Sicher „eingedock(er)t“? Die legendäre Simplizität von Containern erkaufen sich viele Nutzer durch reihenweise Sicherheitsvorfälle. Zum Glück geht es auch anders. Praxiserprobte Tipps und Tricks zur sicheren „Containerisierung“ von Arbeitslasten verhelfen Docker in ruhige Gewässer.
Docker-Container „von der Stange“ sind eine Einladung zu Raubüberfällen. Zum Glück geht es auch anders: mit bewährten Best-Practices zum sicheren „Ein-Docken“ von Arbeitslasten.
Docker wirkt beinahe wie ein Magnet für Angriffe aus dem Cyberspace. Das Absichern einer Docker-Umgebung erfordert sowohl eine gehörige Dosis gesunden Menschenverstands als auch eine Menge administrativer Kleinarbeit.
Container unter Beschuss? Die Anatomie einer Attacke
Hacker zielen besonders gerne auf Docker-Server ab, die durch Konfigurationsfehler „glänzen“. Eine aktuelle Kampagne, die sich durch Crypto-Mining mit Hilfe der kompromittierten Systeme finanziert, haben Forscher von Trend Micro untersucht.
Die Angreifer missbrauchen die REST-API von Docker, um eigene Container auf einem verwundbaren Server einzurichten. Der betroffene Host bezieht ein bösartiges Docker-Image von Docker Hub und initialisiert damit einen neuen Container. Dieser macht dann den Rest von selbst mit Tools wie ZMap, Container-Escape-Skripten, Rootkits, Credential-Stealern und zu guter Letzt Coin-Minern.
Bei den Cyber-Dieben klingelt die Kasse, während sich die betroffene Organisation über die astronomische Rechnung für die eigene Cloud-Infrastruktur oder die ebenso hohe „an-den-Anschlag“-Auslastung der eigenen Hardware wundert.
„Das kann bei uns nie passieren“. Wirklich? Im Spätsommer 2021 haben Sicherheitsforscher fünf bösartige Docker-Container-Images auf Docker Hub entdeckt – Haare sträubend, wenn man die reelle Verbreitung der resultierenden Container ins Auge fasst. Die kompromittierten Images brachten es zusammen auf über 120.000 Pull-Anfragen (in Worten: ein hundert zwanzig tausend).
Was Hacker mit Docker so alles anstellen können, spottet jeder Beschreibung:
auf das Dateisystem des Docker-Hosts und gemountete Volumes zugreifen
das interne Netzwerk scannen
Anmeldeinformationen absahnen und andere Daten exfiltrieren
ein Botnet einrichten, Container „anwerben“ und Angriffe gegen Dritte mit maskierten IPs abfeuern
„Dienste“ für Phishing-Kampagnen und Malware hosten
und dergleichen anderes.
In totaler Verzweiflung sind einige Nutzer auf Alternativen wie mitlxc/podman ausgewichen. Doch so weit muss man gar nicht gehen. Docker lässt sich durchaus absichern – wenn man weiß, wie.
1. Den Socket des Docker-Daemons niemals offenlegen
Ein Daemon-Socket sollte niemals für Remote-Verbindungen verfügbar sein, außer beim Einsatz eines authentifizierungsfähigen HTTPS-Sockets.
Der Docker-Daemon-Socket ist ein Unix-Netzwerksocket für die Kommunikation mit der Docker-API. Der Eigentümer des Sockets ist standardmäßig der Superuser root. Greift ein anderer Linux-Nutzer auf den Socket zu, verschafft er sich die gleichen Berechtigungen wie der Superuser auf dem Host.
Es ist im Übrigen möglich, den Socket des Daemons an eine Netzwerkschnittstelle zu binden, um den Docker-Container für Fernzugriffe zugänglich zu machen. Diese viel zu offenherzige Option kann vor allem bei Containern in der Produktionsumgebung leicht nach hinten los gehen.
Docker-Images sollte man niemals mit einer Option wie -v initialisieren, also eben nicht mittels:
/var/run/docker.sock://var/run/docker.sock
Diese Option würde den Socket im resultierenden Container offenlegen. Cyber-Täter lassen sich bei so einem kardinalen Fehler nicht erst zwei Mal bitten.
