[datensicherheit.de, 14.04.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seiner Stellungnahme vom 9. April 2025 daran erinnert, dass Microsoft mit Wirkung zum 14. Oktober 2025 den Support für „Windows 10“ einstellt, demnach u.a. in den Editionen „Home“, „Pro“ und „Education“. Dieses Betriebssystem wird dann keine kostenlosen Updates mehr erhalten – „auch solche nicht, die sicherheitsrelevant sind und z.B. Schwachstellen schließen“. Allen, die noch „Windows 10“ nutzen, empfiehlt das BSI, deshalb rechtzeitig ein Upgrade durchzuführen bzw. auf ein anderes Betriebssystem umzusteigen – dies könnte etwa „Windows 11“, ein „Unix“-basiertes (wie „macOS“) oder ein „Linux“-basiertes Betriebssystem sein.

Gravierende Sicherheitsrisiken: Nutzung von „Windows 10“ nach Ende des Support-Zeitraums

Nach dem Support-Ende wird Microsoft voraussichtlich nur noch im Rahmen eines kostenpflichtigen Abonnements und für höchstens drei weitere Jahre kritische und wichtige Sicherheitsupdates veröffentlichen.

Nora Kluger, Expertin für „Digitalen Verbraucherschutz“ beim BSI, kommentiert: „Sicherheitsupdates sind für die IT-Sicherheit essenziell, weil dadurch Sicherheitslücken geschlossen werden, die sonst von Angreifenden ausgenutzt werden könnten. Die weitere Nutzung von ,Windows 10‘ nach Ende des Support-Zeitraums birgt daher gravierende Sicherheitsrisiken!“

Upgrade auf „Windows 11“ oder auch der Wechsel auf „macOS“ oder „Linux“ mögliche Optionen

Kluger rät daher Nutzer, innerhalb der kommenden sechs Monaten auf ein Betriebssystem zu wechseln, für das weiterhin vollumfänglich Sicherheitsupdates bereitgestellt werden. „Neben dem Upgrade auf ,Windows 11‘ ist auch der Wechsel auf ein anderes Betriebssystem (z.B. ,macOS’ oder ,Linux’) eine Option.“

• Vor dem Upgrade bzw. Wechsel zu einem neuen Betriebssystem sei es ratsam, eine Datensicherung durchzuführen, beispielsweise auf einer externen Festplatte, um einem möglichen Datenverlust vorzubeugen. Die Anleitung „Schritt für Schritt zur Datensicherung“ des BSI erklärt niedrigschwellig, wie eine solche funktioniert.

Auf der BSI-Website finden Verbraucher auch weitere Tipps rund um den Basisschutz für ihre Geräte und Anwendungen. Um im Herbst 2025 nicht unter Zeitdruck zu geraten, sollten Verbraucher das Upgrade oder den Wechsel des Betriebssystems auf den betroffenen Geräten frühzeitig einleiten.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Schritt für Schritt zur Datensicherung / Geht das Smartphone verloren oder stellt der Computer den Dienst ein, ist guter Rat schnell teuer. Einfache Sicherungskopien können helfen.

Bundesamt für Sicherheit in der Informationstechnik
Basistipps zur IT-Sicherheit

datensicherheit.de, 09.09.2021
Windows 10: Microsoft-Warnung vor gezielten Attacken auf Nutzer / Ahnungslose Zielpersonen erhalten manipuliertes Microsoft-Office-Dokument, damit sie den Anhang öffnen

datensicherheit.de, 22.07.2021
Windows 10: Tenable warnt vor Zero-Day-Schwachstelle / Windows Elevation of Privilege-Schwachstelle (CVE-2021-36934) – auch als HiveNightmare oder SeriousSAM bezeichnet

datensicherheit.de, 17.01.2021
Windows 10-Bug: Bluescreen durch Aufruf eines bestimmten Pfades / Das englischsprachige Magazin BleepingComputer berichtet über den Fehler

[datensicherheit.de, 11.04.2025] Laut einer Meldung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde in Kooperation mit dem Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) eine Strategie für die automatisierte Absicherung von Softwarelieferketten für die Verwaltung veröffentlicht. Das ZenDiS wurde 2022 durch das Bundesministerium des Innern und für Heimat (BMI) gegründet – als Kompetenz- und Servicezentrum soll es die Öffentliche Verwaltung auf Ebene von Bund, Ländern und Kommunen dabei unterstützen, ihre Handlungsfähigkeit im Digitalen Raum langfristig abzusichern – vor allem, indem kritische Abhängigkeiten von einzelnen Technologieanbietern aufgelöst werden. Dazu soll sich das ZenDiS in der ersten Ausbaustufe darauf konzentrieren, den Einsatz von Open-Source-Software in der Öffentlichen Verwaltung voranzutreiben.

Abbildung: openCode

„Sichere Softwarelieferketten: openCode als Baustein einer souveränen digitalen Infrastrukturldung“ steht zum Download bereit

Gemeinsame Initiative des ZenDiS und des BSI rückt Bedeutung sicherer und souveräner Softwarelieferketten in den Fokus

„In Zeiten zunehmender geopolitischer Spannungen wird die Gewährleistung der Sicherheit und Beständigkeit digitaler Infrastrukturen zu einem zentralen Baustein der Daseinsvorsorge.“ Mit einer gemeinsamen Initiative rücken das ZenDiS und das BSI nun die Bedeutung sicherer und souveräner Softwarelieferketten weiter in den Fokus.

