[datensicherheit.de, 01.05.2025] Der Silicon Saxony e.V. kommentiert in seiner aktuellen Stellungnahme den am 28. April 2025 vorgestellten „Sonderbericht 12/2025“ des Europäischen Rechnungshofes mit dem Titel „Die Strategie der EU im Bereich Mikrochips – Akzeptable Fortschritte bei der Umsetzung, doch reicht das Chip-Gesetz höchstwahrscheinlich nicht aus, um das allzu ehrgeizige Ziel der digitalen Dekade zu verwirklichen“. Der Silicon Saxony e.V. versteht sich als „Hightech-Netzwerk“ und bezieht Position: Mikrochips seien kein Luxus, sondern „Überlebensfrage für Europas Industrie“. Indes seien hohe Investitionen nötig, „denn die Chip-Industrie ist strategischer, kapitalintensiver und global härter umkämpft als jede andere Branche“.

Foto: © Silicon Saxony e.V.

Frank Bösenberg: Die Chip-Zukunft Europas entscheidet sich nicht nur in Strategiepapieren, sondern durch konkrete Investitionen vor Ort!

EU-Chip-Gesetz von 2022 sollte helfen, Versorgungsengpässe bei Mikrochips zu beheben

Das EU-Chip-Gesetz wurde 2022 als Reaktion auf die durch die „Corona-Pandemie“ verursachten Lieferkettenstörungen beschlossen und trat 2023 in Kraft. Ziel ist es demnach, Versorgungsengpässe bei Mikrochips zu beheben und die technologische Führungsrolle Europas zu stärken.

Es baut auf einer älteren Strategie von 2013 auf, da die EU seither im globalen Vergleich Marktanteile verloren hat. Wegen des Zeitdrucks bei seiner Entstehung wurden jedoch wichtige Standards wie eine umfassende Folgenabschätzung nicht vollständig eingehalten. Eine erste Überprüfung des Gesetzes wird bis September 2026 erwartet.

Europas Chip-Strategie sollte dringend an globale Realität angepasst werden

„Der Bericht des Europäischen Rechnungshofes unterstreicht eindrucksvoll, dass Europa seine Chip-Strategie dringend an die globale Realität anpassen muss.“ Die technologische Souveränität Europas entscheide sich in einem beispiellos hart umkämpften und extrem kapitalintensiven Markt.

Subventionen für die Halbleiterindustrie seien mit denen anderer Industrien nicht vergleichbar: „Mikrochips sind das Rückgrat nahezu aller Zukunftstechnologien von Mobilität über Energie bis hin zu KI. Investitionen in Milliardenhöhe erscheinen hoch, sind aber notwendig, um die Wettbewerbsfähigkeit Europas überhaupt zu sichern.“

Ehrgeizige Ziele Europas im Chip-Sektor: „Silicon Europe“ muss gestärkt werden

Regionen wie das sogenannte Silicon Saxony, aber auch die anderen in „Silicon Europe“ organisierten „Halbleiter-Ökosysteme“ (wie stellvertretend z.B. „Rhône-Alpes“, „Leuven“, „Eindhoven“ oder „Villach“) seien Erfolgsbeispiele und bewiesen schon heute, „dass Wachstum und Innovation möglich sind“. Um jedoch die ehrgeizigen Ziele Europas im Chip-Sektor zu erreichen und die Wettbewerbsfähigkeit wirklich nachhaltig zu sichern, müssten diese starken Regionen gezielt gestärkt und weitere Technologiezentren aufgebaut werden.

Entscheidend dafür seien wettbewerbsfähige Energiepreise, gesicherter Zugang zu Rohstoffen, beschleunigte Genehmigungsverfahren und eine europäische Fachkräfteoffensive. „Die Chip-Zukunft Europas entscheidet sich nicht nur in Strategiepapieren, sondern durch konkrete Investitionen vor Ort. ,Silicon Saxony’ ist bereit, diesen Weg entschlossen mitzugestalten – schnell, realistisch und mit dem klaren Ziel, Europas technologische Unabhängigkeit zu sichern“, betont Frank Bösenberg, Geschäftsführer Silicon Saxony.

Weitere Informationen zum Thema:

EUROPÄISCHER RECHNUNGSHOF, 28.04.2025
SONDERBERICHT 12/2025 / Die Strategie der EU im Bereich Mikrochips / Wichtigste Fakten und Feststellungen

Europäische Union, EUROPÄISCHER RECHNUNGSHOF, 28.04.2025
Sonderbericht 12/2025: Die Strategie der EU im Bereich Mikrochips – Akzeptable Fortschritte bei der Umsetzung, doch reicht das Chip-Gesetz höchstwahrscheinlich nicht aus, um das allzu ehrgeizige Ziel der digitalen Dekade zu verwirklichen

Europäische Union, EUROPÄISCHER RECHNUNGSHOF
„Mikrochips: EU hinkt im globalen Wettlauf hinterher“

SILICON SAXONY
THE HIGH-TECH NETWORK

datenicherheit.de, 11.07.2023
Chip-Industrie: Europäisches Parlament billigt Gesetz zur Stärkung der EU / Neues Chip-Gesetz der EU soll Europas strategische Autonomie und Sicherheit stärken

datensicherheit.de, 19.04.2023
EU Chips Act: Europäisches Parlament und Europäischer Rat erzielten vorläufige Einigung / Für den Bitkom ist der EU Chips Act überfällig

[datensicherheit.de, 01.05.2025] Die DENIC eG fungiert als zentrale Registrierungsstelle für alle Web-Domains unter der Top-Level-Domain „.de“ und stellt hierzu die technische Infrastruktur für deren Betrieb bereit. Die eingetragene Genossenschaft engagiert sich für die „sichere und stabile Verwaltung des deutschen Namensraums im Internet“. Laut einer DENIC-Mitteilung vom 29. April 2025 haben auf der ordentlichen Generalversammlung an diesem Tag die Mitglieder die -Gremien neu aufgestellt. Im Rahmen der satzungsgemäß alle drei Jahre durchgeführten Wahl wurde Dr. Johannes Loxen (SerNet Service Network GmbH) ein neues Mitglied in den Aufsichtsrat gewählt.

Foto: DENIC eG

Der DENIC-Aufsichtsrat (v.l.n.r.): Oliver Elste (Vorsitzender), Dr. Johannes Loxen, Christian Müller, Stephan Hageleit und Marco Hoffmann

Oliver Elste neuer Vorsitzender des DENIC-Aufsichtsrats

Oliver Elste (Smart-NIC GmbH), Stephan Hageleit (INWX GmbH), Marco Hoffmann (OpusDNS GmbH) und Christian Müller wurden demnach für eine weitere Amtszeit bestätigt. Im Anschluss an die Versammlung konstituierte sich der neue Aufsichtsrat und wählte Oliver Elste zum neuen Vorsitzenden.

