Der Cyber Resilience Act (CRA) der EU ist ein wichtiges Thema der Fachmesse embedded world 2026 in Nürnberg. Die CRA-Verordnung, die „ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt“, zwingt viele Hersteller von Industriesteuerungen, Robotern, Messgeräten zu tiefgreifenden Veränderungen über den gesamten Lebenszyklus ihrer Produkte.

Zahlreiche Produkte dürfen ab Ende 2027 nicht mehr in der EU verkauft werden, falls sie die CRA-Vorgaben nicht erfüllen.

Branchenkenner erwarten Nebenwirkungen, beispielsweise die Abkündigung älterer Chips und IT-Komponenten. Der CRA könnte sich ähnlich auswirken wie die seit 2022 verschärften Vorschriften für die Cybersicherheit von Autos: Die führten dazu, dass Modelle wie Audi TT und R8, VW T6.1, Porsche Cayman und Boxster, Smart EQ Fortwo und Renault Zoe nicht mehr in der EU ausgeliefert wurden. Laut den jeweiligen Herstellern lohnte sich der Aufwand für die Überarbeitungen bei diesen älteren Fahrzeugtypen nicht mehr.

Ersatzteilschwund

Produktions- oder Lieferstopps für ältere IT-Komponenten können Probleme bei der Ersatzteilversorgung für alte Systeme nach sich ziehen. Dazu kommt aktuell noch ein zweites Problem: Die schlechte Verfügbarkeit von DRAM- und NAND-Flash-Chips.

Gegenüber heise online äußerten einige Aussteller auf der Fachmesse embedded world 2026, dass sie vor allem die Einstellung von günstigeren Versionen älterer Produktbaureihen erwarten. Denn bei denen ließen sich zusätzliche Kosten erst durch höhere Stückzahlen wieder einspielen. Und letztere seien noch schwieriger zu erreichen, wenn RAM und Flash-Speicher immer teurer würden.

CRA-Aufwand und PQC

Die CRA-Vorgaben wirken oberflächlich betrachtet nicht besonders aufwendig. Doch der Teufel steckt in vielen Details. So ist schon seit Jahren sehr viel Software im Spiel, meistens aus unterschiedlichen Quellen. Dazu kommt die Firmware für jeden einzelnen eingebauten Mikrocontroller oder auch das UEFI-BIOS.

Die Sicherheitsregeln, Meldepflichten für Schwachstellen und Dokumentationsvorgaben gelten zudem für zahlreiche Bauteile eines Systems und entlang deren Lieferkette.

Bei vielen Embedded Systems kommt hinzu, dass sie relativ lange Entwicklungszeiten haben und dann beispielsweise in Industriesteuerungen mehr als zehn Jahre lang betrieben werden. Heute in der Entwicklung befindliche Geräte dürften also bis in die späten 2030er-Jahre hinein laufen.

Deshalb wiederum empfehlen manche Hersteller den Einsatz oder jedenfalls die Vorbereitung quantensicherer Verschlüsselung (Postquantenkryptografie, Post Quantum Cryptography/PQC), zumindest für geschützte Firmware-Updates.

(ciw)

Eher unbemerkt hat Google den Chrome-Webbrowser allgemein auf Version 146er-Entwicklerzweig aktualisiert. In der Nacht zum Mittwoch hat das Unternehmen die Verteilung begonnen. Erst in der Nacht zum Donnerstag haben die Entwickler jedoch die Release-Ankündigung mit Informationen zu den damit geschlossenen Sicherheitslücken befüllt. Und das sind eine ganze Menge: 29 Schwachstellen bessern die Programmierer im ersten offiziellen Chrome-146-Release aus.

In der Versionsankündigung erörtert Google, dass die aktualisierte Browser-Version eine kritische Schwachstelle ausbessert. In der WebML-Komponente können Angreifer beim Rendern manipulierter HTML-Seiten Speicherstörungen auf dem Heap provozieren und dadurch offenbar eingeschleusten Code ausführen (CVE-2026-3913, kein CVSS-Wert, Risiko laut Google „kritisch“). Der Schwachstellenmelder Tobias Wienand bekommt von Google dafür 33.000 US-Dollar Belohnung.

