Wochennotiz 2025.18

Diese Woche hat einige Beiträge gebracht, obwohl es eine kurze Woche war. Gerade auch im Security-Bereich gab es zahlreiche Beiträge. Unter anderem hat der CEO einer Cybersecurity-Firma angeblich Krankenhaus-PCs mit Schadsoftware infiziert.

Im Postgres-Bereich gibt es die erste Version der Release Notes für Version 18. Man könnte meinen, der Herbst steht schon vor der Türe.

Auch hier gab es zwei Beiträge: einerseits eine Zusammenfassung der Grazer Linuxtage und andrerseits eine Rezension: Der tödliche Ausgang von Sportverletzungen.

Inhalt:

• Postgres und die Datenwelt
• Security und Privacy
• AI
• Diverses

Postgres und die Datenwelt

Release Notes für Postgres 18

Bruce Momjian berichtet, er hat die erste Version der Postgres 18 Release Notes fertiggestellt:

The release note feature count is 206. There is a strong list of optimizer, monitoring, and constraint improvements. Postgres 18 Beta 1 should be released soon. The final Postgres 18 release is planned for September/October of this year.

Orphand Files in Postgres

Laurenz Albe beschreibt im Beitrag Orphaned files after a PostgreSQL crash Möglichkeiten, wie man mit orphand files nach einen Crash von Postgres umgehen kann.

Er hat auch eine schöne Abfrage, um mögliche Dateien zu identifizieren, aber das ist natürlich auch mit einem gewissen Risiko verbunden:

The safe way to get rid of orphaned files after a crash is to dump and restore the database. For the more daring people out there, I gave you a query that helps you identify those orphaned files.

Was passiert, wenn eine Spalte gedropped wird

Dieser Frage geht man im Beitrag What Really Happens When You Drop a Column in Postgres nach:

Now, imagine that we have to delete a column from the table. Physically removing the data would be very inefficient - Postgres would have to scan the entire file(s), and in each and every row, find the column we want to delete and either replace it with a null value or re-write the entire row without it. This kind of full table rewrite is very expensive, and Postgres avoids it by... not deleting the column.

So instead, Postgres marks the column as "dropped" in metadata. The data remains, but Postgres will ignore the dropped column during queries, inserts, and updates. Much faster.

Jepsen testet Amazon RDS

Es ist spannend zu sehen, dass bei Amazon RDS Probleme auftreten, die bei "normalem" Postgres nicht auftreten. Der Vergleich ist aber wahrscheinlich auch nicht ganz fair.

Since this cycle includes read-write dependencies which are not adjacent to each other, this cycle is G-nonadjacent, a violation of Snapshot Isolation. This behavior should not occur in standard PostgreSQL at “Repeatable Read” and we have not observed it there.

[...]

From the presence of Long Fork and other G-nonadjacent cycles, we conclude that Amazon RDS for PostgreSQL multi-AZ clusters do not ensure Snapshot Isolation. Instead, they may provide Parallel Snapshot Isolation, a slightly weaker model. In this respect Amazon RDS for PostgreSQL multi-AZ clusters offer weaker safety semantics than a single-node PostgreSQL system, which, in our previous testing, appeared to provide Strong Snapshot Isolation.

Amazon RDS for PostgreSQL 17.4

Redis ist wieder Open Source

Salvatore Sanfilippo aka antirez hat im Betrag Redis is open source again bekannt gegeben, dass Redis wieder (einmal) die Lizenz gewechselt hat:

I understand that the core of our work is to improve Redis, to continue building a good system, useful, simple, able to change with the requirements of the software stack. Yet, returning back to an open source license is the basis for such efforts to be coherent with the Redis project, to be accepted by the user base, and to contribute to a human collective effort that is larger than any single company. So, honestly, while I can’t take credit for the license switch, I hope I contributed a little bit to it, because today I’m happy. I’m happy that Redis is open source software again, under the terms of the AGPLv3 license.

Postgres Release Monitor

• Streaming Data into Postgres with Estuary
• pg_auto_reindexer v1.4 released
• pgAdmin 4 v9.3 Released

Security und Privacy

Kundenakquisition

Die Geschichte der Woche ist wohl bei Golem Cybersecurity-CEO soll Krankenhaus-PCs infiltriert haben zu finden:

Im US-Bundesstaat Oklahoma ist der CEO einer Cybersecurity-Firma namens Veritaco verhaftet und angeklagt worden, weil er in einem Krankenhaus mehrere Computer mit einer Malware infiziert haben soll. Wie Security Affairs unter Verweis auf lokale Medien berichtet, richtete sich der Angriff gegen das mit mehr als 700 Krankenhausbetten ausgestattete St. Anthony Hospital in Oklahoma City.

