Apple hat am Montagabend insgesamt drei Betriebssysteme aktualisiert sowie seinen Browser Safari für macOS 15 (Sequoia) und 14 (Sonoma) auf einen neuen Stand gebracht. Systeme und Browser enthalten keine bekannten Neuerungen, dafür stopfen sie diverse Sicherheitslöcher, die Apple laut eigenen Angaben auch aufgrund der neuen Gefahren durch KI flotter liefert.

Angst vor KI-gestützten Angriffen

Gegenüber der Nachrichtenagentur Reuters teilte der Konzern mit, man reagiere schneller mit den Fehlerbehebungen, weil man aufgrund von KI eine Geschwindigkeitssteigerung bei böswilligen Hackingtools fürchtet. Sonst hätte Apple die Sicherheitspatches womöglich erst mit einer neuen Hauptversion gebracht. Das heißt: Die Fixes kommen nun mit iOS 26.5.2, iPadOS 26.5.2 und macOS 26.5.2, sonst hätte Apple auf Version 26.6 der Systeme gewartet. Bei dem Auffinden der Fehler kam auch KI zum Einsatz, unter anderem durch Anthropic.

Neben den drei neuen Betriebssystemversionen stellt Apple auch Safari 26.5.2 als Einzeldownload bereit. Allein der Browser patcht über 20 Lücken plus zwei weitere Fehler, die Apple aber nicht näher ausführt. Es geht um Informationsabfluss, Abstürze, Speicherfehler, das Verlassen der Sandbox und mehr. WebKit Canvas, WebKit Storage und WebRTC sind auch betroffen. Ältere macOS-Versionen fasst Apple hingegen nicht an, zumindest lagen zunächst weder Updates für Sonoma noch Sequoia vor.

Jeweils über 30 Lücken behoben

IOS und iPadOS 26.5.2 kommen jeweils mit knapp 30 Fixes plus Problembehebungen in drei Bereichen, die Apple nicht näher ausführt. Betroffen sind Kernel, libxslt oder IOGPUFamily, außerdem werden die WebKit-Löcher wie in Safari 26.5.2 gestopft.

macOS 26.5.2 kommt ebenfalls mit mehr als zwei Dutzend Fehlerbehebungen plus drei weiteren ohne Details. Auch hier geht es unter anderem um den Kernel und libxslit, auch Safari-Lücken wurden gestopft. Apple teilte weiter mit, dass keine Berichte zu Angriffen auf Basis der Lücken in den Systemen vorliegen. Dennoch sei es notwendig, die Zeit zwischen Ankündigung und Rollout zu verringern. Apple wird mindestens noch 26.6-Versionen bringen, bevor dann iOS 27 & Co. im September erscheinen.

(bsc)

Vergangene Woche einigte sich das Europaparlament als letzte der drei großen EU-Institutionen auf ein Gesetzespaket zum Digitalen Euro. Zusätzlich zur digitalen Zentralbankwährung sollen die geplanten Verordnungen aber auch das Bargeld stärken. Doch wie sieht diese Stärkung genau aus? Und worin unterscheiden sich die Pläne von EU-Kommission, Mitgliedstaaten und Europaparlament?
Konkret geht es um das „Single-Currency-Package“: Dieses enthält neben den Vorschlägen zum Digitalen Euro auch ein EU-Gesetz, das Bargeld als gesetzliches Zahlungsmittel („Legal Tender“) definiert.

Was bedeutet „gesetzliches Zahlungsmittel“?

Fragt man den Juristen Sebastian Omlor, ist das bitter nötig: „Die rechtliche Situation des Bargelds im Euroraum ist aktuell einigermaßen defizitär.“ Die Euro-Einführungsverordnung von 1998 stelle lediglich im Wortlaut knapp fest, dass sowohl Euro-Scheine als auch Euro-Münzen gesetzliches Zahlungsmittel seien. „In den Verordnungen der Europäischen Union oder auch mit dem staatlichen Recht etwa der Bundesrepublik Deutschland ist aber nirgends genauer niedergelegt, was wir denn unter einem gesetzlichen Zahlungsmittel verstehen“, erklärt Omlor, der Professor für Wirtschaftsrecht an der Uni Marburg ist und das Institut für das Recht der Digitalisierung leitet.

Omlor geht es vor allem um Rechtsklarheit und Rechtssicherheit. Doch hinter dem juristischen Konzept des „gesetzlichen Zahlungsmittels“ stecken auch Fragen, die ganz konkret den Alltag betreffen. „Wann darf man denn sagen: ‚Ich als Händler nehme kein Bargeld‘? Oder: ‚Wir wollen nur Kreditkartenzahlungen’? Das sind die Details, die im Moment nicht konkret im Gesetz stehen“, erklärt Omlor. In anderen Worten: Es geht um eine gesetzliche Annahmepflicht und ihre Grenzen.

