Misterjudie

Der Chef von Microsoft, Satya Nadella, hat ein neues Memo zum Thema “artificial intelligence” veröffentlicht. Darin schreibt er Unternehmen seine neueste Erkenntnis ins Stammbuch. Diese lautet, dass es nichts bringt, irgend welche AI-Modelle auszuwählen und dann auszutauschen. Unternehmen müssten ihre “Lernzyklen durchlaufen”, um festzustellen, wo und wie sie die Vorteile der LLMs nutzen können.

Satya Nadella versucht sich ja seit einiger Zeit in dem Spagat, sich einerseits als Vordenker der Branche bezüglich KI-Einsatz zu gerieren. Andererseits steht er einem Unternehmen vor, dass auf der einen Seite seine Mitarbeiter zur Verwendung von KI-Lösungen zwingt. Wer nicht KI nutzt, soll gehen – Kollateralschäden nicht ausgeschlossen. So musste Microsoft die Verwendung von Anthropic Claude aus Kostengründen einschränken, und schwenkt auf Copilot um. Microsoft ist aber auch das Unternehmen, welches seinen Kunden mit Copilot bestmöglich “zwangsbeglücken will”. Der Begriff “Microslop” zur Verballhornung des Microsoft-Ansatzes beschreibt die Situation perfekt. Das zur Einordnung des nachfolgenden Memos.

In einem Tweet mit dem Titel A frontier without an ecosystem is not stable erklärt der Microsoft Chef seine Sicht der Dinge. Er habe viel über die Zukunft des Unternehmens in einer von KI geprägten Wirtschaft nachgedacht. Dabei kommt er zum Schluss, dass dieser Wandel sich von allen bisherigen Plattformwechseln unterscheidet.

In der Vergangenheit seien digitale Systeme genutzt worden, um das Humankapital zu stärken. Jetzt könnte man erstmalig einen echten kognitiven Kreislauf zwischen Menschen und digitalen Systemen schaffen. Das sei eine echte Herausforderung, denn es verändere die Art und Weise, wie Arbeit innerhalb eines Unternehmens überhaupt konzeptionell verstanden werde.

Es gehe nicht um irgendein digitales Tool oder System und dessen Nutzung, sondern darum, wie Organisationen weiterhin lernen, geistiges Eigentum aufbauen, sich differenzieren und in einer Welt erfolgreich sein können, in der KI-Modelle das Fachwissen von Menschen und Organisationen kontinuierlich aufnehmen und zu einer Massenware machen können.

Humankapital und Token-Kapital

Jedes Unternehmen werde das aufbauen müssen, was Nadella als Humankapital und Token-Kapital bezeichne. Humankapital umfasst für Nadella das Wissen, das Urteilsvermögen, die Beziehungen, den Einfallsreichtum und die Mustererkennung seiner Mitarbeiter, während Token-Kapital die KI-Fähigkeiten des Unternehmens sind, die es aufbaut und besitzt.

Da war für mich der “Nachtigall, ick hör dir trapsen”-Moment. Humankapital wird in US-Firmen ja als “entbehrlich und Kostenfaktor” gesehen. Und nun hebt Nadella genau das als Asset hervor – übrigens genau wie sein Chef-Jurist, Brad Smith, den ich gestern im Artikel AI-Slop bei KPMG und Politik, KI-Fails bei Meta zitiert habe. Und Token-Kapital ist das Teil, was Unternehmen aufbringen müssten, um überhaupt die Verheißungen der KI-Welle nutzen zu können, ohne bisher wirklich zu sehen, ob das was bringt. Vielmehr deutet sich da ja eine absolute Kostenexplosion durch Tokenizing an.

Wichtig sei, dass das Humankapital nicht an Wert verliert, wenn das Token-Kapital wächst. Vielmehr würde auch das Humankapital wachsen, wenn in AI investiert werde. Die eigentliche Chance nicht darin liegt, das beste Modell auszuwählen, sondern darin, auf der Grundlage von Modellen eine Lernschleife aufzubauen, in der sich Humankapital und Token-Kapital gegenseitig verstärken. Man könne eine Aufgabe oder sogar einen Job auslagern, aber man könne niemals das eigene Lernen auslagern. Die Zukunft des Unternehmens liege in der Fähigkeit, dieses Lernen über Menschen und KI hinweg zu bündeln. Das sind ganz neue Klänge, hieß es doch, durch KI-Einsatz könne man Mitarbeiter ersetzen – und die AI-Agenten sollen eigenständig Arbeiten erledigen – wer soll da noch selbst denken?

Dies erfordert laut Nadella, einen neuen architektonischen Ansatz, bei dem jedes Unternehmen in der Lage ist, agierende Systeme aufzubauen, die sich im Laufe der Zeit verbessern, während es gleichzeitig die Kontrolle über sein geistiges Eigentum behält. Ein Unternehmen sollte in der Lage sein, ein “Generalisten”-Modell auszutauschen, ohne das in seinem Lernsystem eingebaute Fachwissen eines „Unternehmensveteranen” zu verlieren. Dies sei der entscheidende “Test” für Ihre Kontrolle und Souveränität in der kommenden Ära, gibt der Microsoft Chef sich überzeugt.

Unternehmen müssen ihre Arbeitsabläufe, ihr Fachwissen und ihre gesammelten Erfahrungen in KI-Systeme umwandeln, so Nadella, da sich diese “mit jeder Nutzung verbessern”. Interne Bewertungen sollten erfassen, ob sich ein Modell tatsächlich im Hinblick auf die für das Unternehmen wichtigen Ergebnisse verbessert (nicht nur im Vergleich zu externen Benchmarks!). Interne Umgebungen für verstärktes Lernen sollten es Modellen ermöglichen, anhand realer Daten aus dem Unternehmen selbst stärker zu werden.

Der KI-Hype-Zyklus muss enden, damit es besser wird

Es sind sicherlich einige bedenkenswerte Denkansätze in diesem Memo – aber ich weiß halt nicht, wie diese an der Realität da draußen zerschellen. Der Hype-Zyklus hat viel kaputt gemacht – und erst wenn die Blase geplatzt ist, wird man über sinnvolle Einsatzszenarien für LLMs ohne das Hype-Geklingel nachdenken können. Für mich stellen sich spontan ganz andere Fragestellungen für Unternehmen, wenn es um den KI-Einsatz geht.