Elste kommentierte: „Die digitale Zukunft fordert uns heraus – nicht mit Angst, sondern mit Verantwortung. Als Genossenschaft stellen wir den gemeinsamen Nutzen über Einzelinteressen und schaffen so die Grundlage für ein starkes, sicheres und unabhängiges Internet – heute und morgen.“

DENIC-Vorstand Thomas Keller unterstreicht grundlegende Werte

Stabilität gebe es beim ehrenamtlichen Vorstand: Martin Küchenthal (LEMARIT GmbH) und Sebastian Röthler (info.at Internet GmbH) wurden durch Wiederwahl in ihren Ämtern bestätigt.

Thomas Keller, Vorstand der DENIC eG, unterstrich abschließend: „Mitbestimmung und Teilhabe auf Augenhöhe – dafür steht unsere Genossenschaft. Das Wahlergebnis zeigt: Bei DENIC werden diese Werte wirklich gelebt!“ Erfahrung treffe auf frische Impulse – genau diese Mischung mache „.de“ stark.

Weitere Informationen zum Thema:

denic
Wir sind .de / DENIC eG

[datensicherheit.de, 30.04.2025] Der eco – Verband der Internetwirtschaft e.V. hat in seiner aktuellen Stellungnahme dem designierten Digitalminister, Dr. Karsten Wildberger, gratuliert. Aus Sicht des Verbands ist die Ankündigung der neuen Bundesregierung, ein eigenständiges „Ministerium für Digitalisierung und Staatsmodernisierung“ zu schaffen, ein wichtiges Signal für die Digitale Transformation hierzulande. Dabei sei allerdings das Mandat entscheidend, nicht das Etikett, stellt der eco-Vorstandsvorsitzende, Oliver Süme, klar und benennt in diesem Zusammenhang die „Top Five Agenda“ des eco.

Foto: eco

Oliver Süme: Das neue Digitalministerium hat das Potenzial, der Digitalen Transformation und der Internetwirtschaft in Deutschland enormen Aufwind zu geben

Das Digitalministerium muss Digitalpolitik federführend gestalten können

Entscheidend für den Wandel in Deutschland wird indes die konkrete Ausgestaltung des neuen Ministeriums im Hinblick auf Zuständigkeiten, Kompetenzen und Budget sein. „Grundvoraussetzung für den Impact eines neuen Digitalministeriums ist aus Sicht des Verbands, dass das Haus Digitalpolitik federführend gestalten kann.“ Daher hat der eco fünf Kernaufgaben formuliert, welche das Digitalministerium in der neuen Legislaturperiode mit Priorität angehen sollte.

„Ich wünsche dem designierten Digitalminister viel Erfolg in seinem neuen Amt. Er steht vor der großen Aufgabe, den Digitalstandort Deutschland souverän und wettbewerbsfähig aufzustellen“, so Süme. Zunächst gelte es nun, das neue Ministerium handlungsfähig und schlagkräftig auszustatten: „Das neue Digitalministerium hat das Potenzial, der Digitalen Transformation und der Internetwirtschaft in Deutschland enormen Aufwind zu geben. Aber entscheidend ist nicht das Etikett, sondern das Mandat. Das Digitalministerium braucht klare Zuständigkeiten, die Federführung für zentrale digitalpolitische Handlungsfeder sowie ein relevantes Digitalbudget!”

Alles andere wäre Symbolpolitik, welche den Digitalstandort Deutschland keinen Schritt weiterbrächte. Es sei bedauerlich, dass der von Union und SPD vorgelegte Koalitionsvertrag hier – wie in vielen weiteren digitalpolitischen Grundsatzfragen – unklar bleibe, moniert Süme. Das neue Digitalministerium müsse diese Leerstellen schnellstmöglich konkretisieren.

eco-Pflichtenheft mit fünf digitalpolitischen Aufgaben

Der eco hat auf Basis des vorliegenden Koalitionsvertrags ein Pflichtenheft aus fünf digitalpolitischen Aufgaben für das neue Digitalministerium formuliert:

• Ambitionierte Digitalstrategie vorlegen
  Um das Digitalministerium erfolgreich und ergebnisorientiert arbeitsfähig zu gestalten, bedürfe es eines ressortübergreifenden strategischen Zielbilds „Digitales Deutschland 2030“ auf Grundlage des Koalitionsvertrags – validiert durch den Dialog mit Gesellschaft und Wirtschaft.
  Dieses Zielbild schreibe wichtige inhaltliche Schwerpunkte und Meilensteine in verschiedenen digitalpolitischen Aspekten für Politik und Verwaltung zentral fest und definiere „messbare Benchmarks“.
• Digitale Verwaltung modernisieren
  Die im Koalitionsvertrag angekündigten Pläne zur Modernisierung der Verwaltung klingen laut eco „vielversprechend“. Jedoch werde im Bereich der digitalen Verwaltung auch nichts Neues angekündigt. „Auch werden keine konkreten Anhaltspunkte dazu geliefert, wann die Registermodernisierung abgeschlossen sein wird, oder wann die Umsetzung von ,digital-only’ stattfinden soll.”
  Der digitale Vollzug von Verwaltungsleistungen müsse zum Standard werden – dafür brauche es allerdings klare Zielmarken, welche bisher fehlten.
  Die Nutzung von KI könne zusätzlich helfen, Prozesse zu beschleunigen. Die angestrebten Maßnahmen müssten allerdings mit verbindlichen Zielen und den nötigen finanziellen und personellen Ressourcen unterlegt werden. Zudem muss nach Ansicht des eco die Verbindlichkeit durch einen „Rechtsanspruch auf digitale Verwaltung“ erhöht werden.
• Cyber-Sicherheit ausbauen
  Der Fokus sollte grundsätzlich auf der Umsetzung bestehender EU-Regulierung liegen. Eine klare Rollen- sowie Aufgabenverteilung in Cyber-Sicherheitsfragen sei ebenso zu begrüßen wie die Stärkung des BSI – und der geplante Ausbau des BSI zu einer Zentralstelle für Informations- und Cyber-Sicherheit.
  Wie dies konkret aussehen soll, sollte das Digitalministerium nun zeitnah definieren.
• Resilienten KI-Standort Deutschland stärken
  Das Digitalministerium müsse eine innovationsfreundliche Umsetzung des „AI Act“ gewährleisten, Belastungen für Unternehmen reduzieren und gezielt KMU und Start-ups unterstützen.
  Dazu zählten auch der Ausbau eines resilienten „Ökosystems digitaler Infrastrukturen“, wettbewerbsfähige Standortbedingungen für Rechenzentren sowie die gezielte Förderung von KI-Trainingskapazitäten. Zusätzliche Haftungsregelungen für KI sollten aus Sicht der Internetwirtschaft nicht eingeführt werden.
• Rechtssicherheit in der Daten- und Digitalgesetzgebung schaffen – Vorratsdatenspeicherung verhindern
  Das Digitalministerium sollte sich grundsätzlich für einen verlässlichen Rechtsrahmen in der Daten- und Digitalgesetzgebung einsetzen. Einen guten Ansatz dafür könnte das geplante „Datengesetzbuch“ liefern.
  „Überzogene Überwachungsansätze wie die anlasslose Vorratsdatenspeicherung stehen Vertrauen und Sicherheit im Netz entgegen!“ Stattdessen sollte sich das Digitalministerium für eine Stärkung der Strafverfolgungsbehörden durch bessere technische Ausstattung und mehr Personal einsetzen.

