Meta hat auf der Entwicklerkonferenz GDC einen Einblick in den aktuellen Stand des Quest-Ökosystems gegeben, dem bei weitem größten VR-Marktplatz.

Entgegen aller Untergangsszenarien betonte der Spielechef Chris Pruett bei einem Vortrag, dass Virtual Reality weiterhin wachse: 2025 habe das Quest-Ökosystem die bislang höchste Zahl an individuellen Nutzern erreicht. „Die Gerüchte über den Tod von VR sind stark übertrieben“, schrieb Pruett in einem Blogbeitrag, der auf seinen GDC-Vortrag vom Mittwoch folgte.

Das Nutzerwachstum allein ist jedoch noch kein Grund zum Jubeln. Dass ein Ökosystem mit der Zeit wächst, statt schrumpft, ist das Mindeste, was man erwarten darf. Und zur tatsächlichen Zahl aktiver VR-Nutzer schweigt Meta auch nach mehr als zehn Jahren. Ein Umstand, der Bände spricht.

Unklar bleibt auch, wie häufig und intensiv Menschen ihre Quest-Headsets heutzutage nutzen. Erst solche Metriken zeigen, wie vital ein Ökosystem wirklich ist.

Bei den Software-Erlösen hat sich im vergangenen Jahr nicht viel getan: Nachdem der Umsatz in 2024 noch um 12 Prozent gestiegen war, hat er 2025 nur leicht zugelegt, sagt Pruett. Dass die langjährige Meta-Führungskraft keine Zahl nennt und stattdessen auf das ohnehin langsame Wachstum der Spieleindustrie verweist, lässt nichts Gutes vermuten.

Ein Ökosystem im Umbruch

Schon im vergangenen Jahr räumte Meta ein, dass es um das Ökosystem nicht zum Besten bestellt ist: Die Enthusiasten, die Meta Quest 2 einst zum Erfolg verholfen haben, beteiligen sich heute deutlich weniger am Ökosystem und geben nicht mehr so viel Geld aus wie noch vor einigen Jahren. An ihre Stelle sind Teenager getreten, die inzwischen die aktivste Nutzergruppe darstellen, jedoch längst nicht so kaufkräftig sind und sich eher für meme-getriebene Free-to-Play-Spiele als für aufwendig produzierte VR-Titel vom Schlage eines „Batman Arkham Shadow“ oder „Marvel’s Deadpool VR“ (beides Meta-Produktionen) interessieren.

„Großbudgetierte AAA-Spiele mit Hollywood-artiger Inszenierung sind für den heutigen Markt schlicht zu teuer“, räumt Pruett ein und sagt zugleich, dass Premium-Apps und nicht Mikrotransaktion der größte Umsatztreiber sind.

Das hinter den Erwartungen zurückbleibende Wachstum des Ökosystems veranlasste Meta Anfang des Jahres zu einer radikalen Schrumpfkur: Rund 1.500 Mitarbeiter der VR-Abteilung wurden entlassen, zudem schloss das Unternehmen fast alle First-Party-Spielestudios.

Die Sparmaßnahmen gingen mit einem strategischen Kurswechsel einher: Meta Quest soll sich künftig wieder stärker auf klassische VR-Erlebnisse konzentrieren, statt auf das von vielen Nutzern ungeliebte Metaverse. Zu diesem Zweck soll weiter Geld in VR-Spiele fließen, allerdings in die von Drittentwicklern statt in Eigenproduktionen. Im vergangenen Jahr half Meta bei der Veröffentlichung von rund 140 Spielen, und 2026 sollen es noch mehr werden, sagte Pruett auf der GDC.

Ob Meta mit dieser Rückkehr zu alten Werten frühere Nutzer zurückgewinnen und zum Geldausgeben bewegen kann, ist fraglich. Zumal das Unternehmen eigene Spieleproduktionen eingestampft hat und VR-Hardware künftig teurer anbieten will.

