Weekly Backlog KW 52/2025

Editorial

Heiligabend ist traditionell der Moment, in dem man sich einredet, dass dieses Jahr jetzt wirklich nichts Kritisches mehr passiert. Die Pager sind leise, die Deploy-Fenster geschlossen, und irgendwo wird noch schnell ein „fix nach den Feiertagen" ins Ticket geschrieben.

2025 hält sich nicht an diese Konvention. Statt Jahresrückblick liefert KW 52 noch einmal eine verdichtete Lektion darüber, worum es eigentlich ging: Vertrauen in Infrastruktur, Macht über Regeln und die Frage, wer Systeme wirklich kontrolliert.

Diese Ausgabe ist deshalb etwas länger. Nicht aus Nostalgie – sondern weil viele der Themen mehr sind als News. Sie sind Symptome.

Die Tech-News der Woche

Kritische Cisco-Schwachstelle: Vertrauen ist keine Sicherheitsarchitektur

Der Bundesamt für Sicherheit in der Informationstechnik (BSI) -Hinweis zur Schwachstelle CVE-2025-20393 in mehreren auf AsyncOS basierenden Cisco-Produkten ist auf den ersten Blick ein klassischer Security-Fall: Remote Code Execution mit Root-Rechten, CVSS 10.0, Angriffe offenbar seit mindestens November aktiv.

Auf den zweiten Blick erzählt der Vorfall eine deutlich unbequeme Geschichte. Betroffen sind ausgerechnet Systeme, die Unternehmen einsetzen, um ihre Kommunikation abzusichern: Cisco Secure Email Gateway und der Secure Email and Web Manager. Komponenten also, die tief im Mailverkehr sitzen, Entscheidungen treffen, Inhalte filtern – und damit per Definition hochprivilegiert sind.

Cisco und BSI weisen korrekt darauf hin, dass eine erfolgreiche Ausnutzung bestimmte Voraussetzungen braucht. Das Spam-Quarantine-Feature muss aktiviert und aus dem Internet erreichbar sein – keine Default-Konfiguration. Aber genau hier liegt das strukturelle Risiko: Sicherheitsprodukte werden in der Praxis fast immer angepasst, exponiert, „noch schnell integriert". Nicht aus Leichtsinn, sondern aus betrieblichen Notwendigkeiten.

Besonders problematisch ist die zeitliche Dimension. Wenn Angriffe bereits Wochen vor öffentlicher Warnung stattfinden, müssen Betreiber davon ausgehen, dass Systeme kompromittiert sein können, bevor Patches oder Workarounds greifen. Für Incident Response ist das ein denkbar schlechter Startpunkt.

Der eigentliche Lerneffekt liegt daher nicht in der konkreten CVE, sondern im Betriebsmodell. Marktführerschaft, Zertifizierungen und Sicherheitsmarketing ersetzen kein eigenes Threat Modeling. Je zentraler ein Produkt ist, desto attraktiver wird es als Angriffsfläche. Sicherheit entsteht nicht durch das Label „Security Appliance", sondern durch restriktive Konfiguration, Monitoring und die Bereitschaft, auch unbequeme Architekturentscheidungen zu hinterfragen.

🔗 https://www.linkedin.com/posts/bsibund_bsi-it-sicherheitshinweis-zu-cisco-activity-7407793116444782592-JYBI/

Internet Governance nach WSIS+20: Stabilisiert – aber nicht entschieden

Kurz vor Weihnachten hat die UN-Generalversammlung beschlossen, das Internet Governance Forum (IGF) dauerhaft als Institution zu verankern. Formal ist das ein Fortschritt. Politisch ist es vor allem ein Zwischenstand.

Der von Sophia Longwe auf netzpolitik.org analysierte Prozess zeigt, worum es im Kern ging: um Macht. Um die Frage, ob die Regeln des Netzes weiterhin im Multistakeholder-Modell ausgehandelt werden – gemeinsam von Staaten, Zivilgesellschaft, technischer Community und Wirtschaft – oder ob Regierungen langfristig mehr Kontrolle an sich ziehen.

Die Verstetigung des IGF sichert Kontinuität und verschafft dem Forum mehr Stabilität. Gerade für Akteure aus der Zivilgesellschaft ist das wichtig, weil das IGF bisher oft finanziell und politisch auf wackeligen Füßen stand. Auch das klare Bekenntnis der Bundesregierung zum offenen Internet wird im Beitrag ausdrücklich positiv hervorgehoben.

