# Pentaradio vom 28. April 2026
# Titel: "Verified Listener"

Mit Mole, Simon und Xyrill.

Im April hat vieles versagt: Der Tech-Journalismus ist weiterhin größtenteils unfähig, Pressemitteilungen über neue ✨KI✨-Modelle kritisch zu hinterfragen. Software ist weiterhin ein kaputter Schrotthaufen voller Sicherheitslücken. Und wir können nicht mal unser Mischpult überreden, Musik einzuspielen. Wenn ihr hören wollt, was sonst noch so los war, nehmt Platz und zieht eine Nummer. Auf Basis der Live-Sendung vom 28. April 2026.

## Check-In

Die Tischhöhe ist 114,4 Meter über Normalhöhennull.

Dominic schreibt:

> Ich möchte den Tischpegel vom März lösen.
> Da Standardbutterstücken 250g schwer sind und 10cm lang denke ich das bei einem Gewicht von 2650g die Tischhöhe bei 106cm liegt.

Korrekt, und vielen Dank für den Kuchen!

urs schreibt:

> Tischhöhe: 2,65kg Butter
> Das Stück Butter zu 250g hat eine Größe von 6x10x12,5cm. Ein kg Butter bestehend aus 4x250g-Stücken kann ich auf verschiedene Arten stapeln.
> Somit hat ein kg Butter die Höhe von 24, 40 oder 50cm.
> Euer Tisch hat also die Höhe von 63,6, 106 oder 132,5cm. Also eine große Bandbreite von Niedrigtisch und Stehtisch für Große.

Da ist zwar die richtige Lösung dabei, aber bei diesen Zahlen sind wir skeptisch. Mit einer Dichte von 911 kg/m³ wäre ein Butterstück mit diesen Abmessungen 683,25 g schwer, und nicht wie normal 250 g.

## Richtigstellungen

- Mole sprach von einem übersetzer von SIP auf VoIP. Ich hoffe ihr habt alle ordentlich gelacht. Es muß natürlich VoIP/SIP zu ISDN und oder Analog [FXS/FXO](https://www.3cx.de/voip-sip/fxs-und-fxo/) sein
- Xyrill meinte das es keine in der USA hergestellten SOHO Router gibt. Falsch [Ubiquiti](https://de.wikipedia.org/wiki/Ubiquiti_Networks) macht schönes Zeugs was man auch hier kaufen kann (z.b. [Dream Router 5G](https://eu.store.ui.com/eu/en/category/cloud-gateways-wifi-integrated/products/udr-5g-max-eu)).
    - Antwort: Ich kann keine Quelle finden, die bescheinigt, dass alle für dieses Modell relevanten Chips in den USA produziert wurden. Es geht nicht nur um Endfertigung; [siehe FAQ der FCC](https://www.fcc.gov/faqs-recent-updates-fcc-covered-list-regarding-routers-produced-foreign-countries): "The National Security Determination states that 'production generally includes any major stage of the process through which the device is made including manufacturing, assembly, design, and development.'" ("Der Erlass besagt, dass 'Produktion im Allgemeinen alle wesentlichen Schritte des Herstellungsprozesses umfasst, inklusive Fertigung, Montage, Design und Entwicklung.'")
    - [Zu der Sache: Netgear exempt from Router Ban](https://gizmodo.com/fcc-exempts-netgear-from-foreign-made-router-ban-for-some-reason-2000746580)
        - Das stützt meine (Xyrills) Theorie vom letzten Mal. Jede Berichterstattung dazu betont, wie sehr diese Entscheidung von der FCC nicht begründet wurde.
        - Und natürlich ist der Netgear-Aktienkurs mit der Ankündigung vorhersehrbar in die Höhe geschoßen. Hm...
    - [Gute Erklärung dazu: Ubiquiti, MikroTik ist wahrscheinlich nicht gesperrt](https://www.youtube.com/watch?v=x_ISVltAcpc)
        - Das operative Wort ist "wahrscheinlich". Erstens, _existierende_ Ubiquiti-Modelle dürfen weiter verkauft werden... aber nur bis Anfang 2027 Sicherheits-Updates erhalten (mit nebulöser Möglichkeit, dass die Frist eventuell verlängert wird). Und zweitens, MikroTik stellt in Litauen und Lettland her, weswegen der Videomacher es für "wahrscheinlich" hält, dass es sich nicht gegen die richtet. Aber das ist halt nur Kaffeesatzleserei.
        - Die wesentliche gute Nachricht da: Es geht nur um Plasterouter, die sich explizit an Endkunden richten. Selbstbaulösungen wie pfSense fallen nicht drunter.