Ungleichbehandlung beim Digitalen Euro

Eine solche Annahmepflicht schreibt die Kommission in ihrem Vorschlag für eine Verordnung für das Bargeld vor. Doch sie will auch Ausnahmen verankern. Explizit nennt der Entwurf den Fall, dass jemand einen kleinen Geldbetrag mit einem großen Geldschein zahlt. Auch wenn ein Geschäft „ausnahmsweise“ kein Wechselgeld hat, soll die Pflicht zur Bargeldannahme wegfallen. Außerdem behält sich die Kommission das Recht vor, weitere Ausnahmen zu erlassen.

Aus Sicht von Professor Omlor ändert die Verordnung, so wie die EU-Kommission sie vorgelegt hat, fast nichts in der Geschäftsbeziehung zwischen Verkäuferin und Kunde. Das kritisieren Bargeld-Befürworter:innen. Denn anders als beim Bargeld will die EU-Kommission es beim Digitalen Euro deutlich schwerer machen, dass Geschäfte die Zahlung damit verweigern. „Das Schild ‚No Cash‘ wäre zulässig, das Schild ‚No Digital Euro’ wäre nicht zulässig“, bricht Omlor den Unterschied in der Annahmepflicht vereinfacht herunter.

Sebastian Omlor sieht das vor allem darin begründet, dass der Digitale Euro neu ist, während das Bargeld etabliert ist. „Das heißt, der Digitale Euro müsste jetzt den Markteintritt schaffen und jedenfalls so weit ausgerollt werden, dass es für mich als privaten Zahler attraktiv wird, damit zu zahlen.“ Um eine dafür notwendige breite Akzeptanzstruktur zu schaffen, hätte sich die EU-Kommission dazu entschlossen, die Annahmepflicht beim digitalen Euro strikter auszugestalten als das beim Bargeld der Fall ist.

Gegenwind von Bürger:innen, Parlament und Mitgliedstaaten

Die Bargeld-Branche sowie eine Initiative, die dem Namen nach ein angebliches „Bargeldverbot“ bekämpft, laufen gegen diese Ungleichbehandlung Sturm. Ihre Forderung: Die EU-Verordnung zum Bargeld müsse auch „No Cash“-Schilder verbieten. Eine entsprechende Petition, die unter anderem das zum Ziel hat, wurde Ende Mai in Straßburg übergeben.

Das Lobbyieren fürs Bargeld hatte offenbar Erfolg: Die EU-Mitgliedstaaten sehen in ihrem Vorschlag zum Gesetzentwurf der Kommission ein Verbot von „No Cash“-Schildern vor, zumindest wenn Kund:innen und Verkäufer:innen beide vor Ort sind. Gleiches gilt für das Europaparlament, das sich ebenfalls dazu entschied, No-Cash-Schilder auszuschließen.

Verkaufsautomaten dürfen Bargeld laut Parlaments-Mandat zwar ablehnen, allerdings muss der Zugang der Bevölkerung zu „essenziellen Dienstleistungen“ beachtet werden. Der Volt-Abgeordnete Damian Boeselager erklärt diesen Punkt so: „Sei es jetzt am Bahngleis oder auch im Supermarkt, es soll auch weiterhin die Möglichkeit geben, mit Bargeld zu zahlen, sodass sozusagen essenzielle Dienstleistungen auch weiter angeboten werden.“

Gegen das Geldautomaten-Sterben

Die Verordnung zum Digitalen Euro greift auch ein zweites Problem der Euro-Münzen und ‑Scheine auf: Es wird schwerer, sie zu bekommen. Laut Zahlen der Bundesbank sank in Deutschland die Zahl der Geldautomaten von 2018 bis 2023 um fast 14 Prozent. Das sind in absoluten Zahlen 8.000 Automaten. Zudem gibt es seit über 20 Jahren Jahr für Jahr weniger Bankfilialen, seit 2018 fielen alleine 9.000 Standorte weg.

Der Gesetzesvorschlag der Kommission begegnet dem Problem nicht direkt, verpflichtet aber die Staaten, in städtischen und ländlichen Gebieten „für einen hinreichenden und wirksamen Zugang zu Bargeld“ zu sorgen. Dafür müssen diese einen jährlichen Bericht erstellen und gegebenenfalls gegensteuern.