• „Nahezu jede Software greift heute auf Hunderte oder gar Tausende bestehende Einzelkomponenten, Bibliotheken und Tools zurück. Die Gesamtheit dieser Komponenten bildet die Softwarelieferkette. Wird ein Teil dieser Kette kompromittiert oder fällt weg, entstehen erhebliche Risiken für alle Nutzenden.“

Eine vollständige Prüfung von Softwarelieferketten sei bislang angesichts ihrer Komplexität für einzelne Softwareanbieter kaum realisierbar. Dies erfordere einen grundlegend neuen Ansatz, welcher über die Möglichkeiten einzelner Organisationen hinausgehe und die Fachkenntnisse von Sicherheitsexperten, Entwicklern und Behörden gezielt bündele, standardisierte Prüfverfahren etabliere und gemeinsame Sicherheitsanalysen ermögliche.

„openCode“ als Kernbaustein für eine sichere digitale Infrastruktur – das „Badge“-Programm vom ZenDiS zeigt konkrete Möglichkeiten einer Prüfung auf

Zentraler Baustein sei die Plattform „openCode“. Diese etabliere verbindliche Sicherheitsstandards, mache Abhängigkeiten transparent und schaffe nachvollziehbare Herkunftsnachweise für kritische Softwarekomponenten. Dank der Transparenz von Open-Source könnten so viele der bisherigen, manuellen Prüfprozesse automatisiert und damit die Skalierbarkeit von Sicherheitsüberprüfungen der Softwarelieferkette erheblich verbessert werden.

• „Mit seinem jüngst gelaunchten ,Badge’-Programm zeigt das ZenDiS konkret, wie eine solche Prüfung realisiert werden kann. Dort werden Qualitätsmerkmale von auf ,openCode’ liegender Software – beispielsweise zu Wartung und Nachnutzung – automatisch aus dem Code abgeleitet.“

Derzeitige Ansätze zur Softwaresicherheit seien weitgehend reaktiv – „openCode“ könne einen präventiven Ansatz durch kontinuierliche, automatisierte Sicherheitsprüfungen und transparente Softwarelieferketten ermöglichen: Bei einem Sicherheitsvorfall könnten Artefakte und Betroffene zuverlässig identifiziert und Echtzeitlagebilder erstellt werden, so dass gezielt gewarnt werden könne. „So wird ,openCode’ zu einem Schlüsselelement einer resilienten digitalen Infrastruktur in Deutschland.“

Das ZenDiS betont die strategische Bedeutung: Entwicklung einer souveränen digitalen Infrastruktur für Daseinsvorsorge im 21. Jahrhundert unverzichtbar

Ihr Konzept für eine sichere und souveräne Softwarelieferkette haben das BSI und das ZenDiS in einem gemeinsamen Strategiepapier inklusive Umsetzungsplan dargelegt. Das Papier steht auf den Webseiten des ZenDiS sowie des BSI zum Download zur Verfügung. Rückmeldungen aus der Fachöffentlichkeit seien ausdrücklich erwünscht – Kontaktmöglichkeiten gibt es auf der „openCode“-Website.

• Die Präsidentin des BSI, Claudia Plattner, hebt die Bedeutung der Kooperation hervor: „Sichere Softwarelieferketten sind ein entscheidender Faktor für eine funktionierende Digitalisierung. Sie machen Abhängigkeiten deutlich und damit beherrschbar. Wir schaffen hier außerdem ein Angebot, dass uns dringend benötigte Skalierbarkeit ermöglicht, um Cyber-Sicherheit wirkungsvoll umzusetzen.“ Entscheidend dafür sei das gelungene Zusammenspiel vieler Akteure – „so wie wir es uns für die ,Cybernation Deutschland’ wünschen.“

• Leonhard Kugler, Leiter „Open-Source-Plattform“ beim ZenDiS, betont die strategische Bedeutung: „Die Entwicklung einer souveränen digitalen Infrastruktur ist für unsere Daseinsvorsorge im 21. Jahrhundert unverzichtbar. Mit ,openCode’ setzen wir einen wesentlichen Baustein, um die Sicherheit unserer Softwarelieferketten zu stärken und so die digitale Handlungsfähigkeit des Staates auch in einer komplexen geopolitischen Landschaft zu bewahren.“

Weitere Informationen zum Thema:

openCode
Sichere Softwarelieferketten: openCode als Baustein einer souveränen digitalen Infrastruktur

openCode
Die Plattform für Digitale Souveränität / openCode bringt Open Source in die deutsche Verwaltung. Gemeinsam entwickeln und teilen wir Software, die unsere digitale Zukunft selbstbestimmt gestaltet.

ZenDis
openCode

ZenDIs
Vision und Mission: Ein dauerhaft handlungsfähiger Staat in einer digital vernetzten Welt – das ist die Vision, die das ZenDiS mit seinen Mitarbeitenden Tag für Tag verfolgt

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus

datensicherheit.de, 30.10.2024
Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen / Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

[datensicherheit.de, 04.04.2025] Ein Forschungsteam des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) hat nach eigenen Angaben die IT-Sicherheit von Krankenhaus-Informationssystemen (KIS) untersucht und dabei verschiedene Schwachstellen gefunden. Diese im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) erstellte Studie deckt demnach Sicherheitslücken in der Datenübertragung, der Zugangsverwaltung sowie bei der Verteilung von Software-Updates auf. Die Forscher haben laut SIT diese Schwachstellen den Herstellern der betroffenen Systeme mitgeteilt, so dass diese Sicherheitslücken mittlerweile behoben seien. Die Ergebnisse sowie Handlungsempfehlungen für KIS-Hersteller und Krankenhäuser sollen auf der Medizin-IT-Fachmesse „DMEA“ am 9. und 10. April 2025 vorgestellt werden.

KIS als Herzstück der IT in Krankenhäusern

Krankenhausinformationssysteme (KIS) gelten als das Herzstück der IT in Krankenhäusern: Darin laufen wichtige Informationen in unterschiedlichen Datenformaten zusammen – Diagnosen, Röntgenbilder, Medikationspläne, Labordaten usw. – und entsprechend viele unterschiedliche Schnittstellen (HL7, DICOM, FHIR etc.) müssen unterstützt werden.

