Linux Foundation startet Akrites: Notfall-Reparaturteam für Open Source
03.07.2026 - 01:39:02 | boerse-global.de
Die ersten Verpflichtungen des Cyber Resilience Act (CRA) treten im September 2026 in Kraft – und die Vorbereitungen laufen auf Hochtouren. Während Normungsgremien die technischen Standards finalisieren, erschüttern gleich mehrere Sicherheitsvorfälle die Branche.
Härtetest für die neue Regulierung
Die Dringlichkeit der neuen EU-Vorschriften zeigt sich in einer Serie von Sicherheitslücken, die in den vergangenen Wochen bekannt wurden. Forscher entdeckten ein hartcodiertes Root-Passwort in Yarbo-Rasenmährobotern – einem High-End-Produkt für Verbraucher. Die Schwachstelle erlaubt unbefugten Fernzugriff, den Zugriff auf Kameras und GPS-Daten sowie das Auslesen gespeicherter WLAN-Zugangsdaten. Der Hersteller hat zwar zwei Updates veröffentlicht und zusätzliche Zugriffskontrollen angekündigt. Doch der Vorfall zeigt genau jene Art von „nicht patchbaren" Hintertüren, die der CRA durch verpflichtendes Security-by-Design künftig verhindern soll.
Auch der indische Markt für Elektrofahrzeuge sorgt für Unruhe. Nach viralen Videos, die unbefugten Bluetooth-Zugriff auf Batteriemanagementsysteme (BMS) von E-Autos demonstrierten, warnte das Sicherheitsunternehmen TraceX Labs Anfang Juli vor konkreten Risiken. Die Empfehlung: Standardpasswörter ändern und Bluetooth-Werbung deaktivieren.
Normungsarbeit in Schweden
In Linköping, Schweden, arbeitet derzeit die Arbeitsgruppe CEN/CENELEC JTC 13 WG 9 an den finalen Standards. Rund 55 Experten treffen sich vom 29. Juni bis 3. Juli 2026, um die EN 40000-1-Serie fertigzustellen. Diese horizontalen Normen sollen Unternehmen den technischen Rahmen für die CRA-Compliance liefern – insbesondere bei der Meldung von Schwachstellen und der Bereitstellung von Sicherheitsupdates.
Neben den technischen Standards des CRA rücken auch neue KI-Regulierungen in den Fokus der Compliance-Abteilungen. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über alle Anforderungen, Pflichten und Fristen, die Unternehmen jetzt kennen müssen. EU AI Act in 5 Schritten verstehen
Parallel dazu hat die Eclipse Foundation am 30. Juni 2026 den Open Regulatory Compliance (ORC) Learning Hub gestartet. Die Plattform bietet kostenlose Schulungsmodule zur Schwachstellenbehandlung und zum Coordinated Vulnerability Disclosure (CVD) -Prozess. Weitere Module zur Erstellung von Software-Stücklisten (SBOM) und automatisierten Patch-Protokollen sind in Planung.
Das offene „Patch-Gap"
Die Open-Source-Community steht vor einem massiven Ungleichgewicht zwischen Entdeckungs- und Reparaturgeschwindigkeit. Eine Analyse des Claude Mythos Preview von Anthropic aus dem Frühjahr 2026 identifizierte 1.596 bestätigte Schwachstellen in über 23.000 Code-Pfaden. Die Studie dokumentiert eine alarmierende Lücke: Täglich werden 25 neue Sicherheitslücken entdeckt, aber nur 1,5 werden durchschnittlich geschlossen. Gerade einmal sechs Prozent der identifizierten Fehler hatten zum Zeitpunkt der Offenlegung einen verfügbaren Patch.
Verschärft wurde die Lage am 27. Juni 2026, als ein Forscher unter dem Pseudonym „bikini" das „Exploitarium"-Repository auf GitHub veröffentlichte. Der Datendump enthielt über 30 Zero-Day-Proof-of-Concept-Exploits für große Projekte – darunter den Linux-Kernel, FFmpeg und libssh2 – ohne vorherige Benachrichtigung der Maintainer. Eine kritische Schwachstelle zur Remote-Code-Ausführung in libssh2 (CVE-2026-55200) erhielt einen CVSS-Score von 9,2, bevor sie gepatcht wurde.
Die steigende Zahl an Software-Schwachstellen zeigt, wie wichtig eine proaktive IT-Sicherheitsstrategie für moderne Betriebe ist. In diesem Gratis-E-Book erfahren Unternehmer, wie sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne teure Investitionen erfüllen können. IT-Sicherheit ohne teure Investitionen stärken
Linux Foundation startet „Akrites"-Initiative
Als Antwort auf diese systemischen Risiken hat die Linux Foundation am 2. Juli 2026 die Akrites-Initiative ins Leben gerufen. Unterstützt von Technologiegiganten wie Microsoft, Google, NVIDIA und OpenAI sowie Finanzinstituten wie JPMorganChase, soll die Initiative einen einheitlichen Rahmen für die Schwachstellenbehebung schaffen. Akrites versteht sich als „Maintainer der letzten Instanz" – um kritische Sicherheitslücken auch dann zu schließen, wenn die ursprünglichen Projektbetreuer nicht über die nötigen Ressourcen verfügen.
Bedrohungslage verschärft sich
Die Marktforscher von Check Point beobachten einen grundlegenden Wandel der Bedrohungslandschaft: Software-Schwachstellen sind inzwischen für 42,6 Prozent der kritischen Expositionen verantwortlich – mehr als eine Verdopplung gegenüber 18,7 Prozent im Jahr 2025.
Besonders betroffen bleibt der Gesundheitssektor. Laut SonicWall verzeichneten Krankenhäuser und Gesundheitsorganisationen in der ersten Jahreshälfte 2026 durchschnittlich über 100.000 Malware-Treffer pro Firewall. Erschwerend kommt hinzu, dass nur 5,7 Prozent der Organisationen volle Transparenz über ihre Service-Konten und statischen Zugangsdaten haben – genau jene Bereiche, die unter dem CRA künftig als Compliance-Risiken gelten.