## Feedback

Mole schreibt:

> Feedback in eigener Sache: zu der ChatGPT-Facharbeits-Anekdote. Die Lehrerin hat jetzt per Lernsax zurück gemeldet das man durch die Benutzung von ChatGPT doch die Gramatik hätte verbessern können

Mia schreibt:

> Hej aus Dänemark!
> Ihr habt nach hörenden aus dem Ausland gefragt, und obwohl ich gerade kurz davor bin in Deutschland zu sein um Familie zu besuchen, lebe und höre ich normalerweise das Pentaradio in Dänemark. 
> Hier lässt sich viel von Deutschland inspirieren, was im durchdachten Umgang mit Digitaltechnologien dank CCC und den vielen anderen guten Organisationen in Deutschland etwas sehr Gutes bedeutet, deshalb danke an euch und allen hörenden die coole Dinge machen. Ihr habt wahrscheinlich größeren Einfluss als ihr wisst.
> Ich möchte die Gelegenheit auch einmal nutzen um mich für PentAwesome zu bedanken. So wichtig es auch ist, schlechte Entwicklungen zu besprechen und zu bekämpfen, entsteht nachhaltiger Fortschritt meiner Meinung nach dadurch, dass gute neue Dinge erschaffen werden. Es freut mich deshalb sehr, wenn solche positiven Dinge hervorgehoben werden.
>
>Med venlig hilsen (mit freundlichen Grüßen), Mia

Urs schreibt:

> Thema 2
> Bei Antennapod (F-Droid) sehen die Shownotes (siehe Anlage) aus, Kapitel sind vorhanden. Bei der Kapitelliste können auch Links in der ersten Zeile hinter der Kapitelüberschrift angeklickt werden. 
Schöner wäre, wenn die Shownotes nicht nur als TXT oder HTML verlinkt sind, sondern direkt angezeigt werden.
>
> Thema Podcast hören auf dem Fahrrad
> Ich höre Euch gern auf dem Fahrrad mit meinem Fahrradhelm mit eingebauter Freisprecheinrichtung. Bei diesen Fahrradhelmen sind 2 kleine Lautsprecher über den Ohren positioniert (und ein Mikro vorne). Dadurch kann ich sowohl den Podcast, als auch den Verkehr hören. 
> Der Nachteil ist allerdings, dass auch andere Menschen in der nächsten Umgebung mitbeschallt werden. 
> ...
> Ihr habt nach eurer Werbung gefragt: Macht doch mal wieder Werbung für die Datenspuren oder DI.Day
> Ich höre Euch immer und sehr gerne, auch wenn ich mich jetzt das erste Mal geäußert habe. Ihr könnt also den Zähler der Hörer um 1 inkrementieren.

## News

Sicherheitslücken-Watch:

