Um die Liefergenehmigungen für Nvidias zweitstärksten KI-Chip nach China gibt es seit geraumer Zeit politisches Tauziehen zwischen Washington und Peking. Die Trump-Regierung hat zuletzt grünes Licht signalisiert, und der US-Chipkonzern könnte binnen zweier Monate liefern. Die Entscheidung liegt nun in Peking. Das Bundesjustizministerium hat seinen lange erwarteten Referentenentwurf zur „Einführung einer IP-Adressspeicherung“ veröffentlicht. Geplante neue Instrumente könnten umfassende Online-Beschattung durch die Hintertür ermöglichen. Und Europa droht beim Wettlauf um Quantencomputer den Anschluss zu verlieren – die wichtigsten Meldungen im kurzen Überblick. Übrigens: Dieser Newsletter pausiert über Weihnachten und Neujahr. Ab 7. Januar geht es in alter Frische weiter.

Bereits unter Präsident Joe Biden hat die US-Regierung weitreichende Exportbeschränkungen für besonders schnelle KI-Chips von US-Chipherstellern nach China erlassen. Im Sommer erteilte die Trump-Administration erste Genehmigungen für den Export von Nvidias H20-Beschleunigern nach China – im Gegenzug gibt es eine Gewinnbeteiligung für die US-Regierung. Anfang Dezember kündigte US-Präsident Donald Trump die ersten Lieferungen des sechsmal so schnellen H200-Chips nach China an. Nvidia könnte innerhalb von zwei Monaten mit den Lieferungen beginnen. Der Ball liegt jetzt bei Peking. H200-Chips: Nvidia will Mitte Februar mit Lieferungen nach China beginnen

Einen Instrumentenkasten für die Strafverfolgung – das verspricht das Bundesministerium für Justiz und Verbraucherschutz (BMJV) mit seinem am Montag veröffentlichten Referentenentwurf zur „Einführung einer IP-Adressspeicherung“ vulgo Vorratsdatenspeicherung. Bei genauerer Betrachtung offenbart das Papier eine Gratwanderung. Das Ressort von Justizministerin Stefanie Hubig (SPD) versucht, flächendeckende Speicherpflicht durch einen juristischen Kniff an der Entscheidung des Europäischen Gerichtshofs (EuGH) vorbei zu definieren. Dieser hat allgemeine und anlasslose Speicherung von Verkehrsdaten wiederholt untersagt. Andere Punkte des Entwurfs könnten eine umfassende Online-Beschattung ermöglichen. Aus für digitale Anonymität? Hubig wagt riskanten Vorstoß zur IP-Speicherung

Quantentechnik verspricht eine Revolution von der Medizin bis zur Kryptografie. Die Patentzahlen steigen, doch Europa hinkt bei der Kommerzialisierung hinterher. Das Europäische Patentamt (EPA) und die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) haben in Paris eine umfassende Bestandsaufnahme vorgelegt. Diese offenbart Licht und Schatten für den europäischen Innovationsstandort. Wettlauf um Quantencomputer: Europa droht den Anschluss zu verlieren

Seit beinahe zehn Jahren steht der deutsche Autobauer Daimler wegen angeblich frisierter Messwerte zum Ausstoß des Schadstoffs Stickoxid im Visier der US-Justiz. Gezielte Manipulationen der Abgastechnik mit einer Schummelsoftware, wie sie jahrelang bei Volkswagen (VW) zum Einsatz kam, hat der Konzern jedoch stets zurückgewiesen. Anders als VW gab Mercedes-Benz im Rahmen der bisherigen Vergleiche kein Schuldeingeständnis ab. Nun will Daimler den Streit um zu hohe Abgaswerte bei Dieselautos endgültig beilegen. Mercedes-Benz strebt Millionen-Vergleich im Diesel-Streit in den USA an

Nach der Rolle rückwärts vom kompletten Verbrenner-Aus in der Europäischen Union (EU) haben bereits Wirtschaftswissenschaftler und Experten vor kurzfristigen Signalen an die Autohersteller gewarnt und von einer Symboldebatte gesprochen. Jetzt sieht Bundesfinanzminister Lars Klingbeil (SPD) den Brüsseler Vorschlag zwar als tragfähigen Kompromiss, er warnt aber die deutsche Autoindustrie vor einem Festhalten am Verbrennungsmotor. Er verweist auf internationale Konkurrenz, vor allem aus China. Klingbeil mahnt Autoindustrie, ihre elektrische Zukunft nicht zu vergessen

Auch noch wichtig:

• Eine auf Github veröffentlichte Sicherheitsanalyse zeigt schwerwiegende Mängel bei Karvi Solutions. Davon sind zehntausende Restaurant-Kunden betroffen. Lieferdienst-Service: „Es gibt ein Datenleck bei Karvi Solutions“ [Link auf Beitrag 5000286 (MS-ID 52672)]

(akn)

An sich ist Apples Gedanke nachvollziehbar, zwei Funktionen für einen schnellen App-Start zusammenzuführen.

So hat man alles an einem Ort und muss nur noch eine Suchmaske bedienen.

Ob Intensivnutzern des Launchpads die neue Apps-Ansicht oder weitere hier vorgestellte Bordmittel ausreichen, hängt jedoch stark davon ab, ob sie eher visuell arbeiten oder lieber per Tastatur. Wer sich nicht umgewöhnen möchte, kann zu einem der vielen Launchpad-Klone greifen. Diese besprechen wir in einem eigenen heise+-Artikel.