Man kann gar nicht erahnen, warum viele Menschen von Schlangenöl sprechen.

Digitale Souveränität

Ich habe mir ja schon vor einiger Zeit die Frage Quo vadis? gestellt. Und auch über Anträge im niederländischen Parlament berichtet, die die Abhängigkeiten von US-Cloud-Diensten in Frage stellen sollen. Jedenfalls wirkt es so, als dürfte sich ein stärkeres Bewusstsein herausbilden oder Microsoft zumindest Angst davor haben, dass sich eines herausbildet.

Denn Dan Robinson schreibt im Artikel Microsoft gets twitchy over talk of Europe's tech independence:

Microsoft President Brad Smith acknowledges this, and the importance of the region for his employer in a blog post today, saying "our economic reliance on Europe has always run deep."

"We recognize that our business is critically dependent on sustaining the trust of customers, countries, and governments across Europe. We respect European values, comply with European laws, and actively defend Europe's cybersecurity. Our support for Europe has always been – and always will be – steadfast."

Wenn es um das liebe Geld geht, dann muss man versuchen, die Kunden zu beruhigen. Fakt ist nur leider, die ganzen Ankündigungen sind nur kosmetischer Natur.

Aber es gibt ja vielleicht auch gute Nachrichten in Richtung Souveränität (Germany committing to ODF and open document standards):

Openn formats and open interfaces are an important building block for the necessary transformation process of public administration in Germany on the path to greater digital sovereignty and innovation.

The IT Planning Council is committed to ensuring that open formats such as the Open Document Format (ODF) are increasingly used in public administration and become the standard for document exchange by 2027. It is commissioning the Standardization Board to implement this.

Auch in Informatik Aktuell gibt es ein nettes Interview mit Hans-Joachim Popp (Niemand braucht einen Hyperscaler!):

Inzwischen wissen wir: Niemand braucht einen Hyperscaler. Mittelständische RZ-Kapazitäten gibt es reichlich. Ein per Gesetz der DSGVO verpflichteter Provider nimmt einem viele Compliance-Sorgen ab. Betriebliche Arbeitsdaten haben in der Regel überschaubare Volumina. Gerade die öffentliche Verwaltung hat ja keine Riesenmengen an Daten. Im Gegenteil: Die Register passen gut auf vorhandene Systeme. Auch Skalierbarkeit wird viel weniger gebraucht, als man im ersten Augenblick denken mag.

Da spricht er ein wahres Wort gelassen aus. Die Daten wachsen in den meisten Fällen weniger schnell, als man es meint. Wenn ich daran denke, wie problemlos man heute Datenbanken mit mehreren TB problemlos auf einem einzigen Server lauf lassen kann. Und auch noch um den Bruchteil der Kosten im Vergleich zu den Hyperscalern. Ich weiß, es kommt auf die Anwendungsfälle drauf an, aber hier geht es um eine grundsätzliche Machbarkeit. Und ja ich weiß, die eigene Applikation ist immer die (eine) Applikation, die dann die ganze Skalierung braucht.

Microsoft

Da im vorherigen Punkt ja der etwas verzweifelt wirkende Beitrag von Microsoft zitiert wurde, kann man ruhig behaupten, Microsoft arbeitet weiter am eigenen Ruf. Dan Goodin berichtet in Windows RDP lets you log in using revoked passwords. Microsoft is OK with that., dass Microsoft fragwürdige Entscheidungen trifft:

The Remote Desktop Protocol—the proprietary mechanism built into Windows for allowing a remote user to log in to and control a machine as if they were directly in front of it—however, will in many cases continue trusting a password even after a user has changed it. Microsoft says the behavior is a design decision to ensure users never get locked out.

Ob es einen direkten Zusammenhang mit einem Bericht von TechCrunch gibt, kann ich natürlich nicht sagen ;-)

During a fireside chat with Meta CEO Mark Zuckerberg at Meta’s LlamaCon conference on Tuesday, Microsoft CEO Satya Nadella said that 20% to 30% of code inside the company’s repositories was “written by software” — meaning AI.

Microsoft CEO says up to 30% of the company’s code was written by AI

Oracle

Auch so eine Firma, die gerade einen Lauf hat. Die eigenen Kunden mehrere Tage Offline nehmen, das kann man schon einmal machen. Aber wahrscheinlich gibt es in den Verträgen Klauseln, die verbieten, dass sich Kunden darüber beschweren ;-)

Oracle engineers mistakenly triggered a five-day software outage at a number of Community Health Systems hospitals, causing the facilities to temporarily return to paper-based patient records.

CHS told CNBC that the outage involving Oracle Health, the company’s electronic health record (EHR) system, affected “several” hospitals, leading them to activate “downtime procedures.” Trade publication Becker’s Hospital Review reported that 45 hospitals were hit.