• Wo ist der Einsatz von KI überhaupt sinnvoll und liefert mir ein Return of Investment (ROI)?
• Wie gewährleiste ich die Sicherheit des KI-Modells in meinem Unternehmen? Ggenau hier sind die essentiellen Fragen, trotz viel Wortgeklingel um Schutzfunktionen, m.E. ungeklärt.
• Wie schaffe ich es, dass die Kosten überschaubar bleiben oder eng begrenzt werden? Da haben die AI-Anbieter keine Antwort.
• Wie implementiere ich die AI-Lösungen, ohne erneut in Abhängigkeiten von irgendwelchen Anbietern zu geraten. Der Anthropic-Fall (siehe US-Regierung belegt Anthropic Fable und Mythos mit Export-Kontrolle) zeigt doch die Implikationen (siehe
  Nordhealth Notion-Störung nach Anthropic KI-Abschaltung).

Fairerweise muss ich eingestehen, dass Herr Nadella als Chef von Microsoft solche Fragen nicht beantworten muss, da er für sein Unternehmen zu argumentieren hat. Aber es werden dort sicherlich Antworten in den Unternehmen geliefert werden müssen, wenn das mit dem KI-Einsatz funktionieren soll. Oder wie seht ihr das?

Anthropic darf ab sofort seine KI-Modelle Fable 5 und Mythos 5 nicht mehr für Nutzer, die nicht US-Staatsbürger sind, anbieten. Die US-Regierung hat Anthropic diesbezüglich mit einem Export-Verbot belegt und führt Gründe der nationalen Sicherheit an. Anthropic hat daher diese Modelle deaktiviert.

Exportkontrollanweisung der US-Regierung

Anthropic hat in einem Statement on the US government directive to suspend access to Fable 5 and Mythos 5 vom 12. Juni 2026 Stellung bezogen. Demnach hat das Unternehmen am gleichen Tag eine Anordnung der US-Regierung erhalten. Unter Berufung auf nationale Sicherheitsbehörden sei von der US-Regierung eine Exportkontrollverordnung für Anthropic Modelle verfügt worden, heißt es. Diese Verfügung untersagt den der Zugriff auf die Anthropic KI-Modelle Fable 5 und Mythos 5 für alle ausländischen Staatsangehörigen.

Dies sei unabhängig davon, ob die ausländischen Staatsangehörigen sich innerhalb oder außerhalb der Vereinigten Staaten befinden. Das schließt sogar ausländische Mitarbeiter von Anthropic ein. Diese Anordnung hat zur Folge, dass Anthropic Fable 5 und Mythos 5 für alle Kunden unverzüglich deaktivieren musste, um die Einhaltung der Vorschriften zu gewährleisten. Der Zugriff auf alle anderen Anthropic-Modelle bleibt davon unberührt.

Das Schreiben der US-Regierung enthielt keine konkreten Details zu den Bedenken hinsichtlich der nationalen Sicherheit. Nach dem Anthropic Verständnis geht die Regierung davon aus, dass ihr eine Methode zur Umgehung oder zum “Jailbreaking” von Fable 5 bekannt geworden ist.

Anthropic gibt eine Einschätzung

Diesbezüglich schreibt Anthropic, dass man eine Demonstration dieser spezifischen Technik geprüft habe. Das habe zur Identifizierung einer kleinen Anzahl bereits bekannter, geringfügiger Schwachstellen geführt, die bereits verwendet wurden. Diese Schwachstellen erscheinen alle relativ einfach, und Anthropic habt nach eigenen Angaben festgestellt, dass auch andere öffentlich zugängliche Modelle in der Lage sind, diese Schwachstellen zu entdecken, ohne dass eine Umgehung erforderlich ist.

Anthropic schreibt, man habe strenge Sicherheitsvorkehrungen getroffen, die die Wahrscheinlichkeit, dass Fable für Aufgaben im Bereich der Cybersicherheit (unter anderem) missbraucht wird, erheblich verringern. Tatsächlich seien die Sicherheitsvorkehrungen so streng, dass sich viele Nutzer darüber beschwert haben, sie seien zu weitreichend.

In den Wochen vor der Einführung von Fable arbeitete Anthropic mit der US-Regierung, der britischen AISI, mehreren privaten Drittorganisationen und internen Teams zusammen, um die Sicherheitsvorkehrungen von Fable insgesamt über Tausende von Stunden hinweg einem Red-Team-Test zu unterziehen. Diese Tests hätten gezeigt, dass die Sicherheitsvorkehrungen von Fable wesentlich wirksamer sind als die aller bisher eingesetzten Modelle.

Bislang sei es keinem Tester gelungen, einen universellen Jailbreak zu finden – also eine Methode, mit der sich die Sicherheitsvorkehrungen des Modells weitgehend umgehen und eine Vielzahl von Cyberfähigkeiten freischalten lassen, heißt es. Anthropic führt noch eine Reihe weiterer Maßnahmen und Einschätzungen an.

Zur Anordnung der US-Regierung heißt es, dass man bislang lediglich mündliche Hinweise auf einen möglichen, begrenzten und nicht universellen Jailbreak erhalten habe. Dieser Jailbreak bestehe im Wesentlichen darin, das Modell aufzufordern, einen bestimmten Code zu lesen und etwaige Softwarefehler zu beheben. Dem Anthroic- Verständnis nach wurde der Regierung ein potenzieller Jailbreak mitgeteilt. Man habe einen Bericht geprüft, von dem man annehme, dass er die Grundlage für die Anordnung der Regierung bildet, und bestätige, dass das darin dargestellte Leistungsniveau bei anderen Modellen (einschließlich OpenAI’s GPT-5.5) weit verbreitet ist und täglich von den Sicherheitsfachleuten genutzt wird, die für die Sicherheit der Systeme sorgen. Anthropic will in den nächsten 24 Stunden weitere Details bekannt geben.

