Was bewegt Deutschlands CIOs und Cisos in Bezug auf die Sicherheit ihrer Unternehmen? Welche Technologien werden ihren Berufsalltag verändern? Und was wünschen sie sich von der Politik, um die Sicherheitslage zu verbessern? Andreas Schulte fragt nach.
Australien klagt wie Deutschland über zunehmend raffinierte Cyberangreifer und ständig neuartige Bedrohungen. Doch während Berlin sich augenblicklich um die anstehende Wahl sorgt, registriert Canberra einen neuen Fokus auf kleinere Firmen und Organisationen wie Schulen oder Altersheime.
Europa hat drei starke Satellitenprogramme, die viele Daten produzieren. Copernicus, Galileo und Eumetsat – ihre Daten können für das Klima und die nationale Sicherheit nützlich sein. Deutschland möchte diese Programme weiter fördern und hat dafür Maßnahmen und Ziele festgelegt. Die sogenannte Anwendungsstrategie wurde am Mittwoch im Kabinett beschlossen.
SPD und Grüne haben sich bei Plänen zur Stärkung der Cyberresilienz geeinigt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird unabhängiger, der Ciso Bund nimmt Gestalt an, das Innenministerium kann im Alleingang kritische Komponenten untersagen. Was drinsteckt und was nicht – und wie das Experten finden.
Der Bedarf an Cyberfachleuten wächst, doch die Zahl der verfügbaren Arbeitskräfte schrumpft. Wie kommt es ausgerechnet in Deutschland zu dieser Schere und wie lässt sie sich schließen? Das erklärt Ed Parsons im Interview. Der Brite ist Vizepräsident für Global Markets bei ISC2, einem weltweiten Verband von Cybersicherheitsexperten.
Auf Tiktok ist politische bezahlte Werbung verboten - trotzdem triumphierte in Rumänien zunächst ein Mann bei der Präsidentschaftswahl, den kaum jemand kannte und der fast nur auf Tiktok Wahlkampf führte. Rumänische Expertinnen und Geheimdienste sehen vielschichtige Gründe und hybride Kriegsführung als ausschlaggebend für den zweifelhaften Erfolg.
Die Ratingagentur Moody’s bewertete das Cyberrisiko in 71 Branchen. In 16 Branchen verzeichneten die Analysten im Ergebnis deutlich gestiegene Risiken, während die Agentur die Gefährdungslage von nur fünf Branchen herabstufte. Drei landen sogar in der höchsten Risikokategorie.
Die Innenminister von Bund und Länder tagen in Brandenburg. Zum Jahresausklang wollen sie zumindest beim Thema Cybersicherheit vorankommen, wenn andere Großthemen wie der Schutz Kritischer Infrastrukturen im Bund brach liegen. Wir wissen, was genau geplant ist.
Die Datenschutzbeauftragte beklagt einen schweren Verstoß gegen Sicherheitsregeln beim Staatsschutz des Landeskriminalamts. Das Wlan und ein Netzwerkspeicher mit Passwörtern zum BKA-Server waren kaum geschützt.
IT im Sicherheitsbereich, Künstliche Intelligenz, Quantentechnologien und Drohnen sind Schlüsseltechnologien für die Sicherheit. Deswegen muss Deutschland sie selbst herstellen können. Wie das gehen soll, steht in der neuen Nationalen Sicherheits- und Verteidigungsindustriestrategie.
Mit 62,65 von 100 Punkten bewertet die Enisa die Cybersicherheit der EU. Was das heißt? Die Mitgliedstaaten setzen einige Regeln unterschiedlich um, arbeiten aber mehr zusammen. Mit mehr Harmonisierung könnte es noch besser laufen – etwa mit gemeinsamen Zertifizierungen für Ausbildungen in der Cybersicherheit.
Russland intensiviert seine hybriden Angriffe, während Experten vor Schwachstellen in Europas Cybersicherheit warnen. Deutschland steht vor der Herausforderung, seine Verteidigungsfähigkeit anzupassen. Unterdessen hat Schweden bereits vor über zehn Jahren begonnen, eine gesamtgesellschaftliche Strategie aufzubauen.
Der französische Mischkonzern Atos ist in Schieflage geraten. Ein Teil der Rettung könnte nun bedeuten, dass der Staat in strategisch wichtige Sparten einsteigt – etwa dem Supercomputing. In Frankreich sind Verstaatlichungen schon fast Tradition. Allerdings bergen sie auch Risiken.
