Nein, ich habe nicht vor, jemals einen Marathon zu laufen. Trotzdem ist Bewegung fester Bestandteil meines Alltags. Ich bin froh, dass mir das leichtfällt. Vielen geht es anders: Wer sich zum Training erst mühsam aufraffen muss, hat es deutlich schwerer. Dabei bedeutet Sport ja nicht gleich, im Fitnessstudio Muskelberge zu formen. Wer tagsüber lange vor dem Rechner sitzt, kann damit den Büroalltag ausgleichen – körperlich wie mental.

Im deutschen Alltag entwickelt sich der Trend allerdings in die wortwörtlich ungesunde Richtung: Der DKV-Report 2025 ermittelte, dass sich die durchschnittliche Sitzdauer an einem Werktag in den vergangenen zwei Jahren um 15 Minuten erhöht hat, auf mittlerweile 613 Minuten. Also über zehn Stunden, knapp zwei Stunden mehr als noch vor zehn Jahren. „Aufgrund ihres Sitz- und Bewegungsverhaltens weisen 37 Prozent der Befragten ein erhöhtes Sterberisiko auf“, resümiert der Bericht.

Länger (gesund) leben

Muss man schon Stunden vor dem Bildschirm sitzen, kann man mit Bewegung für den Ausgleich sorgen. In der Studie erfüllen rund 68 Prozent der Befragten den Benchmark „Körperliche Aktivität“ (ausdauerorientierte Bewegung). Die Empfehlung der Weltgesundheitsorganisation für „Muskelaktivität“ (mindestens zweimal pro Woche) erreichten allerdings nur 34 Prozent der Befragten. „Zusammen mit regelmäßiger Bewegung ist das Trainieren unserer Muskeln für ein gesundes Altern lebenslang notwendig“, betont Professor Dr. Ingo Froböse von der Deutschen Sporthochschule Köln. „Wir dürfen es nicht länger als freiwillige Ergänzung zum Ausdauertraining betrachten, sondern als präventive Pflichtaufgabe.“ Immerhin: In Teilen der Bevölkerung scheint sich diese Erkenntnis schon durchzusetzen. Die Mitgliederzahl in Fitnessstudios liegt mit knapp zwölf Millionen auf dem bisherigen Höchstwert. Auch Sportvereine erfreuten sich in den letzten Jahren – abgesehen vom Pandemiejahr 2021 – über regen Zulauf. Sie zählten Anfang 2024 knapp 28,7 Millionen Mitglieder.

Das war die Leseprobe unseres heise-Plus-Artikels „Was Sie für Ihre Gesundheit tun sollten – und wie Apple helfen will“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Die Entwickler von EMBA haben Version 2.0 ihres Firmware-Analysetools veröffentlicht. Das Release markiert nach Angaben des Projekts einen Meilenstein auf dem Weg zur automatischen Erkennung und Verifikation von Schwachstellen in Firmware-Images. EMBA ist ein Bash-basiertes Open-Source-Werkzeug zur automatisierten Firmware-Analyse. Es extrahiert Firmware-Images, führt statische und dynamische Analysen durch, generiert Software Bills of Materials (SBOMs) und erstellt Web-Reports. Die neue Version hebt sich durch eine überarbeitete System-Emulations-Engine hervor, die Geräte in einer emulierten Umgebung automatisch startet und so erkannte Schwachstellen verifiziert.

Benchmarks mit Router-Firmware

Die Entwickler haben EMBA 2.0 mit mehreren Firmware-Testsets verglichen. Beim FirmAE-Corpus, einem vor 2020 zusammengestellten Datensatz mit 1074 Firmware-Images, erreichte EMBA eine Erfolgsrate von 95 Prozent und identifizierte dabei über 6000 Netzwerkdienste. FirmAE selbst war ursprünglich auf eine Erfolgsrate von 79 Prozent optimiert worden, während Firmadyne bloß 16 Prozent schaffte. Als Erfolg gilt hierbei, dass mindestens ein Netzwerkdienst in der emulierten Umgebung erreichbar ist.