Weitere Informationen zum Thema:

datensicherheit.de, 30.04.2025
Bitkom-Glückwünsche an neuen Digitalminister

datensicherheit.de, 25.04.2025
Bitkom Consult kommentiert Koalitionsvertrag 2025: Neue Datenschutzreform soll Unternehmen stärken / Im Koalitionsvertrag verankerte Maßnahmen als einzigartige Chance, den eigenen Datenschutz als Wettbewerbsfaktor zu nutzen

datensicherheit.de, 12.04.2025
Koalitionsvertrag: Digitalcourage warnt vor untoten Überwachungsallüren / Vehemente Kritik an der Priorisierung „Datennutzung vor Datenschutz“

datensicherheit.de, 11.04.2025
Koalitionsvertrag: Allianz zur Stärkung digitaler Infrastrukturen in Deutschland kommentiert wohlwollend / Bekenntnis zu starkem Rechenzentrumsstandort Deutschland gewürdigt

datensicherheit.de, 01.03.2025
Bitkom-Forderung nach der Bundestagswahl 2025: Deutschland braucht jetzt ein Digitalministerium / Digitalpolitik muss in der kommenden Legislaturperiode zum Schwerpunkt werden

[datensicherheit.de, 30.04.2025] Auch der Bitkom-Präsident, Dr. Ralf Wintergerst, gratuliert Dr. Karsten Wildberger, welcher das neu geschaffene Ressort für Digitalisierung und Staatsmodernisierung übernehmen soll. Dieses braucht jetzt indes eine zügige und verbindliche Klärung der konkreten Zuständigkeiten, Befugnisse und Ressourcen, auch im nachgeordneten Bereich.

Glückwünsche an designierten Minister für Digitalisierung und Staatsmodernisierung

„Ich gratuliere dem designierten Minister für Digitalisierung und Staatsmodernisierung, Dr. Karsten Wildberger, herzlich und wünsche ihm bei seinen Aufgaben bestmöglichen Erfolg“, so Wintergerst. Zu dessen Kernaufgabe führt er aus, dass Deutschland zu einem digital souveränen Land gemacht werden sollte – in Wirtschaft, Staat und Gesellschaft.

Die Einrichtung diese neuen Ressorts sei ein Meilenstein für Deutschland und seine Ausgestaltung werde maßgeblich dafür sein, „ob es zu einem echten Treiber für die Digitalisierung in Deutschland wird“.

Das neue Digitalministerium muss schlagkräftig handeln können

„Mehr denn je müssen wir jetzt wettbewerbsfähig, innovativ und digital handlungsfähig werden – um die Wirtschaft in Schwung zu bringen, den gesellschaftlichen Zusammenhalt zu stärken, die Sicherheit auch im Cyber-Raum zu verbessern und den Staat auf die Höhe der Zeit zu bringen.“

Vor dem Digitalminister liegen große Aufgaben: „Das neue Ressort braucht daher jetzt eine zügige und verbindliche Klärung der konkreten Zuständigkeiten, Befugnisse und Ressourcen, auch im nachgeordneten Bereich.“ Das Digitalministerium könne nur schlagkräftig handeln, „wenn es die Federführung für die digitalen Kernthemen erhält und mit den notwendigen Koordinierungsrechten, einem Digitalvorbehalt sowie einem ausreichenden Einzelplan ausgestattet ist!“

Weitere Informationen zum Thema:

datensicherheit.de, 30.04.2025
eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung / Mandat des Digitalministeriums entscheidend, nicht das Etikett, betont eco-Vorstandsvorsitzender Oliver Süme

datensicherheit.de, 01.03.2025
Bitkom-Forderung nach der Bundestagswahl 2025: Deutschland braucht jetzt ein Digitalministerium / Digitalpolitik muss in der kommenden Legislaturperiode zum Schwerpunkt werden

[datensicherheit.de, 29.04.2025] IT-Security-Experten von „Cato CTRL“, dem „Threat Research“-Team von Cato Networks gehen in einer aktuellen Stellungnahme auf ihre neueste Analyse ein, welche demnach eine „alarmierende Entwicklung im Bereich der Cyber-Kriminalität“ aufzeigt – nämlich den Missbrauch Generativer Künstlicher Intelligenz (GenKI). So lasse sich insbesondere der neueste Bildgenerator von „OpenAI’s ChatGPT“ zur Erstellung gefälschter Dokumente missbrauchen, z.B. für Pässe.

Abbildung: „Cato CTRL“ / Cato Networks

Etay Maor gelang es, die Schutzmechanismen der KI-Plattform zu überwinden

Ursprünglich für kreative Zwecke gedachte KI-Bildgeneratoren zunehmend zweckentfremdet

Diese Technologie, ursprünglich für kreative Zwecke wie die Erstellung von sogenannten Avataren oder Symbolbildern entwickelt, wird laut Cato zunehmend von Kriminellen zweckentfremdet, um überzeugende Fälschungen zu erstellen – ohne technisches Fachwissen oder Zugang zu illegalen Netzwerken. „Was früher spezialisierte Fähigkeiten und Werkzeuge wie ,Photoshop’ erforderte, kann heute mit wenigen gezielten Eingaben in eine KI-Plattform erreicht werden.“ Dies markiere einen Wendepunkt in der Bedrohungslandschaft und ebne den Weg für sogenannte „Zero Knowledge“-Angreifer, also Kriminelle, die ohne tiefgreifende Fachkenntnisse ausgefeilte Betrugsstrategien umsetzen könnten.

„Die Analyse von Cato zeigt, dass sogar die Einschränkungen des neuesten Bildgenerators von ,ChatGPT’ umgangen werden können, wenn die Anfragen geschickt formuliert werden.“ So sei es Etay Maor, „Chief Security Strategist“ bei Cato Networks, beispielsweise möglich gewesen, die Schutzmechanismen dieser Plattform zu überwinden – „indem er vorgab, dass ein Dokument lediglich eine Visitenkarte im Stil eines Reisepasses sei“. Auf diese Weise habe er ein gefälschtes, aber täuschend echt wirkendes Ausweisdokument erhalten.