Gleichzeitig enthält die Resolution Formulierungen, die eine stärkere Rolle von Regierungen nahelegen. Der erzielte Konsens verdeckt dabei, wie umkämpft diese Fragen tatsächlich waren. Dass Länder der G77 hier andere Vorstellungen haben als die EU, ist kein Detail, sondern ein Hinweis darauf, dass das Multistakeholder-Modell alles andere als gesichert ist.

Besonders kritisch ist der Blick auf die nationale Ebene. Während international Beteiligung beschworen wird, bleibt sie in Deutschland oft selektiv oder spät. Projekte wie der Deutschland-Stack zeigen, dass Multistakeholder-Rhetorik nicht automatisch zu struktureller Mitwirkung führt.

WSIS+20 war damit kein Abschluss, sondern eine Wegmarke. Ob das offene Internet politisch überlebt, entscheidet sich nicht in Resolutionen, sondern in der konkreten Ausgestaltung von Beteiligung – global wie national.

🔗 https://netzpolitik.org/2025/internet-governance-ein-weihnachtswunder-der-internationalen-digitalpolitik/

Warum KI Junior-Developer nicht ersetzt – und Unternehmen sich sonst selbst schaden

In vielen KI-Debatten taucht ein vertrautes Muster auf: Effizienzgewinne werden mit dem Abbau von Einstiegspositionen gleichgesetzt. Matt Garman, CEO von AWS, widerspricht diesem Denken deutlich – und zwar nicht aus sozialromantischen Gründen, sondern aus Organisationslogik.

Garman verweist darauf, dass gerade Junior-Developer oft besonders routiniert mit KI-Tools umgehen. Sie haben diese Technologien bereits im Studium oder in frühen Jobs eingesetzt und nutzen sie selbstverständlich zur Code-Generierung, Analyse und Optimierung. Daten wie die Stack Overflow Developer Survey 2025 stützen diese Beobachtung.

Hinzu kommt eine nüchterne Kostenrechnung. Junior-Positionen sind vergleichsweise günstig. Wer sie abbaut, spart kurzfristig wenig, riskiert aber langfristig erhebliche Folgekosten: fehlender Nachwuchs, Wissenslücken, spätere teure Neueinstellungen. Studien zeigen, dass einige Unternehmen nach KI-bedingten Entlassungen am Ende sogar höhere Gesamtkosten hatten.

Der zentrale Punkt ist jedoch struktureller Natur. Organisationen, die keine Einstiegsrollen mehr anbieten, unterbrechen ihre eigene Talentpipeline. Erfahrung entsteht nicht im luftleeren Raum, sondern durch Lernen im Betrieb. KI verändert Aufgabenprofile, aber sie ersetzt nicht den Prozess, in dem Menschen Verantwortung für Systeme übernehmen.

Garmans Aussage ist damit weniger eine Verteidigung von Junior-Entwicklern als eine Warnung vor kurzsichtiger Strategie. KI ist ein Werkzeug. Wer glaubt, damit Ausbildung, Mentoring und Wissensaufbau überspringen zu können, baut sich ein Skalierungsproblem ein.

🔗 https://www.finalroundai.com/blog/aws-ceo-ai-cannot-replace-junior-developers

🔍 Tools, Trends & Open Source

Freie Office-Alternativen: Souveränität entsteht im Alltag, nicht im Beschluss

Der heise-Bericht über den Einsatz freier Office-Lösungen zeigt, wie viel Pragmatismus nötig ist, um digitale Souveränität tatsächlich umzusetzen. Für Privatanwender ist LibreOffice meist eine triviale Alternative. Für Behörden und große Organisationen ist es ein strategisches Projekt.

Die Beispiele aus Schleswig-Holstein, Schwäbisch Hall oder dem österreichischen Bundesheer zeigen, dass der Umstieg funktioniert – allerdings nicht ohne Kompromisse. Selbst Vorreiter behalten einzelne Microsoft-Lizenzen dort, wo Fachverfahren technisch eng gekoppelt sind. Entscheidend ist jedoch: Keine der Organisationen plant eine Rückkehr zu Microsoft als Standard.

Schleswig-Holstein ist besonders weit gegangen. Rund 80 Prozent der Office-Lizenzen sind ausgelaufen, zehntausende Arbeitsplätze nutzen LibreOffice, Thunderbird und Nextcloud mit Collabora. Der politische Anspruch ist klar: Abhängigkeiten reduzieren, Kontrolle zurückgewinnen.