Ein Ausfall eines KIS bedeutet deshalb meist auch einen Ausfall der digitalen Behandlungsabläufe, womit die alltägliche Arbeit in Krankenhäusern sowie die Versorgung der Patienten extrem erschwert wird. „Ein Angriff auf ein KIS, beispielsweise durch Ransomware, kann schwerwiegende Folgen haben, wie Aufnahmestopps von Patientinnen und Patienten, Abmeldung von der Notfallversorgung und Ausfälle von geplanten Operationen.“

Das Fraunhofer SIT hat deshalb im Auftrag des BSI die IT-Sicherheit von KIS untersucht und Handlungsempfehlungen für Kliniken und KIS-Hersteller entwickelt, um diese in die Lage zu versetzen, ihre IT besser gegen Angriffe abzusichern.

Empfehlungen für mehr IT-Sicherheit in Krankenhäusern erstellt

Dafür haben die Fraunhofer-Forscher zunächst evaluiert, welche KIS in Krankenhäusern am häufigsten eingesetzt werden, und zwei Systeme identifiziert, welche in zahlreichen klinischen Einrichtungen eingesetzt werden:

„Diese beiden Krankenhausinformationssysteme hat das Forschungsteam einem gründlichen Sicherheitstest (Penetrationstest) unterzogen und signifikante Schwachstellen gefunden, beispielsweise bei der Übertragung von Daten, der Speicherung und Verwaltung von Zugängen und Passwörtern sowie bei der Verteilung von Software-Updates.“

In einem festgelegten Prozess seien alle identifizierten Schwachstellen mit den betroffenen Herstellerfirmen betrachtet und evaluiert („Coordinated Vulnerability Disclosure“) worden. Die Herstellerfirmen hätten sich dabei sehr kooperativ gezeigt und bis zum Zeitpunkt der Veröffentlichung der Studie schon die meisten Schwachstellen beheben oder ihre Wirkung begrenzen können. „Durch dieses Update haben alle Krankenhäuser, die die beiden KIS nutzen und die Updates auch tatsächlich eingespielt haben, signifikant an IT-Sicherheit gewonnen.“

Vorstellung der SIT-Ergebnisse für Krankenhäuser und KIS-Hersteller auf der „DMEA“

Das Forschungsteam plant eine Fragerunde zu den Ergebnissen ihrer Untersuchung auf der medizinischen IT-Fachmesse „DMEA“ in Berlin: Am 9. April (14 bis 16 Uhr) und 10. April 2025 (10 bis 12 Uhr) am Stand des BSI in Halle 6.2, am Stand B-110.

Darüber hinaus sind der Abschlussbericht der Untersuchung sowie die Handlungsempfehlungen für Betreiber und Hersteller von Krankenhausinformationssystemen auf den Internetseiten des BSI veröffentlicht.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 27.03.2025
BSI veröffentlicht Studie zu Krankenhausinformationssystemen (KIS) und medizinischen Austauschformaten

Bundesamt für Sicherheit in der Informationstechnik, 10.02.2025
Abschlussbericht zum Projekt Sicherheitseigenschaften von Krankenhausinformationssystemen (SiKIS) / Projekt 623: SiKIS

Bundesamt für Sicherheit in der Informationstechnik
Handlungsempfehlungen für Krankenhausinformationssysteme (KIS) / Projekt 623: SiKIS

DMEA
Time To Connect Digital Health

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering

datensicherheit.de, 07.01.2021
Cyberangriffe auf Krankenhäuser: Anstieg um 220 Prozent / Diese Zahl meldet Check Point Research für die vergangenen zwei Monate / Region Zentraleuropa am stärksten betroffen mit einem Anstieg 145 Prozent

datensicherheit.de, 29.10.2020
Ransomware-Attacke auf US-Krankenhäuser / Hacker versuchen mittels Ransomware Daten zu erbeuten und Lösegeldzahlungen zu erzwingen

[datensicherheit.de, 27.03.2025] Datenverluste können unerwartet und in den unterschiedlichsten Formen auftreten – sei es durch einen technischen Defekt, einen Cyber-Angriff oder einen Unfall. „Wer vorab eine Datensicherung angelegt hat, kann die gespeicherten Daten, etwa Dokumente, Kontakte und Fotos, aber ganz einfach auf ein neues Gerät übertragen.“ Zum diesjährigen „World Backup Day“ am 31. März 2025 erinnert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Verbraucher daran, wie wichtig eine regelmäßige Datensicherung ist. In der Anleitung „Schritt für Schritt zur Datensicherung“ erklärt das BSI Verbrauchern im Detail, wie sie eine Datensicherung anlegen können. Mehr Informationen sind außerdem in einem BSI-Erklärvideo zu finden.

Abbildung: BSI

BSI-Anleitung „Schritt für Schritt zur Datensicherung“

Medien für Datensicherungen

Für ein sogenanntes Backup stehen Verbrauchern unterschiedliche Möglichkeiten zur Verfügung. Dazu zählen laut BSI:

• Externe, physische Speichermedien
  Das könne etwa eine externe Festplatte oder ein USB-Stick sein. Diese böten den Vorteil, dass die Daten auch ohne Internetverbindung übertragen werden könnten. „Ein Risiko stellen allerdings Verlust, Diebstahl oder ein Defekt des Speichermediums dar!“ Es lohne sich daher auch, die externe Festplatte oder den USB-Stick getrennt von dem Gerät aufzubewahren, dessen Daten darauf gesichert sind.
• „Cloud“-Speicher
  Viele Anbieter von „Cloud“-Speichern ermöglichten den Komfort einer regelmäßigen und automatischen Synchronisation sogar über mehrere Geräte. Nutzer sollten sich über die Sicherheitsfunktionen und die Datenschutzrichtlinien des Anbieters informieren.

