In einem Memorandum für das Jahr 2025 haben das Office of Management and Budget (OMB) und das Office of the National Cyber Director (ONCD) am Dienstag die Investitionsprioritäten der US-Regierung für die Cybersicherheit dargestellt: Die fünf Säulen der Cybersicherheit.
Das neue chinesische Anti-Spionagegesetz ist so vage formuliert, dass seine Tragweite noch völlig unklar ist. Gewiss ist nur, dass Cyberangriffe auf bestimmte Akteure künftig als Attacken auf Chinas nationale Sicherheit gelten.
In der Reihe „Schwachstellen im Fokus“ stellen wir Sicherheitslücken, Schwachstellen oder Schadsoftware vor, die in den vergangenen Tagen von sich Reden gemacht haben. Die Bundesregierung beschäftigt sich in einer Antwort auf eine Kleine Anfrage mit einer altbekannten und grundlegenden Sicherheitslücke im Mobilfunknetz.
Mit Internetsperren sollen etwa Urheberrechtsverletzung im digitalen Raum unterbunden werden. Umsetzen müssen das etwa DNS-Resolver. Welche Gefahren damit einhergehen, die Maßnahmen auf die Infrastruktur des Netzes zu verlagern, statt Hosting-Firmen oder Plattformanbieter in die Pflicht zu nehmen, erklärt Cloudflares CEO Matthew Prince im Interview.
Vor kurzem hat die gesetzlich vorgeschriebene Teil-Evaluierung des IT-Sicherheitsgesetzes 2.0 stattgefunden, unter Federführung des BMI. Die Kritik von Wissenschaftler:innen und Praktiker:innen lässt sich wie folgt zusammenfassen: Die Behörde hat nicht mehr als das absolute Minimum getan. Was sagt dieser Befund über die deutsche Cybersicherheitspolitik aus?
Das EU-Parlament und der EU-Rat stehen kurz vor der Finalisierung ihrer Fassungen des Cyber Resilience Acts. Der Rat überrascht im jüngsten geleakten Entwurf mit dem Vorschlag einer zentralen Meldeplattform für Sicherheitsvorfälle und Schwachstellen. Doch das ist nicht das einzige Thema, das in den kommenden Trilogverhandlungen für Streit sorgen könnte.
Die Verbändebeteiligung für das NIS-2-Umsetzungsgesetz hat offiziell noch nicht begonnen, doch der Bundesverband der Deutschen Industrie (BDI) hat sich mit einem Positionspapier in Stellung gebracht. Darin fordert der Verband etwa eine EU-weit harmonisierte Umsetzung und großzügigere Umsetzungsfristen.
An der Ben-Gurion-Universität in Israel wurde ein Algorithmus entwickelt, der gefälschte Profile in sozialen Netzwerken identifizieren soll. Die Methode analysiert die Verbindungen und Muster und kann Abweichungen in verschiedenen Bereichen wie sozialen Netzwerken und sogar der Biologie aufdecken.
In der Reihe „Schwachstellen im Fokus“ stellen wir Sicherheitslücken, Schwachstellen oder Schadsoftware vor, die in den vergangenen Tagen von sich Reden gemacht haben. Ein Botnet, das für DDoS-Angriffe Cyberkriminellen angeboten wird, verbreitet sich über eine Schwachstelle in Wlan-Routern.
Kleine und mittlere Unternehmen stehen ebenso im Fokus von Cyberkriminellen wie Großkonzerne. Aber nur wenige sind gegen die Risiken einer Attacke versichert. Versicherungsgesellschaften wappnen sich für die große Nachfrage – doch die Unternehmen sind skeptisch.
Oft sind Whistleblower:innen die einzigen, die den Reichen und Mächtigen gefährlich werden können. Doch sie leben gefährlich, besonders in Südafrika – bis hin zur Ermordung. Umso wichtiger ist Hilfe aus der Zivilgesellschaft.
Zum ersten Mal seit Maos Ära versucht China sich in die Innenpolitik und die Gesellschaften von Ländern auf fast allen Kontinenten einzumischen. In Australien sollen seit 2018 Gesetze vor einer derartigen Einmischung schützen. Mit gemischtem Erfolg: Vor allem chinesisch-stämmige Bürger:innen im Land erreicht der lange Arm Pekings nach wie vor.