Finanziell rechnet das Land ab 2026 mit Einsparungen von über 15 Millionen Euro jährlich. Wichtiger ist jedoch, dass die Investitionen – Migration, Schulung, Weiterentwicklung – nicht verpuffen, sondern direkt in Open-Source-Projekte zurückfließen. Die konsequente Umstellung auf ODF spielt dabei eine zentrale Rolle.

Der Bericht verschweigt nicht die Schwächen freier Office-Suiten. Dokumentenvergleich, Pivot-Tabellen oder Diagramme sind teilweise ausbaufähig. Das Beispiel Schleswig-Holstein zeigt aber auch, wie man damit umgeht: durch gezielte Beauftragungen und Upstream-Beiträge. Open Source wird so vom Kompromiss zum Gestaltungsinstrument.

🔗 https://www.heise.de/ratgeber/Die-Erfahrungen-von-Behoerden-und-Unternehmen-mit-freien-MS-Office-Alternativen-11069385.html

Digitale Souveränität in Europa: Entscheidungen schlagen Bekenntnisse

Der Beitrag von The Register räumt mit einem beliebten Missverständnis auf: Digitale Souveränität ist kein Marketingbegriff, sondern eine Frage von Eigentum, Rechtsraum und Kontrolle. Die oft zitierte Zahl, wonach rund 90 Prozent der europäischen digitalen Infrastruktur in der Hand nicht-europäischer Anbieter liegen, ist dabei mehr als Statistik.

Der US CLOUD Act macht deutlich, warum das relevant ist. Er erlaubt US-Behörden den Zugriff auf Daten von US-Unternehmen – unabhängig vom Speicherort. Für europäische Organisationen kollidiert das direkt mit Datenschutz- und Compliance-Anforderungen.

Einige Institutionen ziehen daraus inzwischen operative Konsequenzen. Das österreichische Wirtschaftsministerium setzt bewusst auf Nextcloud statt auf einen US-Cloud-Dienst. Der Internationale Strafgerichtshof hat Microsoft-Produkte durch eine europäische Open-Source-Lösung ersetzt. Motiv ist nicht Kostensenkung, sondern Steuerungsfähigkeit.

Der Artikel zeigt aber auch die Grenzen dieser Strategie. Selbst europäische Anbieter bieten keine dauerhafte Sicherheit, wenn sie aufgekauft werden können. Der geplante Verkauf von Solvinity illustriert, wie schnell Souveränität verloren gehen kann – legal und leise.

Die Kritik von Cristina Caffarra trifft deshalb einen wunden Punkt: Europas Problem ist weniger Regulierung als fehlende Industriepolitik. Ohne strategische Beschaffung und Schutz eigener Anbieter bleibt Souveränität ein Anspruch ohne Substanz.

🔗 https://www.theregister.com/2025/12/22/europe_gets_serious_about_cutting/

US-Sanktionen gegen HateAid: Wenn Rechtsdurchsetzung zur Eskalation wird

Die Sanktionen des US-Außenministeriums gegen Vertreterinnen von HateAid markieren eine neue Eskalationsstufe im Konflikt um digitale Regulierung. Der Vorwurf, Teil eines „globalen Zensur-industriellen Komplexes" zu sein, zielt nicht auf Einzelfälle – er richtet sich gegen den Digital Services Act selbst.

HateAid agiert als Trusted Flagger, eine Rolle, die im DSA ausdrücklich vorgesehen ist. Trusted Flagger melden mutmaßlich rechtswidrige Inhalte, entscheiden aber nicht über deren Entfernung. Diese Entscheidung bleibt bei den Plattformen. Auch die Beteiligung an Beratungsgremien der Bundesnetzagentur erfolgt auf gesetzlicher Grundlage.

Spätestens mit der Sanktionierung von Thierry Breton wird deutlich, dass es hier um mehr geht als um NGOs. Europäische Digitalregulierung wird delegitimiert, ihre Durchsetzung als politische Einflussnahme dargestellt.

Die Konsequenzen sind real: Einreiseverbote, mögliche Einschränkungen bei Plattform- oder Zahlungsdiensten. Vor allem aber entsteht ein Präzedenzfall. Wenn demokratisch beschlossenes europäisches Recht international als feindlicher Akt behandelt wird, gerät seine Durchsetzbarkeit unter Druck.