Nicht einmal ein Viertel der Verbraucher betreibt eine regelmäßige Datensicherung

Marie Menke, Expertin für Verbraucherschutz beim BSI, kommentiert: „Die zunehmende Bedrohung durch Cyber-Kriminalität macht Backups heute wichtiger denn je. Wer auf ein aktuelles Backup zurückgreifen kann, bleibt im Ernstfall nicht auf fremde Hilfe angewiesen und kann das System schnell wiederherstellen.“

Eine Datensicherung sei daher auch ein wirksamer Schutz gegen Digitale Erpressung und andere Formen der Cyber-Kriminalität. „Im ,Cybersicherheitsmonitor’ sehen wir jedoch: Nicht einmal ein Viertel der Verbraucherinnen und Verbraucher legt regelmäßig eine Sicherheitskopie an“, merkt Menke kritisch an.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Schritt für Schritt zur Datensicherung / Für Computer und Mobilgeräte

Bundesamt für Sicherheit in der Informationstechnik
Datensicherung und Datenverlust

Bundesamt für Sicherheit in der Informationstechnik
CyMon – der Cybersicherheitsmonitor / Befragung zur Cybersicherheit

datensicherheit.de, 25.03.2025
World Backup Day: Datensicherung zum Schutz vor Cyber-Angriffen unzureichend / Backups sind zweifellos ein essenzieller Bestandteil jeder IT-Sicherheitsstrategie – gleichzeitig vermitteln sie oft eine trügerische Sicherheit

datensicherheit.de, 28.03.2024
Status Quo zusätzlicher Datensicherung: ExpressVPN-Umfrage zum World Backup Day 2024 / Jährlicher World Backup Day gemahnt daran, sensible Daten entsprechend sorgfältig zu sichern

[datensicherheit.de, 23.02.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet einen Wechsel an der Spitze: BSI-Vizepräsident Dr. Gerhard Schabhüser übergibt sein Amt an Thomas Caspers: „Im Rahmen einer Feierstunde wurde der Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Dr. Gerhard Schabhüser, aus seinem Amt verabschiedet, das er seit 2017 innehatte. Sein Nachfolger wird Thomas Caspers.“ Trotz Ruhestand gilt Dr. Schabhüsers Leidenschaft nach wie vor der Kryptographie – der er auch weiterhin treu zu bleiben gedenkt: Ab dem kommenden Sommersemester möchte er eine Vorlesung zu den Themen Klassische Kryptographie, Kryptoanalyse und Bool’sche Funktionen an der Universität Bonn anbieten.

Foto: BSI / bundesfoto / Geza Aschoff

Feierliche Amtsübergabe in Bonn (v.l.n.r.): Thomas Caspers (designierter BSI-Vizepräsident), Friederike Dahns (BMI-Abteilungsleiterin „Cyber- und Informationssicherheit“), Claudia Plattner (BSI-Präsidentin) und Dr. Gerhard Schabhüser (scheidender BSI-Vizepräsident)

Der ausscheidende BSI-Vizepräsident gehörte der Behörde seit dem Jahr ihrer Gründung an

In der Redoute, einer geschichtsträchtigen Stätte im Bonner Stadtteil Bad Godesberg, wurde demnach vor Gästen aus Verwaltung, Wirtschaft, Wissenschaft und Politik eine Persönlichkeit gewürdigt, welche „ein Stück Bonner Behördengeschichte mitgeschrieben“ hat: „Dr. Gerhard Schabhüser, Vizepräsident des BSI, gehört der Behörde seit dem Jahr ihrer Gründung an.“

Im November 1991 habe der promovierte Mathematiker als Referent in einem damals von der „Zentralstelle für das Chiffrierwesen“ (ZfCh) ins BSI verlagerten Arbeitsbereich gewirkt. Im Bereich der Kryptographie sei der heute 63-Jährige zunächst zum Referatsleiter aufgestiegen, dann zum Fachbereichsleiter und schließlich zum Abteilungsleiter, „bevor er 2017 als Vizepräsident in die Amtsleitung eintrat“. Nach mehr als 33 Jahren im Dienst der Informationssicherheit gehe er nun über ein Altersteilzeitmodell in den Ruhestand.

Plattner: „Das BSI sagt Danke; Deutschland sagt Danke!“

Die BSI-Präsidentin, Claudia Plattner, würdigte Dr. Schabhüser für seine Verdienste sowohl um die Cyber-Sicherheit in Deutschland als auch um die Menschen im BSI und sprach ihm ihren persönlichen Dank für die gemeinsame Zeit in der Amtsleitung aus: „Ich denke es gibt in unserer Behörde niemanden, der Gerhard Schabhüser nicht vermissen wird.“

Nun verlasse ein „Titan“ die Bühne, „von dem wir alle sehr viel lernen durften“. Nicht zuletzt seine von Pragmatismus geprägte Risikobereitschaft – und der damit verbundene Grundsatz „Wirkung vor Deckung“ – werde auch weiterhin Leitplanke ihrer Arbeit sein. Plattner: „Das BSI sagt Danke; Deutschland sagt Danke!“

Das BSI sollte so gestärkt werden, dass es die Informations- und Cyber-Sicherheit in Deutschland effektiv gestalten kann

In seiner Abschiedsrede blickte Dr. Schabhüser nicht nur zurück, sondern auch auf die Zukunft des BSI und der Cyber-Sicherheit insgesamt: „Ich wünsche mir, dass unsere politischen Akteure bei der Frage der Informations- und Cyber-Sicherheit künftig an einem Strang ziehen und die Rahmenbedingen schaffen, dass Deutschland, dass Europa das notwendige Level an Resilienz erreicht!“ Dazu gehört aus seiner Sicht, „dass die ,Governance’ für Digitalisierungsvorhaben des Bundes effektiv und effizient aufgestellt wird“.