KI reproduziert auch subtile Merkmale wie die Textur von Handschriften

Dieser Prozess, der früher Stunden gedauert und spezielle Kenntnisse erfordert hätte, sei nun in wenigen Minuten möglich – allein durch einfache Texteingaben. „Besonders beunruhigend ist die Qualität der Fälschungen: Die KI reproduziert nicht nur visuelle Details wie Stempel und Bildüberlagerungen, sondern auch subtile Merkmale wie die Textur von Handschriften oder Unregelmäßigkeiten im Tintenauftrag, die in echten Dokumenten auf Authentizität hinweisen.“

Die Folgen dieser Entwicklung seien weitreichend: „Mit gefälschten Identitätsdokumenten können Kriminelle unter anderem neue Bankkonten eröffnen, bestehende Konten übernehmen oder Versicherungsbetrug begehen.“ Diese sogenannte Demokratisierung des Betrugs stelle Unternehmen und Institutionen vor erhebliche Herausforderungen, da die noch bis vor Kurzem gültigen Eintrittshürden für solche kriminellen Aktivitäten praktisch aufgehoben würden.

KI-gestützte Betrugserkennungssysteme implementieren

Die Bedrohung bestehe nicht nur in der Leichtigkeit, mit der entsprechende Dokumente erstellt werden könnten, sondern auch in ihrer zunehmenden Glaubwürdigkeit, „da traditionelle Erkennungsmechanismen zuweilen überfordert sind“. Angesichts dieser neuen Alltagsgefahren müssten Organisationen ihre Sicherheitsstrategien dringend anpassen. „Neben den klassischen Maßnahmen gegen Phishing und Malware rückt die Prävention von dokumentenbasierten Angriffen in den Fokus.“

Es reiche nicht mehr aus, sich auf technologische Lösungen zu verlassen, vielmehr sei ein ganzheitlicher Ansatz erforderlich, welcher unter anderem mehrstufige Verifikationsprozesse umfasse. „Darüber hinaus sollten KI-gestützte Betrugserkennungssysteme implementiert werden, um mit der rasanten Entwicklung der Generativen KI Schritt zu halten. Während sich die Werkzeuge der Cyber-Kriminellen weiterentwickeln, müssen auch die Abwehrmaßnahmen entsprechend angepasst werden!“

Weitere Informationen zum Thema:

CATO, Etay Maor, 14.04.2025
Cato CTRL Threat Research: OpenAI’s ChatGPT Image Generator Enables Creation of Fake Passports

datensicherheit.de, 28.04.2025
Kritische Geschäftsabläufe: KI-gesteuerte Cyber-Angriffe nehmen zu / Zscaler empfiehlt, „Zero Trust“ und KI-basierte Abwehrmaßnahmen einzusetzen

datensicherheit.de, 05.12.2024
KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert / Deepfakes werden in Audio- und Video-Formaten vermehrt für Betrugsmanöver eingesetzt

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

[datensicherheit.de, 29.04.2025] Eine aktuelle Studie von heyData zeigt auf, dass 2024 ein ambivalentes Jahr für den Datenschutz war – sowohl mit Lichtblicken als auch alarmierenden Rückschritten. heyData-Datenschutzexperten haben demnach einen Blick auf Datenschutzverstöße europäischer Länder im vergangenen Jahr geworfen: „Trotz verschärfter Regularien und verstärkter Bemühungen, auch im Bereich der Künstlichen Intelligenz (KI), offenbart die Analyse der Datenschutzverstoß-Statistiken einen alarmierenden Verschlechterung der Sicherheitsstandards. Nur vier der Länder mit den meisten gemeldeten Datenschutzverstößen konnten eine positive Entwicklung verzeichnen und ihre Fallzahlen reduzieren.“ Andere Staaten hingegen hätten deutliche Zuwächse – teilweise um bis zu 65 Prozent – zu verzeichnen.

Abbildung: heyData

heyData-Analyse: Die 15 führenden Staaten mit Datenschutzverstößen (mit Angabe über die Zahl registrierter Datenschutzverstöße nach Land im Zeitraum 01/2024-01/2025 sowie Trend im Vergleich zu 2023)

Zwei Seiten der KI – Risiko und Chance für den Datenschutz

Ein entscheidender Faktor im aktuellen Datenschutzdiskurs ist laut heyData der zunehmende KI-Einsatz. Während KI-gestützte Systeme in der Lage sind, potenzielle Risiken frühzeitig zu erkennen und Datenschutzverletzungen automatisiert zu melden, birgt der unsachgemäße Einsatz selbst erhebliche Gefahren:

„KI kann sowohl als Schutzschild als auch als Einfallstor für Datenschutzverstöße fungieren“, erläutert Martin Bastius, Gründer und „Chief Legal Officer“ von heyData. Er führt aus: „Automatisierte Überwachungssysteme und Anomalie-Erkennung bieten neue Möglichkeiten zur Prävention – doch gleichzeitig entstehen neue Grauzonen bei der Datennutzung, die noch nicht ausreichend gesetzlich reguliert sind.“

Beispiel: Datenschutzpannen durch fehlerhafte KI-basierte Bewerber-Managementsysteme

In mehreren europäischen Unternehmen sei es 2024 zu Datenschutzpannen durch fehlerhafte KI-basierte Bewerber-Managementsysteme gekommen. „Diese Systeme hatten automatisch personenbezogene Daten wie Herkunft, Alter oder Gesundheitsstatus verarbeitet – teils ohne gültige Einwilligung.“

Diese Vorfälle zeigten deutlich: Der Einsatz von KI müsse durch klare, sektorübergreifende Leitlinien flankiert werden. „Die EU plant deshalb mit dem ,AI Act’ (KI-Gesetz) ein umfassendes Regelwerk, das Transparenzpflichten, Risikoklassifizierungen und Datenschutzkonformität für KI-Systeme verbindlich machen soll.“ Dieses Gesetz wird voraussichtlich ab 2026 gelten und dürfte tiefgreifende Auswirkungen auf den Umgang mit personenbezogenen Daten haben.

Fortschritte in Deutschland, doch Datenschutz-Herausforderungen auf hohem Niveau

In Deutschland zeichne sich eine positive Entwicklung im Bereich des Datenschutzes ab: „Die Zahl der registrierten Datenschutzverstöße konnte 2024 im Vergleich zum Vorjahr um 13 Prozent reduziert werden.“ Diese Verbesserung deute darauf hin, dass verstärkte Bemühungen um Datenschutzmaßnahmen und „Compliance“ erste Erfolge zeigten.

Jedoch bleibe die Zahl der Verstöße mit insgesamt 27.829 registrierten Fällen alarmierend hoch. „Diese Statistik unterstreicht die fortwährende Notwendigkeit, Datenschutzpraktiken weiter zu verschärfen und die Einhaltung von Vorschriften konsequent zu überwachen.“

Mehr als 356 Datenschutzverstöße pro Tag registriert

„Im Jahr 2024 haben die 15 führenden Nationen Europas insgesamt mehr als 130.000 Datenschutzverstöße verzeichnet.“ Diese Zahl spiegele sowohl die anhaltenden Anstrengungen zur Verbesserung des Datenschutzes als auch die weiter bestehenden Herausforderungen wider.