Meta wettet auf Zielgruppen, die es noch gibt

Statt auf die nur langsam wachsende Gruppe der Enthusiasten zu bauen, setzt Meta auf weitere Investitionen – und das Prinzip Hoffnung.

Das Unternehmen vermutet, dass sich die zahlreichen Teenager, die mit VR aufwachsen und diese als natürlichen Teil ihrer Unterhaltungswelt betrachten, zu zahlungskräftigen Kernnutzern von morgen entwickeln könnten. „Meine Vermutung – und es ist nur eine Vermutung – lautet, dass Anspruch, Feinschliff und Qualität für ein junges Publikum wichtiger werden, je älter es wird“, schreibt Pruett im Hinblick auf die Gruppe der ersten „VR-Natives“.

Eine weitere hypothetische Zielgruppe, auf die Meta wettet, sind medienaffine Erwachsene. Das Unternehmen erwartet, dass diese Kohorte in den kommenden Jahren an Bedeutung gewinnt. Sie sollen VR-Brillen zunächst als Fernseherersatz kaufen, um Filme und Serien zu schauen, dabei aber auch VR-Spiele entdecken, die auf Handtracking statt auf Controller setzen.

Metas nächste beiden VR-Brillen dürften genau auf diese beiden Zielgruppen zugeschnitten sein: eine ultraleichte VR-Brille für Medienkonsumenten, die ohne Controller auf den Markt kommen könnte und laut jüngsten Berichten 2027 erscheinen soll, sowie eine darauffolgende Meta Quest 4 für erwachsene VR-Enthusiasten und erwachsen gewordene VR-Natives. Offiziell bestätigt ist nur, dass Meta an zwei neuen VR-Brillen arbeitet.

In der VR-Branche bleibt alles beim Alten

Herangereifte VR-Natives und medienaffine Erwachsene als künftige Wachstumstreiber des Quest-Ökosystems: Beide Gruppen existieren bislang vor allem in den Köpfen der Unternehmensführung. Ob sie tatsächlich eine Rolle spielen werden und Meta Quest wieder zum Erfolg verhelfen können, muss sich in den kommenden Jahren zeigen.

Vorerst bleibt alles beim Alten: Meta investiert weiter kräftig in Hardware und Inhalte und versucht, neue Nutzergruppen zu erschließen. Meta bleibt damit der bei weitem größte Investor in Virtual Reality, ohne den die VR-Branche kaum vorstellbar wäre.

Metas größte Konkurrenten zögern derweil: Die Zukunft der Apple Vision Pro ist derzeit ungewiss, Samsung Galaxy XR hat seit seinem Erscheinen kaum Software-Updates erhalten und ist weiterhin auf die USA und Südkorea beschränkt, und von Sony hört man keinen Mucks in Richtung einer Playstation VR 3. Immerhin wollen ByteDance und Valve noch in diesem Jahr mit Project Swan und Steam Frame zwei neue VR-Brillen auf den Markt bringen.

(tobe)

Die Ausnutzung einer kritischen Sicherheitslücke in Microsoft SharePoint gehörte zu den größten Cybervorfällen des Jahres 2025. Über eine bis dahin unbekannte Schwachstelle, eine so genannte Zero-Day-Lücke, konnten Angreifer weltweit hunderte Organisationen kompromittieren, darunter Unternehmen, Universitäten und Behörden. Wie sich später herausstellte, war es offenbar der chinesische Geheimdienst, der die Gelegenheit zur Spionage nutzte.

Entdeckt wurde die Angriffswelle ausgerechnet von einer Studentin: von der niederländischen Security-Analystin Ilse Versluis. Sie hatte Bereitschaftsdienst an einem Freitagabend im Juli 2025 im Security Operations Center des Sicherheitsanbieters Eye Security, ein Job, den sie parallel zum Studium absolvierte. Im c’t-Podcast „They Talk Tech“ spricht sie nun erstmals öffentlich darüber, was ihr an jenem Freitagabend auffiel, wie sie die ersten Spuren aufdeckte und wie ihr Team den Angriff schließlich analysierte und versuchte, die Welt in Echtzeit zu informieren. Denn die Lücke wurde bereits in großem Stil ausgenutzt, jede Minute zählte.