Das BSI sollte so gestärkt werden, dass es die Informations- und Cyber-Sicherheit in Deutschland effektiv gestalten könne. „Das bedeutet für den Bund: Die CISO-Rolle muss im BSI verankert werden. Für die Länder: Das BSI muss zur Zentralstelle im Bund-Länder-Verhältnis ausgebaut werden. Für die Wirtschaft: Das NIS-2-Umsetzugsgesetz muss schnellstmöglich beschlossen werden. Für die Gesellschaft: Die Marktaufsicht für den ,Cyber Resilience Act’ (CRA) muss beim BSI verortet werden.“

Thomas Caspers tritt das Amt des BSI-Vizepräsidenten zum 1. März 2025 an

Thomas Caspers übernimmt das Amt des BSI-Vizepräsidenten zum 1. März 2025. Der 53-jährige Diplom-Physiker wirke seit 2003 im BSI und sei ab 2015 im Bereich Kryptographie tätig. Seit 2019 habe er die Abteilung „Technologiestrategie und Informationstechnik“ geleitet und in dieser Funktion u.a. die „Cloud“-Strategie des BSI entwickelt und in die Umsetzung gebracht. In seiner Antrittsrede dankte er seinem Amtsvorgänger für dessen Leistungen und das persönliche Vertrauen, das zwischen beiden herrsche:

„Gerhard Schabhüser hat mehr als 30 Jahre die Arbeiten und Strategien des BSI maßgeblich geprägt. Seine große Verantwortungsbereitschaft war und ist Inspiration für mein Handeln.“ So werde das BSI auch weiterhin mit klarem Blick auf die Lage und ambitionierten technischen Lösungen Verantwortung für IT-Sicherheit in Deutschland übernehmen – „und künftig werden wir verstärkt auch andere in die Lage versetzen, dieser Verantwortung gerecht zu werden“. Caspers’ Fazit: „So verankern wir Sicherheit wirkungsvoll in der Digitalisierung, so schützen wir in gemeinsamer Verantwortung unsere demokratische Gesellschaft.“

Weitere Informationen zur „,Cloud’-Strategie“ des BSI:

Bundesamt für Sicherheit in der Informationstechnik, 10.05.2011
Cloud-Strategie des BSI / Sichere Cloud-Nutzung für die Cybernation Deutschland

[datensicherheit.de, 19.02.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt kleinen und mittleren Flughäfen ein „IT-Grundschutz-Profil“ zu Verfügung, welches demnach in Zusammenarbeit mit Experten für die zivile Luftfahrt in einem BSI-Arbeitskreis erstellt wurde: Es diene als Empfehlung und Handreichung, welche Betreibern von Flughäfen „eine wirkungsvolle Umsetzung eines IT-Sicherheitskonzepts ermöglicht“.

Abbildung: BSI

BSI stellt „IT-Grundschutz-Profil für kleine und mittlere Flughäfen“ zur Verfügung (s.u.)

BSI-Arbeitskreis hat als ersten Schritt einer Workshop-Reihe vorliegendes „IT-Grundschutz-Profil“ erarbeitet

Zur Erstellung gemeinsamer Mindestanforderungen im Sinne einer Erhöhung der Resilienz bei kleinen und mittleren Flughäfen habe der BSI-Arbeitskreis eine Workshop-Reihe veranstaltet, aus der in einem ersten Schritt das vorliegende „IT-Grundschutz-Profil“ hervorgegangen sei. Es enthalte Empfehlungen für eine Mindestabsicherung kleiner und mittlerer Flughäfen in der Bundesrepublik Deutschland.

An Flughäfen träfen unterschiedliche Unternehmen und Dienstleister aufeinander, welche eine Vielzahl von Infrastrukturen wie Hangar, Wartungseinrichtungen für Flugzeuge, Abfertigungsanlagen am Boden für Fracht, Luftverkehrskontrolle und auch Serviceeinrichtungen für Passagiere (Terminals, Restaurants, Geschäfte, Lounges und Sicherheitsdienste) betrieben.

„IT-Grundschutz-Profil“ des BSI als Anleitung zum strukturierten Erstellen eines IT-Sicherheitsprozesses

„Ohne eine performante IT-Infrastruktur sind moderne Flughäfen nicht betreibbar!“ Für alle sicherheitsrelevanten Prozesse, Systeme und Daten müssten dabei Verfügbarkeit, Integrität und Vertraulichkeit stets sichergestellt sein. Ein sicherer Umgang mit Informationen zwischen allen Unternehmen am Flughafen sei für die geordnete Passagier- und Frachtabwicklung essenziell. „Dies trifft sowohl für die Flugsicherheit (safety) als auch für die Luftsicherheit (security) zu.“

Das „IT-Grundschutz-Profil“ dient laut BSI als Anleitung zum strukturierten Erstellen eines IT-Sicherheitsprozesses. Es handele sich um ein Muster-Sicherheitskonzept, welches als Schablone für Unternehmen mit vergleichbaren Rahmenbedingungen dienen solle. „Die ersten Schritte, die nach dem IT-Grundschutz zu gehen sind, sind in diesem Muster pauschalisiert, so dass es allen interessierten Flughafenbetreibern möglich sein sollte, mit Hilfe des ,IT-Grundschutz-Profils’ die Standardabsicherung zu erreichen.“ Im Jahr 2025 solle ein „IT-Grundschutz-Baustein“ für Förderanlagen erarbeitet werden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 19.02.205
IT-Grundschutz-Profil für kleine und mittlere Flughäfen

[datensicherheit.de, 15.02.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, dass mit der Freien und Hansestadt Hamburg künftig im Bereich der Cyber-Sicherheit enger zusammengearbeitet werden soll. Eine entsprechende Vereinbarung haben demnach der BSI-Vizpräsident, Dr. Gerhard Schabhüser, und Jan Pörksen, Staatsrat und Chef der Senatskanzlei, sowie Christian Pfromm, Leiter des Amtes für IT und Digitalisierung der Senatskanzlei Hamburg, am 7. Februar 2025 im Hamburger Rathaus unterzeichnet.

