Die vergangenen Wochen habe ich die Gelegenheit gehabt, mich eingehend mit der NIS2 auseinanderzusetzen und ganz praktisch Checks und einen Fragenkatalog zu erarbeiten. Wer NIS2 sagt,1 meint normalerweise die Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 für ein hohes gemeinsames Cybersicherheitsniveau in der Union.2 In Abgrenzung zu EU-Verordnungen, entfalten Richtlinien ihre volle Wirkung erst durch Umsetzung in nationales Recht. Die NIS2 ist eine sogenannte Mindestharmonisierungsrichtlinie.3 Mitgliedstaaten dürfen abweichend strengere Regeln erlassen, müssen aber die formulierten Mindeststandards erfüllen. Read more

Der BSI-Bericht für das Jahr 2025 (Stand Oktober 2025) wurde veröffentlicht.1 Im Grunde gibt es wenig grundlegend Neues. Die wichtigsten Punkte, kommentiert und kritisch eingeordnet: Die Bedrohungslage ist unverändert angespannt und stabilisiert sich auf einem hohen Niveau.2 Bemerkenswert ist, dass der Grad der Fehlkonfiguration von Systemen und Software von 28% im vorherigen Berichtszeitraum auf 44% gestiegen ist.3 Die Angriffsflächen bei Web-Oberflächen sind in einem “besorgniserregenden Zustand”.4 Scope sind hier alle erreichbaren IP-Adressen mit .de Domains. EDR und Security-Lösungen stellen keinen ausreichenden Schutz dar. Sie sind weiterhin gegenüber gängigen Angriffsszenarien wirkungslos und werden mit sogenannten “EDR-Killern” effektiv ausgehebelt, so die Kommentierung von Heise.5 Kleine und mittelständische Unternehmen (KMU) geraten mehr in den Fokus von Ransomware-Banden. Der Bericht spricht von einer “grundlegenden Fehleinschätzung” der Bedrohungs- und Gefährdungslage durch die Verantwortlichen.6 Zweifelhaftes Selbstlob Und das gehört leider auch zum BSI: Selbstlob mit vermeintlichen Schlägen gegen internationale Cyberkriminalität und verbesserten KRITIS-Schutz. Bemerkenswert, wenn im gleichen Bericht für KRITIS festgestellt wird:7 Read more

Hinter der unscheinbaren Bezeichnung CVE-2021-442281 versteckt sich eine schwerwiegende Schwachstelle in der Java-Komponente Log4J2. Der Fehler besteht darin, dass diese Logdaten nicht nur liest oder schreibt sondern auch interpretiert und Anweisungen zum Nachladen von Programmcode ausführt. So wird aus einer Logzeile ein Programm, das im Kontext der jeweiligen Software, des Dienstes oder Anwenders ausgeführt wird. Pauschal kann davon ausgegangen werden, dass in JAVA programmierte Software und alles mit einem Tomcat-Webserver von der Log4J-Schwachstelle betroffen ist. Die Liste der Softwareprodukte ist lang und beinhaltet das Who-is-Who der IT-Branche3. Das BSI ruft gleich Alarmstufe rot aus4 und sogar der Spiegel schreibt von “Scheiße”, die lichterloh brennen würde5. Read more