2. Auf privilegierte Container verzichten
Privilegierte Container – also jene, die mit root-Rechten initialisiert wurden – zählen zu den größten Quellen allen Übels. Sie erlauben nämlich den Root-Zugriff auf alle Systemgeräte (devices) von einem Container heraus, können Linux-Sicherheitsmodule wie AppArmor und SELinux manipulieren. Sie können sogar den Kernel des Host-Systems dazu verleiten, eine neue Instanz der Docker-Plattform einzurichten, um Docker innerhalb von Docker auszuführen und sich so der Überwachung durch Sicherheitstools auf der Systemebene entziehen.
Ein Angreifer kann von einem solchen kompromittierten Container heraus seine Privilegien „hochschrauben“ und sich den root-Zugriff auf ganze Knoten und Cluster verschaffen.
Um zu überprüfen, ob ein Container im privilegierten Modus läuft, hilft der Befehl:
docker inspect --format =''[container_id]
Der Befehl gibt true zurück, wenn der Container privilegiert ist, oder eine Fehlermeldung aus. Wer keine Fehlermeldung bekommt, muss also die Ärmel hochkrempeln und die Konfiguration abdichten, sodass Docker im rootless-Modus läuft.
3. Docker im Rootless-Modus ausführen
Mit dem rootless-Modus bietet Docker eine Möglichkeit, Docker-Daemons und -Container als Nicht-Root-Benutzer auszuführen, um Schwachstellen der Container-Laufzeit und der Daemons zu entschärfen.
Im rootless-Modus laufen nämlich Docker-Daemons und -Container im Benutzernamensraum, ohne root-Rechte. Das steht im Kontrast zum userns-remap-Modus, bei dem der Daemon leichtsinnigerweise mit Root-Rechten läuft.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Um Container im rootless-Modus auszuführen, muss man Docker verwirrenderweise dennoch mit Root-Rechten des Host-Systems installieren. Es werden außerdem zusätzliche Module benötigt, und zwar unter anderem newuidmap und newgidmap aus dem Package uidmap sowie das Package dbus-user-session. Dann gelingt nämlich die Initialisierung des Daemons mittels:
systemctl --user start docker
und entsprechend:
systemctl --user enable docker
Das Ausführen des Docker-Daemons als systemweiten Dienstes im rootless-Modus wird nicht unterstützt.
Für den Docker-Client ist es erforderlich, entweder den Pfad zum Socket oder den CLI-Kontext zu spezifizieren, konkret also entweder:
Um das Schlimmste zu verhindern, empfiehlt es sich, die Zuweisung von Ressourcen der CPU und des Arbeitsspeichers zu Containern zu limitieren. Die Standardkonfiguration ist in diesem Punkt relativ leichtsinnig. Denn bereits ein einziger Container kann das RAM und die CPU des Hosts voll bis an den Anschlag auslasten.
Um die maximale Speichernutzung eines Containers zu begrenzen, fügen Sie dem Befehl
docker run
die Option --memory hinzu, zum Beispiel:
sudo docker run -it --memory="1g" dockerimage
Damit der Container nicht aus dem Speicher läuft, kommt der Parameter --memory-swap zum Einsatz:
sudo docker run -it --memory="1g" --memory-swap="2g" dockerimage
Beim Erreichen der Speicherbegrenzung schreibt der Container jetzt auf den lokalen Datenspeicher statt in den Arbeitsspeicher. Das führt zu einem Performance-Verlust der betreffenden Anwendung, beeinträchtigt jedoch nicht die Leistungsfähigkeit anderer Prozesse auf dem Host (es sei denn, sie müssen auch kräftig swappen, was ja natürlich nicht sein sollte; Swappen ist nicht der Sinn der Übung, sondern ein Workaround).
Der Parameter --cpu-shares beschränkt die zulässige „Teilhabe“ des Containers an den CPU-Zyklen des Hosts. Mit der Option --cpus lässt sich der Container auf die gewünschte Anzahl von CPU-Kernen beschränken.
Ressourcenkontingente helfen, die Auswirkungen einer Sicherheitsverletzung zu minimieren, und sei es nur, damit sich für die Angreifer das Crypto-Mining nicht rechnet, da sie andere Arbeitslasten nicht mehr verdrängen können.
5. Images nach Verwundbarkeiten und Secrets durchscannen
Docker-Images können sensible Zugangsinformationen, die sogenannten Secrets, beinhalten, und Verwundbarkeiten einschleusen.
