Mit macOS Tahoe 26.4, erschienen in dieser Woche, hat Apple eine neue Warnfunktion integriert, die Nutzer vor der Ausführung gefährlicher Kommandozeilenbefehle abhalten soll. Wie Nutzer in sozialen Medien wie Reddit berichten, scheint dabei eine Überwachung der Zwischenablage zu erfolgen. Erkennt Apple hier möglichen Schadcode, ist ein Einfügen gar nicht erst möglich. Allerdings blieb zunächst unklar, wann genau die Warnung anschlägt.

Kommandozeile als neuer Angriffsvektor – Nutzer hilft

Zuletzt interessierten sich immer mehr User für die Kommandozeile und Apples Terminal-App auf dem Mac. Der Grund ist der Hype um KI-Assistenten und KI-Programmierwerkzeuge wie OpenClaw und Claude Code. Während OpenClaw am einfachsten per Kommandozeile installiert wird, interagiert man mit Claude Code und anderen Coding-Assistenten oft direkt über das Terminal. All das heißt, dass mehr Nutzer überhaupt mit dem Terminal in Berührung kommen, darunter auch viele Einsteiger. Um nicht viel eintippen zu müssen, kopieren sie dann Kommandozeilenbefehle aus dem Web und führen sie – nicht selten inklusive Eingabe eines Administratorpassworts – auch gleich aus.

Auf diese Weise kann Schadcode sehr einfach den ganzen Rechner übernehmen. Zuletzt war dies beim Infostealer GhostClaw respektive GhostLoad häufiger passiert, für den gefälschte GitHub-Repositories sowie auch npm-Pakete zur Verbreitung dienten. Auch hier interagieren Nutzer direkt mit der Kommandozeile, ohne möglicherweise zu wissen, was sie dort tun.

Was im Hintergrund passiert, verrät Apple nicht

Apples neue Terminal-Gefahrenwarnung ergänzt bestehende Werkzeuge, um das Ausführen von Schadcode per Klick zu verhindern. Erkennt macOS ab 26.4 problematischen Code, taucht künftig die Warnung auf, dass es sich „möglicherweise um Malware“ handelt und die Befehle landen nicht im Terminal. In dem Pop-up heißt es weiter, der Mac sei nicht beschädigt worden – und es wird erläutert, dass Betrüger zunehmend versuchten, über eingefügten Text im Terminal eine Schädigung des Rechners zu erreichen – „oder ihre Privatsphäre zu kompromittieren”. Apple erläutert weiter, dass diese Scam-Anleitungen „über Websites, Chat-Agenten, Apps, Dateien oder Telefonanrufe“ verteilt würden.

Nutzer können sich dazu entscheiden, den Inhalt doch ins Terminal einzufügen. Apple blockiert also bislang nicht strikt. Angaben dazu, welche Befehle die Warnungen genau auslösen und ob das System etwa in nachgeladenen Shell-Skripte schaut, die von Angreifern oft verwendet werden, ist unklar. Bei einem Versuch mit einer legitimen CLI-Anwendung (Command Line Interface) eines Audiodienstes, die auch ein Administratorpasswort verlangt (was problematisch sein kann), wurde das Kommando nicht gestoppt.

(bsc)

Das Bundesdigitalministerium hat einen Entwurf für das Digitale-Identitätengesetz (DIdG) veröffentlicht. Es soll die EU-Vorgabe umsetzen, wonach jeder Mitgliedstaat bis Ende 2026 mindestens eine „Europäische Brieftasche für die Digitale Identität“ (EUDI‑Wallet) bereitstellen muss.

Die EUDI-Wallet ist eine App auf dem Smartphone, die Nutzer:innen künftig als digitale Brieftasche verwenden können. Statt Personalausweis oder Führerschein in Papierform mitzuführen, sollen sie Dokumente dann digital auf dem Smartphone speichern und so die eigene Identität gegenüber Behörden oder Unternehmen nachweisen können.

Konkret regelt der Entwurf, welche Behörden für welche Aufgaben zuständig sind, wie eine Wallet bereitgestellt werden kann und wie sie im laufenden Betrieb überwacht wird. Demnach soll das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) weitgehende Durchgriffsrechte bei der Wallet erhalten. Außerdem sieht der Entwurf vor, dass die Wallet perspektivisch auch für Alterskontrollen bei Kindern erprobt werden kann. Und sie soll künftig auch zum Bezahlen eingesetzt werden – und damit perspektivisch das physische Portemonnaie ersetzen.

Fünf wichtige Akteure

Im Zentrum des Entwurfs steht das neue „Gesetz zur Durchführung der unionsrechtlichen Vorschriften über die Europäische Brieftasche für die Digitale Identität“ (EBDIG). Daneben verändert der Entwurf verschiedene bestehende Gesetze, wie das Onlinezugangsgesetz (OZG), das Vertrauensdienstegesetz sowie verschiedene Telekommunikationsverordnungen.

