Wochennotiz 2025.13

Eine verrückte Woche liegt hinter der Welt. Fassungslos hat man die Geschichten rund um die Nutzung von Signal zur Diskussion von Kriegsplänen verfolgt. Diese Diskussion waren nicht von irgendwelchen Personen. Es handelte sich dabei um die engsten Mitarbeiter des US-Präsidenten.

Ebenfalls etwas kontrovers ist der Fall von Oracle. Nein, es geht nicht um die DeWitt Clause, sondern um einen möglichen Data breach.

Diese Woche hatten wir in der Firma eine unaufgeregte Betriebsteilversammlung mit netter Aussicht.

Inhalt:

• Postgres und die Datenwelt
• Security und Privacy
• AI
• Diverses

Postgres und die Datenwelt

Table AM API

Alexander Korotkov beschreibt im Artikel Why PostgreSQL needs a better API for alternative table engines? Herausforderungen mit Table AM API

Despite PostgreSQL's Table AM API being available since version 12 and ongoing criticisms of its built-in storage engine — particularly the MVCC model — it remains surprising that no fully featured transactional storage engine has yet emerged purely as an extension.

Er entwickelt mit OrioleDB eine Alternative zur bestehenden MVCC-Lösung.

Sein Fazit:

While PostgreSQL’s existing table and index AM APIs have served the community well over the years, the demand for alternative storage engines and MVCC implementations exposes inherent limitations in their current design.

Wichtige Postgres-Patterns

Ethan McCue beschreibt in seinem Beitrag Life Altering Postgresql Patterns

Einige seiner Vorschläge

Use UUID primary keys

Give everything created_at and updated_at

on update restrict on delete restrict

Use schemas

Name your tables singularly

Es gibt auch sonst noch einige Vorschläge. Durchaus sehr lesenswert.

Postgres Language Server

Supabase hat diese Woche den Postgres Language Server veröffentlicht. Im Beitrag Postgres Language Server: Initial Release beschreiben sie, was der Language Server macht:

Today we’re announcing the initial release of Postgres Language Server - a Language Server Protocol (LSP) implementation for Postgres and a collection of language tools focusing on reliable SQL tooling and developer experience.

Postgres Release Monitor

• Autobase 2.2.0 released
• powa-collector 1.3.1 is out!
• Announcing E-Maj 4.6.0.
• pgstream v0.4.0: Postgres-to-Postgres replication, snapshots & transformations
• Transparent Data Encryption for PostgreSQL Release Candidate is Here!

Security und Privacy

Kriegspläne werden auf Signal diskutiert

Die Geschichte der Woche sind wohl die Enthüllungen Jeffrey Goldberg, Chefredakteur von "The Atlantic". Er wurde versehentlich zu einem Gruppenchat auf Signal hinzugefügt. Die Geschichte liest sich wie ein OPSEC-Albtraum. Im derStandard wird Anfang der Woche berichtet:

Der User mit dem Profilnamen "Michael Waltz" erklärte, hier werde ein "tiger team" zusammengestellt, das sich um die Koordination zum Thema Huthis kümmern solle – und zwar "vorwiegend im Verlauf der nächsten 72 Stunden". Kurz darauf sollte dieses Team auch für Jeffrey Goldberg schärfere Konturen annehmen: Da nominiert etwa offenbar ein gewisser "MAR" (Goldberg denkt an Außenminister Marco Antonio Rubio) auch den Berater Michael Needham für das Außenministerium als Mitglied der Gruppe, ein "JD Vance" (so heißt der US-Vizepräsident), entsendet ebenfalls noch jemanden aus seinem Büro. Dasselbe machen kurz darauf ein "Pete Hegseth" (Goldberg weiß noch immer nicht, ob es der echte Verteidigungsminister ist) und noch etliche andere.

Aber es hat auch positive Seiten. Wie ebenfalls im derStandard berichtet:

Signal erlebt derzeit eine neue Rekordzahl an Downloads, das bestätigt der Messengerhersteller gegenüber Wired. Gerade in den USA zeige sich dabei das stärkste Wachstum in der Geschichte der Software – und zwar mit einem großen Abstand, so Jun Harada, der bei Signal für Wachstum und Partnerschaften zuständig ist.

Zusätzlich haben Recherchen ergeben, dass zahlreiche Daten hochrangiger Vertreter der Trump-Administration online zu finden sind (Recherchen zeigen: Privatdaten hochrangiger US-Sicherheitspolitiker im Netz):

Private Kontaktdaten der wichtigsten Sicherheitsberater von US-Präsident Donald Trump sind im Internet einsehbar. Recherchen des deutschen Nachrichtenmagazins Der Spiegel förderten Mobilnummern, Mailadressen und teilweise Passwörter zu Tage. Betroffen von den Leaks sind der Nationale Sicherheitsberater Mike Waltz, US-Geheimdienstkoordinatorin Tulsi Gabbard und Verteidigungsminister Pete Hegseth, wie am Mittwochabend vom "Spiegel" berichtet wurde.