Beim Scannen von zweitausend öffentlichen Images hat GitGuardian in sieben Prozent mindestens ein Secret ausfindig machen können. Diese Geheimnisse fanden ihren Weg in Container-Images durch ungeprüften Quellcode und gestapelte Images mit Supply-Chain-Lecks (Verwundbarkeiten aus Abhängigkeiten).
Container erben unter anderem auch die Fehlkonfigurationen, Malware und andere Probleme. Es empfiehlt sich, nur signierte Images zu verwenden und selbst diese nach Bedrohungen durchzuscannen, bevor sie mit der Initialisierung von Containern in die Produktionspipeline hineinfließen (Stichwort: shift left). Das minimiert die Angriffsfläche.
Einige der beliebtesten Verwundbarkeitsscanner sind quelloffen, darunter Anchore Engine, CoreOS/Clair, Vuls.io und OpenSCAP.
6. Container auf dem Host-System isolieren
Das Host-Betriebssystem sollte Container von Hacking-Eskapaden schützen und eine gegenseitige Beeinflussung der Prozesse verhindern. Linux-Features wie Namensräume (die Grundlage der Container-Isolation), SELinux (eine zusätzliche Sicherheitsebene in der Red Hat-Familie) oder AppArmor (eine Kernel-Erweiterung in Debian-Derivaten), Cgroups (ein Kontrollmechanismus der Ressourcennutzung), Linux-Capabilities (prozessspezifische Berechtigungen) und seccomp (Secure Computing Mode des Linux-Kernels kann Systemaufrufe unterbinden) zählen zu den bewährtesten Tools des Host-Betriebssystems. Sie können Docker-Container auf einem Host in ihre Schranken weisen.
7. Container im Netzwerk abschotten
Damit Docker-Container über die Netzwerkschnittstellen des Hosts mit der Außenwelt kommunizieren können, muss eine Netzwerkschicht vermitteln. Alle Docker-Hosts verfügen hierzu über die unsichere Standard-Bridge. Wer für neue Container nicht explizit ein anderes Netzwerk vorschreibt, verbinden sich diese automatisch eben mit der Standard-Bridge. Das ist suboptimal, um nicht zu sagen leichtsinnig.
Container sollten nur dann eine Verbindung zueinander herstellen können, wenn sich das auf Grund ihrer Aufgabe nicht vermeiden lässt. Sicherheitskritische Container sind ohne direkten Zugang zu öffentlichen Netzwerken besser aufgehoben, als wenn sie mit dem Internet „plaudern“ können.
Docker-Nutzern sei empfohlen, eigene Bridge-Netzwerke einzurichten. Die ist erforderlich, um die Kommunikation der Container untereinander in den Griff zu bekommen, und um die automatische DNS-Auflösung von Containernamen zu IP-Adressen zu aktivieren. Der Nutzer kann beliebig viele Netzwerke anlegen und konkret spezifizieren, mit welchen Netzwerken sich jeder Container verbinden darf (falls überhaupt).
Für unterschiedliche Nutzungsszenarien hat Docker unterschiedliche eigene Netzwerktreiber, darunter: Bridge, Overlay, ipvlan und Macvlan.
Implementierungsbeispiel für den Netzwerkmodus IPvlan 802.1q trunk L2 zur Umsetzung von abgesicherten Kreditkartentransaktionen in Docker.
(Bild: Docker)
Eine Bridge verbindet Standalone-Container. Der Overlay-Netzwerktreiber erstellt ein verteiltes Netzwerk zwischen mehreren Docker-Hosts, oberhalb der hostspezifischen Netzwerke, zur Bereitstellung von Swarm-Diensten. Ein ipvlan-Netzwerk gibt dem Nutzer die ultimative Kontrolle über IPv4- und IPv6-Adressen. Der Macvlan-Treiber ruft ein per-Host-konfiguriertes Netzwerk mit nur lokaler Reichweite ins Leben.
Zusätzliche Netzwerk-Plugins zur Integration von Docker mit spezialisierten Netzwerk-Stacks sind auch von Drittanbietern verfügbar. Der Nutzer kann im Übrigen auch eigene Plug-Ins erstellen.
8. Containern Schreibzugriffe entziehen
Ein einfacher und wirksamer Sicherheitstrick besteht darin, Container mit einem schreibgeschützten Dateisystem zu initialisieren, zum Beispiel mit Docker CLI:
docker run --read-only [image-name]
Nach dem Neustart des Dienstes ist das Dateisystem des Containers nur für Lesezugriffe zugänglich.