Es ist ein Gesetz, das alle wollen. Dennoch scheint es, als könnte die NIS-2-Umsetzung kaum noch den Bundestag passieren. Dafür hätten SPD und Grüne gern die Stimmen der Union. Doch die hat noch Forderungen.
Die deutsche Wirtschaft ist nicht nur wenig vorbereitet auf das Post-Quanten-Zeitalter, sie scheint das Thema Sicherheit ab 2030 kollektiv zu verdrängen. Das zeigt die erste Kartierung deutscher Unternehmen in einer neuen Studie der DGAP, die sich auch mit der realen Gefahr von Harvest-Now-Decrypt-Later-Angriffen befasst. Doch nicht alle kommen schlecht weg.
Mit einem einfachen Trick macht Apple seine Geräte erheblich sicherer. Doch der Schlag gegen Cyberkriminelle sperrt auch Strafverfolgungsbehörden aus. Für Polizei und Ermittler wird die Sicherung von Beweismitteln zur Herausforderung. Ein bewusstes Kalkül?
Trumps Pläne für die Cybersicherheitspolitik der USA lassen sich weniger an seinem Wahlprogramm als an der Wahl seiner Wunschkandidaten ablesen. Was die wichtigsten Personalien für den Kampf gegen Desinformation, Cyberangriffe, Industrie, die Cisa und Geheimdienste bedeuten.
Die Digitalministerkonferenz hat den Bund gebeten, IT-Sicherheitsprodukte zu einer Vergabeausnahme zu machen. Sie sollen erleichterte Verfahren bekommen, die sonst nur für Verteidigungs- und Sicherheitsbeschaffungen gelten. Das wären die Folgen des Vorschlags.
Die Ampelkoalition ist zerbrochen und im Februar wird neu gewählt. Dabei sind viele wichtige Cybersicherheitsgesetze gerade erst in den Bundestag gekommen. Finden sich noch Mehrheiten, um das NIS-2-Umsetzungsgesetz, das Kritis-Dachgesetz und die Reform des Hackerparagrafen zu verabschieden?
Weite Teile der US-Telekommunikationsnetze wurden von chinesischen Hackern kompromittiert. Dabei wurden offenbar auch Hintertüren genutzt, die eigentlich für den Zugriff von Sicherheitsbehörden gedacht sind. Wie gut ist dieser Angriffspunkt in Deutschland geschützt?
Einst war Japan das einzige Land, das während des Zweiten Weltkriegs das australische Festland angriff. Heute verbinden die beiden Staaten nicht nur enge Handelsbeziehungen, auch im Verteidigungsbereich arbeiten Japan und Australien eng zusammen. Diese Partnerschaft soll nun weiter ausgebaut werden – auch im Bereich Technologie.
Noch können KI-Anwendungen Sicherheitsexpert:innen nicht vollständig ersetzen. Unterstützt werden sie jedoch beispielsweise, indem KI-Anwendungen riesige Datenmengen analysieren. Die so gewonnene Schnelligkeit ist dringend nötig.
Die Ampelregierung hat kurz vor ihrem Aus am Mittwochabend noch ein Gesetz zur Stärkung Kritischer Infrastrukturen in Deutschland auf den Weg gebracht. Wie geht es mit dem Regelwerk weiter? Aus der Wirtschaft kommt Druck, die Unternehmen wollen Rechtssicherheit.
Mit dem Litauer Andrius Kubilius (EVP) dürfte die Europäische Union ihren ersten Verteidigungskommissar erhalten. Nach dem Willen von Kommissionspräsidentin Ursula von der Leyen (EVP) hat der eine lange Aufgabenliste – sie reicht von gemeinsamer Beschaffung bis hin zur Cyberabwehr. Maximilian Henning berichtet.
Um an dringend benötigte Geldmittel zu kommen, setzt das nordkoreanische Regime auf den Einsatz von IT-Mitarbeitern, die sich in westliche Unternehmen einschleusen. Sandra Joyce, Vizepräsidentin Google Threat Intelligence, spricht im Interview über ihre Taktiken, die erstaunlichen technologischen Fähigkeiten des Landes und mögliche Schützenhilfe.