Wie positioniert sich Europa während zunehmender geopolitischer Spannungen? Diese Woche hat die EU-Kommission eine Strategie für wirtschaftliche Sicherheit vorgestellt. Sie soll Europa eigenständiger und resilienter machen, auch Kritische Infrastrukturen spielen eine Rolle.
Was bewegt Deutschlands CIOs und Cisos in Bezug auf die Sicherheit ihrer Unternehmen? Welche Technologien werden ihren Berufsalltag verändern? Und was wünschen sie sich von der Politik, um die Sicherheitslage zu verbessern?
Mehr Informationsaustausch und Unterstützung für die Unternehmen, effiziente digitale Registrierungs- und Meldeprozesse und der Verzicht auf eine zusätzliche Verschärfung der Anforderungen. Das sind zentrale Forderungen des Wirtschaftsrats der CDU zur NIS-2-Umsetzung. Vor allem für KMU wünscht man sich: mehr Zeit.
Am Dienstag stellten Bundesinnenministerin Nancy Faeser (SPD) und Verfassungsschutzpräsident Thomas Haldenwang den Verfassungsschutzbericht 2022 hervor. Angriffe aus Russland und China werden darin als die größten Gefahren im Cyberraum beschrieben. Eine Überblick über die Cyberdetails.
Hyperschallraketen gelten als äußerst schwer abzufangen – in Israel will der Rüstungskonzern mit Sky Sonic ein entsprechendes Verteidigungssystem vorstellen. Dabei sorgt auch die gestiegene Nachfrage nach Luftverteidigungssysteme für einen Exportrekord der Branche.
Nachdem das Mandat des EU-Sonderausschusses zu Desinformation (Inge) letztes Jahr verlängert wurde, hat der Nachfolger Ing 2 seinen zweiten Report vorgelegt. Darin werden die Bedrohungen durch Desinformation in der EU bestimmt. Warum das Thema ernster genommen werden muss, erzählt die grüne Schattenberichterstatterin Viola von Cramon im Interview.
Sensible Daten von geschätzten 100.000 Angestellten sollen in Großbritannien in die Hände von Kriminellen gelangt sein. Grund dafür sind Ransomware-Angriffe, die eine Sicherheitslücke in der Software MOVEit ausnutzen. Viele betroffene Unternehmen halten sich bedeckt über den genauen Umfang des Datendiebstahls. Ein Überblick.
In der Reihe „Schwachstellen im Fokus“ stellen wir Sicherheitslücken, Schwachstellen oder Schadsoftware vor, die in den vergangenen Tagen von sich Reden gemacht haben. Google überraschte in der vergangenen Woche mit einer ganzen Reihe von Aktualisierungen für Schwachstellen.
Dass bei 5G erhöht auf die Sicherheit geachtet werden sollte, ist nicht erst seit diesem Jahr bekannt. Die EU-Kommission veröffentlichte bereits 2020 Empfehlungen, wie die Netzwerke künftig besser gesichert werden sollen. Der aktuelle Sachstandsbericht der Mitgliedsländer erschien vergangene Woche, Thierry Breton wünscht sich mehr Zugeständnisse.
Früher wurde das „geheim“ in „Geheimdienst“ noch großgeschrieben: Geheimdienste sammelten mit geheimen Methoden geheime Informationen, um sie als geheime Analysen einem geheimen Empfängerkreis zukommen zu lassen. Das scheint sich geändert zu haben, schreibt Christopher Nehring.
Der chinesische Staatskonzern Cosco darf sich in den Hamburger Hafen einkaufen. Das sorgt seit Monaten für Kritik – besonders, seit das fragliche Container-Terminal verspätet als Kritische Infrastruktur registriert wurde. Nun räumt die Regierung ein: Das Terminal stand sogar schon 2018 unter Kritis-Regulierung.
Die verschärfte Bedrohungslage im Cyberraum macht gilt besonders Kritischen Infrastrukturen. Wie sich Energieversorger auf den neuen Status quo einstellen.
Im EU-Parlament geht die Arbeit des Pega-Ausschusses, der den Überwachungsskandal innerhalb der EU untersuchte, zu Ende. Gestern wurde über die Empfehlungen abgestimmt. Die Aussprache im Parlamentsplenum zuvor war emotional und bestimmt: Die Umsetzung sei entscheidend.
Das E-Evidence-Paket ermöglicht Strafverfolgungsbehörden in den EU-Mitgliedsländern erstmals direkte Zugriffe auf Daten von Verdächtigen bei Providern und E-Commerce-Plattformen bei schweren Straftaten. Ein Interview mit Birgit Sippel (SPD) zu Kompromissen und möglichen Probleme mit der Rechtsstaatlichkeit in einigen EU-Ländern.