Das EBDIG soll regeln, welche Ministerien und Behörden für die Wallet zuständig sind. Insgesamt fünf Akteure sind hier wichtig. Demnach entscheidet das BMDS darüber, wie eine Wallet in Deutschland bereitgestellt wird. Drei Möglichkeiten sind vorgesehen: Erstens kann der Staat die Wallet selbst entwickeln und betreiben. Oder er schreibt zweitens die Entwicklung aus und beauftragt ein privates Unternehmen damit. Drittens können private Unternehmen eigene Wallets anbieten, die der Staat dann prüft und offiziell anerkennt. Das BMDS kann dabei auch mehrere dieser Wege gleichzeitig gehen und die Entscheidung laut Entwurf jederzeit ändern.

Wer die Wallet nutzt, soll laut EU-Verordnung transparent darüber bestimmen können, welche Daten an sogenannte „relying parties“ weitergegeben werden. Diese „vertrauenden Beteiligten“ können eine Bank, ein Online-Shop oder eine Behörde sein. Der Gesetzentwurf sieht vor, dass sie sich in Deutschland zuvor beim Bundesverwaltungsamt (BVA) registrieren müssen.

Die Bundesnetzagentur (BNetzA) soll hingegen die nationale Marktaufsicht übernehmen und damit ebenfalls eine zentrale Funktion innehaben. Die Behörde prüft, ob staatliche und private Wallet-Anbieter die europäischen Sicherheits- und Datenschutzvorgaben einhalten. Außerdem ist sie die einheitliche Anlaufstelle gegenüber der EU. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert Wallet-Lösungen und überwacht Sicherheitsverletzungen.

Schließlich gibt es noch die sogenannte Akkreditierungsstelle. Sie agiert gewissermaßen als Prüfstelle der Prüfstellen und stellt so sicher, dass unabhängige Stellen, die Wallet-Lösungen technisch prüfen, dafür ausreichend kompetent und vertrauenswürdig sind.

Viele Durchgriffsrechte fürs Digitalministerium

Immer wieder betont Digitalminister Karsten Wildberger (CDU), dass man bei der Digitalisierung nun endlich anpacken und ins Machen kommen müsse. Dieser Anspruch schlägt sich auch im Gesetzentwurf nieder. Denn der sieht für das BMDS zahlreiche Durchgriffsrechte vor. Wichtige Weichenstellungen würden damit durch die Exekutive und nicht durch den Bundestag oder die Parlamente der Länder erfolgen.

Demnach darf das Ministerium ohne Zustimmung des Bundesrats etwa technische Details und weitere Funktionen festlegen. Das Ministerium soll dabei auch jene Verfahren festlegen dürfen, über die sich Nutzer:innen identifizieren, wenn sie ihre Wallet freischalten.

Hier will sich das Ministerium anscheinend den Weg zu alternativen Identifikationsmethoden offenhalten – und Szenarien wie bei der elektronischen Patientenakte vermeiden. Die Nutzungszahlen der ePA bleiben bislang weit hinter den Erwartungen zurück. Deshalb können Versicherte die ePA inzwischen auch per Video-Ident-Verfahren freischalten. Sicherheitsfachleute kritisieren das Verfahren allerdings als weniger sicher.

Die wichtigsten Fragen und Antworten zur digitalen Brieftasche

 Wallet für 12-Jährige: Mögliche Grundlage für Alterskontrollen

Eine „Experimentierklausel“ im Gesetzentwurf wird hier konkreter. Sie erlaubt es dem BMDS, neue Verfahren zu erproben, mit denen Nutzer:innen nachweisen, wer sie sind – und zwar auch unter Einbeziehung „geeigneter, zuverlässiger Dritter“. Das können etwa Post- oder Bankdienstleister sein, gegenüber denen sich Bürger:innen vor Ort ausweisen können, um ihre persönliche Wallet freizuschalten. Tatsächlich verfügen etwa die Sparkassen bereits über Lösungen, die als Ersatz für den ePerso dienen könnten.

Die Experementierklausel sieht außerdem die Möglichkeit vor, dass Kinder ab 12 Jahren die Wallet nutzen können. Das deutet darauf hin, dass das Ministerium die digitale Brieftasche auch für Alterskontrollen auf Social-Media-Plattformen erproben möchte.

Solche Alterskontrollen im Netz fordern CDU und Teile der SPD, um ein Social-Media-Verbot für Minderjährige durchzusetzen. Allerdings besteht eine Ausweispflicht in Deutschland erst ab einem Alter von 16 Jahren. Anscheinend erwägt das BMDS, die Wallet hier als technische Lösung zu verwenden. Der Gesetzentwurf nennt dabei ein Mindestalter von 12 Jahren. Bei den derzeit diskutierten Alterskontrollen liegt die vorgeschlagene Schwelle oftmals bei 14 beziehungsweise 16 Jahren.

