Die Linux Foundation hat gemeinsam mit zahlreichen Tech-Unternehmen und Finanzinstituten die Initiative Akrites gestartet. Ziel ist es, den Umgang mit Sicherheitslücken in wichtiger Open-Source-Software zentral zu koordinieren, sie vertraulich mit den jeweiligen Projektverantwortlichen zu beheben und erst anschließend offenzulegen. Hintergrund ist die wachsende Sorge, dass moderne KI-Modelle Schwachstellen deutlich schneller finden als bisher und damit den Zeitdruck für Verteidiger erheblich erhöhen.

Zu den Gründungsmitgliedern gehören unter anderem Amazon Web Services, Anthropic, Cisco, Google, IBM, Microsoft, GitHub, Nvidia, OpenAI, Red Hat sowie JPMorganChase, Citi und Vodafone. Die beteiligten Unternehmen wollen Personal, Sicherheitswissen und finanzielle Mittel bereitstellen.

Reaktion auf KI-gestützte Schwachstellenanalyse

Nach Angaben in der Ankündigung der Linux Foundation verändert generative KI die Sicherheitslandschaft grundlegend. Während die Suche nach schwerwiegenden Sicherheitslücken bislang viel Fachwissen und oft Wochen an Analyse erforderte, könnten leistungsfähige KI-Modelle große Open-Source-Projekte inzwischen innerhalb weniger Minuten auf potenzielle Schwachstellen untersuchen. Dadurch verkürze sich die Zeit zwischen dem Auffinden einer Lücke und ihrer möglichen Ausnutzung erheblich.

Akrites soll diese Entwicklung mit einem gemeinsamen Sicherheitsprozess beantworten. Statt dass mehrere Unternehmen dieselbe Schwachstelle unabhängig voneinander melden oder unterschiedliche Patches entwickeln, bündelt die Initiative die Koordination. Kern des Projekts sind ein gemeinsames Security Incident Response Team (SIRT) sowie ein einheitlicher Prozess zur koordinierten Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure, CVD). Die beteiligten Organisationen wollen bestätigte Schwachstellen gemeinsam mit den Upstream-Maintainern beheben, bevor Details veröffentlicht werden.

Maintainer sollen entlastet werden

Ein Schwerpunkt liegt auf der Zusammenarbeit mit den Entwicklern der betroffenen Open-Source-Projekte. Laut Linux Foundation sollen Fehlerbehebungen grundsätzlich in die Originalprojekte zurückfließen. Maintainer behalten die Kontrolle über ihre Projekte und sollen nicht mit mehrfachen oder widersprüchlichen Sicherheitsmeldungen belastet werden.

Für Pakete, die nicht mehr aktiv gepflegt werden, sieht Akrites zudem eine Rolle als „Maintainer of Last Resort“ vor. In solchen Fällen soll die Initiative Korrekturen für aktuelle Versionen bereitstellen, damit kritische Sicherheitslücken auch dann geschlossen werden können, wenn ursprüngliche Entwickler nicht mehr verfügbar sind.

Aufbau auf bestehenden Sicherheitsstandards

Technisch setzt Akrites auf etablierte Verfahren und Standards der IT-Sicherheitsbranche. Dazu zählen unter anderem CVE zur Identifikation von Schwachstellen, CVSS zur Bewertung ihrer Schwere sowie CWE zur Klassifizierung von Schwachstellentypen. Dadurch soll sich die Initiative in bestehende Prozesse von Softwareherstellern, Sicherheitsforschern und Betreibern kritischer Infrastruktur einfügen.

Die Anschubfinanzierung übernimmt Alpha-Omega, ein Förderfonds der Linux Foundation für Open-Source-Sicherheit. Weitere Unternehmen und Organisationen können sich beteiligen, indem sie Entwicklerkapazitäten oder finanzielle Mittel bereitstellen. Parallel zum Start hat die Initiative einen offenen Brief veröffentlicht, in dem die Gründungsmitglieder zu einer gemeinsamen Absicherung der Open-Source-Infrastruktur aufrufen.

(fo)

Mit dem Start von iOS 27 im Herbst gibt es auch einmal mehr Verbesserungen für Apples Audio-Hardware. Dabei ist auch die Umsetzung eines lange geforderten Features, wenn auch noch etwas eingeschränkt. Entwickler können die Funktionen bereits testen, wenn sie sich trauen, ihren AirPods eine Beta-Firmware aufzuspielen, die neben der Entwicklerbeta der neuen Systeme notwendig ist.