- [CCC deckt Sicherheitslücken in Kanzleisoftware "RA-Micro Essentials" auf](https://www.ccc.de/de/updates/2026/kanzleisoftware-in-der-cloud-lasst-daten-regnen)
    - "\[Dank einer\] Vielzahl von Schwachstellen \[...\] war es möglich, auf schlecht verschlüsselte Backups, Ermittlungsakten aus Strafverfahren, Adressdaten, E-Mails und Zugangsdaten zuzugreifen."
    - Auswahl der Probleme: "Die eingesetzte Verschlüsselung basiert auf ZipCrypto, einem Verfahren, das seit Jahren als veraltet und unsicher eingestuft wird." ... "Auch auf die Passwörter der Nutzenden konnte zugegriffen werden, da diese ungehasht in der Datenbank gespeichert wurden." ... "Private TLS-Schlüssel für mehrere ra-micro.de-Subdomains konnten über eine API abgerufen und E-Mails im Namen von RA-MICRO versendet werden." ... "All diese Schwachstellen wurden im August 2025 gemeldet. Wir sind gespannt, wie die juristisch geschulte Kundschaft des Unternehmens diese Vielzahl fahrlässiger Verstöße gegen technische und rechtliche Grundanforderungen bewerten."
- [CrackArmor](https://blog.qualys.com/vulnerabilities-threat-research/2026/03/12/crackarmor-critical-apparmor-flaws-enable-local-privilege-escalation-to-root)
    - Die Sicherheitslücken "erlauben unprivilegierten Nutzern, Kernel-Schutzlinien zu umgehen, zu Root-Zugriff zu eskalieren, und aus Container-Isolationen auszubrechen, \[... durch\] Manipulieren von Sicherheitsprofilen durch Pseudodateien, Umgehen von User-Namespace-Restriktionen und Ausführen von Code mit Kernel-Privilegien."
- [Strava verrät mal wieder militärische Geheimnisse](https://www.zdfheute.de/politik/ausland/strava-app-flugzeugtraeger-frankreich-100.html)
    - "Dem 'Le Monde'-Bericht zufolge konnten in den vergangenen Wochen über das Strava-Konto des Soldaten immer wieder Jogging-Aktivitäten nachvollzogen werden - vom Ärmelkanal über Kopenhagen bis ins östliche Mittelmeer, jeweils auf oder in der Nähe seines Flugzeugträgers Charles de Gaulle."
    - [nicht](https://www.mapulus.com/blog/strava-fitness-tracker-military-secrets-location-data) [das](https://www.bbc.com/news/technology-42853072) [erste](https://www.wired.com/story/strava-heat-map-military-bases-fitness-trackers-privacy/) [Mal](https://www.inguardians.com/brief/strava-heatmap-exposes-sensitive-military-bases-invokes-the-law-of-unintended-consequences/), dass Strava so die OSINT bereichert
- [Malware in JavaScript-Bibliothek Axios](https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan)
    - "In Axios selbst sind null Zeilen Schadcode \[...\] Beide infizierten Versionen enthalten eine Fake-Abhängigkeit, `plain-crypto-js@4.2.1`, die niemals im Axios-Code importiert wird. Ihr einziger Zweck ist die Ausführung eines Post-Install-Skripts, der \[einen Trojaner für macOS, Windows oder Linux installiert\]."
- [EU-App zur Altersverifikation "in weniger als zwei Minuten" gehackt](https://www.heise.de/-11262838)
    - "Sensible Daten \[bleiben\] ungeschützt auf dem Gerät \[...\] So werden PIN-Codes unzureichend gesichert, Ratenbegrenzungen lassen sich durch das Zurücksetzen einfacher Konfigurationsdateien aushebeln, die biometrische Authentifizierung ist mit einem Klick deaktivierbar."
    - "Der Kryptologe Olivier Blazy sieht ein praktisches Problem: 'Nehmen wir an, ich lade die App herunter und beweise, dass ich über 18 bin. Dann kann mein Neffe mein Telefon nehmen, die App entsperren und sie nutzen, um sich selbst als volljährig auszuweisen.'"
- Australien sorgt für Junghackernachwuchs: [60% aller Jugendlichen umgehen die Social-Media-Sperre, u.a. mit VPN und Gesichtsmasken](https://fortune.com/2026/04/25/australia-social-media-ban-isnt-working-teens-sidestepping-restrictions/)
- Damit wir auch in Zukunft kraftvoll Daten verlieren können: [Mal wieder Zeit für Vorratsdatenspeicherung](https://netzpolitik.org/2026/dritter-versuch-bundesregierung-beschliesst-anlasslose-vorratsdatenspeicherung/)
    - "Das ist bereits das dritte Gesetz zur Vorratsdatenspeicherung in Deutschland. Sowohl das erste Gesetz von 2007 als auch das zweite Gesetz von 2015 wurden von höchsten Gerichten gekippt." Also sind wir rein rechnerisch überfällig. :)
    - "Die verfassungswidrigen Vorgänger-Gesetze wurden mit Terrorismus begründet. Die Bundesregierung begründet das neue Gesetz mit Fake-Shops und digitaler Gewalt."
    - Die Verfassungsklage schreibt sich von selbst: "Berufsgeheimnisträger sollen nicht geschützt werden, das hatten unter anderem Medien-Vereinigungen vergeblich gefordert."