Jetzt sind EU-Kommission und Bundesregierung gefragt. Nicht mit Symbolpolitik, sondern mit klarer Positionierung: Europäisches Recht gilt in Europa – unabhängig vom Unternehmenssitz.

🔗 https://www.digitalpolitik.de/usa-gehen-gegen-hateaid-vor/

Kubernetes:

Kubernetes 1.35 „Timbernetes": Betrieb statt Überraschung

Mit Version 1.35 zeigt Kubernetes erneut, dass Reife nicht Stillstand bedeutet. 60 Enhancements, dazu klare Deprecations – das Release ist weniger flashy, aber dafür operativ relevant.

Besonders wichtig ist die GA-Freigabe von In-Place Updates für Pod-Ressourcen. CPU und Memory lassen sich nun anpassen, ohne Pods neu zu starten. Für stateful oder batch-lastige Workloads ist das ein echter Fortschritt und reduziert vermeidbare Unterbrechungen.

Im Bereich Identität wird es mit Pod Certificates konkreter. Als Beta liefert Kubernetes nun native Zertifikate mit automatischer Rotation aus. Der kubelet übernimmt Schlüsselgenerierung und Zertifikatsanfragen, der API-Server erzwingt Node-Restrictions bereits bei Admission. Das reduziert Komplexität und Angriffsflächen – besonders für Zero-Trust-Setups.

Gleichzeitig zwingt das Release zu Entscheidungen. Ingress NGINX wird faktisch abgekündigt, cgroup v1 ist entfernt, containerd 1.x erreicht den letzten Unterstützungszyklus. Wer v1.35 einsetzt, muss seine Plattform kennen.

„Timbernetes" ist damit kein Komfort-Release, sondern ein Zeichen von Projektgesundheit. Kubernetes wird nicht einfacher – aber ehrlicher.

🔗 https://kubernetes.io/blog/2025/12/17/kubernetes-v1-35-release/

In-Beitrag der Woche

Dirk Schrödter : Open Source als öffentliches Gut

Das Projekt startuphafen.sh aus Schleswig-Holstein ist ein seltenes Beispiel dafür, wie Verwaltungsdigitalisierung aussehen kann, wenn man sie ernst meint. Kein Pilot, kein PDF, sondern ein nutzbares Portal für Gründung und Nachfolge – inklusive BundID-Anbindung.

Entscheidend ist nicht nur die Funktionalität, sondern das Modell dahinter. Der Code liegt auf OpenCode, GPL-lizenziert, zur Nachnutzung gedacht. Open Source ist hier kein Feigenblatt, sondern Teil der Architektur.

Das Landesprogramm „Offene Innovation" zeigt, dass Verwaltung Software bauen, veröffentlichen und teilen kann – wenn der politische Wille da ist. Nicht Standards zuerst, sondern funktionierende Lösungen, die andere übernehmen können.

🔗 https://www.linkedin.com/posts/dirk-schrödter-012866226_unternehmen-bund-will-24-stunden-gründung-activity-7406640045320769539-CEB-/

🎙 Podcast-Empfehlung

KI-Förderung in Europa: Ohne Infrastruktur keine Souveränität

Christian Gilcher (Dr.-Ing.) von embraceable AI bringt im Computerwoche-Podcast eine unbequeme Perspektive ein. Milliardenförderung für KI-Anwendungen schafft Innovation – aber keine Unabhängigkeit, solange Infrastruktur und Plattformen extern kontrolliert werden.

Gilcher unterscheidet klar zwischen Risiko und Wertschöpfung. Wer KI auf Hyperscalern betreibt, verlagert nicht nur Daten, sondern auch wirtschaftliche Effekte. Gleichzeitig warnt er vor Illusionen: Eine kurzfristige Ablösung der großen Anbieter ist unrealistisch.

Sein Plädoyer ist pragmatisch: Parallelstrukturen aufbauen, Risiken diversifizieren, europäische Kontrolle schrittweise stärken. Souveränität entsteht nicht durch Ankündigungen, sondern durch langfristige Investitionen in eigene Grundlagen.

🔗 https://www.computerwoche.de/podcast/4095749/scheinsouveranitat-mit-christian-gilcher-embraceable-ai.html

🎄 Zum Schluss

Open Source unterm Tannenbaum – frei im Code, nicht fest im Traum. Kubernetes hält uns stabil, Souveränität ist unser Ziel.

Und AWS, Azure, Google Cloud singen: „Komm, wird billig!" – laut. Bis du siehst, was wirklich zählt: Wer dich bindet, hat die Welt.