Das stellt einen weiteren schweren Schlag gegen Anthropic dar, hatte das US-Verteidigungsministerium das Unternehmen von Aufträgen ausgeschlossen (siehe Nach Anthropic-Rauswurf beim US-Verteidigungsministerium springt OpenAI ein und die dort verlinkten Artikel).

Eine  FRITZ!Box lässt sich über die Funktion “Medienserver” als DLNA-Server in einem Netzwerk nutzen. Dann lassen sich Audiodateien oder Internetradio-Stationen als Stream per Netzwerk verteilen. Aber wie kann man in der VLC-Player-App unter Android auf diesen DLNA-Server zugreifen?

Der Beitrag entstand, weil ich eine grobe Zusammenstellung für die Bose SoundTouch-Geräte erstellen wollte, die nach dem 6. Mai 2026 ja durch die Abschaltung der Bose-Server ihre Funktion verloren haben. In den Kommentaren zum Artikel Bose Soundtouch Geräte ab heute funktionsreduziert (6. Mai 2026) hieß es, dass man die FRITZ!Box als DLNA-Server verwenden könne, um Internetradio auf die Bose SoundTouch-Geräte zu streamen.

Mangels solcher Geräte wollte ich den DLNA-Server der FRITZ!Box mit einem Smartphone testen und dabei den VLC-Player verwenden. Während es mit der BubbleUPNP-App direkt funktionierte,  brauchte ich bei der VLC-Player-App unter Android doch mehrere Anläufe, da gefundene Internet-Fundstellen fehlerhafte Informationen lieferten.

Hintergrund DLNA

Das Kürzel DLNA steht für Digital Living Networking Alliance, ein 2003 gegründeter Zusammenschluss verschiedener Hersteller. Ziel des DLNA-Konsortiums ist es, einen herstellerübergreifenden Standard zur Drahtlosübertragung (Streaming) von Multimediadaten (Fotos, Musik, Video) zwischen verschiedenen Geräten (Smartphones, Tablet PCs, Desktops und TV-Geräten) zu schaffen.

Ich hatte 2016 im Blog-Beitrag Basiswissen: Medienstreaming im Netzwerk mal einen Überblick über die verschiedenen Streaming-Standards gegeben. Aus diesem Beitrag stammt auch die obige Abbildung.

Wer eine FRITZ!Box von FRITZ (früher AVM) besitzt, kann auch deren DLNA-Server für diese Zwecke verwenden. Denn der in FRITZ!OS konfigurierbare Medienserver ist nichts anderes.

Den DLNA-Server der FRITZ!Box konfigurieren

Um den DLNA-Server in FRITZ!OS der gängigen FRITZ!Boxen entsprechend zu konfigurieren geht man in folgenden Schritten vor.

1. Nach einer Anmeldung an der Benutzeroberfläche der FRITZ!Box wählt man die Menüeinträge Heimnetz – Mediaserver (obige Abbildung).

2. Auf der Registerkarte Einstellungen  ist das Kontrollkästchen Mediaserver aktiv zu markieren.

Weiterhin lässt sich auf der Registerkarte der Name des DNLA-Servers (Standard ist “AVM FRITZ!Mediaserver” vorgegeben) anpassen. Zudem lässt sich in der Gruppe Medienquellen per Optionsfeld vorgeben, ob es Einschränkungen bei den einzubindenden Medienquelle für Musik etc. gibt.

3. Soll Internetradio verwendet werden, wechselt man zur Registerkarte Internetradio und passt dort die betreffenden Werte an.

Auf der Registerkarte Internetradion bietet FRITZ!OS bereits eine Reihe vorkonfigurierter Internetradio-Stationen an. Bei Bedarf lassen sich diese anpassen und auch neue Sender mit aufnehmen.

Aus der VLC-Player-App zugreifen

Zum Test habe ich den VLC-Player als App unter Android vorgesehen, stand dann aber vor der Frage, wie ich das wohl mache. Eine Suche im Internet führte mich auf falsche Spuren, hieß es doch “geht nicht”, oder ist in den Wiedergabeliste konfigurierbar.

Voraussetzung ist, dass sich das Gerät mit dem VLC-Player (hier ein Android-Smartphone) im gleichen Netzwerk wie die FRITZ!Box befinden. In meinem Testszenario war das gegeben, da das Android-Smartphone im WLAN der FRITZ!Box eingebucht war.

1. Dann reicht es, die VLP-Player-App am Android Smartphone aufzurufen und in der Fußzeile auf Dateien zu gehen.

2. Anschließend scrollt man in der App nach unten zu “Lokales Netzwerk” und sollte dort das Symbol für den “AVM Fritz Mediaserver” sehen.

Fehlt dieses Symbol geht man über das Dreipunkt-Menü Mehr auf die Einstellungen und ermöglicht der VLC-Player-App das Netzwerk automatisch beim Start zu durchsuchen.

3. Im nächsten Schritt lässt sich unter “AVM Fritz Mediaserver” einer der Ordner anwählen. Für Radio ist Internetradio auszuwählen.

4. Im nächsten Schritt werden die im “AVM Fritz Mediaserver” konfigurierten Internetradiostationen aufgelistet und es ist ein Eintrag auszuwählen.

5. Nach Auswahl der Radiostation lässt sich deren Programm als stream über die Start-/Stopp-Schaltfläche wiedergeben und anhalten.

Zum Wochenende hatte ich über eine Infektion von GitHub-Repositories mit Microsoft Tools berichtet. Diese waren mit einem Infostealer für AI-Tokens infiziert. Nun bestätigt, dass man eine kleine Anzahl Kunden benachrichtigt habe, die die kompromittierten Repositories mit den Tools heruntergeladen haben.

Azure-GitHub-Repositories kompromittiert

Am Freitag, den 5. Juni 2026 wurden plötzlich Microsoft GitHub-Repositories, auf denen Open Source-Tools gehostet wurden, deaktiviert und diese Konten sind nicht mehr erreichbar.

Insgesamt wurden 73 Repositories auf GitHub durch einen Miasma-Supply-Chain-Angriff kompromittiert und enthielten Malware. Konkret scheint ein Infostealer platziert worden zu sein, der AI-Zugangsdaten, die die Entwickler nutzen, stiehlt. Ich hatte zum 6. Juni 2026 im Blog-Beitrag Microsoft GitHub-Repositories nach Miasma Lieferkettenangriff gesperrt die damals bekannten Details berichtet.