In der aktuellen Folge rekonstruieren die Hosts Eva Wolfangel und Svea Eckert gemeinsam mit Versluis die entscheidenden Stunden, als eine Warnmeldung zu einem verdächtigen PowerShell-Kommando auf einem SharePoint-Server einging, den das Unternehmen betreute.

Eine Warnmeldung wie viele andere?

Die Warnmeldung habe zunächst ausgesehen wie viele ihrer Art. In einem Bereitschaftsdienst in einem Security Operations Center besteht die Kunst darin, im richtigen Moment hellhörig zu werden. Aber auch als Versluis die ersten Ungereimtheiten auffielen, ahnte sie nicht, dass sie an diesem Freitagabend auf dem Sofa den chinesischen Staatshacker in den Netzen ihres Kunden in flagranti erwischt hatte. „Das Skript war verschleiert“, erzählt sie im Podcast, „das machen typischerweise Angreifer.“

Sie analysierte genauer, was hier gerade vor sich ging und stellte fest, dass das Skript versuchte, sogenannte Machine Keys auszulesen. Diese kryptografischen Schlüssel bilden die Grundlage für die Authentifizierung in Webanwendungen. Wer sie besitzt, kann im Prinzip gültige Login-Tokens erzeugen. „Das ist im Grunde die Vertrauensbasis eines Servers“, erklärt Versluis. Und das auf einem Sharepoint-Server, auf dem potenziell jede Menge sensible und vertrauliche Daten liegen! Sie rief ihre Kollegen zurück aus dem Wochenende.

Und es zeigten sich weitere Auffälligkeiten: In den Serverlogs fand sich eine verdächtige .aspx-Datei, die offenbar als Webshell diente – also als Hintertür, über die Angreifer aus der Ferne Befehle ausführen können. Noch merkwürdiger war ein Detail in den HTTP-Headern der Anfragen: Als Herkunftsseite war die SharePoint-Logout-Seite angegeben. Mit anderen Worten: Jemand, der sich gerade abgemeldet hatte, schrieb gleichzeitig Dateien auf den Server. „Das dürfte eigentlich nicht möglich sein“, sagt Versluis. Irgendjemand umging hier die Authentifizierung komplett.

Was dahintersteckte

Natürlich habe sie nicht mit einer Zero-Day-Lücke gerechnet, sagt Versluis. Das war einfach zu unwahrscheinlich, schließlich entdeckt man nicht alle Tage eine bis dato unbekannte Sicherheitslücke. Erst einige Stunden später sollte klar werden, dass es sich bei weitem nicht um einen einzelnen kompromittierten Server handelte.

Das Team von Eye Security begann daraufhin, weltweit nach verwundbaren SharePoint-Systemen zu suchen. Mehr als 23.000 Server identifizierten die Forscher im Internet, mehr als 400 Organisationen weltweit waren bereits kompromittiert. Microsoft ordnete die Kampagne später staatlich unterstützten chinesischen Hackergruppen zu.

Im Podcast ordnen Wolfangel und Eckert auch den technischen Hintergrund der Lücke ein und mögliche Versäumnisse von Microsoft selbst. Bereits im Mai 2025 hatte ein Sicherheitsforscher auf der Hackerkonferenz Pwn2Own eine verwandte Schwachstelle in SharePoint demonstriert. Microsoft veröffentlichte daraufhin einen Patch, der aber offenbar nicht vollständig war. Das entdeckten nicht nur Sicherheitsforscher, die daraufhin teilweise in den sozialen Netzwerken warnten, dass die Lücke weiterhin ausnutzbar war – sondern offenbar auch die chinesischen Angreifer.