Von den elf Sicherheitslecks mit der Risikoeinstufung „hoch“ fallen drei besonders ins Auge. Ein Ganzzahl-Überlauf in WebML (CVE-2026-3914, kein CVSS-Wert, Risiko nach Google „hoch“) bringt dem Entdecker sogar 43.000 US-Dollar als Bug-Bounty-Entlohnung ein, denselben Betrag gab es abermals für Wienand für einen weiteren Heap-basierten Pufferüberlauf in dem Modul (CVE-2026-3915, kein CVSS-Wert, Risiko laut Google „hoch“). Für die Meldung einer Schwachstelle, durch die sorgsam präparierte Webseiten einen Lesezugriff außerhalb vorgesehener Speichergrenzen in der „Web Speech“-Komponente auslösen können, gab es noch 36.000 US-Dollar Prämie (CVE-2026-3916, kein CVSS-Wert, Risiko laut Google „hoch“)

Google Chrome: Flut an Sicherheitslücken

In der Versionsankündigung finden sich weitere kurze Informationshappen zu den Schwachstellen, die die neuen Fassungen ausbügeln. Die Versionsnummern für die Fehlerkorrekturen lauten Chrome 146.0.7680.111 für Android, 146.0.7680.40 für iOS, 146.0.7680.71 für Linux sowie 146.0.7680.71/72 für macOS und Windows.

Immerhin: Google schreibt nichts dazu, dass eine oder gar mehrere der Lücken bereits im Internet attackiert würden. Dennoch sollten Chrome-User sicherstellen, dass der Webbrowser auf dem aktuellen Stand ist. Das gelingt etwa durch Aufruf des Versionsdialogs, der sich nach Klick auf das Symbol mit den drei aufeinander gestapelten Punkten rechts von der Adressleiste und dem weiteren Weg über „Hilfe“ – „Über Google Chrome“ öffnet. Der zeigt den derzeit laufenden Stand an und bietet bei Verfügbarkeit die Installation des Updates an. Unter Linux ist in der Regel die Softwareverwaltung der Distribution für Aktualisierungen zuständig. Auf Smartphones sollten in Kürze aktuelle Chrome-Versionen in den App-Stores auftauchen – hier allerdings mit der Eigenheit, dass das deutlich verzögert geschieht und auf einigen Geräten gar mehrere Tage bis Wochen Wartezeit einzukalkulieren sind.

Da die Sicherheitslücken im Chromium-Projekt auftauchen, dürften auch weitere darauf basierende Webbrowser wie etwa Microsofts Edge in absehbarer Zeit aktuelle Fassungen vorlegen. Die sollten Nutzer und Nutzerinnen zeitnah installieren. Erst in der vergangenen Woche hatte Google im Chrome-Webbrowser drei als kritisches Risiko eingestufte Sicherheitslücken geschlossen. Am Microsoft-Patchday im März tauchte die Schwachstellenliste ebenfalls für den Edge-Browser auf.

(dmk)

Werden Messenger-Dienste wie WhatsApp, Signal oder Telegram von der Polizei überwacht, darf dies kein Freibrief für den Zugriff auf das gesamte digitale Vorleben eines Verdächtigen sein. In einem richtungsweisenden Beschluss vom 20. Januar hat der Bundesgerichtshof (BGH) die Befugnisse der Ermittler beim sogenannten Aufschalten auf Chat-Accounts deutlich eingeschränkt. Die Karlsruher Richter stellten klar, dass die gängige Praxis, bei einer laufenden Überwachung einfach auch die vorhandene Historie zu kopieren, gegen geltendes Recht verstößt.

Chat-Überwachung ist „Quellen-TKÜ“

Bisher wurde die Auswertung von Chatverläufen oft rechtlich wie eine einfache Telefonüberwachung behandelt. Doch der BGH bewertet die Methode, bei der sich die Polizei direkt Zugang zu einem Messenger-Konto verschafft, nun präzise als Quellen-Telekommunikationsüberwachung.

Diese „Quellen-TKÜ“ ist die Antwort des Staates auf Ende-zu-Ende-Verschlüsselung. Früher konnte die Polizei Nachrichten einfach beim Provider „auf der Leitung“ abgreifen. Heute ist das bei vielen Kommunikationsdiensten zwecklos, wenn die Daten dort durchgängig verschlüsselt übertragen werden.