So dumm der Vorfall aus OPSEC-Sicht ist, so zeigt er doch auch, dass Signal der Messenger der Wahl ist, wenn man etwas geheim halten will. Gibt also auch manchmal bei Dummheiten positive Seiten.

Troy Hunt wurde Phishing-Opfer

Wie Heise im Artikel Have I Been Pwned: Projektbetreiber Troy Hunt gepwned berichtet, gab es ein prominentes Phishing-Opfer:

Troy Hunt, Betreiber des Dienstes Have-I-Been-Pwned (HIBP), wurde Opfer einer Phishing-Attacke und damit selbst "Pwned". Es sind 16.627 E-Mail-Adressen der Mailingliste für den Newsletter zu Troys persönlichen Blog dadurch in unbefugte Hände abgeflossen.

Bei Oracle gibt es scheinbar einen Datenabfluss

Letzte Woche habe ich im Data breach ticker auf einen Artikel verlinkt, wo Oracle noch bestritten hat, dass einen Data breach gegeben hat. Abgestritten wird auch noch diese Woche, aber die Anzeichen haben sich verdichtet.

So berichtet Lawrence Abrams (Oracle customers confirm data stolen in alleged cloud breach is valid):

Despite Oracle denying a breach of its Oracle Cloud federated SSO login servers and the theft of account data for 6 million people, BleepingComputer has confirmed with multiple companies that associated data samples shared by the threat actor are valid.

Bei Heise streitet Oracle eine Attacke auf Oracle Cloud ab:

Mittlerweile hat sich Oracle mit einem Statement gemeldet und versichert, dass es keine Attacke auf Oracle Cloud (OCI) gegeben hat. "Die veröffentlichten Anmeldedaten sind nicht für OCI. Keiner der OCI-Kunden hat einen Verstoß erlitten oder Daten verloren.“

The Register berichtet im Artikel There are perhaps 10,000 reasons to doubt Oracle Cloud's security breach denial über die möglichen Auswirkungen

If the data is genuine, as some infosec watchers suggest it is, the potential consequences of it falling into the wrong hands are serious and substantial.

With access to data such as customers' digital security certificates and keys, SSO and LDAP passwords, and more, cyber-criminals could take that and use it to carry out supply chain and ransomware attacks, among others.

Data breach ticker

• Hacker defaces NYU website, exposing admissions data on 1 million students
• Hackers steal sensitive data from Pennsylvania county during ransomware attack

AI

Gemini 2.5: Googles neue KI-Generation hängt die Konkurrenz ab

Mit diesem Titel gibt es im derStandard einen Bericht zu Gemini 2.5:

Ein spezieller Fokus der Entwicklung sei aber die Verbesserung der Programmierfähigkeiten gewesen; Gemini 2.5 sei dabei ein großer Sprung im Vergleich zur Vorgängergeneration. Tatsächlich zeigen erste Benchmarks hier ebenfalls exzellente Werte, die sich zum Teil auf dem Niveau von Anthropics Claude oder sogar darüber bewegen.

Data Leak zeigt chinesische Zensur

Charles Rollet berichtet in TechCrunch über einen data leak, der zeigen soll, welche Themen in China die Zensur-Alarmglocken schrillen lassen:

A complaint about poverty in rural China. A news report about a corrupt Communist Party member. A cry for help about corrupt cops shaking down entrepreneurs.

These are just a few of the 133,000 examples fed into a sophisticated large language model that’s designed to automatically flag any piece of content considered sensitive by the Chinese government.

Die Daten sollen zeigen, dass der chinesische Staat immer öfter LLMs zur Unterdrückung einsetzen.

Diverses

Raketenstart misslungen

Wie Spektrum berichtet ist der Start der Trägerrakete der Firma Isar Aerospace misslungen.

Die Mission namens »Going Full Spectrum« war ein kurzer Testflug ohne Nutzlast: Schon rund 20 Sekunden nach dem Start geriet die Rakete ins Taumeln, und ihre Spitze kippte zur Seite. Die Rakete musste zur Explosion gebracht werden. Dennoch wurden wichtige Daten gesammelt, um aus diesem Raketenstart zu lernen.

Solarparks können für mehr Artenvielfalt sorgen

Davon berichtet die Tagesschau:

Die Artenvielfalt dieser Photovoltaik-Anlagen ist geradezu überwältigend. 400 Pflanzenarten, 200 Tierarten. Das ist mehr, als wir je zu hoffen gewagt hätten.

Beauftragt wurde die Studie allerdings vom

Bundesverband Neue Energiewirtschaft (bne), ein Verband in dem auch zahlreiche Energieerzeuger und Solarpark-Entwickler selbst Mitglieder sind.