Der aktuelle Sicherheitsindex des Vereins Deutschland sicher im Netz (DsiN) zeigt eine deutliche Verschlechterung in Bezug auf die Stimmungslage bei Verbraucher:innen. Dabei spielen Falschinformationen eine nicht zu unterschätzende Rolle.
Auf dem Creative Bureaucracy Festival stellt das Bundesinnenministerium seinen neuen Gamification-Ansatz für mehr IT-Sicherheit vor: Die OZG-Sicherheitschallenge und ein Tool, mit dem öffentliche Stellen ihre Webseiten prüfen können.
62 Mal kommt das Wort „Cyber" in der Nationalen Sicherheitsstrategie vor. Neben dem Hauptkapitel „Schutz vor Bedrohungen aus dem Cyberraum“ finden sich auch Themen rund um Desinformation und Sicherheit im Weltraum. Auch mehrere Gesetzesvorhaben werden angekündigt. Ein Überblick.
In Berlin stellt heute die Initiative Deutschland sicher im Netz e. V. (DsiN) ihren alljährlichen Sicherheitsindex vor. Geschäftsführer Michael Littger über die aktuellen Zahlen, sich abzeichnende Trends und akute Handlungsbedarfe.
Nach über einem Jahr veröffentlicht die Ampel-Regierung die Nationale Sicherheitsstrategie. Bis kurz vor Schluss wurde noch um Formulierungen bei den Passagen zu Cybersicherheit gerungen. Das Ergebnis gibt klare Hinweise darauf, wie die Regierung die „Hackback“-Diskussion weiterführen möchte.
Jedes Unternehmen in Deutschland wird nach Einschätzung des TÜV-Verbands irgendwann Opfer eines Cyberangriffs. Wie aus einer repräsentativen Umfrage im Auftrag des TÜV-Verbands hervorgeht, wurde etwa jedes zehnte Unternehmen im vergangenen Jahr Opfer eines Cyberangriffs oder ähnlichen IT-Sicherheitsvorfalls.
Die Schwarz-Gruppe baut neben dem Einzelhandel zunehmend auch an einer Positionierung als IT- und Cybersicherheitsdienstleister. Heute legt der Konzern einen Report vor, in dem er die Sicherheitslage von deutschen Unternehmen untersucht hat.
In der Reihe „Schwachstellen im Fokus“ stellen wir Sicherheitslücken, Schwachstellen oder Schadsoftware vor, die in den vergangenen Tagen von sich Reden gemacht haben. Ein kombiniertes System aus Hardware und Software, das den E-Mail-Verkehr absichern soll, muss dringend ausgetauscht werden.
Das Auswärtige Amt betreibt eine ressortübergreifende Plattform für die Kommunikation von Verschlusssachen. Die Union kritisiert ein geringes Sicherheitsniveau und mangelnde Interoperabilität mit Nato- und EU-Systemen. Bei der angedachten Anbindung der Bundesländer gibt es keine Fortschritte.
Zu Angriffen auf die Dateiübertragungssoftware MOVEit bekennt sich die Ransomware-Gruppe Clop. Die kürzlich entdeckte kritische Sicherheitslücke in MOVEit erlaubt das Ausführen von beliebigen Befehlen. Unternehmen weltweit, darunter Teile des AOK-Bundesverbandes, sind betroffen. Die Auswirkungen des Angriffs werden weiterhin untersucht. Ein Update.
Das Bundesinnenministerium hat erstmals die deutsche Kritis-Regulierung evaluiert. Ergebnis: Die Betreiberpflichten sind wirksam. In Fachkreisen enttäuschte der Bericht. Wichtige Fragen blieben außen vor, die Methode ließe zu wünschen übrig, es fehle an wissenschaftlichem Sachverstand – so lauten die Kritikpunkte.
Aus Sicht von Krankenhausmanagern ist eine Cyberversicherung inzwischen „genauso elementar wie die Haftpflichtversicherung für Behandlungsfehler“. Nur: Der Abschluss einer entsprechenden Police ist für Krankenhäuser nicht immer einfach. Es stellt sich einmal mehr die Ressourcenfrage. Manche Kliniken haben sich daher in einem Pool zusammengeschlossen.