Oracle engineers caused dayslong software outage at U.S. hospitals

Spaß mit der US-Regierung

Die US-Regierung hat ja bekanntlich Kriegspläne auf Signal diskutiert. Wobei das ja so nicht ganz stimmt, denn offensichtlich hat der (mittlerweile ehemalige) Sicherheitsberater Mike Waltz einen Signal-Klon verwendet:

Die Nachrichtenagentur Reuters hat vor kurzem ein Foto einer Sitzung von US-Präsident Donald Trumps Kabinett veröffentlicht, auf dem der mittlerweile geschasste Sicherheitsberater Mike Waltz Signal auf seinem Smartphone verwendet. Wie 404 Media feststellt, handelt es sich aber nicht um die normale Signal-App.

Stattdessen verwendet Waltz TM SGNL, ein Klon der App, mit der sich Nachrichten archivieren, sprich: woanders speichern lassen.

US-Regierung nutzt potenziell unsicheren Signal-Klon

Und der Verteidigungsminsiter Pete Hegseth nutzt einen privaten PC im Büro, um dort Signal zu verwenden. So sicher Signal am Mobiltelefon ist, so fragwürdig ist natürlich die Sicherheit auf einem PC. Alleine schon hinsichtlich der Architektur der Betriebssysteme. Aber gut, ein Verteidigungsminister gilt ja sicherlich nicht als Geheimnisträger.

Therefore, Hegseth initially went to the back area of his office where he could access Wi-Fi to use Signal, according to AP News. It's not clear whether he used a private laptop or his personal smartphone, both of which would have been strictly forbidden to use in secure areas like this.

Somewhat later, Hegseth requested an internet connection to his desk where he could use a computer of his own. This line connects directly to the public internet and bypassed the Pentagon's security protocols. Hegseth's new computer must be the one that can be seen in the photo below, as it wasn't there yet on February 21 and has no labels that indicate its classification level

How US defense secretary Hegseth circumvents the official DoD communications equipment

Es hat nicht unbedingt mit dieser US-Regierung im Speziellen zu tun, aber auch sie betrifft es. Wie Heise in Zerodays sind überwiegend staatlichen Akteuren zu verdanken berichtet, spielen staatliche Akteure (wenig überraschend) eine große Rolle bei der Ausnutzung von 0-Days:

Die heimliche Entdeckung und Ausnutzung von Zeroday-Lücken wird überwiegend aus Steuergeld finanziert. Das legt eine Jahresanalyse der Google Threat Intelligence Group (GTIG) nahe, die zwei Drittel aller aktiv ausgenutzten 0days im Jahr 2024 auf staatliche Akteure zurückführt.

Data breach ticker

• Ascension discloses new data breach after third-party hacking incident
• Media firm Urban One confirms data breach after cybercriminals claim February attack
• Largest telecom in Africa warns of cyber incident exposing customer data

AI

Man muss genau auf den Preis achten

In einem interessanten Artikel bei VentureBeat wird darüber berichtet, dass bei Claude zwar die Token billiger sind, aber dafür pro Anfrage mehr verwendet werden, als bei OpenAI.

The Anthropic tokenizer tends to break down the same input into more tokens compared to OpenAI’s tokenizer. This means that, for identical prompts, Anthropic models produce considerably more tokens than their OpenAI counterparts. As a result, while the per-token cost for Claude 3.5 Sonnet’s input may be lower, the increased tokenization can offset these savings, leading to higher overall costs in practical use cases.

Hidden costs in AI deployment: Why Claude models may be 20-30% more expensive than GPT in enterprise settings

TPUs ein Kostenvorteil gegenüber NVIDIA

Ebenfalls bei VentrueBeat ist zu lesen, dass sich für Google die jahrelange TPU-Entwicklung bezahlt macht:

While manufacturing GPUs might cost Nvidia $3,000-$5,000, hyperscalers like Microsoft (supplying OpenAI) pay $20,000-$35,000+ per unit in volume, according to reports. Industry conversations and analysis suggest that Google may be obtaining its AI compute power at roughly 20% of the cost incurred by those purchasing high-end Nvidia GPUs. While the exact numbers are internal, the implication is a 4x-6x cost efficiency advantage per unit of compute for Google at the hardware level.

The new AI calculus: Google’s 80% cost edge vs. OpenAI’s ecosystem

Diverses

Owen Le Blanc

In Owen Le Blanc: creator of the first Linux distribution gibt es ein Portrait über den Mann, der die erste Linux-Distribution herausgebracht hat.

The first honest-to-goodness distribution with a proper installer was MCC Interim Linux, created by Owen Le Blanc, released publicly in early 1992.