Microsoft informiert Kunden über Hack

Nun bin ich auf Mastodon über nachfolgende Meldung vom 8. Juni 2026 gestoßen, in der Techcrunch über die weitere Entwicklung informiert. Zack Whittaker berichtet im Artikel Microsoft’s open source tools were hacked to steal passwords of AI developers, dass die Open Source-Tools von Microsoft mit Malware infiziert war.

Ziel der Malware war es, Zugangsdaten von KI-Entwicklern, die diese Tools bzw. Open Source-Pakete verwenden, zu stehlen.  Sicherheitsforscher von CloudSmith haben in diesem Artikel einige Informationen zum Miasma-Wurm veröffentlicht.

GitHub hat zwar sofort, als der Lieferkettenangriff bemerkt wurde, die betreffenden GitHub-Repositories offline genommen und die Konten gesperrt. Aber es muss ein kleines Zeitfenster gegeben haben, wo Microsoft-Kunden bzw. Azure-Nutzer und Entwickler auf die infizierten GitHub-Repositories zugegriffen und heruntergeladen haben.

Die genaue Zahl an Betroffenen ist dabei nicht bekannt. Microsoft hat sofort eine interne Untersuchung eingeleitet. Microsoft-Sprecher Ben Hope erklärte gegenüber TechCrunch, dass das Unternehmen “einige [GitHub-]Repositorys vorübergehend entfernt habe, während mögliche schädliche Inhalte untersucht würden”. Hope sagte weiter:

Im Rahmen unserer Untersuchung haben wir eine kleine Anzahl von Kunden benachrichtigt, die möglicherweise Inhalte aus den betroffenen Repositories heruntergeladen haben. Wir werden die Untersuchung fortsetzen, und sollten weitere Erkenntnisse zutage treten, die Maßnahmen seitens der Kunden erfordern, werden wir uns über unsere etablierten Supportkanäle direkt an sie wenden.

Wie viele Kunden betroffen sind, ist derzeit unbekannt, da gibt Microsoft keine Details preis. Es bleibt spannend, ob man von den Folgen hören wird.

Die Absetzbewegungen der EU im Hinblick auf  bestehende Abhängigkeiten von großen US-Anbietern werden fortgesetzt. Zum 3. Juni 2026 wurde von der EU-Kommission das European Technological Sovereignty Package zur technologischen Souveränität zur Stärkung der digitalen Autonomie und Resilienz Europas präsentiert.

Das Thema digitale Souveränität in Europa liegt ja seit ca. einem Jahr virulent in der Luft und hat jetzt auch die Mainstream-Medien erreicht. Anfang der Woche bin ich auf Focus Online auf den Artikel Schicksalsjahr: Wie wir digitaler US-Abhängigkeit entkommen gestoßen, der die Schritte zur Loslösung von US-Firmen bei Software und Cloud anmahnt. Und einige Tage später hat der Focus den Fall, dass Microsoft den Israel-Chef ausgetauscht hat, im Artikel Datenschutz-Experte warnt: Microsoft-Skandal zeigt Schwächen im Datenschutz aufgegriffen. Der Fall beleuchtet das Problem der Datenspeicherung in der Microsoft Cloud. Und laut diesem Artikel plant das EU-Parlament bei den IT-Systemen der Abgeordneten und Mitarbeitern von Google auf die Suchmaschine Qwant zu wechseln.

Die EU-Kommission will voran kommen

Auch die EU-Kommission will mehr digitale Unabhängigkeit von den US-Techfirmen und plant konkrete Gesetzesvorhaben. Laut Mitteilung der EU-Kommission handelt es sich dabei um eine Reihe von Maßnahmen zur Stärkung der Kapazitäten Europas in den Bereichen Halbleiter, künstliche Intelligenz (KI), Cloud und Open Source.

Das Paket umfasst zwei Gesetzgebungsvorschläge – die Chip-Verordnung 2.0 und die Verordnung zur Cloud- und KI-Entwicklung – sowie die Open-Source-Strategie und einen Strategischen Fahrplan für Digitalisierung und KI im Energiebereich.

Zusammen sollen diese Maßnahmen das Bestreben Europas, ein KI-Kontinent zu werden, unterstützen stärken. Die Hoffnung ist, die digitale Autonomie Europas einzuleiten und zum Aufbau einer nachhaltigeren digitalen Zukunft beizutragen. Sie Maßnahmen der EU-Kommission sollen dabei helfen, die Auswahl an Kerntechnologien für die Unternehmen, die Bürgerinnen und Bürger und die öffentliche Verwaltungen in der EU zu erweitern.

Grund für diesen Schritt ist die Tatsache, dass Europa bei den wichtigsten digitalen Technologien nach wie vor stark von Anbietern aus Ländern außerhalb der Europäischen Union abhängig ist und die Nachfrage nach Rechenkapazitäten mit der Verbreitung von KI rasant zunimmt. Er soll strukturelle Abhängigkeiten verringern und gewährleisten, dass Europa die Technologien entwickeln, einsetzen und sichern kann, auf die sich die Europäerinnen und Europäer verlassen. Er markiert einen grundlegenden Wandel in der Herangehensweise der EU an Technologie.

Chips Act 2.0

Der Chip Act, ist seit 2023 in Kraft und war die erste Reaktion der EU auf kritische Schwachstellen in der globalen Halbleiter-Lieferkette. Wenn es um fortgeschrittene Produktionsanlagen und um Chip-Entwurf geht, ist Europa ist jedoch nach wie vor stark von Drittländern abhängig. KI-gestützte Komponenten werden voraussichtlich das künftige Wachstum ankurbeln und dürften bis 2030 mehr als 70 % des Halbleitermarktes ausmachen.

Ausgehend von den Stärken Europas, auch bei handelsüblichen Chips, wird die Chip-Verordnung 2.0 neue Kapazitäten im Bereich der hochmodernen Halbleitertechnik für KI-Anwendungen aufbauen helfen.

