Seit dem 6. Dezember 2025 ist die NIS-2-Richtlinie in Deutschland in Kraft getreten. Sind Sie unsicher, ob Ihr Unternehmen betroffen ist und was Sie nun tun müssen, finden Sie hier eine kurze Übersicht über Hilfsangebote, die Sie bei Ihrer Suche nach Antworten unterstützen.

Worum geht es?

Die NIS-2-Richtlinie soll nun pünktlich zu Nikolaus für eine höhere Cybersicherheit in der Europäischen Union sorgen. Im Vergleich zur bisherigen NIS-Richtlinie sind mehr Unternehmen betroffen, da nicht nur die kritische Infrastruktur einbezogen wird. Viele kleine und mittlere Unternehmen müssen prüfen, ob sie in den Anwendungsbereich der Richtlinie fallen und wie sie die neuen Vorgaben umsetzen müssen. Doch dazu fehlt es oft an Fachpersonal.

Die Richtlinie fokussiert sich auf Risikomanagement, die verpflichtende Meldung von Sicherheitsvorfällen sowie die Gewährleistung der Dienstleistungskontinuität. NIS-2 verpflichtet Unternehmen dazu, belastbare Sicherheitsvorkehrungen einzuführen und kontinuierlich Risikobewertungen durchzuführen. Eine fehlende oder mangelhafte Umsetzung kann deutliche Konsequenzen nach sich ziehen. So können Geschäftsführer beispielsweise persönlich haftbar gemacht werden.

Was tun?

Einen kurzen Überblick über die Problematik erhalten Sie in diesem Beitrag zu der verpflichtenden Cyberrüstung und in dieser Ausgabe des Podcasts Café Datenschutz auf Youtube durch Dr. Sebastian Kraska von der IITR Datenschutz GmbH.

Die offizielle Betroffenheitsprüfung und ein passendes Informationsvideo finden Sie direkt beim Bundesamt für Sicherheit in der Informationstechnik.

Wie Sie NIS-2- in der Praxis umsetzen und die IT-Sicherheit Ihres Unternehmens ganz praktisch stärken, können Sie unter anderem in der Schulung NIS-2 in der Praxis – EU-Richtlinie umsetzen und Sicherheit steigern an der heise academy ab dem 22. Januar 2026 lernen.

(cbr)

Nils Rollshausen von der TU Darmstadt hat auf dem 39. Chaos Communication Congress (39C3) in Hamburg gravierende Schwachstellen in Kinder-Smartwatches des norwegischen Herstellers Xplora präsentiert. Der Vortrag „Watch Your Kids: Inside a Children’s Smartwatch“ basierte weitgehend auf den Arbeiten eines Masterstudenten, der die Sicherheitsarchitektur systematisch analysierte. Die Uhren werden nicht nur in Norwegen, sondern weltweit verkauft – nach eigenen Angaben über 1,5 Millionen Stück. In Deutschland werden sie unter anderem von der Telekom in Bundle-Deals angeboten.

„Wir sind eine kinderfressende Hexe“

Rollshausen wählte einen ungewöhnlichen narrativen Rahmen: „Für die Zwecke dieses Talks sind wir eine kinderfressende Hexe, die im Wald lebt.“ Das Problem der Hexe: Früher wanderten Kinder einfach zur Hütte, doch heute tragen alle GPS-Tracker und die Eltern können sie finden. „Wenn wir nicht verhungern wollen, müssen wir wohl etwas Recherche betreiben.“

Der Einstieg gelang über FCC-Zulassungsdokumente, in denen Fotos eines Entwickler-Ladegeräts mit vier statt zwei Pins auftauchten. Die Forscher bastelten einen Adapter – und tatsächlich meldete sich die Uhr als USB-Gerät.

Für den Debug-Modus fragten sie sich: „Was ist die dümmste mögliche Lösung?“ Mehrfaches Tippen auf die Versionsnummer, wie sonst auch bei Android. Es funktionierte. Dann erschien ein PIN-Feld. Während Rollshausen über automatisierte Angriffe nachdachte, ging der Masterstudent nach Hause und tippte zwei Stunden lang jede vierstellige Kombination manuell ein und fand die richtige Kombination.

Statische Schlüssel ermöglichen Vollzugriff

Da sich die Uhr mit aktiviertem Debug-Zugang wie ein normales Android-Gerät verhielt, konnten die Forschenden mit Standardtools als Hersteller-Apps extrahieren. Dabei fanden sie das Kernproblem: Die Authentifizierung basierte auf statischen Geheimnissen in der Firmware.

In Kombination mit öffentlich zugänglichen Daten wie Zeitstempeln und Seriennummern konnten Angreifer gültige API-Schlüssel für beliebige Uhren generieren – und damit alles tun, was die echte Uhr auch kann.