• „Die Niederlande stehen besonders im Fokus, mit einem sprunghaften Anstieg ihrer Verstöße um 65 Prozent auf insgesamt 33.471 Fälle.
• Spanien (+47%, 2.989 Vorfälle) und Italien (+42%, 2.400 Vorfälle) verzeichnen ebenfalls signifikante Steigerungen registrierter Verstöße.
• In Österreich stiegen die Datenschutzverstöße um 21 Prozent auf 1.282 registrierte Fälle. Dieser Zuwachs könnte auf Defizite in der Implementierung von Datenschutzstrategien hinweisen, möglicherweise auch beeinflusst durch eine gesteigerte Meldedisziplin oder verschärfte regulatorische Vorgaben, die zu einer verbesserten Erfassung und Offenlegung von Datenpannen beitragen.“

Nur vier von 15 Staaten mit Datenschutz-Fortschritten

Neben Deutschland konnten laut der Analyse aus einer Gruppe von 15 europäischen Ländern nur Dänemark, Irland und Polen ihre Verstöße reduzieren. „Dänemark erzielte mit einem Rückgang von 41 Prozent die größten Verbesserungen, gefolgt von Irland (-17%) und Polen (-1%).“ Diese positiven Entwicklungen zeigten, „dass gezielte Maßnahmen zur Stärkung des Datenschutzes wirksam sind“.

• Seit der Einführung der DSGVO im Jahr 2018 haben europäische Datenschutzbehörden Bußgelder in Höhe von insgesamt 5,9 Milliarden Euro verhängt. Irland führt die Liste mit 3,5 Milliarden Euro an – nicht zuletzt wegen der Rekordstrafe von 1,2 Milliarden Euro gegen META im Mai 2023 und der dort ansässigen Tech-Konzerne.

In Deutschland seien Bußgelder von insgesamt 89 Millionen Euro ausgesprochen worden, wobei die meisten Bußen unter 100.000 Euro gelegen und eine Vielzahl von Branchen betroffen hätten. Österreich habe Bußgelder von insgesamt 45 Millionen Euro verzeichnet, darunter eine markante Strafe von 9,5 Millionen Euro gegen die Österreichische Post AG.

Weitere Informationen zum Thema:

heyData
Datenschutzverstöße: Ein kritisches Jahr 2024

datensicherheit.de, 25.04.2025
Bitkom Consult kommentiert Koalitionsvertrag 2025: Neue Datenschutzreform soll Unternehmen stärken / Im Koalitionsvertrag verankerte Maßnahmen als einzigartige Chance, den eigenen Datenschutz als Wettbewerbsfaktor zu nutzen

datensicherheit.de, 21.04.2025
Schutz personenbezogener Daten: Bundesdatenschutzbeauftragte zu Gesprächen in Washington D.C. / Prof. Dr. Louisa Specht-Riemenschneider nimmt am „Global Privacy Summit“, der weltweit größten Konferenz im Bereich des Datenschutzes, teil

datensicherheit.de, 11.04.2025
Eine variable Größe: Wie die USA, China und die EU mit dem Datenschutz umgehen​ / Datenschutz ein wichtiger Indikator für das Werteverständnis eines Landes oder eines Staatenbundes

datensicherheit.de, 01.04.2025
Nur 4 Länder verbesserten sich 2024: Europas Datenschutz weiter im Krisenmodus / Analyse der Datenschutz-Verstoßstatistiken weist auf weitgehend alarmierenden Rückgang der Sicherheitsstandards hin

[datensicherheit.de, 28.04.2025] Der diesjährige Phishing-Report von Zscaler zeigt auf, dass Cyber-Kriminelle für zielgerichtete Angriffe verstärkt auf Künstliche Intelligenz (KI) setzen – dies unterstreicht laut Zscaler die Notwendigkeit, „Zero Trust“ und KI-basierte Abwehrmaßnahmen einzusetzen. Zwar seinen Phishing-Angriffe global um 20 Prozent zurückgegangen, doch die Angreifer verlagerten ihre Taktik auf tiefgreifende Methoden und zielten mit wirkungsvollen Kampagnen auf IT-, HR- und Finanz-Teams sowie auf Gehaltsabrechnungen ab. Soziale Netzwerke wie z.B. „Telegram“, „STEAM“ und „facebook“ seien übrigens die beliebtesten Plattformen für Phishing-Attacken, um Identitätsbetrug zu begehen und auch Malware zu verbreiten.

Foto: Zscaler

Deepen Desai warnt: Phishing hat sich verändert. Angreifer nutzen GenKI, um nahezu makellose Köder zu erstellen und sogar KI-basierte Abwehrmaßnahmen zu überlisten!

Phishing-Report 2025 empfiehlt „Zero Trust“- sowie KI-Verteidigungsstrategie

Die Zscaler, Inc. Hat ihren „Zscaler ThreatLabz 2025 Phishing Report“ veröffentlicht, in dem über zwei Milliarden blockierte Phishing-Versuche aus der „Zscaler Zero Trust Exchange“-Plattform zwischen Januar und Dezember 2024 analysiert werden. „Der Jahresbericht deckt auf, dass Cyber-Kriminelle verstärkt auf Generative KI (GenKI) setzen, um gezielte Angriffe auf wichtige Geschäftsfunktionen zu starten. Eine Verlagerung von Massen-E-Mails hin zu gezielten, KI-gestützten Angriffen war zu beobachten, die Abwehrmaßnahmen umgehen und menschliches Verhalten ausnutzen.“

• Der Phishing-Report empfiehlt daher eine „Zero Trust“- sowie KI-Verteidigungsstrategie und zeigt auf, wie sich Unternehmen damit gegen diese sich weiterentwickelnde Bedrohungslandschaft verteidigen können.