Fast alle Unternehmen lehnen Zahlungen nach Ransomware-Attacken grundsätzlich ab. Doch wenn es hart auf hart kommt, knicken viele ein. Dabei finanzieren Unternehmen nicht nur die kriminelle Infrastruktur, sondern werden leicht auch erneut zum Opfer der Cyberkriminellen.
Cybersicherheitsrichtlinien der Europäischen Union umsetzen heißt mehr als abschreiben. Der deutsche NIS-2-Gesetzentwurf bietet anscheinend jede Menge Angriffspunkte. Um diese wird es bei der Öffentlichen Anhörung zum Umsetzungsgesetz am kommenden Montag gehen.
Die Bundesregierung will den Sicherheitsbehörden mehr Rechte zur Fahndung einräumen und hat dazu das zweiteilige Sicherheitspaket beschlossen. Eines der Gesetze wird jedoch im Bundesrat blockiert. Auf welche Befugnisse die Ermittler deshalb jetzt warten müssen und was die Ampelkoalition übersehen hat.
Engere Zusammenarbeit und mehr Informationsaustausch, um Europa krisenfest zu machen, das empfiehlt einer der Sonderberater der EU-Kommission, den Mitgliedstaaten und EU-Behörden. Er fordert nicht nur engere Netzwerke, sondern auch mehr europäische Kompetenzen.
Der Bundesrechnungshof hält die Ausstattung des Bundesamts für Sicherheit in der Informationstechnik (BSI) für unzureichend. Schon jetzt reichten Mittel und Stellenausstattung nicht. Die Situation würde sich noch verschlimmern, sobald die NIS-2-Umsetzung in Kraft tritt, mahnen die Finanzkontrolleure.
In Nürnberg fand über drei Tage hinweg Europas größte Fachmesse für Cybersicherheit statt. Für Anbieter und deren Kunden spielten besonders die NIS-2-Regulierung und das Thema Künstliche Intelligenz eine Rolle. Zugleich wurde deutlich, dass all das Hochrüsten keine allumfassende Sicherheit bringt.
Ein Gesetzentwurf aus dem Hause von Marco Buschmann geht eine längst überfällige Reform des Computerstrafrechts an. Ethische Hacker sollen es leichter haben, Sicherheitslücken zu melden, dafür sollen Kriminelle, die Lösegeld erpressen oder Kritische Infrastruktur lahmlegen, härter bestraft werden können.
Die beiden Flaggschiffprogramme Digital Europe und Horizon Europe sollen schrumpfen. Bei Horizon werden Forschungsrat und Innovationsrat wohl verlieren. Mehr Geld gibt es stattdessen für Iris-2, Verteidigung und Sicherheit.
Mehr Cybersicherheit für alle Produkte mit digitalen Elementen – das ist das große Ziel des Cyber Resiliance Acts. Vergangene Woche hat der EU-Rat die endgültige Fassung beschlossen. Die Verbände sind größtenteils zufrieden mit den Änderungen. Sie sind aber skeptisch, was die zeitnahe Umsetzung angeht.
Das von Ehrenamtlichen initiierte Projekt des Cyberhilfswerks steht zwar im Koalitionsvertrag, kommt aber in der Realität schleppend voran. Nun hat sich ein Verein mit gleichem Namen gegründet und eine verdiente Personalie zum Vorstand gemacht. Ist das der Durchbruch oder ein Trittbrettfahrer?
Zwei Jahre hatten Bund und Länder Zeit, um die NIS-2-Richtlinie umzusetzen. Nur etwa die Hälfte der Länder hat das geschafft. Der Bund debattiert noch und schon wieder ist es zu einer Verzögerung gekommen.
Seit Anfang des Jahres hat Open AI mehr als 20 Operationen und betrügerische Netzwerke aus der ganzen Welt gestört, die versucht haben, die Modelle des Unternehmens zu nutzen. Darunter sind auch Cyberakteure im Staatsauftrag. Bedeutende Durchbrüche haben sie damit aber nicht erreicht.
Die Spitzen der deutschen Geheimdienste sehen Deutschland immer massiver durch Russland bedroht. Ihren „Weckruf“ begleiteten sie mit Forderungen nach operativer Beinfreiheit und neuen Befugnissen, auch zur Cyberabwehr.