Rechtsprofessor Omlor sieht darin eine Stärkung des Bargelds. „Wir haben jetzt erstmals eine europarechtliche Vorgabe, die die Bargeldversorgung in der gesamten Union sichert“, sagt Omlor im Gespräch mit netzpolitik.org.

Die Mitgliedstaaten der EU wollen sich sogar selbst eine Pflicht auferlegen, Resilienzpläne für Bargeld zu erstellen. Auch das EU-Parlament ist für eine solche Pflicht. Hintergrund sind Sorgen vor Angriffen auf die Stromversorgung. In solchen Situationen wäre das bargeldlose Zahlen so gut wie unmöglich und die Nachfrage nach Münzen und Scheinen stiege stark an.

Nutzung des Bargelds geht in Deutschland zurück

Am Ende bleibt die Rolle des Bargelds auch eine Frage der Praxis. Denn je stärker Menschen Bargeld nutzen, desto mehr Anreize haben Politik und Unternehmen, eine breite Akzeptanz und Versorgung sicherzustellen. Der Trend geht in Deutschland allerdings in die andere Richtung: Die Bargeldnutzung gehe kontinuierlich zurück, schreibt die Bundesbank in einer kürzlich veröffentlichten Studie. Zum ersten Mal wurde die Mehrheit der erfassten Zahlungen unbar durchgeführt.

Gleichzeitig ist der gesellschaftliche Wert der Münzen und Scheine vielen klar. So gaben 80 Prozent der Befragten an, dass es „für Deutschland“ wichtig sei, bar zahlen zu können. Ob die Politik diesem gesellschaftlichen Anspruch gerecht werden kann, zeigt sich wohl auch dann, wenn Kommission, Parlament und Rat im Trilog über die finale Version der EU-Bargeld-Verordnung verhandeln. Die Verhandlungen könnten schon im Juli starten, sofern es im Europaparlament keinen Einspruch über das Mandat des Währungssausschusses gibt.

Admins und Nutzer sollten Ausschau nach Aktualisierungen für diverse Softwarepakete halten. Die libssh2-Bibliothek, die weit verbreitet zum Einsatz kommt, enthält eine kritische Sicherheitslücke. Ein veröffentlichter Proof-of-Concept-Exploit vereinfacht deren Ausnutzung durch bösartige Akteure deutlich.

Im Schwachstelleneintrag hat die US-amerikanische IT-Sicherheitsbehörde CISA inzwischen die freie Verfügbarkeit des Proof-of-Concept-Exploits ergänzt. Die Sicherheitslücke basiert auf einer nicht erfolgten Begrenzung des „packet_length“-Feldes bei der Verarbeitung in der Funktion ssh2_transport_read(). Angreifer aus dem Netz können das missbrauchen, um mit übermäßig großen „packet_length“-Werten in manipulierten SSH-Paketen den Speicher auf dem Heap durcheinander zu bringen und dabei das Ausführen von eingeschleustem Code zu provozieren (CVE-2026-55200, CVSS 9.8, Risiko „kritisch“).

Wenn Angreifer Opfer dazu bringen, sich mit ihrer Client-Software mit manipulierten Servern zu verbinden, können sie ihnen damit Schadcode unterjubeln. Projekte wie curl, PHP, libgit2 und diverse weitere setzen libssh2 ein. libssh2 ist bis einschließlich Version 1.11.1 anfällig. Noch immer ist das die letzte verfügbare offizielle Version, der Patch ist derzeit lediglich als Quellcode-Commit verfügbar. Diverse Linux-Distributionen stellen jedoch aktualisierte Pakete mit eigenen Backports bereit.

Zügig aktualisieren

Unter Linux sollte also das Aufrufen der Softwareverwaltung und die Installation der angebotenen Aktualisierungen zum Ziel führen. Etwa unter Windows wird das jedoch schwieriger. Die offiziellen curl-Binaries für Windows 8.21.0_2 vom 24. Juni 2026 sind etwa noch statisch mit libssh2 1.11.1 verlinkt, die die Sicherheitslücke aufweist. Zwar macht das curl-Team im „Sommer der Glückseligkeit“ Urlaub – allerdings dürfte der Bedarf nach einer Aktualisierung seitens der zahlenden Supportkunden nun wachsen und in Kürze eine Aktualisierung bereitstehen.

Die Sicherheitslücke und eine weitere in libssh2 wurden in der vergangenen Woche bekannt. Seitdem steht lediglich der Commit im Quellcode bereit, ein offizielles neues Paket mit dem Update steht seitdem noch aus.

(dmk)