Aufbau der Cloud- und KI-Kapazitäten in Europa

Die Verordnung zur Cloud- und KI-Entwicklung ist ein zentraler Bestandteil des Aktionsplans der Kommission für den KI-Kontinent. Ziel ist es, die Kapazitäten der Rechenzentren in Europa in den nächsten fünf bis sieben Jahren zu verdreifachen und die Rolle der Strategie „KI anwenden” zu stärken, um die praktische KI-Einführung zu voranzutreiben. Die Verordnung soll die Forschung und Innovation im Bereich modernster und nachhaltiger Technologien unterstützen und gleichzeitig ein Gleichgewicht zwischen den KI-Zielen und den Klimaschutzverpflichtungen herstellen. Sie wird die Bedingungen für die Errichtung von Rechenzentren in der gesamten EU straffen.

Stärkung der digitalen Autonomie durch Open Source

In Europa gibt es mehr als drei Millionen Menschen, die zu Open-Source-Lösungen beitragen. Sie liefern quelloffene digitale Lösungen, die auf der Grundlage europäischer Grundsätze und Werte in Europa für Europa entwickelt wurden.

Die Open-Source-Strategie baut auf dieser Stärke auf, um souveränere Lösungen zu entwickeln und anzubieten. Mit ihr werden quelloffene Alternativen in vorrangigen Bereichen wie Cloud, KI, Internettechnik, Cybersicherheit und Halbleiter ausgebaut. Sie wird auch ein stärkeres Open-Source-Ökosystem fördern, indem in Kompetenzen investiert wird und quelloffene Start-up-Unternehmen unterstützt sowie die langfristige Pflege und Sicherheit der quelloffenen digitalen Infrastruktur Europas verbessert werden.

Darüber hinaus wird die Strategie, so die EU-Kommission, eine stärkere Nutzung quelloffener Lösungen in öffentlichen Verwaltungen durch Leitlinien für die Auftragsvergabe und bewährte Verfahren in der Praxis vorantreiben. Sie wird die Übernahme europäischer Lösungen fördern und die Normung und Interoperabilität unterstützen, unter anderem durch Initiativen wie den “Open Internet Stack”.

Nachhaltige Digitalisierung des europäischen Energiesystems

Die Digitalisierung des europäischen Energiesektors ist dringlicher denn je, denn hohe Energiepreise belasten die Wettbewerbsfähigkeit der Industrie und schmälern die Kaufkraft der Haushalte. Gleichzeitig wird das Wachstum der digitalen Infrastruktur auf unserem Kontinent voraussichtlich die Stromnachfrage erhöhen. Der Strategische Fahrplan für Digitalisierung und KI im Energiesektor befasst sich mit beiden Aspekten und legt dar, wie KI und andere digitale Lösungen die nachhaltige Integration der digitalen Infrastruktur in unser Energiesystem sicherstellen und gleichzeitig dazu beitragen können, das europäische Energiesystem effizienter zu machen.

Mit diesem Fahrplan wird dafür gesorgt, dass Rechenzentren auf nachhaltige und transparente Weise in unser Energiesystem integriert werden. Die Kommission wird die Zusammenarbeit zwischen dem Energie- und dem Digitalsektor erleichtern, um ihre effiziente Netzintegration sowie die notwendige Versorgung mit sauberer Energie zu gewährleisten und gleichzeitig die Wasser- und Energieressourcen zu schützen.

Dieser Fahrplan wird auch die Einführung von digitalen und KI-Lösungen beschleunigen, um die Strominfrastruktur in Europa zu verbessern und intelligenter zu gestalten, und gleichzeitig eine schnellere Einführung intelligenter Zähler unterstützen, denn diese sind unverzichtbar, um den europäischen Verbraucherinnen und Verbrauchern mehr Kontrolle über ihren Energieverbrauch zu geben und letztlich die Energiekosten zu senken.

Darüber hinaus wird er dazu beitragen, souveräne und sichere KI-Modelle für den Energiesektor zu entwickeln, die mit europäischen Daten trainiert und von europäischen Unternehmen entwickelt werden. Durch die Vereinfachung des grenzüberschreitenden Austauschs von Energiedaten wird der Fahrplan auch die Einführung intelligenter Energiedienstleistungen und eine größere Flexibilität gewährleisten, was Millionen von Menschen in ganz Europa Einsparungen bringen kann.

Noch ein weiter Weg …

Vor der Annahme und dem Inkrafttreten werden das Europäische Parlament und der Rat der Europäischen Union nun über diese Gesetzgebungsvorschläge verhandeln. Die Pläne sind international aufmerksam verfolgt und thematisiert worden. Hier schreibt man, dass die Pläne Amazon, Google und Microsoft in ihren Cloud-Angeboten tangieren könnten. Auch Reuters hat es hier aufgegriffen.

Andererseits braucht man jetzt nicht in Jubelrufe auszubrechen, denn alles sind Absichtsbekundungen. In diesem Tweet thematisiert ein Sicherheitsforscher die vergurkten Bestrebungen der EU-Kommission zur Altersverifikation (hatte ich im Beitrag Update für EU-App zur Altersverifikation; gleicher Mist, neu angepinselt? angesprochen). Und im Beitrag Real-Satire: EUid-Wallet nur mit Apple- oder Google-Konto? hatte ich die “digitale Souveränität” bei der EUDI-Wallet beleuchtet. Trotzdem ist es richtig und wichtig, dass die EU entsprechende Gesetze auf den Weg bring. Vielleicht bewegt sich am Ende des Tages ja was.

Ähnliche Artikel:
Digital Independence (Feb. 2026): Europas Abschied von US-Tech
Digital Independence-Day (März 2026): Android-Apps von Google ersetzt
Digital Independence Day: Alternativen zu Microsoft 365
Digital Independence Day: 1. Scaleway-Rechenzentrum in Mailand eröffnet
Digital Independence Day: Souveräne Cloud; Scaleway in Ausschreibungen dabei, was ist mit SUSE?
Frankreich hat Fahrplan für digitale Souveränität und Linux-Migration der Verwaltung
EU-Regulierungen, Prüfverfahren und Digitale Souveränität
Digitale Souveränität: EU-Alternativen zu US-Tech-Produkten
Digitale Souveränität: Linux als Active Directory Domain Controller

Microsoft hat Änderungen bei den Conditional Access-Policies für Windows und macOS angekündigt, die bereits ab dem 6. Juli 2026 wirksam werden. Die  Richtlinien für den bedingten Zugriff (Conditional Access) gelten nun auch für die SSO-Registrierung bei Windows Hello for Business und auf der macOS-Plattform.