Bei einem am Fraunhofer FKIE Home Router Security Report orientierten Testset aus dem Jahr 2020 mit 126 Firmware-Images erreichte EMBA eine Erfolgsrate von 87 Prozent (über 600 Netzwerkdienste), FirmAE kam auf 30 Prozent, Firmadyne auf 5 Prozent. Ein neueres Testset von 2022 mit 121 Images bestätigte den Trend: EMBA emulierte 76 Prozent erfolgreich (rund 400 Netzwerkdienste), FirmAE nur 16 Prozent, Firmadyne lediglich 2 Prozent. Die Benchmarks zeigen, dass die Erfolgsrate bei aktuellerer Firmware sinkt, EMBA aber den Vorsprung zu den älteren Projekten hält.

KI-Integration und SBOM-Unterstützung

Version 2.0 bietet neben der verbesserten Emulation weitere neue Features: Die Integration von Dependency-Track ermöglicht den automatischen Transfer von SBOMs in Vulnerability- und SBOM-Management-Tools. EMBA unterstützt nun VEX (Vulnerability Exploitability eXchange) und erweiterte SBOM-Quellen. Das Tool nutzt CycloneDX-JSON als SBOM-Format und kann die Daten direkt an Dependency-Track übergeben.

Eine KI-unterstützte Firmware-Analyse ergänzt die klassischen Scan-Module. Neue Analysekomponenten wie Capa mit ATT&CK-Support, Semgrep und Zarn für Perl-Analysen erweitern die Erkennungsfähigkeiten. Das Modul S09 zur Binary-Versionserkennung wurde im Threading verbessert, was die Performance steigert. Die Emulation basiert auf QEMU mit einem angepassten Kernel-Build der Version 4.14.336 LTS, der bessere Kompatibilität mit älterer und aktueller Router-Firmware bieten soll.

Alle Details zum Update auf Version 2.0.0 finden sich auf der EMBA-Projektseite auf GitHub.

Offene Fragen zur Reproduzierbarkeit

Während die Benchmark-Ergebnisse beeindruckend ausfallen, bleiben einige Fragen offen. Die genauen Firmware-Korpora sind nicht vollständig dokumentiert, die Testsets orientieren sich an Home-Router-Firmware von Herstellern wie AVM, Netgear und Asus. Die Rohdaten der Firmware-Images liegen nicht direkt im Repository, sondern sind über externe Quellen wie Zenodo verfügbar. Eine unabhängige Verifikation der Benchmarks durch Dritte steht aus, obwohl das Projekt sich auf akademische Arbeiten wie jene zu FirmAE bezieht.

Die Emulation nutzt QEMU und angepasste Kernel-Patches für Bootloader-Kompatibilität. Diese Patches sind teilweise projektspezifisch, eine Einbringung in Upstream-Projekte wie Linux oder QEMU ist laut Issue-Tracker geplant. Bei proprietären Bootloadern und signierten Firmware-Images stößt EMBA an Grenzen, hier greift das Tool auf User-Mode-Emulation oder statische Analyse zurück.

Bei der Ausführung potenziell schadhafter Firmware in Docker- oder VM-Umgebungen empfehlen die Entwickler zusätzliche Sicherheitsmaßnahmen wie Nested VMs, AppArmor oder SELinux. Netzwerk-Leaks und Kernel-Exploits können Risiken darstellen, weshalb produktive Umgebungen gemieden werden sollten. Rechtliche Aspekte wie die Lizenz-Compliance bei extrahierten proprietären Binaries oder DSGVO-Fragen bei gespeicherten Credentials liegen in der Verantwortung der Nutzer.

Enterprise-Einsatz und Responsible Disclosure

Für Enterprise-Anwender sieht EMBA eine Skalierung über Docker-Swarms und Kubernetes vor. Die Web-UI EMBArk ermöglicht Cluster-Deployments, Performance-Tests zeigen über 100 analysierte Images pro Tag auf 64-Core-Systemen. Die Integration in CI/CD-Pipelines ist über Docker-Images als GitHub Actions oder Jenkins-Steps möglich.

Mechanismen für eine Responsible Disclosure bei automatisch identifizierten Zero-Days sind nicht eingebaut. Die Entwickler verweisen auf manuelle CVD-Prozesse über First.org und den Issue-Tracker. Die Aktualität der Vulnerability-Feeds wird über das Update-Skript sichergestellt, das täglich CVE-Datenbanken wie cve-bin-tool und cve-search aktualisiert.