Die NIS-2-Umsetzung tritt in die nächste Phase ein. Am Freitag geht das Gesetz in die erste Lesung. Bevor die Abgeordneten sich des Gesetzes annehmen, sorgten noch einmal Details für Diskussion. Länder und kommunale Unternehmen sind mit den Schwellenwerten unzufrieden.
Vergangene Woche lud die US-Regierung zum jährlichen Gipfeltreffen der Counter Ransomware Initiative. Die fast 70 Teilnehmerstaaten und Organisationen diskutierten dabei die Fortschritte der unterschiedlichen Säulen – von Kapazitätsförderung bis hin zum Richtlinienaufbau. Auch das Thema Geld landete auf der Agenda.
In den USA zielen das Weiße Haus und die Netzbehörde FCC auf besseren Schutz von Internet-Datenströmen. Doch das Standard-Protokoll BGP ist alt und benötigt zahlreiche neue Upgrades, die lokal nur schwer umsetzbar sind.
Beim Anfangsevent sprachen Vertreter:innen von EU-Institutionen, Regionen und Städten. Es ging um die Cybersicherheits-Verordnung und ihre neuen Regeln für EU-Organisationen, um Zusammenarbeit zwischen den Organisationen und Unterstützung für die Regionen.
Chinesische Hacker spionieren russische Behörden und Firmen aus, obwohl beide Staaten immer enger zusammenrücken. Kenntnisse zu Big Data, Cloud Computing und Militärtechnologie wecken Pekings Begehrlichkeiten.
Der Stresstest der EZB ergeben: Banken müssen Ihre Cyberresilienz stärken. Dominik Bredel, Bankberater bei Kyndryl, spricht im Interview über Versäumnisse von Instituten und über das Vorgehen der Aufsichtsbehörde Bafin, falls Banken im Januar gleich reihenweise Fristen der EU-Verordnung Dora reißen sollten.
Der Nato-Innovationsfonds ist mit einer Milliarde Euro angetreten, europäische Deep Tech im Verteidigungsbereich zu finanzieren. Wie hat das bisher funktioniert? Wir haben uns die Unternehmen angeschaut, in die der Fonds bisher investiert hat – und einen klaren Schwerpunkt in Süddeutschland gefunden.
Die Attacke auf Pager und Walkie-Talkies im Libanon zeigt nicht nur, wie effektiv Angriffe auf Software- und Hardware-Lieferketten sein können. Beispiele in der Geschichte der Geheimdienste dafür gibt es zahlreich, aber die Dimension ist ungekannt. Das könnte nun auch zu Nachahmung führen, fürchten Analysten.
Die europäische Cybersicherheits-Agentur hat die Bedrohungslage der vergangenen zwölf Monate zusammengefasst. Die Zahl der beobachteten Angriffe hat sich beinahe verdoppelt, zahlenmäßig dominieren Dos-Attacken. Professionelle Angreifer:innen sind zunehmend besser getarnt.
Die geplanten Sicherheitsgesetze der Bundesregierung nach dem Anschlag in Solingen erweitern die Befugnisse der Sicherheitsbehörden. Bisher hielten sich Vertreter der Ampelparteien mit Kritik zurück, obwohl Juristen Teile der Gesetze für rechtswidrig halten. In einer Sitzung des Digitalausschusses wurde es erstmals lauter.
Unternehmen müssen bei KI und Sicherheitsstandards aufholen, Cyberkriminelle freuen sich über höhere Erpressungsgelder und unachtsame Mitarbeiter befördern solche Risiken. Im Interview spricht Andreas Lüning, Mitgründer und CTO von G-Data Cyber Defense, über Ergebnisse der jährlichen Studie „Cybersicherheit in Zahlen“.
Ein neuer Innovationsindex des Deutschen Industrieverbandes ist abermals ein Alarmsignal: Mit Deutschlands Innovationsfähigkeit geht es angeblich bergab. Auf den zweiten Blick ist das Ergebnis nicht so gravierend, beziehungsweise nur in manchen Bereichen. Die Politik will dennoch nachhelfen.
Die Explosionen tausender Pager im Libanon am Dienstag hat zu zahlreichen Spekulationen geführt. Handelt es sich etwa um eine vollkommen neue Form der Kriegsführung und Smartphones und andere digitale Endgeräte werden zu tödlichen Waffen? So könnte die Pager-Attacke abgelaufen sein.