Das hat Microsoft am 28. Mai 2026 in einer Mitteilung MC1326253 verlauten lassen. Mir ist diese Änderung erstmals Ende Mai 2026 über nachfolgenden Tweet untergekommen.

Im Microsoft 365 Message Center hat Redmond bereits am 29. Mai 2026 die Mitteilung MC1326253 – Conditional Access policies now apply to Windows Hello for Business and macOS Platform SSO registration veröffentlicht. Die Mitteilung besagt, dass die Conditional Access-Richtlinien für den bedingten Zugriff bei der SSO-Registrierung für Windows Hello for Business und die macOS-Plattform ab dem 6. Juli 2026 gelten.

Dadurch werden bei der Registrierung Anforderungen wie MFA und vertrauenswürdige Standorte durchgesetzt. Microsoft fordert Unternehmen auf, die Richtlinien zu überprüfen und zu testen, sowie die Dokumentation zu aktualisieren, um sicherzustellen, dass die Benutzer die Anforderungen vor der Einführung, die bereits am 13. Juli 2026 abgeschlossen ist, erfüllen können.

Wer ist betroffen und wann ändert sich was?

Betroffen sind nur Organisationen, in denen Richtlinien für den bedingten Zugriff (Conditional Access), die auf die Registrierung von Sicherheitsinformationen ausgerichtet sind, gelten. Ab dem Stichtag werden diese Richtlinien nun angewendet, wenn Benutzer Windows Hello for Business (WHfB) einrichten oder Anmeldeinformationen für macOS Platform SSO registrieren.

Derzeit erzwingen diese Registrierungsabläufe zwar die MFA, werten jedoch die auf die Registrierung ausgerichteten Richtlinien für den bedingten Zugriff nicht aus. Das bedeutet, dass Anforderungen wie Authentifizierungsstärke, vertrauenswürdige Standorte oder andere Bedingungen für den bedingten Zugriff nicht durchgesetzt werden, wenn Benutzer WHfB- oder macOS-Plattform-SSO-Anmeldeinformationen registrieren.

• 6. Juli 2026: Beginn der schrittweisen Einführung.
• 13. Juli 2026: Die Einführung ist für alle Mandanten abgeschlossen.

Benutzer, die WHfB- (Windows Help for Business) oder macOS-PSSO-Anmeldeinformationen registrieren, müssen die Anforderungen der Registrierungsrichtlinien für den bedingten Zugriff erfüllen, bevor die Registrierung abgeschlossen werden kann. So muss ein Benutzer möglicherweise einen vorhandenen FIDO2-Sicherheitsschlüssel verwenden, eine Push-Benachrichtigung in Microsoft Authenticator genehmigen oder eine Verbindung von einem vertrauenswürdigen Netzwerkstandort aus herstellen. Das hängt von den gesetzten Conditional Access-Richtlinien ab, wobei alle konfigurierten Zugriffsberechtigungen gelten.

Microsoft gibt im Supportbeitrag MC1326253 – Conditional Access policies now apply to Windows Hello for Business and macOS Platform SSO registration konkrete Handlungsempfehlungen für Administratoren und IT-Abteilungen, was zu beachten ist.

Die EU plant die Einführung einer EUid-Wallet, die bis Ende 2026 von den EU-Staaten umgesetzt werden muss. Ach ja, es gibt ja noch die EU-Absetzbewegungen von US-Big-Tech, Europa soll ja digital souverän werden. Und es gibt Real Satire um EU-Kommissionspräsidentin Frau von der Leyen. Jetzt wurde bekannt, dass die EUid-Wallet-App zwingen ein Apple- oder Google-Konto voraussetzt.

Die EUid-Wallet erklärt

Die EUid-Brieftaschen sollen laut EU-Kommission ein universelles, vertrauenswürdiges und sicheres Mittel zur digitalen Identifizierung für alle Europäerinnen und Europäer schaffen. EUid-Wallets, so der moderne Namen, werden als digitale Brieftaschen es jedem in Europa ermöglichen, sich beim Zugang zu öffentlichen und privaten Diensten sicher zu identifizieren und digitale Dokumente wie mobile Führerscheine und Bildungsnachweise – alles von seinen Mobiltelefonen aus – zu speichern und anzuzeigen. Sie werden auch die Privatsphäre verbessern, indem sie nur die genauen Informationen teilen, denen sie zugestimmt haben.

Die Verordnung über die digitale Identität, die dieses regelt, trat bereits im Mai 2024 in Kraft. Jeder Mitgliedstaat stellt mindestens eine Wallet bereit, die nach gemeinsamen Open-Source-Spezifikationen erstellt wurde. Das Portemonnaie steht jedem EU-Bürger, Einwohner oder Unternehmen in der EU zur Verfügung, der es nutzen möchte. Die Verwendung wird optional sein. Wallets, die ab 2026 verfügbar sein werden, sollen Unternehmen helfen, indem sie sichere Authentifizierung für Kunden in der gesamten EU bieten.

Die deutsche Bundesregierung schreibt hier von der European Digital Identity Wallet (EUDI-Wallet). Als App für digitale Identitäten erlaubt die EUDI-Wallet bald, sich online wie offline sicher auszuweisen, wichtige Dokumente digital zu verwalten und jederzeit selbstbestimmt über die eigenen Daten zu verfügen.

Europas digitale Souveränität

Da gibt es dann noch das Bekenntnis, dass Europa digital souverän werden muss. US-Sanktionen des am Internationalen Strafgerichtshof tätigen französischen Richters Nicolas Guillou zeigen die Abhängigkeit von digitalen Diensten. Diese wurden gekappt und katapultieren diese Person in die digitale Steinzeit der neunziger Jahre zurück. Ich hatte im Beitrag Keine digitale Souveränität: Französischer Richter Nicolas Guillou gerät nach US-Sanktionen in Digitaler Steinzeit; OVH soll Daten eines Kunden an Kanada liefern berichtet.