Kinder virtuell nach Pjöngjang teleportieren

Live demonstrierte Rollshausen die möglichen Folgen – weiterhin aus Hexenperspektive:

• Nachrichten mitlesen: „Sehr nützlich für die Kommunikation“
• Gefälschte Nachrichten senden: „Damit die Kinder wissen, wo sie uns finden, denn sie sind so beschäftigt mit ihren Handys, dass sie den Wald nicht mehr finden“
• Standort manipulieren: Für dies Manipulation braucht es laut Rollshausen immer zwei Versuche. Doch dann klappt die „Teleportation“ – dann stand das Kind plötzlich in Pjöngjang, Nordkorea, oder einem anderen frei wählbaren Ort.
• Uhren aus der Ferne zurücksetzen: „Das sieht auf dem Bildschirm nicht sehr interessant aus“, räumte er ein, bevor die Uhr auf der Bühne herunterfuhr

„Das ist eine For-Schleife davon entfernt, alle Uhren mit diesem Modell zu kompromittieren. Und das sind viele Uhren“, so Rollshausen.

Zähe Kommunikation mit dem Hersteller

Die Offenlegung der Schwachstellen verlief zunächst holprig. Das Vulnerability-Disclosure-Programm auf der Website war falsch verlinkt, E-Mails blieben unbeantwortet – bis etwa eine Woche vor dem 39C3-Talk.

Ein Firmware-Update im August sorgte bei Rollshausen für Nervosität: Würde der Debug-Zugang weiterhin funktionieren? Vorsorglich installierte Rollshausen eine eigene App, die das Debug-Menü direkt aufruft. Diese Maßnahme erwies sich als sinnvoll, denn die bisherige PIN war anschließend ungültig. Die Analyse zeigte, dass die PIN nun sechs statt vier Stellen umfasste und das System nach drei Fehlversuchen gesperrt wurde. An den eigentlichen Schwachstellen hatte sich jedoch nichts geändert. „Sie haben nicht einmal die Zugangsdaten rotiert“, so Rollshausen.

Auch das Firmware-Update im Oktober erforderte lediglich minimale Anpassungen der bestehenden Exploits. Erst kurz vor dem Congress nahm Xplora direkt Kontakt auf. In einem Gespräch am 22. Dezember versicherte das Unternehmen, die Ursachen mit einem Update im Januar 2026 beheben zu wollen. Zudem wurde das Disclosure-Programm überarbeitet, und der beteiligte Masterstudent erhielt eine „ansehnliche“ Bug-Bounty-Vergütung.

Signal auf der Kinderuhr

Als ironische Zwischenlösung zeigte Rollshausen den Signal-Messenger auf einer Xplora-Uhr: „Ich musste alle Größenwerte durch zehn teilen, damit das auf den Bildschirm passt – aber technisch können Sie Signal auf der Smartwatch Ihres Kindes laufen lassen.“

Die Botschaft: „Wir können mit Herstellern zusammenarbeiten, um Dinge sicherer zu machen – aber wir müssen nicht. Wir können auch einfach unser eigenes Ding machen.“

(vza)

Midjourney erzeugt Bilder auf Zuruf, vorausgesetzt, die Eingaben stimmen. Mit präzisen Textprompts und zahlreichen Stilparametern eignet sich die KI als Werkzeug für eigene visuelle Ideen, vom schnellen Entwurf bis zur ausgearbeiteten Illustration. Neue Funktionen generieren zudem kurze Animationen, mit denen sich einfache Szenen oder Abläufe darstellen lassen. Im Webinar lernen die Teilnehmer, wie sie ihre Vorstellungen strukturiert und nachvollziehbar in Midjourney umsetzen.

Vom präzisen Prompt zum Ergebnis

Auch wenn inzwischen zahlreiche KI-Bildgeneratoren verfügbar sind, lohnt sich der Blick auf Midjourney weiterhin. Das System liefert in vielen Szenarien eine höhere Bildqualität und bietet verlässliche Werkzeuge für konsistente Ergebnisse – ein Punkt, an dem viele Alternativen scheitern. Das Webinar zeigt praxisnah, wie sich diese Stärken im Alltag nutzen lassen und wie man typische Fehler vermeidet. So entsteht ein klarer, reproduzierbarer Workflow statt ziellosem Experimentieren.

Die Inhalte des Webinars reichen vom Aufbau wirkungsvoller Prompts über die Bildbearbeitung mit dem Midjourney-Editor bis zu fortgeschrittenen Techniken wie der Verwendung von Referenzbildern für konsistente Charaktere und Stile. Auch das Zusammenspiel mit anderen Tools zur Nachbearbeitung und die Integration in bestehende Workflows kommen zur Sprache. Ein eigener Themenblock widmet sich Midjourneys Animationsfunktion.

Midjourney-Experte gibt Einblicke

Referent Adrian Rohnfelder ist mehrfach ausgezeichneter Profifotograf und Midjourney-Experte. Er verbindet seine kreative Erfahrung mit neuesten KI-Tools und gibt sein Wissen als Dozent und Speaker weiter. Für die Teilnahme sind keine Vorkenntnisse nötig, erste Erfahrungen mit Midjourney sind jedoch von Vorteil.

Das Webinar bietet damit einen praxisorientierten Überblick über KI-gestützte Bild- und Videoproduktion. Teilnehmende erhalten konkrete Anleitungen, um Midjourney effizient in Projekte einzubinden.

• Termin: 28. Januar 2026, 14:00 bis 17:00 Uhr
• Preis: 69,00 Euro

Zur Teilnahme benötigen Sie lediglich einen aktuellen Browser. Weitere Informationen zum Webinar sowie Details zur Anmeldung finden Sie auf der Webseite der heise academy.

(abr)