Besorgniserregenden Bedrohungslage im Cyber-Raum zwingt zum Handeln

Diese Vereinbarung erstrecke sich über acht Kooperationsfelder. Dabei gehe es u.a. um einen zielgerichteten Austausch von Cyber-Sicherheitsinformationen, gemeinsame Sensibilisierungsmaßnahmen für Beschäftigte der Stadt Hamburg, Beratungsangebote und Unterstützung nach IT-Sicherheitsvorfällen.

„In Anbetracht der besorgniserregenden Bedrohungslage im Cyber-Raum muss Deutschland zu einer Cyber-Nation werden!“, kommentiert BSI-Vizepräsident Schabhüser. Landesverwaltungen und kommunale Einrichtungen erlitten täglich Angriffe durch Cyber-Kriminelle.

Cyber-Sabotage und -Spionage nehmen Deutschland ins Visier

Angriffe auf Kritische Infrastrukturen (KRITIS) gefährdeten die gesellschaftliche Ordnung. Schabhüser betont: „Deutschland ist Ziel von Cyber-Sabotage und -Spionage. Unser Ziel ist es, die Cyber-Sicherheit in Deutschland substanziell und flächendeckend zu erhöhen.“ Dafür müsse man die Strukturen in Bund und Ländern gemeinsam stärken.

Solche Kooperationsvereinbarungen strukturierten die Zusammenarbeit auf dem Gebiet der Cyber-Sicherheit im Bund-Länder-Verhältnis unter Beachtung des verfassungsrechtlichen Rahmens. Das BSI hat nach eigenen Angaben zuvor bereits Kooperationsvereinbarungen mit den Ländern Sachsen, Sachsen-Anhalt, Niedersachsen, Hessen, Bremen, Rheinland-Pfalz und dem Saarland abgeschlossen.

Weitere Informationen zum Thema:

datensicherheit.de, 10.02.2025
Cyber-Nation: TeleTrusT veröffentlicht Forderungskatalog zur Umsetzung des Konzeptes / Insbesondere Kommunikation, Kooperation und Koordination auf Basis gemeinsamer Grundwerte berührt – der TeleTrusT richtet zentrale Forderungen an die Stakeholder

datensicherheit.de, 10.10.2023
BSI-Präsidentin: Deutschland sollte Cyber-Nation werden / Claudia Plattner fordert intensiven Austausch angesichts der hohen und immer komplexer werdenden Cyber-Bedrohungslage

[datensicherheit.de, 13.02.2025] Laut einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Umfeld des Aktionstags „Safer Internet Day“, der diesmal am 11. Februar 2025 begangen wird, ist ein digitaler Alltag ohne E-Mails für die meisten Verbraucher kaum vorstellbar. Diese Abhängigkeit könne jedoch auch Gefahren bergen – nicht nur weil das E-Mail-Postfach ein beliebtes Ziel von z.B. Phishing-Angriffen sei. Das BSI und der Deutschland sicher im Netz e.V (DsiN) möchten demnach aus diesem Grund gemeinsam darüber aufklären, wie Verbraucher E-Mails sicher nutzen können. „Zum ,Safer Internet Day’ (SID) nehmen sie Mythen rund um die Sicherheit von E-Mail-Kommunikation unter die Lupe. Der ,Safer Internet Day’ ist ein Aktionstag rund um den sicheren Umgang mit digitalen Medien.“

Passen Absendername und E-Mail-Adresse nicht zusammen, ist Vorsicht geboten!

„Bereits der Absender einer E-Mail ist vergleichsweise leicht manipulierbar!“, warnt Caroline Krohn, Fachbereichsleiterin „Digitaler Verbraucherschutz im BSI“, in ihrer Stellungnahme. Daher empfehle es sich, immer auch die vollständige E-Mail-Adresse des Absenders anzeigen zu lassen. Sie erläutert: „Passen der angezeigte Absendername und die E-Mail-Adresse nicht zusammen, ist Vorsicht geboten!“ Generell gelte: Links und Anhänge sollten nur mit Vorsicht geöffnet werden, denn auch das Gerät eines eigentlich vertrauenswürdigen Absenders könne mit einem Schadprogramm infiziert sein.

BSI und DsiN empfehlen außerdem, „den Zugriff zum eigenen E-Mail-Postfach mit einer Kombination aus starkem Passwort und Zwei-Faktor-Authentisierung zu schützen“. Gelangten Unbefugte zum Beispiel durch einen Phishing-Angriff an das Passwort, reiche dies dann nicht mehr aus, um das jeweilige Benutzerkonto zu übernehmen. Eine sichere Alternative zu Passwörtern böten außerdem sogenannte Passkeys: Da Nutzer sich dank des dann passwortlosen Verfahrens eben kein Passwort mehr merken müssten, könne dies auch nicht mehr in falsche Hände geraten.

Misstrauen geboten, wenn per E-Mail oder Telefon Weitergabe von Zugangsdaten gefordert wird!