Ein surreales Erlebnis

Wie diese letztlich auf die Idee kamen, rund um die bereits gepatchte Lücke weiter zu suchen, oder ob sie gar an Informationen aus dem Hackercontest gelangt waren, ist bis heute unklar. Der Fall zeigt damit auch ein grundlegendes Dilemma der IT-Sicherheitsforschung: Schwachstellen müssen öffentlich gemacht werden, damit sie geschlossen werden können. Gleichzeitig können veröffentlichte Details oder unvollständige Patches Angreifern Hinweise liefern, wo es sich lohnen könnte, weiter zu suchen.

„Das ausgerechnet ich einen staatlichen Cyberangriff entdecke, das klingt immer noch surreal“, sagt Versluis rückblickend. Schließlich sei sie mehr oder weniger zufällig in der IT-Sicherheit gelandet – nachdem sie lange gedacht hatte, dass sie dort eigentlich nicht hineinpasse. Aber Cybersecurity sei ein Feld, in dem sehr unterschiedliche Fähigkeiten gebraucht würden. „Man muss nicht unbedingt der Hardcore-Hacker sein“, sagt sie. Wichtig sei eher analytisches Denken, „und die Fähigkeit, Dinge miteinander zu verbinden.“ Und natürlich Neugier. Denn Angreifer entwickeln ständig neue Methoden. „Man hört nie auf, zu lernen.“

„They Talk Tech“ erscheint jeden Mittwoch überall, wo es Podcasts gibt. Svea Eckert und Eva Wolfangel diskutieren ein Tech-Thema oder treffen inspirierende Frauen aus und rund um die Tech-Welt.

(mond)

Wer fliegen möchte, steht bei der Buchung der Tickets vor der Qual der Wahl. Denn neben den Portalen der Fluggesellschaften gibt es zahlreiche Dienste, die bei der Suche nach der besten – oder günstigsten – Verbindung helfen können. Dazu gehören spezialisierte Suchmaschinen, aber auch KI. Der Einsatz künstlicher Intelligenz drängt sich regelrecht auf, schließlich geht es salopp formuliert um das stumpfe Vergleichen von in Datenbanken hinterlegten Zeiten und Preisen. Eine Aufgabe, in der die Maschine dem Menschen überlegen sein müsste.

Vor allem für diejenigen, die nur selten per Flugzeug reisen, dürfte die Homepage der Fluggesellschaft der erste und vermutlich einzige Anlaufpunkt sein. Ein möglicher Gedanke: Das Unternehmen wird schon am besten wissen, welche Verbindungen zu meiner Anfrage passen. Dabei übersehen Verbraucher, dass oftmals viele Wege zum Ziel führen. So bedient unter Umständen noch eine zweite Airline die Strecke. Oder es gibt neben dem Direktflug auch eine Umsteigeverbindung, die das Unternehmen nicht in den Suchergebnissen präsentiert.

Doch wie schlagen sich spezialisierte Suchmaschinen gegen KIs? Im Folgenden zeigen wir mit drei Beispielen, mit welch unterschiedlichen Ergebnissen Sie rechnen sollten. Zum Einsatz kamen Google Flug, ITA Matrix Airfare Search und Skyscanner sowie GPT-5.3 (ChatGPT), Claude Sonnet 4.6 (Claude) und Gemini 3 Deep Think (Gemini). Die Aufgaben: ein typischer Ferienflug zum möglichst günstigsten Zeitpunkt, eine USA-Reise mit klaren Vorgaben bezüglich des Umstiegs sowie eine Geschäftsreise mit Vorliebe für eine bestimmte Ausstattung der Maschine. Alle Preise sind als Gesamtkosten für alle Reisenden zu verstehen. Die Ergebnisse haben den Stand 9. März 2026.

Das war die Leseprobe unseres heise-Plus-Artikels „KI vs. Mensch: Günstige Flugtickets finden“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.