„Phishing hat sich verändert. Angreifer nutzen GenKI, um nahezu makellose Köder zu erstellen und sogar KI-basierte Abwehrmaßnahmen zu überlisten“, berichtet Deepen Desai, „CSO“ und „Head of Security Research“ bei Zscaler. Cyber-Kriminelle setzten KI als Waffe ein, um der Erkennung zu entgehen und Opfer zu manipulieren. „Das bedeutet, dass Unternehmen ebenso fortschrittliche KI-gestützte Abwehrmaßnahmen einsetzen müssen, um mit diesen neuen Bedrohungen Schritt halten zu können! Unser Report unterstreicht, wie wichtig ein proaktiver, mehrschichtiger Ansatz ist, der eine robuste Zero-Trust-Architektur mit fortschrittlicher KI-gestützter Phishing-Prävention kombiniert, um sich mit wirksamen Maßnahmen gegen die sich schnell entwickelnde Bedrohungslandschaft aufzustellen.“

KI-Phishing-Kampagnen missbrauchen zunehmend Soziale Netzwerke

Während Phishing weltweit um 20 Prozent und in den USA um fast 32 Prozent zurückgegangen sei – zum Teil auf strengere E-Mail-Authentifizierungsstandards zurückzuführen –, hätten Angreifer ebenso schnell reagiert. „Sie starteten vermehrt Angriffe auf aufstrebende Märkte wie Brasilien oder Hongkong, wo die Digitalisierung oft schneller voranschreitet als die Investitionen in die Sicherheit. Etablierte Ziele wie Indien, Deutschland und Großbritannien stehen weiterhin unter Druck, da sich die Angreifer an lokale Muster und saisonale Trends anpassen.“

• Phishing-Kampagnen missbrauchten zunehmend community-basierte Plattformen wie „facebook“, „Telegram“, „STEAM“ oder „Instagram“. „Sie ahmen nicht nur diese bekannten Markenauftritte nach, sondern nutzen sie auch, um Malware zu verbreiten, ,Command & Control’-Kommunikation zu verschleiern, Informationen über Ziele zu sammeln und Social-Engineering-Angriffe durchzuführen.“

Betrugsmaschen im Bereich des technischen Supports, bei denen Angreifer sich als IT-Support-Teams ausgäben, um die Dringlichkeit zu untermauern und Sicherheitsbedenken der Opfer zu untergraben, seien mit 159.148.766 Treffern im Jahr 2024 weit verbreitet gewesen.

KI-Missbrauch durch Bedrohungsakteure: Phishing-as-a-Service und KI-Täuschung auf dem Vormarsch

Cyber-Kriminelle nutzen GenKI, um Angriffe zu skalieren, gefälschte Webseiten und Deepfake-Stimmen, -Videos und -Texte für Social Engineering zu erstellen. Neue Betrugsmaschen ahmen KI-Tools wie z.B. Lebenslaufgeneratoren und Designplattformen nach und verleiten Nutzer dazu, Anmelde- oder Zahlungsdaten preiszugeben.

• „Kritische Abteilungen wie Lohnbuchhaltung, Finanzwesen und die Personalabteilung sind neben Führungskräften die Hauptziele, da sie Zugang zu sensiblen Systemen, Daten und Prozessen haben und betrügerische Zahlungen leichter genehmigen können.“

Ebenfalls als neue Methoden nähmen gefälschte Webseiten mit KI-Assistenten oder KI-Agenten an Fahrt auf, die falsche Dienstleistungen wie die Erstellung von Lebensläufen, Graphikdesign, Workflow-Automatisierung und mehr anböten. „Da KI-Tools immer stärker in den Arbeitsalltag integriert werden, nutzen Angreifer die einfache Bedienung und das Vertrauen in KI aus, um ahnungslose User auf betrügerische Webseiten zu locken.“

Verteidigung gegen KI-Bedrohungen mit „Zero Trust“ – und KI

Da Cyber-Kriminelle GenKI für die Entwicklung immer raffinierterer Taktiken und Angriffe nutzen, sollten Unternehmen ihre Abwehrmaßnahmen gegen alle Arten von Kompromittierungen verstärken.

• „Die ,Zscaler Zero Trust Exchange’-Sicherheitsplattform schützt User, Anwendungen und Daten in allen Phasen der Angriffskette durch das Minimieren der Angriffsfläche, das Verhindern einer ersten Kompromittierung, die Eliminierung von lateralen Bewegungen der Angreifer, die Abwehr von Insider-Bedrohungen und das Stoppen von Datenverlusten.“

Desai erläutert abschließend: „Die KI-basierten Lösungen von Zscaler bieten zusätzlichen Schutz, indem sie die Nutzung öffentlich verfügbarer KI-Tools sichern, private KI-Modelle vor Angreifern abschirmen und KI-generierte Bedrohungen erkennen.“

Weitere Informationen zum Thema:

zscaler, 2025
Industry Report: Zscaler ThreatLabz 2025 Phishing Report / GenAI is Making Phishing Personal

datensicherheit.de, 28.04.2025
Beliebte Spieler-Plattform STEAM erstmals Phishing-Angriffsziel Nr. 1 / Laut „Guardio’s Brand Phishing Report for Q1 2025“ ist die unter Gamern beliebte Vertriebs-Plattform „STEAM“ stark ins Vsiier Cyber-Krimineller geraten

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

datensicherheit.de, 25.04.2024
Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024 / CPR hat Wahlen welweit beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren

[datensicherheit.de, 28.04.2025] Mitte April 2025 wurde ein neuer „Brand Phishing Report“ vorgestellt, welcher die beliebtesten Phishing-Angriffsziele Cyber-Krimineller im ersten Quartal 2025 zusammengetragen hat. „Das Ergebnis: Erstmalig ist die unter Gamern beliebte Vertriebs-Plattform ,STEAM’ auf dem ersten Platz gelandet – mit deutlichem Abstand vor Microsoft, Facebook/Meta, Roblox und SunPass“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner Stellungnahme.

Foto: KnowBe4

Dr. Martin J. Krämer: Mit traditionellen Anti-Phishing- und Anti-Social-Engineering-Schulungen und -Trainings werden sie dabei nicht weit kommen…

Phishing-Angriffe und „Social Engineering“-Taktiken, um an „STEAM“-Konten von „Counter Strike“-Spielern zu gelangen

Bereits im vergangenen Jahr – 2024 – sei in zahlreichen Medien über den rasanten Anstieg von Phishing-Angriffen auf die Online-Gaming-Plattform berichtet worden – damals vor allem in Zusammenhang mit Angriffen auf die Spieler seines Topsellers „Counter Strike 2“. Krämer führt aus: „Der Grund: Auf dem Marktplatz von ,STEAM’ können Spieler mit den ,Skins’ von ,Counter Strike’-Waffen Handel treiben. Einige ,Skins’ sind selten, können dem richtigen Käufer leicht hundert oder auch tausend Euro wert sein.“

Eine lohnende Beute also für Cyber-Kriminelle! Um an die „STEAM“-Konten von „Counter Strike“-Spielern zu gelangen, setzten diese auf Phishing-Angriffe und „Social Engineering“-Taktiken. „Sie versandten Fake-,STEAM’-Einladungen zu einer Abstimmung über ,Counter Strike’-Teams – versehen mit einem Link. Klickten ihre Opfer auf diesen, gelangten sie zu einer als ,STEAM’-Website getarnten Phishing-Webseite, wo sie dann aufgefordert wurden, ihre ,STEAM’-Credentials einzugeben.“