EMBA positioniert sich als freie Alternative zu kommerziellen Firmware-Scannern. Die höhere Emulationsdeckung gegenüber proprietärer Software spricht für das Werkzeug, allerdings erfordert es eine manuelle Verifikation der Ergebnisse.

(fo)

Schleswig-Holsteins Ministerpräsident Daniel Günther drängt auf ein rasches Social-Media-Verbot für Heranwachsende unter 16 Jahren in Europa. Australiens Umsetzung eines Mindestalters für Social-Media-Angebote sieht er als klares Vorbild. Dort dürfen seit dem 10. Dezember dieses Jahres nur noch Menschen ab 16 Jahren Plattformen wie Tiktok, Instgram, Snapchat, Youtube, Facebook oder Reddit nutzen.

Gegenüber der dpa erklärte Günther: „Kinder sind alleine in diesem digitalen Raum und werden dort mit Inhalten konfrontiert und belastet, die sie in diesem Lebensalter überfordern, sie nicht verkraften und die zu erheblichen psychischen Problemen führen. Deswegen wünsche ich mir, dass wir möglichst schnell und möglichst in ganz Europa dem australischen Beispiel folgen.“ Günther machte deutlich, dass dies nicht gegen Medienbildung oder auch eine Nutzung von neuen Medien und Social Media spreche, diese müsse aber professionell begleitet werden.

Europäische Lösung gewünscht

Während sich Günther zwar eine Einigung und Umsetzung auf europäischer Ebene wünscht, unterstreicht er zugleich, dass Verantwortliche – auch in Deutschland – schnell handeln sollten. „Warten dürfen wir auf keinen Fall. Es ist unsere Pflicht, Verantwortung zu übernehmen, klare gesetzliche Grenzen zu ziehen und Kinder und Jugendliche bestmöglich zu schützen.“ Ein starker Staat müsse diesen Weg in aller Konsequenz beschreiten. Eine ablehnende Position mit der schwierigen technischen Kontrolle zu begründen, halte er für eine Ausrede.

Als einen wichtigen Schritt in die richtige Richtung sieht Günther die von Bundesbildungsministerin Prien in diesem Sommer eingesetzte Expertenkommission an, die prüft, welche Gefährdungen es online gibt und wie ein entsprechender Kinder- und Jugendschutz aussehen sollte. Mit Prien hat Günther eine Mitstreiterin auf Bundesebene, die aus dem gleichen Landesverband stammt. Prien war vor ihrem Wechsel in die Bundespolitik Bildungsministerin von Schleswig-Holstein. Die von ihr eingesetzte Kommission kommt allerdings nicht Günthers Wunsch nach raschen Entscheidungen entgegen, da diese erst im Sommer 2026 Ergebnisse ihrer Arbeit vorlegen will. Neue Rückendeckung lieferte in dieser Woche aber noch die Vodafone Stiftung, die Handlungsempfehlungen für Politik, Bildungsakteure und Plattform-Betreiber im Nachgang zu ihrer diesjährigen Jugendstudie herausgegeben hat. Sie kommt zu dem Ergebnis: Sowohl ein Social-Media-Mindestalter als auch ein Smartphone-Verbot in Schulen bis zum Ende der Sekundarstufe I sollten in Deutschland umgesetzt werden.

Einigkeit über ein Mindestalter für Social-Media-Angebote gibt es indessen innerhalb der CDU/CSU nicht. Zwar hat etwa Thüringen einen Antrag in den Bundesrat eingebracht, ein solches Verbot durchzusetzen, unter anderem Bayerns Ministerpräsident Markus Söder hat sich aber wiederholt gegen eine feste Altersgrenze ausgesprochen.

Australien hatte die Entscheidung für ein Mindestalter von 16 Jahren für Social Media im vergangenen Jahr getroffen. Anbieter wie Reddit versuchen weiterhin gegen die neuen Vorgaben vorzugehen. Die Nord-CDU will neben einer verbindlichen Altersverifikation für Social Media auch eine Klarnamenpflicht für Online-Plattformen, um etwa Hass und Hetze stärker einzudämmen.

(kbe)