Der AI Act der EU-Kommission beschäftigt sich auch mit der Cybersicherheit von KI-Systemen. Das ist gut. Gleichzeitig droht das Gesetz zum innovationshemmenden Überregulierungsmonster heranzuwachsen. Viele sehen bereits den KI-Standort Europa in Gefahr. Stimmt das wirklich? Pascal Bronner kommentiert.
Der zweite Tag der Digitalkonferenz Republica brachte reichlich Cyber: Von neuen Trends unter Cyberkriminellen über Desinformationskampagnen Chinas bis hin zur Quantenverschlüsselung im Selbstversuch. Ein Überblick über die zentralen Themen.
Auch in Frankreich fehlen die Fachkräfte für mehr Cybersicherheit. Ein neuer Campus in Paris soll das zügig ändern. Dafür setzt Frankreich auf Vorbilder in anderen Staaten – und will dafür auch stärker in die Regionen gehen.
Beim Bundesforschungsministerium sind trotz knapper Frist massenweise Ideen zum geplanten Forschungsdatengesetz eingegangen. Damit das Gesetz gelingt, muss es aber in die Regulierung auf EU-Ebene eingebettet werden.
Quantencomputer kommen – für die Migration zu quantensicheren Verschlüsselungsverfahren bleiben vielleicht nur wenige Jahre. Doch schon die Kommunikation von heute könnten von Angreifer:innen gespeichert werden, um sie in der Zukunft zu entschlüsseln. Das verschiebt den Zeitplan, warnen Expert:innen.
In der Reihe „Schwachstellen im Fokus“ stellen wir Sicherheitslücken, Schwachstellen oder Schadsoftware vor, die in den vergangenen Tagen von sich Reden gemacht haben. Eine Dateiübertragungssoftware beinhaltet einen Programmfehler, der das Einschleusen von Abfragecodes auf Datenbanken ermöglicht.
Staatliche Zugriffe auf private und geschützte Kommunikation betreffen nicht nur den Datenschutz, sondern auch die Cybersicherheit. Warum sich ein digitales Briefgeheimnis und das Recht auf Verschlüsselung auf europäischer wie auf nationaler Ebene herleiten lässt und was daraus für die Politik folgt, führt Dennis-Kenji Kipker aus.
Noch immer kämpft der IT-Dienstleister Bitmarck mit den Folgen eines schweren Cyberangriffs. Der Fall zeigt, wie Zentralisierung in kritischen Bereichen zum Systemrisiko werden kann. Außerdem wird klar, dass es mit der IT-Sicherheitsregulierung in Teilen des Gesundheitswesens noch nicht weit her ist.
Das European Repository of Cyber Incidents (EuRepoC) sammelt Informationen und Wissen über Cyberkonflikte. Einmal im Monat werfen die Forschenden im Tagesspiegel Background Cybersecurity einen Blick auf die jüngsten Cyberoperationen und stellen die zentralen Trends vor.
Das Bundesinnenministerium (BMI) bereitet gerade eine Neuregulierung der Cybersicherheit Kritischer Infrastrukturen vor. Da passt die kürzlich durchgeführte Evaluierung der bisherigen Gesetzeslage gut in die Zeit. Die hält das BMI für wirksam, sieht aber auch Anpassungsbedarf. Allerdings haben es längst nicht alle Kritikpunkte in den Bericht geschafft.
Vor allem Großunternehmen richten Cyber Defense Center ein, um auf die Herausforderungen der Cybersicherheit eine umfassende Antwort zu geben. Andreas Gaetje, Chief Information Security Officer (Ciso) von Körber, erklärt im Interview, was eine zeitgemäße Sicherheitsinfrastruktur ausmacht und wie sie betrieben wird.
Bei der Cybersicherheit von Open-Source-Software hat die Politik verschiedene Handlungsoptionen in einem komplexen Umfeld, stellt ein Kurzdossier der Stiftung Neue Verantwortung (SNV) dar. Der Policy Brief empfiehlt die Einrichtung eines Open-Source-Programmbüros für Cybersicherheit und stellt dafür mögliche Inhalte und Maßnahmen vor.
Schon lange wird über chinesische Komponenten im deutschen Mobilfunknetz diskutiert. Nun teilt die Bundesregierung mit, die Prüfung solle im Sommer abgeschlossen werden. Den prozentualen Anteil chinesischer Bauteile im Kernnetz des deutschen Mobilfunknetzes kann sie allerdings nicht beziffern.
