind, um einen großen Teil dieser Nachfrage zu decken. Wir arbeiten weiterhin sehr eng mit unseren Partnern in der Lieferkette zusammen, um diese Kapazitäten im Laufe der Jahre 2026 und 2027 auszubauen.“

Hohes Interesse an Epyc Venice

Vor allem die nächste Epyc-Generation mit Zen-6-Architektur (Codename Venice) soll gefragt sein. Deren Produktion fährt der verantwortliche Chipauftragsfertiger TSMC im zweiten Halbjahr 2026 hoch. „Jeder unserer Großkunden will Venice haben, sobald er verfügbar ist“, betonte Su das hohe Interesse.

Die Fehleinschätzung kann mehrere Gründe haben. Zum einen bauen Cloud-Hyperscaler wie Amazon, Google, Meta und Microsoft womöglich mehr Rechenzentren als gedacht. Zum anderen könnte die Nachfrage nach Venice besonders hoch sein, weil die Generation mit neuer 2-Nanometer-Fertigungstechnik (TSMC N2) besonders effizient wird und zudem flottes PCI Express 6.0 mitbringt.

Ryzen an zweiter Stelle

Für PC-Selbstbauer und Notebook-Käufer sind das potenziell schlechte Nachrichten. AMD priorisiert in der Zen-6-Generation offensichtlich Serverprozessoren. Für Desktop- und Notebook-Ableger gibt es noch keinen Termin. Eine Vorstellung könnte sich nach hinten ziehen, wenn Epyc-CPUs mehr von AMDs zugeteilter N2-Fertigungskapazität aufbrauchen – zumal AMD auch bei seinen kommenden KI-Beschleunigern der Instinct-MI400-Serie auf N2-Technik setzt. Da unter anderem Apple, Mediatek und Qualcomm großes Interesse an N2 haben, dürfte AMD kurzfristig wohl kaum zusätzliche Kapazität erhalten.

(mma)

Eine von Europol koordinierte internationale Strafverfolgungsaktion hat die Phishing-Plattform Tycoon2FA außer Gefecht gesetzt. Dabei wurden 330 Domains, die die Kerninfrastruktur des kriminellen Dienstes bildeten, darunter Phishing-Seiten und Kontrollpanels, abgeschaltet, heißt es in einer von der europäischen Polizeibehörde veröffentlichten Mitteilung. Die Aktion wurde von Strafverfolgungsbehörden in Lettland, Litauen, Portugal, Polen, Spanien und Großbritannien sowie Akteuren des Privatsektors, darunter Cloudflare, Coinbase oder Trend Micro, in enger Zusammenarbeit unter der Koordination des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität (EC3) von Europol durchgeführt.

Tycoon 2FA war mindestens seit August 2023 aktiv und zählte laut Europol zu den größten Phishing-Operationen weltweit. Die Plattform wurde demnach von Tausenden Cyberkriminellen genutzt, um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen und ihnen unbemerkten Zugriff auf E-Mail- und Cloud-basierte Dienste zu ermöglichen. „Die Plattform generierte monatlich zig Millionen Phishing-E-Mails und ermöglichte den unbefugten Zugriff auf fast 100.000 Organisationen weltweit, darunter Schulen, Krankenhäuser und öffentliche Einrichtungen“, schreibt Europol.

Niedrige Einstiegsschwelle für Cyberkriminelle

Laut dem Tech-Portal Bleeding Computer wurden Tycoon2FA-Abos über den Telegram-Messenger zehn Tage Zugriff für 120 US-Dollar angeboten. Dies habe die Hürde, ausgeklügelte Angriffe zur Umgehung der MFA in großem Umfang durchzuführen, für weniger erfahrene Kriminelle deutlich gesenkt, so das Portal weiter.

„Die Plattform von Tycoon2FA ermöglichte es Angreifern, sich als vertrauenswürdige Marken auszugeben, indem sie Anmeldeseiten für Dienste wie Microsoft 365, OneDrive, Outlook, SharePoint und Gmail imitierten. Sie erlaubte es Angreifern außerdem, sich dauerhaft einzunisten und auf sensible Informationen zuzugreifen, selbst nachdem Passwörter zurückgesetzt wurden, sofern aktive Sitzungen und Token nicht explizit widerrufen wurden“, erklärte Microsoft am Mittwoch in einem Blogeintrag. „Dies funktionierte, indem während des Authentifizierungsprozesses generierte Sitzungs-Cookies abgefangen und gleichzeitig die Benutzerdaten erfasst wurden. Die 2FA-Codes wurden anschließend über die Proxy-Server von Tycoon2FA an den Authentifizierungsdienst weitergeleitet.“

Die Ermittlungen begannen, nachdem Trend Micro Informationen bereitgestellt hatte. Diese Informationen verbreitete Europol über seine EC3-Beratungsgruppen und operativen Netzwerke. Dies wiederum habe die Entwicklung einer koordinierten Einsatzstrategie ermöglicht, so das Europäische Polizeiamt. Später arbeiteten Microsoft und Trend Micro eng mit den Strafverfolgungsbehörden zusammen und stellten technisches Fachwissen sowie Infrastrukturanalysen bereit.

