IT-Sicherheit, das ist zum einen Strategie, Konzeption, Umsetzung im Unternehmen. Zum anderen aber auch Handwerk – nämlich das konkrete Suchen nach Lücken im System oder nach Spuren von Angriffen in Logfiles, das Härten von Systemkonfigurationen oder Aufspüren gespeicherter Credentials. Dafür braucht es Werkzeuge, und um die geht es in unserem iX Special 2025.

Die Autoren dieses Heftes sind Experten für Incident Response, Pentesting oder Security-Audits. Als regelmäßige iX-Autorinnen und -Autoren, als Speaker zum Beispiel bei den Konferenzen secIT oder heise DevSec, aber auch als Referenten bei den iX-Workshops geben sie ihr Wissen weiter. Wir haben sie gebeten, die Tools vorzustellen, die für ihre tägliche Arbeit wichtig sind, die sich aber auch für Admins und IT-Sicherheitsverantwortliche im Unternehmen eignen. Vorgestellt werden ausschließlich kostenlose Werkzeuge, die meisten sind zudem Open Source.

Angriffsflächen in Cloud-Umgebungen finden

Das Heft gliedert sich in vier Teile. Im ersten Teil geht es um Tools, die Angriffsflächen identifizieren und beim Finden von Schwachstellen helfen. Hier wird zum Beispiel der Schwachstellenscanner Nuclei vorgestellt, oder das noch recht neue Framework Maester, das sich auf Audits von Microsoft-365-Umgebungen spezialisiert hat. In Cloud-Umgebungen wie Azure, AWS oder GCP helfen Prüftools wie ScoutSuite oder Prowler.

Das Härten und Schützen von Einzelsystemen, Netzwerk und Active Directory steht im Fokus des zweiten Teils. Für Windows stellt Microsoft mit dem Policy Analyzer aus dem Security Compliance Toolkit ein nützliches Tool bereit; Software aus der Open-Source-Community wie HardeningKitty und PrivescCheck sind sinnvolle Ergänzungen.

Freie Werkzeuge spüren Schadsoftware auf

Nur wer rechtzeitig erkennt, ob und wie er angegriffen wird, hat im Ernstfall noch Handlungsoptionen. Freie Werkzeuge unterstützen bei der Log-Analyse und bei der Erkennung von Schadsoftware. Die umfangreiche Security-Plattform Wazuh verhilft Unternehmen ohne Lizenzkosten zu einem modernen SIEM- und XDR-System. Deception-Werkzeuge helfen nicht nur, Angriffe zu erkennen, sondern können Kriminelle auch so lange beschäftigen, bis Gegenmaßnahmen greifen. Auch bei der forensischen Analyse hilft Open-Source-Software, etwa die Tools-Sammlung Sleuth Kit, die mit Autopsy eine komfortable Oberfläche erhält, oder das Forensik-Multitool Velociraptor.

Abonnenten haben das iX Special bereits mit ihrem Abo erhalten. Alle anderen finden das Heft im Heise Shop und am Zeitungskiosk, zum Preis von 19,90 Euro für das gedruckte Heft, die digitale Version kostet 17,49 Euro. Wer die Print-Version bis einschließlich 15. November 2025 bestellt, bekommt das Heft portofrei zugeschickt. Das Bundle Heft + PDF erhält man für den reduzierten Preis von 26,50 Euro statt 37,39 Euro.

(ulw)

Schon seit Jahren ist es möglich, via Web Informationen zu Inhalten aus Apples verschiedenen App-Store-Varianten abzurufen. Doch dazu war stets die passende URL notwendig. Nun hat der Konzern seinen Softwareladen für iPhone, iPad, Mac, Vision (Pro), Apple Watch und Apple TV erstmals vollständig in den Browser verfrachtet – inklusive Suchfunktion, redaktionellen Inhalten und mehr. Beim Aufbau kam es allerdings zu einem Leak: Der Front-End-Quellcode entfleuchte und landete zwischenzeitlich auf GitHub. Mittlerweile hat ihn Apple via DMCA-Takedown-Request (anwaltliche Urheberrechtsmeldung) entfernen lassen.

Fast der ganze App Store im Browser

Mit Apples neuem Web-Interface lässt sich nun fast alles im App Store tun, was man aus der jeweiligen App auf iPhone, iPad, Mac & Co. kennt – mit Ausnahme der tatsächlichen Einkäufe samt Login und Account-Übersicht. Es ist also ein permanenter Gastmodus. Ob Apple daran etwas ändert, bleibt unklar – denkbar wäre beispielsweise, im Web eine App „vorzukaufen“, um sie dann auf dem eigentlichen Gerät herunterzuladen. So gibt es etwa seit Langem eine Web-Version von Apple Music, die zumindest ein Streaming der eigenen Bibliothek sowie weiterer Titel nach dem Einloggen ermöglicht.