Das war die Leseprobe unseres heise-Plus-Artikels „Startklar ohne Launchpad: So geht’s ohne Apples Programmstarter in macOS 26“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Hunderte Restaurant-Websites der Firma Karvi Solutions weisen weiterhin zahlreiche Sicherheitslücken auf. Dadurch werden Daten von zehntausenden Kunden öffentlich zugänglich – von Anfang 2024 bis heute. Betroffen sind vollständige Namen, Adressen, E-Mail-Adressen, Handynummern und Bestelldetails, wie „!!!!!! Ohne Jalapenos !!!!!!!!!“. Trotz mehrfacher Hinweise scheint das Unternehmen die Lücken nicht angemessen zu beheben.

Die Analyse des Quellcodes „Karvi-geddon: How a Restaurant Ordering Platform Became a Security Catastrophe“ zeigt grobe Mängel in der Sicherheitsarchitektur. Am 15. Dezember 2025 ist wohl eine SMS an Betroffene verschickt worden zu sein, mit dem Hinweis auf ein Git-Repository, das eine Analyse der Schwachstellen enthält: „Es gibt ein Datenleck bei Karvi Solutions. Erneut. Mehr Details auf GitHub“. Noch immer lassen sich SMS über eine ungesicherte API an Kunden verschicken. Auch aktive API-Schlüssel für die von Karvi eingesetzten Cloud-Plattformen Twilio und AWS sind weiterhin zugänglich.

Experten bezeichnen die Sicherheitsarchitektur als fahrlässig abgesichert. Das System speicherte laut Codeanalyse zudem möglicherweise vollständige Kreditkartennummern, Ablaufdaten und die dreistelligen Prüfnummern (CVV), wobei letzteres gegen die Sicherheitsstandards der Kreditkartenindustrie (PCI DSS) verstößt.

SQL-Injection und offene Tore für Angreifer

Die Software enthält Schwachstellen, die SQL-Injection erlauben. Nutzereingaben werden so ungefiltert in Datenbankabfragen eingefügt. So können Angreifer die Datenbank vollständig auslesen oder manipulieren. Ferner ermöglicht eine fehlerhafte Funktion zur Sprachdateiverwaltung eine vollständige Übernahme des Servers: Angreifer laden ohne Anmeldung beliebigen PHP-Code hoch und führen ihn aus.

Untersuchungen zeigen, dass eine Website Bestellbestätigungen als ungeschützte Textdateien auf dem Server speichert. Die Dateinamen sind leicht zu erraten. Dadurch lassen sich Bestelldetails wie Name, Adresse, Telefonnummer und Zahlungsinformationen einfach abrufen. Zwischenzeitlich war auch der komplette Quellcode als zip-Archiv öffentlich erreichbar.

Datenschutzbehörde bereitet rechtliche Schritte vor

Wegen der anhaltenden Sicherheitsmängel bereitet der Hamburgische Datenschutzbeauftragte, Thomas Fuchs, rechtliche Schritte vor. Eine Sprecherin erklärte: „Wir befinden uns mit Karvi Solutions in einem bereits länger laufenden Prozess, in dem es darum geht, Sicherheitslücken zu schließen, und der auch zu gewissen Verbesserungen geführt hat. Trotzdem stellen wir weiterhin Schwachstellen fest, die einen Zugriff auf personenbezogene Daten von Kund:innen ermöglichen. Wir bereiten daher jetzt rechtliche Schritte gegen das Unternehmen vor, um die erforderlichen Maßnahmen durchzusetzen.“

Sicherheitslücken seit fast einem Jahr

Bereits Anfang 2025 machte der Chaos Computer Club auf gravierende Sicherheitslücken aufmerksam. Sie betrafen über 500 Restaurants, die Software von Karvi Solutions einsetzten. Schon zu diesem Zeitpunkt reichten die Probleme von ungeschützten Backends über SQL-Injection bis zu frei zugänglichen Backups mit Quellcode und Kundendaten. Geschäftsführer Vitali Pelz erklärte damals, alle Lücken seien geschlossen.

Karvi Solutions weist Vorwürfe zurück

Karvi Solutions weist die Vorwürfe zurück. Das Unternehmen spricht, wie schon im Sommer, von einer gezielten Kampagne zur Rufschädigung. Nach eigener Darstellung wurden die Daten über Schwachstellen bei Drittanbietern oder über Restaurant-APIs abgegriffen. Die Kernsysteme seien laut Karvi Solutions nie kompromittiert worden.

Auch die Speicherung von Kreditkartendaten bestreitet die Firma. Zahlungen würden ausschließlich über Pop-ups von Zahlungsdienstleistern erfolgen. Die gefundene SQL-Injection-Lücke sei ein Einzelfall auf einer alten Kundenwebsite. Die GitHub-Analyse bezeichnet das Unternehmen als „übertrieben“ und „manipuliert“. Man habe sämtliche Websites überprüft. Nach eigenen Angaben bestehen seit Mitte des Jahres keine Sicherheitslücken mehr. Diese Darstellung widerspricht jedoch sowohl unseren technischen Analysen als auch den Aussagen der Datenschutzbehörde.

(mack)