Einige Anwendungen kommen jedoch ohne Schreibzugriffe nicht aus. Um Fehlfunktionen zu verhindern, kann man Docker mit dem Parameter tmpfs einen isolierten Speicherort für Schreibzugriffe bereitstellen, zum Beispiel:
docker run --read-only --tmpfs /run/nginx --tmpfs /run/lock [image]
Dieser Ansatz kann böswillige Aktivitäten wie das Einschleusen von Malware in den Container oder das Abändern der Konfiguration verhindern, ohne dass sich die betroffene Anwendung „beschweren“ kann.
Im Gegensatz zu Volumes und Bind-Mounts lassen sich tmpfs-Mounts nicht für andere Container freigeben.
9. Aktualisieren, aktualisieren, aktualisieren...
Doch alles bringt nichts, wenn die Software mit den verfügbaren Aktualisierungen für Zero-Day-Exploits nicht Schritt hält. Das gilt sowohl für die Docker-Engine als auch das zugrundeliegende Host-Betriebssystem.
Fazit
Docker-Container „von der Stange“ sind eine Einladung zu Raubüberfällen. Zum Glück geht es auch anders: mit bewährten Best-Practices zum sicheren „Ein-Docken“ von Arbeitslasten.
Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/22/7e/227e71f2755ef305a2ba2f5e4fdcbef6/0127720658v1.jpeg "Agentenbasierte KI skaliert rasant und damit wächst auch die Angriffsfläche in Netzwerk-, Cloud- und SaaS-Umgebungen. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/b9/1bb92cb893c83c95299d225506843426/0128848083v2.jpeg "Der „Superheld mit Geld“ ist sicherlich nicht ausschließlich auf dem Verdiensttreppchen dieses Jahres zu finden. Die Mitarbeitenden in Banken, Versicherungen und der Energie können dennoch durchschnittlich mit etwas mehr Lohn rechnen. (Bild: © visoot – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/0d/4d0d39e269de9de8f4e42006ec3bec1e/0128602505v2.jpeg "Die Führungsetage ist verantwortlich für das Risikomanagement. Sie muss die potenziellen Bedrohungen verstehen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und die Resilienz des Unternehmens zu stärken. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/b8/72b8f4363aab865e863736ad31f77ec0/0128882970v2.jpeg "Windows Server 2025 erhält 2026 neue Funktionen wie Zero Trust, Verschlüsselung und Telemetrie, einschließlich Erweiterungen für Storage, Hyper-V-Verwaltung und lokale KI, die zunächst über Insider Builds getestet werden und eine verbesserte Sicherheit sowie neue Netzwerk- und Zugriffssteuerungen bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/09/01098c52b88c8298ee8bf2f780af6eb5/0128800268v2.jpeg "Mit neuen leistungsfähigen Alltags-Computern erweitert Asus auf der CES 2026 das KI-Portfolio. (Bild: Asus)")
:quality(80)/p7i.vogel.de/wcms/65/e9/65e9691bb1f542b515a931e0f22d3273/0128745989v2.jpeg "KI für den Datenaustausch zwischen Endgeräten: Lenovo Qira ist eine geräteübergreifende und personalisierte Umgebungsintelligenz. (Bild: © Lenovo)")
:quality(80)/p7i.vogel.de/wcms/be/03/be03b4159ffcde7c26d822dc13537ee6/0128018541v1.jpeg "Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben. (©Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/7f/377f9576a9914d8619e67ece12968cc2/0128602629v2.jpeg "Die Bedrohungslage verschärft sich weiter. MSP und Systemhäuser müssen 2026 laut Riedel verstärkt auf automatisierte und ganzheitliche Sicherheitslösungen setzen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:quality(80)/p7i.vogel.de/wcms/f7/be/f7be31eebe455cf27ea3ad5145e4dc73/0125749477v1.jpeg "Derzeit machen die Intel-CPUs mit Instabilität von sich reden. Einige aktuelle „Xeon“-Varianten könen unter Volllast lönnen ihre Taktfrequenz nicht halten. (Bild: Дина Етова - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ca/d8/cad8ee681910f0130465ab29fca830e7/0124869224v2.jpeg "Red Hat Enterprise Linux 10 bietet KI-Funktionen und Sicherheitsmaßnahmen, die auch gegen Quantenangriffe schützen. Lightspeed unterstützt Administratoren bei fehlendem Knowhow und gibt Empfehlungen für automatisierte Workflows. (Bild: Midjourney / KI-generiert)")