Unternehmen sollten reagieren: Starke Anstieg der Phishing-Angriffe auf „STEAM“ kein rein privates Problem

Im vorliegenden Frühjahrsbericht 2025 zeige sich nun, dass in den vergangenen Monaten die Intensität der Angriffe nicht etwa nachgelassen habe – sondern sogar noch zugenommen. „Mittlerweile werden Nutzer kontaktiert, um sie vor angeblichen Kontoproblemen zu warnen. Eine Zahlung sei fehlgeschlagen, verdächtige Anmeldeversuche seien unternommen worden. Oder ihnen werden günstige Angebote unterbreitet. Sie hätten einen ,STEAM’-Gutschein gewonnen oder eine für sie vorgesehene ,STEAM’-Sonderaktion stehe unmittelbar bevor. Nur ein Klick, und ein Geschenk sei ihnen sicher.“ Das Ziel der Fake-,STEAM’-Nachrichten sei dabei immer dasselbe: „Die Opfer sollen einen Link anklicken, um dann auf einer angeblichen ,STEAM’-Website ihre Anmeldedaten einzugeben.“

Krämer warnt: „Nun ist der starke Anstieg der Phishing-Angriffe auf ,STEAM’ kein Problem, das Gamer allein beunruhigen sollte. Unternehmen sollte die stetige Zunahme von Angriffskampagnen auf Plattformen, die viele ihrer Mitarbeiter in ihrem Alltag nutzen, mindestens ebenso bedenklich stimmen!“ Schließlich ließen sich aktive Spieler doch mittlerweile in praktisch jeder Belegschaft finden.

„STEAM“-Kunden in der Belegschaft könnten Ansatzpunkt für Cyber-Angriffe werden

Häufig landen erbeutete Kontodaten aus Phishing-Kampagnen im sogenannten Darknet, werden an interessierte Cyber-Kriminelle weiterveräußert, denen sie dann als Ausgangspunkt für neue Phishing- und Social Engineering-Angriffe – nun vielleicht auf die Mitarbeiterkonten eines Unternehmens – dienen. „Entsprechend wichtig ist es, dass Arbeitgeber hier mehr tun, sich stärker proaktiv einschalten, die Anti-Phishing-Maßnahmen für ihre Belegschaft ausbauen!“

Krämer betont abschließend: „Mit traditionellen Anti-Phishing- und Anti-Social-Engineering-Schulungen und -Trainings werden sie dabei nicht weit kommen. Dazu ist die Anpassungsfähigkeit der Angreifer an die Strategien und Taktiken der Verteidiger mittlerweile einfach zu hoch.“ Man müsse strukturierter, umfassender und kontinuierlicher vorgehen. „Sie müssen die ,Human Risks’, die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, umfassend und kontinuierlich in den Blick nehmen und systematisch zu managen beginnen!“

Weitere Informationen zum Thema:

Guardio, 03.04.2025
Steam Tops Q1 2025 Most Imitated Brands, Followed by Surge in Toll Pass Scams

datensicherheit.de, 22.01.2025
Gamer geraten ins Phishing-Fadenkreuz / Phishing-Opfer werden mit dem Angebot geködert, Beta-Tester eines neuen Videospiels zu werden

datensicherheit.de, 22.01.2021
Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020 / Berichte der Sicherheitsforscher des Unternehmens zeigen, dass Cyber-Kriminelle aktuell für Phishing am häufigsten den Tech-Riesen Microsoft und die Spedition DHL imitieren / Geschuldet ist dies der Zunahme von Fernzugriffen im Homeoffice und Online-Shopping.

datensicherheit.de, 20.10.2020
Brand Phishing Report: Microsoft Top-Köder für Phishing / Im dritten Quartal 2020 gelangte Microsoft auf Platz 1 der Top-10

datensicherheit.de, 19.08.2011
Cyber-Kriminelle nehmen Gamer mit 2,4 Millionen Schadprogrammen aufs Korn / Schwarzmarkt für Verkauf virtueller Spielgegenstände

[datensicherheit.de, 27.04.2025] Die elektronische Rechnung (E-Rechnung) – ab 2025 schrittweise im B2B-Bereich verpflichtend – sei „ein längst überfälliger Schritt in Richtung digitaler Effizienz“, so Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH, in seinem aktuellen Kommentar. Indes warnt er auch: „Doch in der Praxis zeigt sich: Mit der zunehmenden Digitalisierung von Geschäftsprozessen entstehen neue Angriffsflächen.“ Denn schnell sei es passiert: „Eine Rechnung wird als PDF-Datei per E-Mail an den Kunden verschickt. Doch Cyber-Kriminelle haben den Anhang manipuliert und die Kontodaten geändert. Der Kunde überweist gutgläubig den Rechnungsbetrag auf das falsche Konto…“

Foto: SEPPmail Deutschland GmbH

Günter Esch: Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken!

Geschäftlich relevante Dokumente wie E-Rechnungen brauchen mehr als Transportverschlüsselung über TLS

In vielen Organisationen gelte Transportverschlüsselung über TLS noch immer als ausreichend. „Dabei schützt diese Methode lediglich den Übertragungsweg zwischen den Mail-Servern – nicht jedoch den Inhalt der E-Mail selbst“, erläutert Esch.

• Sobald dann also eine Nachricht weitergeleitet, gespeichert oder auf Endgeräten geöffnet wird, ist sie unter Umständen ungeschützt.

Für rechtlich und geschäftlich relevante Dokumente wie E-Rechnungen reiche dies nicht aus. Esch betont: „Nur eine durchgehende Ende-zu-Ende-Verschlüsselung mit optionaler Signatur kann die notwendige Integrität und Vertraulichkeit sicherstellen.“

„Secure E-Mail-Gateways“ als zusätzliche Sicherheitsebene: Erkennung der E-Rechnungsformate „XRechnung“ und „ZUGFeRD“

Esch führt aus: „Eine zentrale Rolle bei der Absicherung des E-Mail-Verkehrs übernehmen sogenannte Secure E-Mail-Gateways. Diese Lösungen setzen nicht erst beim Endgerät an, sondern bereits beim zentralen Mailfluss:“

• „Sie erkennen typische E-Rechnungsformate wie ,XRechnung’ oder ,ZUGFeRD’, überprüfen die Signatur der Absender-Domain mittels E-Mail-Signatur, SPF, DKIM und DMARC und ermöglichen es, unverschlüsselte oder manipulierte Nachrichten frühzeitig zu blockieren.“

Zudem könnten sie automatisch durchsetzen, dass E-Rechnungen nur an vorab definierte, gesicherte Postfächer zugestellt werden. So entsteht laut Esch ein effektiver Schutzschild gegen gängige Betrugsmuster – etwa das gezielte Austauschen von Bankverbindungen.