Die DsiN-Geschäftsführerin, Isabelle Rosière, gibt zudem zu bedenken: „Phishing-Maschen werden immer geschickter: Mitunter gelingt es dabei auch, die Zwei-Faktor-Authentisierung zu umgehen. Cyber-Kriminelle erstellen etwa täuschend echt aussehende Webseiten, die bekannte Seiten imitieren.“ Wenn dann Nutzer ihr Passwort und den Einmalcode aus ihrer Authentifizierungs-App eingeben, könnten die Angreifer die Daten in Echtzeit mit lesen und auf das Benutzerkonto zugreifen. „Misstrauen ist etwa dann angebracht, wenn eine Institution per E-Mail oder am Telefon um die Weitergabe von Zugangsdaten bittet“, betont Rosière.

Von Phishing-Mails bis E-Mail-Verschlüsselung untersucht das BSI auf seiner Website bekannte Mythen rund um die Sicherheit von E-Mail-Kommunikation genauer und gibt Verbrauchern niedrigschwellige Handlungsempfehlungen zur Prävention. Auf der Website „sicher-im-netz.de“ bietet DsiN außerdem weitere Hinweise rund um E-Mail-Sicherheit von DsiN.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
E-Mail-Sicherheit: Mythen im Faktencheck

Bundesamt für Sicherheit in der Informationstechnik
Zwei-Faktor-Authentisierung / Mehr Sicherheit für Online-Konten und vernetzte Geräte

Bundesamt für Sicherheit in der Informationstechnik
Spam, Phishing & Co / So erkennen Sie gefälschte und schadhafte E-Mails

Bundesamt für Sicherheit in der Informationstechnik
Schafft die Passwörter ab?! / Anmelden ohne Passwort mit Passkey

DsiN Deutschland sicher im Netz, DsiN für Verbraucher
E-Mail und Messenger sicher nutzen / Menschen tauschen sich im Netz hauptsächlich per E-Mail und Messenger aus. Um dabei sicher zu sein, sind einige Dinge zu beachten.

DsiN Deutschland sicher im Netz, DsiN für Verbraucher
Phishing im Netz erkennen und vorbeugen / Soziale Manipulation und Phishing sind ein alltägliches Sicherheitsproblem. Das beste Mittel gegen unerwünschte Nachrichten bleibt Wachsamkeit.

datensicherheit.de, 13.05.2024
Passkeys statt Passwörter – Passwörter nicht mehr zweckmäßig / Einfache Passwörter zu leicht zu knacken und umfangreiche für den Anwender zu kompliziert

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 28.11.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht in seiner aktuellen Stellungnahme ebenfalls auf den „Black Friday 2024“ ein und warnt: „Cyber-Kriminelle lauern auf Schnäppchenjäger!“ Rund um die Rabatt-Aktion „Black Friday“ lockten Webshops mit exklusiven Angeboten – dabei witterten auch Cyber-Kriminelle ihre Chance, zu profitieren: „Mit immer raffinierteren Methoden versuchen sie, ahnungslose Verbraucherinnen und Verbraucher zu täuschen.“ Das BSI möchte daher über Vorsichtsmaßnahmen informieren, „mit denen Verbraucherinnen und Verbraucher sicher durch die Rabatt-Saison kommen“.

Cyber-kriminelle Fake-Shops könnten u.a. sensible Informationen wie etwa Kreditkartendaten abgreifen

Mit unschlagbaren Preisen lockten unseriöse Anbieter oft über sogenannte Fake-Shops: „Schlimmstenfalls werden gekaufte Waren am Ende nicht geliefert.“ Insbesondere, wenn per Vorkasse bezahlt wird, könne es für Betrugsopfer schwierig werden, eine Rückerstattung zu erlangen.

Viele Fake-Shops griffen zudem sensible Informationen wie etwa Kreditkartendaten ab. Indiz für einen Fake-Shop könne beispielsweise ein unvollständiges Impressum sein, „in dem etwa die vertretungsberechtigte Person oder die Postadresse fehlt“. Außerdem gebe ein Blick auf die Webadresse Aufschluss: „Betrügerinnen und Betrüger bauen häufig bekannte Onlineshops nach – von der URL des Originals unterscheidet sich dann beispielsweise nur die Endung: Dort steht dann zum Beispiel ,.com’ statt ,.de’.“

„Schutz beim Onlineshopping“: BSI bietet SOS-Karte für cyber-kriminelle Vorfälle

Wer bestellte Ware nicht erhält oder bemerkt, dass eine fremde Person Zugriff auf ein Benutzerkonto zu haben scheint, sollte sofort reagieren. Die SOS-Karte „Schutz beim Onlineshopping“, vom BSI auf seiner Website zur Verfügung gestellt, erklärt demnach das Vorgehen für den Ernstfall: „Sie fasst zudem die wichtigsten Schutzmaßnahmen zusammen.“

Rund um den „Black Friday“ landeten auch vermehrt Phishing-Mails in den Postfächern. „Sie sehen aus wie offizielle Nachrichten von bekannten Händlern oder Zahlungsdienstleistern. Typische Betreffzeilen lauten ,Ihr exklusives Black-Friday-Angebot’ oder ,Probleme bei der Lieferung’.“ Das Ziel sei es, Nutzer dazu zu bringen, auf enthaltene Links zu gefälschten Websites zu klicken und anschließend sensible Daten wie Passwörter, Kreditkarteninformationen oder Kontodaten preiszugeben.

Cyber-Kriminelle versuchen, Verbraucher durch Links auf Fake-Webseiten umzuleiten

Larissa Hänzgen, BSI-Expertin für „Digitalen Verbraucherschutz“, warnt vor Phishing-Attacken und führt hierzu aus: „Passt die E-Mail-Adresse nicht zur offiziellen Domain des vermeintlichen Absenders, ist dies ein erstes Anzeichen für eine Phishing-Mail.“

Es werde jedoch immer schwieriger, solche E-Mails zu enttarnen. Daher sei generelle Vorsicht insbesondere bei in E-Mails enthaltenen Links geboten: Es sei sicherer, bereits bekannte Webadressen direkt in die Adresszeile des Browsers einzugeben oder die Website über eine Suchmaschine zu finden.