Das Europa-Parlament hat in einem Bericht einen Kurswechsel in der Digitalpolitik gefordert. Die Abgeordneten fordern eine Abkehr von US-Digitaltechnik-Firmen, um die digitale Abhängigkeit Europas zu reduzieren. Es wird u.a. eine strategische Neuausrichtung der öffentlichen Beschaffung und der Infrastruktur mit Einsatz von Open Source statt Verwendung von US-Software-Systemen gefordert, Ich hatte im Beitrag EU-Regulierungen, Prüfverfahren und Digitale Souveränität berichtet.

Die Real-Satire der EU-Kommission?

Ich hatte bereits in Beiträgen über die EU-App zur Altersverifikation (siehe Links am Artikelende) gezeigt, dass die EU-Kommission es nicht packt. Die App war binnen Minuten ausgehebelt.

Jetzt ist mir in obigem Tweet eine Information untergekommen, die (sofern sie stimmt) nur noch als Realsatire angesehen werden kann. Die Aussagen lauten, dass “laut offiziellen Angaben” Benutzerkonten bei Apple und Google für die EUDI-Wallet-App “aus Sicherheitsgründen” ausgewählt wurden und die größte Nutzerbasis abdecken. Die Unterstützung “anderer Ökosysteme” werde lediglich geprüft, aber nicht umgesetzt.

Die EU-Kommission überlässt den Mitgliedstaaten die Implementierung der EUDI-Wallet, möchte aber, dass jeder Staat bis Jahresende über eine funktionierende Wallet verfügt. Kein Land scheint dies zu schaffen, heißt es im Tweet.

International Cyber Digest gibt in diesem Tweet Recherchen der Plattform “Follow the Money” zur niederländischem Wallet-App (NL Wallet) als Quelle an. Ich habe mal nachgeschaut, das Projekt NL Wallet ist auf GitHub zu finden. Unter “System requirements” heißt es für die Mobile-App, dass mindestens folgende Betriebssysteme mit erforderlich seien:

• Android 10.0 (API-level 29)
• iOS 15.0

Die EUDI-Wallet-Apps zur Implementierung digitaler Brieftaschen benötigen also ein es der oben genannten Betriebssysteme mit Apple- oder Google-Konto, um zu funktionieren. Ein souveränes europäisches ID-System, das ohne die US-Big-Tech-Konzerne nicht funktioniert. Wird dein Apple- oder Google-Konto gekündigt, bist Du mit der EUDI-Wallet verbrannt. Läuft …

Ähnliche Artikel:
EU-Regulierungen, Prüfverfahren und Digitale Souveränität
Frankreich hat Fahrplan für digitale Souveränität und Linux-Migration der Verwaltung
EU-App zur Altersverifikation in 2 Minuten gehackt
Update für EU-App zur Altersverifikation; gleicher Mist, neu angepinselt?

Der Clinch zwischen einem Sicherheitsforscher mit dem Alias Nightmare Eclipse, der seit März 2026 sechs 0-Day-Schwachstellen mit Exploits in Microsoft-Produkten veröffentlichte, und Redmond geht weiter. Wir haben jetzt “Bitskrieg” und eine Solidarisierung der Security-Szene mit dem Sicherheitsforscher.

Der Schuss Microsofts, der nach hinten los geht

Ich hatte hier im Blog über die Veröffentlichung von 0-day-Schwachstellen inklusive Proof of Concept (PoC) in Microsoft-Produkten (Windows, Bitlocker, Defender) durch einen Sicherheitsforscher mit dem Alias Nightmare Eclipse berichtet (siehe Links am Artikelende). Der Sicherheitsforscher fühlte sich mutmaßlich durch Microsoft über den Tisch gezogen, weil gemeldete Schwachstellen nicht anerkannt und Bug Bounty-Prämien nicht gezahlt wurden.

Microsoft musste als Folge Schwachstellen patchen und warf dem Sicherheitsforscher “Verantwortungslosigkeit” vor. Dann wurde erst das GitHub-Konto von Nightmare Eclipse, auf dem er die PoCs veröffentlicht hatte, gesperrt (GitHub gehört Microsoft). Ich hatte im Beitrag Zoff und Schwarze-Peter-Spiel zwischen ‘Microslop’ und Chaotic Eclipse erste Reaktionen des Sicherheitsforschers auf Microsofts Vorhaltungen reflektiert. Nachdem der Sicherheitsforscher die Exploits auf PoCs eingestellt hatte, wurde auch das GitLab-Konto gesperrt.

Statt frühzeitig zu deeskalieren, goss Microsoft noch mehr Öl ins Feuer und dem Sicherheitsforscher in einem Blog-Post öffentlich vor, die als RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma und MiniPlasma bekannten Sicherheitslücken nicht verantwortungsbewusst offengelegt zu haben. Gleichzeitig verstieg Microsoft sich zu der Drohung, dass Microsofts Digital Crimes Unit weiterhin Verfahren gegen “diese Akteure [Angreifer] und diejenigen, die kriminelle Aktivitäten ermöglichen”, einleiten werde – und dabei bei Bedarf mit Strafverfolgungsbehörden auf der ganzen Welt zusammenarbeite.

Das muss im Kontext als Strafandrohung für Sicherheitsforscher interpretiert werden, die Schwachstellen unkoordiniert offen legen. Ich hatte bereits im Beitrag Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung ausgeführt, dass dieser Schritt Microsofts einfach nur dämlich war. Es gibt meines Wissens keine Gesetze, die eine “verantwortungsvolle Offenlegung” erzwingen.

Ich hatte im Beitrag auch in einem Nachtrag erwähnt, dass sich plötzlich immer mehr Leute auf Plattformen wie X melden, und ähnliche Erfahrungen wie Nightmare Eclipse mit Microsoft berichten. Also: Schwachstellen gemeldet, Monate hingehalten, dann gesagt bekommen, dass es keine Sicherheitslücke sei, oder nicht gepatcht werde. Bug Bounty-Prämien gab es auch keine. Dann haben die Leute im Nachgang festgestellt, dass Schwachstellen doch heimlich gepatcht wurden, etc.