Compliance-Frage: E-Rechnung enthält neben Rechnungsdaten häufig auch personenbezogene Informationen

„Mit dem verstärkten regulatorischen Fokus auf Datenschutz, IT-Sicherheit und digitale Prozesse verschwimmen die Grenzen zwischen technischer Absicherung und rechtlicher Pflicht“, gibt Esch zu bedenken.

• Die E-Rechnung enthalte nicht nur Rechnungsdaten, sondern häufig auch personenbezogene Informationen, interne Referenzen und Bankverbindungen – ein attraktives Ziel für Angreifer.

„Wer diesen sensiblen Kommunikationskanal nicht absichert, riskiert mehr als einen Imageschaden.“ Datenschutzbehörden und Gerichte würden künftig noch stärker auf die Einhaltung entsprechender Schutzmaßnahmen achten.

E-Mails als zu lange unterschätztes Einfallstor beim digitalen Rechnungsaustausch

Trotz aller Portal-Lösungen bleibe die E-Mail das Rückgrat vieler digitaler Geschäftsprozesse – aber auch ein Anfälliges. „Der Fall der manipulierten Rechnung zeigt exemplarisch, wie wichtig es ist, bestehende Kommunikationswege auf ein sicheres Fundament zu stellen.“

• Dabei gehe es nicht nur um den Schutz vor externen Angriffen, sondern auch um die rechtliche Absicherung interner Prozesse.

Mit der Einführung der verpflichtenden E-Rechnung stehe die Wirtschaft an einem Wendepunkt: „Weg vom Briefversand und hin zur E-Mail. Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken. Unternehmen sind gut beraten, ihre E-Mail-Infrastruktur jetzt auf den Prüfstand zu stellen – und Secure E-Mail-Gateways können dabei ein zentraler Baustein einer sicheren und rechtskonformen Lösung sein!“

Weitere Informationen zum Thema:

DATEV
E-Rechnungspflicht: Gesetzliche Regelungen

IHK Darmstadt Rhein Main Neckar
Umsatzsteuer / Ab 2025 müssen alle Unternehmen E-Rechnungen empfangen

IHK München und Oberbayern
Ratgeber: Elektronische Rechnungen (E-Rechnung)

datensicherheit.de, 06.01.2025
E- Rechnungen können gesetzeskonform gemäß GoBD archiviert werden / Dadurch werden E- Rechnungen leicht auffindbar und nachvollziehbar

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 17.12.2024
E-Rechnungspflicht kommt: Mittelstand muss XRechnung und ZUGFeRD meistern / Unternehmen verpflichtet, E-Rechnungen gemäß europäischer Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen

[datensicherheit.de, 27.04.2025] Laut einer aktuellen Meldung von Onapsis wurden im April 2025 mehrere Sicherheitsvorfälle im Zusammenhang mit „SAP NetWeaver“ bekannt: Demnach sollen Cyber-Angreifer „JSP-Webshells“ ausnutzten, um unbefugte Dateiuploads und beliebigen Code auszuführen. Die Schwachstelle betreffe die „SAP Visual Composer“-Komponente von „SAP-Java“-Systemen und ermögliche es nicht authentifizierten Bedrohungsakteuren, beliebige Dateien, einschließlich Remote-Webshells, in SAP-Anwendungen hochzuladen. „Dies führt zu einer sofortigen vollständigen Kompromittierung dieser Systeme!“ Besonders kritisch sei, dass potenzielle Cyber-Angriffe herkömmliche ERP-Sicherheitsmechanismen umgehen könnten.

Onapsis fasst Erkenntnisse über kritische Zero-Day-Schwachstelle zusammen:

• Cyber-Kriminelle nutzten aktiv eine neue höchst kritische Zero-Day-Schwachstelle mit „CVSS 10.0“ in SAP-Anwendungen aus.
• Angreifer könnten die vollständige Kontrolle über kritische Geschäftsprozesse und Informationen in SAP-Anwendungen erlangen oder Ransomware installieren, welche zu weitreichenden Störungen und Verlusten führen könne.
• Die Cyber-Angriffe könnten über das Internet erfolgen und sich gegen „Cloud“-/Internet-basierte SAP-Anwendungen, aber auch gegen interne SAP-Systeme richten.
• Potenziell betroffen seien alle Kunden, welche die verwundbare Komponente „SAP NetWeaver“ in „Cloud/RISE with SAP“-Umgebungen, „cloud“-nativen und „On-Premise“-Bereitstellungsmodellen verwenden.

Gefährdete Kunden sollten schnellstmöglich den von SAP bereitgestellten Notfall-Patch einspielen. „Wenn anfällige Systeme mit dem Internet verbunden waren, sollten Kunden von einer Sicherheitsverletzung ausgehen und Notfallmaßnahmen einleiten!“

„SAP Threat Intelligence System“ von Onapsis bestätigt Möglichkeit der Schwachstellen-Ausnutzung

Das „SAP Threat Intelligence System“ von Onapsis hat die mögliche Ausnutzung der Schwachstelle bestätigt, welche zunächst von ReliaQuest offengelegt wurde. Zudem haben die „Onapsis Research Labs“ Tausende SAP-Anwendungen identifiziert, welche aufgrund dieser Schwachstelle möglicherweise dem Risiko von Cyber-Sicherheitsverletzungen ausgesetzt sind.

SAP stellte am 24. April einen Notfall-Patch zur Verfügung – gefährdete Kunden sollten diesen schnellstmöglich einspielen. „Sofern internetfähige ,Cloud’-SAP-Systeme im Einsatz sind, sollten Kunden von einer Sicherheitsverletzung ausgehen und entsprechende Notfallmaßnahmen einleiten, darunter die Anwendung von ,SAP Security Note 3594142‘ oder Überprüfung von ,3596125‘ auf mögliche Problemlösungen.“

Weitere Informationen zum Thema:

ONAPSIS
Erfahren Sie mehr über die wichtigsten Offenlegungen von ORL mit SAP und CISA

SAP
Management von Sicherheitsproblemen: SAP legt größten Wert darauf, Sicherheitsprobleme im Zusammenhang mit unserer Software und unseren Cloud-Lösungen zu ermitteln und zu beheben.

RELIAQUEST, ReliaQuest Threat Research Team, 25.04.2025
ReliaQuest Uncovers New Critical Vulnerability in SAP NetWeaver

heise online, Dirk Knop, 25.04.2025
SAP patcht kritische Schwachstelle außer der Reihe / SAP veranstaltet monatliche Patchdays. Eine kritische Sicherheitslücke nötigt das Unternehmen nun zum Update außer der Reihe.

datensicherheit.de, 08.04.2021
Kritische SAP-Anwendungen im Fokus Cyber-Krimineller / CISA und Tenable warnen vor ungepatchten SAP-Systemen

datensicherheit.de, 22.01.2021
SAP Solution Manager: Schwere Sicherheitsschwachstelle aufgetaucht / Tenable warnt vor Patch-Müdigkeit