Microsoft-Bashing:

- [Microsoft sperrt Accounts von wichtigen Open-Source-Entwicklern](https://www.bleepingcomputer.com/news/microsoft/microsoft-suspends-dev-accounts-for-high-profile-open-source-projects/)
    - inkl. der Maintainer von WireGuard, VeraCrypt, MemTest86, Windscribe VPN
    - Begründung von MS: Benutzerkonten, die nicht die Account-Verifizierung durchlaufen haben, wurden aus dem Windows Hardware Program geworfen -> offenbar keine manuelle Prüfung von High-Profile-Entwicklern
- [LinkedIn spioniert seine Benutzer aus](https://www.golem.de/news/vorwuerfe-gegen-microsofts-jobnetzwerk-linkedin-soll-nutzer-systematisch-ausspionieren-2604-207453.html)
    - "Der deutsche Verein Fairlinked, dem geschäftliche Linkedin-Nutzer angehören, bezichtigt das US-amerikanische Karrierenetzwerk systematischer Datenschutzverstöße und des Ausspionierens und Diebstahls von Geschäftsgeheimnissen. Nach Erkenntnissen der Anwendervereinigung sammelt die Microsoft-Tochter durch eingeschleusten Javascript-Code bei der Verwendung ihrer Dienste heimlich massenhaft Daten."
- Kalenderblatt: [10 Jahre seit dem "npm left-pad incident"](https://en.wikipedia.org/wiki/Npm_left-pad_incident)
- Überleitung zu ✨KI✨: [Copilot heißt jetzt Twix...](https://www.neowin.net/opinions/microsoft-isnt-removing-copilot-from-windows-11-its-just-renaming-it/) 
    - Pentaradio ~~berichtete~~ hat das vorhergesagt

Vermischtes:

- ✨KI✨: [Claude Mythos zu gefährlich?](https://www.heise.de/-11248061)
    - [offenbar nicht so gefährlich, dass man AuthZ nicht vibe-coden kann](https://www.reddit.com/r/ClaudeAI/comments/1ss2hgz/anthropics_mythos_model_is_being_accessed_by/)
    - Wenn überhaupt, ist die Konsequenz, [dass das Aussitzen von schlechter Codequalität nicht mehr praktikabel ist](https://sockpuppet.org/blog/2026/03/30/vulnerability-research-is-cooked/), vgl. Fefes Diktum der [Bug-Welle](https://media.ccc.de/v/36c3-10608-das_nutzlich-unbedenklich_spektrum).
    - Außerdem: ["Dies ist einer der Punkte der LLM-Betrugsmasche, den Leute oft übersehen. Aktuell glauben Leute, dass LLMs gut sind, in sinnvoller Zeit zu antworten. \[Aber\] man muss die Antwortzeit mit der Anzahl parallel rechnender Prozessoren multiplizieren, um das vernünftig einzuschätzen. \[...\] Sie verstecken es einfach hinter mehreren Rechnern und tun so, als ob es nicht Bruteforcing, sondern Denken sei."](https://toot.cat/@clarfonthey/116325214490759351)
- [Amazon macht alte Kindles zu Briefbeschwerern](https://www.inside-digital.de/news/amazon-aenderung-bei-kindles-ab-20-mai-sind-viele-unbrauchbar-buecher)
    - "Zum 20. Mai 2026 können über ältere Kindle-Reader und Fire-Tablets\[, die 2012 oder davor auf den Markt gekommen sind,\] keine neuen Bücher mehr heruntergeladen werden. Das gilt auch für bereits gekaufte Titel, die du noch nicht auf dem Gerät downgeloadet hast. Die Bibliothek auf deinem Kindle oder Fire-Tablet friert damit ein."
- [Juhu, FreeCAD 1.1 ist da](https://blog.freecad.org/2026/03/25/wip-wednesday-25-march-2026/)
    - Videotipp: [Übersicht der neuen Funktionen](https://www.youtube.com/watch?v=bYdobpjTypg)
- letzten Monat vergessen: [Datenspuren CfP](https://talks.datenspuren.de/ds26/cfp)