Kartenzahlung soll die Wallet auch noch können

Die Wallet soll perspektivisch nicht nur Ausweise und Führerschein bereithalten, sondern auch als Zahlungsmittel dienen. In der Begründung des Entwurfs verweist das BMDS darauf, dass die Integration von Zahlungsfunktionen ein Ziel des Koalitionsvertrages von CDU/CSU und SPD ist.

Der Entwurf sieht vor, dass bestehende Zahlungsmittel der Nutzer:innen „als zusätzliche Funktion“ in die Wallet eingebunden werden können. Als Beispiele nennt der Entwurf „Kreditkarten, virtuelle Debitkarten sowie Online-Bezahldienste“.

Gleichzeitig macht der Entwurf hier enge Vorgaben. So muss ein Zahlungsmittel den Nutzer:innen bereits gehören und außerhalb der Wallet existieren. Es darf also kein neues Zahlungsmittel aus der Wallet heraus erstellt werden. Auch ist die Zahlungsfunktion unzulässig, wenn sie die Kernfunktionen der Wallet beeinträchtigt, deren Sicherheit gefährdet oder „unangemessene Risiken“ für Nutzer:innen schafft.

Außerdem braucht das BMDS für alle Verordnungen, die Zahlungen betreffen, die Zustimmung des Finanzministeriums. Will ein Anbieter eine Zahlungsfunktion in seine Wallet einbinden, muss er dies zudem mindestens drei Monate vorher beim BSI anzeigen.

Ministerium drückt aufs Tempo

Das Digitalministerium hat bis zum Jahresende nicht mehr viel Zeit und drückt daher aufs Tempo.

Aktuell stimmen sich die verschiedenen Bundesministerien über den Entwurf ab. Parallel dazu findet eine Länder- und Verbändeanhörung statt, die trotz der Osterfeiertage bereits bis zum 15. April abgeschlossen sein soll. Eine weitere Stellungnahmenfrist ist laut Ministerium nicht geplant.

Die kurzen Fristen erklärt das Ministerium in einer E-Mail an die Verbände mit „der Dringlichkeit des Vorhabens und des Laufs der unionsrechtlichen Frist zur Bereitstellung einer EUDI-Wallet bis 24. Dezember 2026“. Voraussichtlich im Sommer wird sich dann das Bundeskabinett mit dem Gesetz befassen.

Der Internetkonzern Google setzt sich einen sportlichen Zeitrahmen für die Umstellung auf Post-Quanten-Verschlüsselung (PQC). Offenbar erwarten die Forscher in Mountain View nun bereits im Jahr 2029 nennenswerte Fortschritte auf dem Weg zu einem kryptografisch relevanten Quantencomputer (Cryptographically Relevant Quantum Computer, CRQC) und drücken bei der Umstellung ihrer Produkte und Dienste aufs Gaspedal. Besonders im Fokus: digitale Signaturen.

Google sieht sich selbst als Pionier des Quantencomputings, aber auch der Post-Quanten-Verschlüsselung. Tatsächlich meldete die Google-Forschungsabteilung Quantum AI erst vor wenigen Tagen einen Paradigmenwechsel: Statt nur an supraleitenden Qubits will sie auch an Quantenrechnern mittels neutraler Atome forschen. In selbst auferlegten Vorbildfunktion strafft Google den Zeitplan – „im Licht des Fortschritts bei Hardware, Fehlerkorrektur und Ressourcenschätzung der Faktorzerlegung bei Quantencomputern“, wie es in einem Artikel heißt.

Bereits im Jahr 2029 soll die Verschlüsselung bei Google quantensicher sein und liegt damit noch vor der jüngsten Empfehlung des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI). Es hat das Jahresende 2031 als Empfehlung ausgegeben. Um das eigene ambitionierte Ziel zu erreichen, arbeitet Google an der Quantensicherheit mehrerer Produkte: Android 17 bekommt Postquanten-Signaturverfahren. Die Google Cloud und der hauseigene Browser Chrome verfügen ebenfalls bereits über PQC-Unterstützung.

Nervöse Sicherheitsforscher

Die Ankündigung lässt die Community aufhorchen. Während ein gut informierter Beobachter der internationalen Krypto-Szene im Hintergrundgespräch mit heise security eine gewisse Nervosität festzustellen glaubte, geht PKI-Koryphäe Filippo Valsorda einen Schritt weiter. Er habe seine Position aus dem vergangenen Jahr revidiert und sei nun der Ansicht, Postquanten-Schlüsselaustausch gehöre „gestern“ implementiert und quantensichere Signaturen seien unverzüglich wichtig. Nicht quantensichere Kryptosysteme zu entwerfen oder gar auszurollen, sei mittlerweile überflüssig, so Valsorda in einem Mastodon-Post.

(cku)