Diese Stellungnahme hat es in sich: Der Bundesrechnungshof hat seinen Bericht zum NIS-2-Umsetzungsgesetz veröffentlicht. Dort wird deutlich, dass die Haushaltsprüfer mit der Arbeit der Ampelregierung nicht zufrieden sind. Auch die Bundesratsausschüsse haben Änderungswünsche.
Wie kann man den Forschungssektor gegen Missbrauch, ausländische Einflussnahme und den Abfluss von Know-how und Technologie schützen? Dazu arbeiten die befassten Ressorts der Bundesregierung aktuell mit Experten zusammen – mit offenbar wenigen konkreten Ergebnissen, moniert die Union.
„Von Tag eins an hat meine Administration daran gearbeitet, unsere nationale Cyberabwehr zu stärken“, sagte US-Präsident Joe Biden nach etwa der Hälfte seiner Amtszeit. Gegen deren Ende stellt sich die Frage, was sich in den vergangenen vier Jahren getan hat in der US-Cybersicherheit.
Es gibt in Brüssel und Athen eine ganze Menge Menschen, die in Sachen Cybersicherheit etwas zu sagen haben. Das gilt für die Gesetzgebung und für die Sicherheit der EU selbst. Wir fassen einige der Namen zusammen, auf die es sich lohnt, ein Auge zu werfen.
Wenn das NIS-2-Umsetzungsgesetz im Bundestag verhandelt wird, wollen die Ampelfraktionen vor allem zentrale Vorhaben aus dem Koalitionsvertrag unterbringen. Einig sind sie sich, wie sie das BSI unabhängiger aufstellen wollen. Beim Umgang mit Sicherheitslücken gibt es zunächst nur eine Teillösung.
Ron Kneffel ist Vorsitzender der Ciso Alliance, Deutschlands Berufsverband für Chief Information Security Officers. Im Interview spricht er über Cisos, die keine sind, über die Probleme von Unternehmen bei der Einstellung von Cisos und über die Notwendigkeit einer Ausbildung für diesen Beruf.
Photovoltaikanlagen bieten Cyberangreifern ein potenzielles Einfallstor zur Manipulation des Stromnetzes. Das zeigen eine Reihe von Expertenberichten, die auch die Bundesnetzagentur alarmieren. Sie sieht ein steigendes Sicherheitsrisiko und empfiehlt, auch dezentrale PV-Anlagen als kritische Infrastruktur einzustufen.
Die deutsche Wirtschaft sieht sich einer beispiellosen Welle von Cyberangriffen, Datendiebstahl und Industriespionage ausgesetzt. Eine aktuelle Umfrage zeigt, dass 81 Prozent der Unternehmen betroffen sind. Der wirtschaftliche Schaden von fast 267 Milliarden Euro ist neuer Rekord. Besonders bedrohlich: China und Russland gelten als Hauptquellen der Attacken.
Zwei Gesetze zum Schutz vor Cyberattacken und Angriffen auf die Kritische Infrastruktur in Deutschland sollten schon längst das Bundeskabinett passiert haben. Doch es gibt Abstimmungsprobleme zwischen den Ministerien. Wir haben uns den neuesten Entwurf angesehen.
Für IT- und Cybersicherheitsforschung hat das Bundesforschungsministerium in dieser Legislatur bisher mehr als 600 Millionen Euro Fördergelder bewilligt. Zwei neue Förderprogramme starten in den nächsten Monaten.
In Nordrhein-Westfalen jagt die bundesweit größte Justizbehörde Täter im Bereich der Cyberkriminalität. Neben der Verfolgung von Hassbotschaften im Netz soll die Zentral- und Ansprechstelle auch Cyberangriffe auf Unternehmen verfolgen. Ob die Arbeit in diesem Bereich erfolgreich ist, dazu gibt es jedoch keine Zahlen, bemängelt die FDP-Fraktion in NRW.
Bis Mitte Oktober müssen die EU-Mitgliedstaaten neue Cybersicherheitspflichten für Unternehmen einführen. Gut die Hälfte hat Regierungsentwürfe vorgelegt oder Gesetze verabschiedet – allzu weit entfernen die sich nicht von der NIS-2-Richtlinie. Besonders für grenzübergreifend tätige Konzerne dürfte die Umsetzung aber dennoch kompliziert werden.