## PentAwesome

- Videotipp: [RAM Reverse Engineering und hardwarenahe Mikrooptimierung](https://www.youtube.com/watch?v=KKbgulTp3FE)
    - weitere Empfehlung von derselben Creatorin: ["Was wäre, wenn Menschen vergäßen, wie man CPUs herstellt?"](https://www.youtube.com/watch?v=L2OJFqs8bUk)
- Für unsere internationalen Zuhörer\:innen: [allekinos.de gibt es jetzt auch auf Schwedisch](https://allabiografer.se/)

## Debatte

[kypro bietet in einem HN-Kommentar](https://news.ycombinator.com/item?id=47759588) eine alternative Theorie dafür an, warum die IT-Branche gerade kollabiert. Es ist weder "die ✨KI✨ nimmt uns die Jobs weg" oder die Sache mit den Änderungen an R&D-Abschreibungsregeln seit 2022, sondern viel banaler:

> Ein großer Teil des Jobwachstums im IT-Sektor während der späten 2010er- und Pandemiejahre war ganz ehrlich Bullshit aus einer Return-on-Investment-Sicht. Die späten 2010er waren das erste Mal in der Tech-Branche, als ich das Gefühl bekam, dass die meisten Sachen, die gebaut werden mussten, gebaut waren; und immer mehr arbeitete ich an Bullshit-Projekten, die jedes Jahr weniger und weniger Mehrwert boten.
>
> Zur Illustration:
>
> - In den 80ern wurden Entwickler gebraucht, um grundlegende Geschäftssoftware wie Textverarbeitung und Tabellenkalkulation zu bauen.
> - In den 90ern kamen Computer im Mainstream an und es gab riesige Nachfrage nach Endanwendersoftware.
> - In den 2000ern nahm das Internet Fahrt auf und wir brauchten Leute, die das Web bauten.
> - In den 10ern revolutionierte das Smartphone die Computerbranche und wir brauchten Leute, um Apps zu bauen und das Web auf mobile-first umzustellen.
>
> Aber in den späten 10er-Jahren ging den Unternehmern und Investoren offenbar die Selbstläufer-Tech-Investments aus, und so probierten sie zunehmend beknackten Kram, der immer noch ähnliche Profite versprach: Blockchain, Metaverse, Web 3.0, \[hier traditionelle Industrie einfügen\] aber als Tech-Konzern.
>
> Ich behaupte nicht, dass es nichts mehr zu bauen oder zu warten gibt, aber ich verstehe auch nicht mehr, was Leute glauben, wo ein exponentieller Bedarf nach neuer Software und neuen Entwicklern herkommen könnte; und ich glaube, das wäre in Abwesenheit der Nullzinspolitik früher klar gewesen.

## Musik

Keine. Das Mischpult wollte nicht. :)

## Honorable Mention

Wir hatten mal wieder jede Menge gute Titeloptionen:

- Hinter sieben NATs
- Sicherheitslücken-Betroffenheits-Journalismus
- Cyber-Streife an der ukrainischen Front
- Dezentrale Ratelimit-Blockchain
- Strava-Zwang für Drohnen
- Trump-Nutzungszwang
- Dies ist keine Tokenmaxxing-Beratung
- Signal-Nachrichten aus dem Jenseits