Für die Vision Pro hatte Apple bereits die Möglichkeit geschaffen, über eine eigene iPhone-App Anwendungen auch aus der Ferne auf das Headset zu holen. Interessant im Bezug auf das Spatial-Computing-Gerät: Apple bezeichnet es im App Store als „Vision“ ohne „Pro“. Gerüchten zufolge soll Apple zumindest zwischenzeitlich an einer einfacheren Variante seines Headsets gearbeitet haben, zu der die Bezeichnung passen würde.

Sourcemaps-Funktion aktiv

Der auf GitHub entfleuchte Code, den der User rxliuli aufgefunden und dann publiziert hatte, war deshalb sichtbar, weil Apple die Sourcemaps-Funktion versehentlich aktiv gelassen hatte. Der Nutzer konnte dadurch dann mittels Chrome-Erweiterung alle auf Apples Servern zugänglichen Quellen extrahieren und herunterladen. Daraus wurde dann ein GitHub-Repository „zu Bildungszwecken“, wie die Person laut einem Bericht von 9to5Mac dort mitteilte, bevor GitHub die Sammlung herunternahm, vermutlich durch Apple selbst angestoßen.

Zu den verfügbaren Komponenten zählten der API-Integrationscode, Teile der UI, die State-Management-Logik sowie der vollständige Quellcode in Svelte beziehungsweise TypeScript. Auch die Routing-Konfiguration war sichtbar. Es ist verwunderlich, dass Apple vergaß, die Sourcemaps-Funktion zu deaktivieren – das ist üblicherweise einer der letzten Schritte vor dem Live-Gang eines neuen Dienstes. Ob sich aus dem Leak Sicherheitsprobleme für den App Store ergeben könnten, bleibt offen.

(bsc)

Der deutsche Automobil- und Industriezulieferer Schaeffler wird künftig verstärkt Roboterteile an das deutsche Robotikunternehmen Neura Robotics liefern. Das teilte Schaeffler am Dienstag mit. Dazu haben die beiden Unternehmen eine Partnerschaft geschlossen, die zusätzlich vorsieht, dass Schaeffler bis 2035 eine „mittlere vierstellige Zahl“ an humanoiden Robotern in die eigene Produktion integriert.

Gemeinsam wollen Schaeffler und Neura Robotics Schlüsselkomponenten für humanoide Roboter entwickeln und herstellen. Dazu gehören etwa Roboteraktuatoren, die die Gelenke der Roboter bewegen. Schaeffler verfügt bereits über einige Expertisen im Bereich der Planetenradaktoren, die präzise Drehbewegungen bei einem zugleich hohen Drehmoment ermöglichen. Zudem sind diese Aktuatoren leicht und robust und damit für einen Dauerbetrieb ausgelegt.

Schaeffler hat bereits Roboteraktuatoren verschiedener Leistungsklassen im Programm, die bis zu 250 Nm Drehmoment liefern können. Der aktuelle humanoide Roboter 4NE1 von Neura Robotics ist mit solchen Aktuatoren ausgerüstet, sodass er in der Lage ist, auch hohe Gewichte zu stemmen. In Zukunft will Neura Robotics seinen Bedarf an leichten und leistungsstarken Aktuatoren durch Schaeffler decken.

Neura-Roboter arbeiten bei Schaeffler

Die getroffene Vereinbarung sieht außerdem vor, dass Schaeffler eine größere Anzahl humanoider Roboter von Neura Robotics in der eigenen Produktion einsetzt. Über die genaue Anzahl haben beiden Unternehmen nichts verlautbart. In der Mitteilung von Schaeffler wird etwas kryptisch von einer mittleren vierstelligen Anzahl gesprochen. Auch zu den Kosten halten sich beide Firmen bedeckt. Aus Industriekreisen heißt es, dass der Auftragswert bei Neura Robotics 300 Millionen Euro betragen soll. Belegen lässt sich das jedoch zunächst nicht.

Während des Einsatzes der Roboter in realen Produktionsumgebungen werden Anwendungsdaten gesammelt, die dann wiederum für das KI-Training der humanoiden Roboter genutzt werden sollen. Das Ziel: Durch das kontinuierliche Lernen spezifischer Fertigkeiten sollen sich die Roboter weiterentwickeln.

(olb)