(akn)

Das Bundesverwaltungsgericht (BVerwG) hat die Klage auf „Einsicht in Anordnungen des Präsidenten des Bundesnachrichtendienstes“ der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Louisa Specht-Riemenschneider, gegen den Bundesnachrichtendienst (BND) als unzulässig verworfen. In dem Verfahren (Az. 6 A 2.24) ging es um die Frage, ob die oberste Datenschutzaufsicht des Bundes ihre Kontrollrechte gegenüber dem Auslandsnachrichtendienst gerichtlich durchsetzen kann.

Nach der Entscheidung des Gerichts ist das nicht der Fall. „Der Vorschrift des § 63 BNDG i. V. m. § 28 Abs. 3 Satz 2 Nr. 1 BVerfSchG […] lässt sich eine im Wege einer verwaltungsgerichtlichen Klage durchsetzbare wehrfähige Rechtsposition nicht entnehmen“, konstatiert das BVerwG.

Die BfDI hatte mit der Klage klären wollen, ob sie bei verweigerter Einsicht durch den BND den Rechtsweg beschreiten darf. „Durch die Klage wollte ich erreichen, dass keine praktischen Kontrolllücken entstehen, damit Grundrechte wirksam geschützt werden können. Dem Bundesverwaltungsgericht zufolge kann ich meine unabhängigen Kontrollbefugnisse nicht gerichtlich durchsetzen, ich habe keine ,wehrfähige Rechtsposition‘ für eine Klage“, so Specht-Riemenschneider.

Zuvor hatte die BfDI die Verweigerung der Einsichtnahme beim Bundeskanzleramt beanstandet. Das Kanzleramt wies dies zurück und verwies auf den Vorrang der Kontrolle durch den Unabhängigen Kontrollrat (UKR); zur Kompetenzabgrenzung zwischen UKR und BfDI äußerte sich das Bundesverwaltungsgericht nicht.

Sorge vor kontrollfreien Räumen

Nach Auffassung des Gerichts steht der BfDI bei Streit über Einsichtsrechte lediglich die Beanstandung gegenüber dem Bundeskanzleramt offen. Mit diesem Instrument seien jedoch – entsprechend dem gesetzgeberischen Willen – keine unmittelbar durchsetzbaren Abhilfe- oder Durchgriffsrechte verbunden. Eine eigene Klagebefugnis der Datenschutzbeauftragten würde diese gesetzliche Konstruktion unterlaufen. „Als Folge des Urteils befürchte ich, dass im Bereich der Nachrichtendienste kontrollfreie Räume entstehen. Die kontrollierte Stelle kann nunmehr faktisch selbst darüber entscheiden, was mir zur Einsicht gegeben und was damit durch mich kontrolliert wird. Die Gesetzeslage ist absurd und muss korrigiert werden“, sagte die BfDI.

Sie fordert daher eine gesetzliche Nachbesserung. „Aus meiner Sicht muss es immer eine Instanz geben, die über strittige Fragen entscheidet. Diese Instanz kann aber nicht das Bundeskanzleramt sein, denn innerhalb der Exekutive bin ich vollständig unabhängig und weisungsfrei. Ich muss meine Kontrollrechte im Interesse des Grundrechtsschutzes vor Gericht durchsetzen können. Ich appelliere an den Gesetzgeber, mir für Streitigkeiten über meine Kontrollrechte und -pflichten beim BND einen Rechtsweg zu geben.“

Hintergrund des Verfahrens war ein Vor-Ort-Termin der Datenschutzaufsicht beim BND. Dort hatte der Dienst die Einsicht in bestimmte Anordnungen individueller nachrichtendienstlicher Aufklärungsmaßnahmen verweigert. Konkret betraf dies CNE-Maßnahmen (Computer Network Exploitation), „die notwendig sind, um ein ‚Hacking‘ von IT-Systemen von Ausländern im Ausland zu rechtfertigen“. Nach Einschätzung der BfDI handelt es sich um besonders eingriffsintensive Maßnahmen, die einer sorgfältigen datenschutzrechtlichen Kontrolle bedürfen.

„Bürgerinnen und Bürger haben gegenüber den Nachrichtendiensten wegen der geheim stattfindenden Datenverarbeitungen kaum Möglichkeiten, sich selbst gegen nachrichtendienstliche Maßnahmen zur Wehr zu setzen, die tief in ihre Privatsphäre eingreifen können. Deshalb hat das Bundesverfassungsgericht mir eine Kompensationsfunktion zugewiesen. Meine Möglichkeiten zur Durchsetzung der Betroffenenrechte sind mit dem heutigen Urteil massiv beschränkt.“ Die BfDI will nun prüfen, welche Konsequenzen das Urteil für die Durchsetzung datenschutzrechtlicher Vorgaben auf nationaler und europäischer Ebene hat.

Bereits in der Vergangenheit hatten die aktuelle und der ehemalige BfDI betont, wie wichtig eine unabhängige Kontrolle des BND sei – gerade mit Blick auf weitere geplante Ermittlungsbefugnisse im digitalen Raum. Immer wieder hatte es Streit um die Kontrolle der Nachrichtendienste gegeben, etwa weil der Bundesnachrichtendienst Einsicht in Unterlagen verweigert hatte.

(mack)