In der Reihe „Schwachstellen im Fokus“ stellen wir Sicherheitslücken, Schwachstellen oder Schadsoftware vor, die in den vergangenen Tagen von sich Reden gemacht haben. Eine Version der Code-Austauschplattform Gitlab erreicht mit dem Wert 10 die höchstmögliche Einstufung für den Schweregrad einer Schwachstelle.
Angebliche Chef:innen, die per E-Mail zur Überweisung von hohen Geldbeträgen auffordern – noch immer kein so seltener Betrugsversuch. Im Interview spricht Marie-Christine Kragh vom Kreditversicherer Allianz Trade über das Vorgehen der Kriminellen, psychologische Strategien und den hohen Wert einer guten Unternehmenskultur.
Um einen Rahmen für die europäischen Anforderungen an Cloud-Anbieter gibt es seit Längerem Diskussionen. Ein erster Entwurf des zuständigen Gremiums orientierte sich an französischen Standards – gefolgt von lautstarker Kritik. Der neue Entwurf scheint wenig Veränderung zu bringen.
Eine chinesische Cybergruppe hat nach Angaben von Microsoft und der Geheimdienste der Fives-Eyes kritische US-Infrastrukturen in den USA im Visier. Von der Telekommunikation bis hin zu Verkehrsknotenpunkten sei ein breites Spektrum ausspioniert worden. China spricht von einer „kollektive Desinformationskampagne“.
Die Sanktionen gegen Russland zeigen Wirkung – das zeigt der Boom des Markts mit Kryptowährungen. Das Land scheint ein neues Umfeld zu schaffen, um internationale Blockaden zu umgehen. Tim Stuchtey, Rebecca Singer und Dimitri Androssow kommentieren das Vorgehen.
Ein Entwurf für die Datenstrategie der Bundesregierung liegt jetzt vor. Damit wollen Teile der Ampel-Regierung die Strategie der Vorgängerregierung ablösen. Nicht alle halten das für nötig.
Häfen als wichtige Schnittstelle für den Handel und die vernetzte Schifffahrt sind auch für Cyberkriminelle ein lohnendes Ziel, wie Fälle in der Vergangenheit gezeigt haben. Ob Forschung, Politik oder Unternehmen: Viele Beteiligte schließen derzeit vermehrt Sicherheitslücken und verbessern Strukturen, um Häfen besser vor Attacken zu schützen.
Bereits vor zwei Jahren erklärte Emmanuel Macron E-Health und Cybersicherheit im Gesundheitswesen zur „nationalen Priorität”. Eine Roadmap soll zudem das Gesundheitssystem bis 2027 weitgehend digitalisieren und Sicherheitslücken schließen. Man wolle „schneller und an vorderster Front” agieren.
Als vorübergehende Nationale Cybersicherheits-Direktorin setzt Kemba Walden auf Vielstimmigkeit, ihre Auslandserfahrung und eine spezielle Art von Nachwuchsförderung. Manch ein US-Politiker hätte sie deshalb gerne dauerhaft auf dem Posten.
Für den Verfassungsschutz steht fest: Russland und China sind die beiden Staaten, die am aggressivsten versuchen, in Deutschland Einfluss zu gewinnen – etwa durch Falschinformationskampagnen. Doch die Behörde warnt auch vor weiteren Operationen.
Fedor Ruhose und Valentina Kerst (beide SPD) warnen in ihrem Buch „Schleichender Blackout“ vor einem „digitalen Desaster“, das Deutschland drohe. Der Landes-CIO und die Staatssekretärin a.D. sparen nicht mit Kritik an vergangenen Weichenstellungen bei der Digital- und Cybersicherheitspolitik.
Der Europäische Gerichtshof (EuGH) hat Anfang Mai mit einem Urteil die Verbraucherrechte bei Schadensersatzklagen nach Datenlecks gestärkt. Tim Wybitul, Datenschutzexperte und Partner der Kanzlei Latham & Watkins spricht im Interview über die Folgen und darüber, wie sich Unternehmen gegen immer Schadensersatzklagen und steigende Bußgelder wappnen können.
„Was dem Jupiter erlaubt ist, ist dem Ochsen nicht erlaubt“ – das lateinische Sprichwort gilt auch für die Ausnutzung von Schwachstellen. Denn während der Staat keinen einheitlichen Umgang mit Schwachstellen anstrebt, legt er Unternehmen hohe Verpflichtungen auf. Ein Unding, kommentiert Nicolas Ziegler.