Konfiguration deutlich überarbeitet

Eine eigene AirPods-Konfigurations-App hat Apple den Nutzern nicht beschert. Stattdessen wurde das Einstellungsmenü unter „Einstellungen“ und „AirPods“ deutlich verbessert. Die Funktionen und Set-up-Möglichkeiten sind neu organisiert und lassen sich schneller auffinden. Zentrale Funktionen wie die Einstellungen zum Transparenz- und Geräuschunterdrückungsmodus sind weiterhin sofort greifbar (erstmals inklusive Lautstärkeregler), wichtige Einzelbereiche wie Audio und Routing, Hörgesundheit, Steuerung und Gesten, Batterie, Wo ist? oder Barrierefreiheit stecken nun aber in Untermenüs. Obwohl man etwas mehr klicken muss, sind Funktionen schneller zu finden, da man weniger scrollen muss.

Star der neuen Features ist die Erfüllung eines lange gehegten Wunsches vieler Nutzer: Nicht mehr nur Apple darf das Soundprofil der AirPods einstellen, sondern es gibt erstmals einen Equalizer. Dieser ist nicht sehr weitgehend, aber ausreichend: So kann man tiefe Töne, die Mitten und den Hochtonbereich einstellen und gegebenenfalls unter- oder überbetonen. Es ist also ein Dreiband-EQ, wobei man die Frequenzbereiche nicht angezeigt bekommt. Für einen ersten Schritt ist der neue EQ aber nützlich. Nervig: Er funktioniert nur bei AirPods mit H2-Chip, also AirPods Pro 2 und 3, AirPods 4 (mit und ohne ANC) und AirPods Max 2.

Präzisionssuche und GymKit für die Ohren

Mit watchOS 27, iOS 27 und passenden iPhones und Apple-Watch-Geräten kann man die Ladehülle der AirPods Pro 3 nun zentimetergenau (Precision Finding alias „In der Nähe suchen“) orten. Das ist nützlich für Menschen, die sie gerne verlieren. Im Zusammenhang mit iOS 27 können die AirPods Pro 3 mit ihrem integrierten Pulssensor diese Daten via GymKit an kompatible Fitnessgeräte (etwa Laufbänder) übermitteln.

Dies ging bislang nur mit der Apple Watch. Die verbesserten Menüs sind für alle AirPods verfügbar, manche Funktionen wie erwähnt nur mit Geräten, die einen H2-Chip haben. Wer die Features testen will, muss aktuell noch Entwickler sein, eine Public Beta dürfte im Juli beginnen. Man muss wie erwähnt bereit sein, auch eine Beta-Firmware zu nutzen.

(bsc)

Die Lizenzkosten für Microsoft 365 sind in den letzten Jahren spürbar gestiegen, neue KI-Funktionen wie Copilot werden zusätzlich bepreist, und Volumenrabatte schrumpfen. Parallel wächst der regulatorische Druck durch DSGVO, NIS2 und den EU Data Act. Viele Organisationen ziehen daraus die gleiche Konsequenz: Sie suchen nach Alternativen, die sich technisch wie vertraglich besser kontrollieren lassen. Verwaltungen wie die von Schleswig-Holstein und die dänische Bundesregierung argumentieren deshalb mit der Frage nach Handlungsfähigkeit. Der Konsens: Eine Organisation ist erst dann frei in ihren Entscheidungen, wenn sie ihre Geschäftsdaten jederzeit aus einer Anbieterumgebung herauslösen kann.

Nextcloud antwortet auf diese Anforderung mit einer modularen Open-Source-Plattform. Im Eigenbetrieb läuft die Lösung auf Hardware im hauseigenen Rechenzentrum. Alternativ stehen mehrere deutsche und europäische Anbieter zur Verfügung, die Nextcloud als verwalteten Dienst betreiben. Nextcloud selbst bietet das Hosting in Partnerschaft mit epiKshare an, ansonsten umfasst die Auswahl sowohl große Hostingprovider mit vollwertigen Rechenzentrumsverbünden wie Ionos, Hetzner und Telekom mit der MagentaCLOUD als auch spezialisierte Nextcloud-Provider mit Premier-Partner-Status.

Das Ökosystem rund um Nextcloud kann für nahezu jede Migrationsaufgabe herangezogen werden, vom Massendatentransfer über die Identitätsanbindung bis zum Spezialfall in einzelnen Fachbereichen. Zwar verhindert die Komplexität des Themas eine erschöpfende Darstellung aller technischen Optionen, grundsätzlich steht aber fest: Eine vollständige Migration weg von M365 ist mit den vorhandenen Mitteln machbar. Die hier beschriebenen Werkzeuge und Abläufe stehen beispielhaft für die aktuellen Möglichkeiten.

Das war die Leseprobe unseres heise-Plus-Artikels „Umstieg von M365 auf Nextcloud – eine Anleitung“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.