Bei einer Quellen-TKÜ setzen die Ermittler technisch direkt auf dem Endgerät des Nutzers wie einem Smartphone oder Laptop an. Die Kommunikation wird entweder vor der Verschlüsselung beim Absender oder nach der Entschlüsselung beim Empfänger abgefangen. Technisch geschieht dies oft durch Spionagesoftware in Form von Staatstrojanern. Im aktuellen Fall entschieden sich die Ermittler indes für eine heimliche „Aufschaltung“, bei der sie sich als weiteres Endgerät in einen Account einschleichen. Technische Details dazu durften nicht einmal die Karlsruher Richter erfahren.

BGH: Schutz der Integrität ist entscheidend

Der Kern des BGH-Beschlusses liegt in der zeitlichen Trennung der Befugnisse. Der 3. Strafsenat argumentiert, dass die Quellen-TKÜ laut Strafprozessordnung (StPO) ein funktionales Äquivalent zur klassischen Telefonüberwachung sein soll (Az.: 3 StR 495/25). Das Gesetz erlaubt hier auf Basis von Paragraf 100a Absatz 1 Satz 2 StPO nur den Zugriff auf Daten, die „auch während des laufenden Übertragungsvorgangs“ hätten überwacht werden können.

Damit ist ein explizites Verbot der rückwirkenden Überwachung festgeschrieben. Der BGH betont, dass die Integrität eines IT-Systems ein hohes Gut ist. Wenn Ermittler sich Zugang verschafften, müssten sie technisch sicherstellen, dass sie wirklich nur die aktuelle Kommunikation erfassen. Ein automatisches Mitfiltern der Vergangenheit, nur weil die Technik es ermöglicht, ist mit der Rechtsnorm nicht vereinbar.

Will die Polizei dennoch auf alte Nachrichten zugreifen, reicht eine Anordnung zur Quellen-TKÜ nicht aus. Dafür ist laut BGH zwingend eine heimliche Online-Durchsuchung nach Paragraf 100b StPO nötig. Der rechtliche Unterschied ist groß: Während eine Quellen-TKÜ die laufende Kommunikation überwacht, besteht bei einer Online-Durchsuchung Zugriff auf den gesamten Speicher eines Zielgeräts.

Letztere unterliegt strengeren Anforderungen und ist nur bei einem Katalog von „besonders schweren Straftaten“ wie Terrorismus oder Mord zulässig. Im vorliegenden Fall ging es um den illegalen Handel mit Medikamenten und Dopingmitteln. Dies erfüllte nur die Hürden für eine normale Überwachung.

Folgen für die Justiz: Beweisverwertungsverbot

Die Entscheidung hat unmittelbare Folgen für die Verwertbarkeit von Beweisen. In dem Verfahren hatte das Landgericht Aurich einen Mann unter anderem aufgrund von Telegram-Nachrichten verurteilt, die teils fünf Monate vor der richterlichen Anordnung geschrieben worden waren. Der BGH erklärte diese Beweiserhebung für rechtswidrig und ordnete ein Verwertungsverbot an.

Die Richter begründeten dies damit, dass die Missachtung der technischen Sicherungspflichten nicht folgenlos bleiben dürfe. Würden solche Daten dennoch als Beweise zugelassen, gäbe das den Ermittlungsbehörden einen Anreiz, die gesetzlichen Grenzen der Online-Durchsuchung systematisch zu umgehen. Das Landgericht Aurich muss den Fall daher nun ohne die alten Chat-Logs neu aufrollen.

Gül Pinar, Strafverteidigerin und Vizevorsitzende im Strafrechtsausschuss des Deutschen Anwaltvereins (DAV), bezeichnete die Entscheidung gegenüber der ARD als „sehr wichtig und relevant“. Aus ihrer Sicht fehlte für das Auslesen alter Nachrichten bisher die Rechtsgrundlage. Mit seiner Ansage stärke der BGH das IT-Grundrecht, also den Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme. In letzter Zeit habe es tausende Fälle gegeben, „in denen die Polizei auch alte Nachrichten ausgewertet hat“.

(mki)