Ich mag nicht ausschließen, dass der Algorithmus auf X besonders viele solcher Negativmeldungen in mein Profil spielt, weil ich darüber berichte. Aber der Tenor dessen, was ich im Internet so mitbekomme, ist, dass die Stimmung der Community der Sicherheitsforscher gegenüber Microsoft nicht die Beste ist. Florian Roth, Head of Research beim Sicherheitsanbieter Nextron, drückt in diesem Tweet aus, was mir quasi auch auf der Zunge lag.

Roth meint, dass er ja nicht wisse, was hinter verschlossenen Türen zwischen Microsoft und Nightmare Eclipse vorgefallen sei. Er wisse auch nicht, ob Microsoft oder der Sicherheitsforscher oder beide “unvernünftig” seien.

Aber Roth schreibt, dass er glaube, dass Microsoft diese Situation völlig falsch eingeschätzt habe. Wenn man der größte Softwareanbieter der Welt ist, dürfe man sich nicht “wie eine wütende Person” in einem Internetstreit verhalten. Repositories zu löschen, von strafrechtlichen Ermittlungen zu sprechen und die ganze Sache zu einem öffentlichen Streit zu machen, war ein Fehler Microsofts, so Roth. Der Schaden, der dadurch entstanden ist, gehe weit über diesen einen Sicherheitsforscher hinaus.

Roth schreibt, was ihn am meisten überrascht habe, sei die Beobachtung gewesen, wie schnell die Leute danach angefangen hätten, ihre eigenen Erfahrungen mit dem Microsoft Security Response Center (MSRC) öffentlich zu teilen. Dabei zieht sich laut Roth folgendes wie eine rote Linie durch die Posts:

• Monate ohne Antwort
• “Funktioniert wie vorgesehen” als Antwort
• Streitigkeiten um Bug Bounty-Prämien
• Meldungen, die ins Leere liefen

Roth meint, dass die Leute nicht plötzlich ohne Grund anfingen, solche Geschichten im Internet zu erzählen. Mich persönlich hat es nicht überrascht. Ich hatte in einem der am Beitragsende verlinkten Beiträge erwähnt, dass ich über Jahre bei Mails von Stefan Kanthak an das MSRT auf cc saß und die Microsoft-Antworten mit bekam. Roth schloss seinen Tweet mit den Worten: “Ich glaube, Microsoft hat hier viel Porzellan zerschlagen.” Ich würde eher das Bild des Elefanten im bewussten Laden mit dem Porzellan bemühen wollen, dass die bei Microsoft für die Eskalation Verantwortlichen abgeben.

“Bitskrieg”: Forscher teilen Schwachstellen

Der Versuch Microsofts, den Sicherheitsforscher zu “kriminalisieren” oder zumindest in die Ecke “der macht Illegales” zu rücken, ist gründlich misslungen. Die Community der Sicherheitsforscher solidarisiert sich mit Nightmare Eclipse.

Windows Central bringt es in obigem Tweet und in diesem Beitrag auf den Nenner. Die Cybersicherheitsbranche sei nach der obigen Entwicklung in Aufruhr, nachdem Microsoft damit gedroht habe, seine “Digital Crimes Unit” wegen der Offenlegung von Zero-Day-Schwachstellen einzuschalten. Nightmare Eclipse hatte bereits am 15. April 2026 in diesem Blog-Beitrag einige Hintergründe zu seinen Beweggründen, eine Schwachstelle direkt öffentlich zu machen, was ausgeführt und schreibt,  “Sie haben mir persönlich gesagt, dass sie mein Leben ruinieren würden, und genau das haben sie getan”.

Der sich aus dem Fall ergebende Aufruhr verdeutliche, so Windows Central, die wachsenden Spannungen zwischen Microsoft und der Sicherheitsgemeinschaft in einer für das Vertrauen entscheidenden Phase.

Noch deutlicher wird obiger Tweet, der die neuesten Entwicklungen darstellt und mir bereits am 30. Mai 2026 untergekommen ist. Nightmare-Eclipse berichtet, dass Sicherheitsforscher ihm nun Schwachstellen kostenlos zur Verfügung stellen. Dies sei offenbar sowohl ein Zeichen der Solidarität, aber auch eine Reaktion auf die Art und Weise, wie Microsoft mit Sicherheitsforschern umgeht.

Den Anfang macht die mit dem Namen “Bitskrieg” bezeichnete Schwachstelle, die die Secure-Boot-Vertrauenskette untergräbt und BitLocker vollständig umgeht. Bolko hatte es vor einigen Stunden in diesem Kommentar thematisiert. Nightmare Exclipse hatte es am späten Freitag, den 29. Mai 2026, im Blog-Beitrag Announcing Bitskrieg selbst bekannt gegeben. Ob und wann er diese Informationen öffentlich macht, wird man sehen müssen. Aber jedem halbwegs denkenden Zeitgenossen dürfte klar sein, dass bei Microsoft sozusagen “einige Sicherheitsleichen im Keller liegen”. Von daher ist das Verhalten der Verantwortlichen aus Redmond doppelt kurzsichtig. Schwachstellen verschwinden ja nicht durch Zensur, das wird sich über kurz oder lang rächen.

Noch einige abschließende Bemerkungen. Auch wenn wir Deutschen den Begriff “Bitskrieg” sofort mit dem zweiten Weltkrieg assoziieren, bin ich mir diesbezüglich nicht so sicher, ob der Entdecker das im Hinterkopf hatte. Es gibt BITSkrieg: Der offizielle Cybersicherheits-Club des BITS Pilani K.K. Birla Goa Campus (Indien). Das ist eine Gruppe von Studierenden, die sich leidenschaftlich dafür interessieren, Softwaresysteme zu knacken, auszunutzen und abzusichern. Und es gibt das Buch “Bitskrieg: The New Challenge of Cyberwarfare“, welches sich mit der neuen Herausforderung der Cyberkriegsführung befasst.Ich vermute, dass der obige Name für die Sicherheitslücke sich aus dieser Richtung ableitet.

Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen ‘Microslop’ und Chaotic Eclipse
Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.