BSI rät: Auf verdächtige Signale achten und persönliche Daten nicht leichtfertig preisgeben, um Cyber-Risiken deutlich zu reduzieren!

Grundsätzlich sollten sich Verbraucher nicht von niedrigen Preisen und schnellen Rabatt-Aktionen täuschen lassen: „Wer auf verdächtige Signale achtet und persönliche Daten nicht leichtfertig preisgibt, kann die Risiken deutlich reduzieren“, so Hänzgen.

Gemeinsam mit dem Programm „Polizeiliche Kriminalprävention der Länder und des Bundes“ (ProPK) führe das BSI jedes Jahr die Bürgerbefragung „Cybersicherheitsmonitor“ durch. Im Jahr 2024 gab laut BSI fast ein Viertel der schon einmal von Cyber-Kriminalität Betroffenen an, Betrug beim Online-Shopping zum Opfer gefallen zu sein.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 19.07.2021
Onlineshopping SOS-Karte

Bundesamt für Sicherheit in der Informationstechnik
Wie erkenne ich Phishing-E-Mails und -Webseiten? / Fälschungen von E-Mails und Webseiten sehen immer professioneller aus

Bundesamt für Sicherheit in der Informationstechnik
CyMon – der Cybersicherheitsmonitor / Befragung zur Cybersicherheit

datensicherheit.de, 28.11.2024
Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf / Die populäre Rabatt-Saison hat begonnen – und mit ihnen Cyber-Betrügereien

datensicherheit.de, 23.11.2024
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023 / CPR hat im Vorfeld des „Black Friday 2024“ frühzeitig die Augen nach betrügerischen Websites, Markenimitation und Phishing-Methoden offengehalten

datensicherheit.de, 13.11.2024
Black Friday: Hochsaison für Schnäppchenjagd – und raffinierte Phishing-Angriffe / E-Mails zum „Black Friday“ sind oft perfekt gestaltet – mit offiziellem Logo, persönlicher Anrede und Call-to-Action-Button

datensicherheit.de, 24.11.2023
Black Friday: Umsätze im Online-Handel steigen – damit häufen sich auch Betrugsfälle / Datensicherheit gilt es auch im Schnäppchen-Rausch am Black Friday und an anderen saisonalen Sonderverkaufstagen zu beachten

datensicherheit.de, 17.11.2023
Black Friday: Proofpoint rät zur Vorsicht vor betrügerischen E-Mails / Nur sieben der 20 größten Händler in Deutschland schützen laut Proofpoint-Analyse Verbraucher ausreichend vor Betrügereien in ihrem Namen

[datensicherheit.de, 14.11.2024] „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend“ – zu diesem Schluss kam das Bundesamt für Sicherheit in der Informationstechnik (BSI) im neuen BSI-Lagebericht 2024. Zu ähnlichen Ergebnissen kommt nach eigenen Angaben eine Cyber-Sicherheitsstudie des Industrieversicherers QBE: Demnach wächst die Bedrohung durch Cyber-Attacken – 24,2 Prozent der deutschen Unternehmen seien in den vergangen zwölf Monaten von Cyber-Angriffen betroffen gewesen und 43 Prozent seien um ihre Fähigkeit besorgt, eine Cyber-Attacke abwehren zu können.

Foto: QBE

Thorsten Mairhofer: Neben rein technischen Cyber-Sicherheitsvorkehrungen ganzheitlich auch organisatorische und prozessuale Aspekte mitdenken!

Bedrohung durch Cyber-Angriffe substanziell

42,5 Prozent der deutschen Unternehmen seien „besorgt“ oder zumindest „eher besorgt“ über ihre Fähigkeit, potenzielle Cyber-Angriffe abzuwehren. Dies sei das Ergebnis einer Umfrage unter IT-Entscheidungsträgern, welche der Industrieversicherer QBE in Zusammenarbeit mit dem Meinungsforschungsinstitut Civey durchgeführt habe.

Lediglich 18,2 Prozent der Befragten hätten diesbezüglich keinerlei Sorge. Dabei scheine die Bedrohung durch Cyber-Angriffe substanziell zu sein: „Immerhin gaben mit 24,2 Prozent nahezu ein Viertel der Befragten an, im vergangenen Jahr von einem Cyber-Angriff betroffen gewesen zu sein.“

Fehlgeschlagene Software-Aktualisierung des Cyber-Sicherheit-Anbieters Crowdstrike als Warnschuss

Dass die Bedenken hinsichtlich IT-Risiken zunähmen, dürfte zudem auch mit jüngsten Ereignissen zusammenhängen. So habe erst im Juli 2024 eine fehlgeschlagene Software-Aktualisierung des Cyber-Sicherheit-Anbieters Crowdstrike Millionen von Computern mit Microsoft-Betriebssystem lahmgelegt. 27,9 Prozent der Befragten gäben an, die Cyber-Sicherheit ihres Unternehmens aufgrund dieses Vorfalls in den kommenden zwölf Monaten auszubauen.

„Der Crowdstrike-Vorfall zeigt, wie wichtig es für Unternehmen ist, neben rein technischen Sicherheitsvorkehrungen – etwa dem Schutz der IT-Infrastruktur – ganzheitlich auch organisatorische und prozessuale Aspekte mitzudenken“, unterstreicht Thorsten Mairhofer, „Underwriter Cyber“ bei QBE Deutschland. Insbesondere Unternehmen mit Schwächen im Bereich „Business Continuity Management“ hätten Aufgrund unzureichender Vorkehrungen Beeinträchtigungen ihres Geschäftsbetriebs hinnehmen müssen.

Neuer Cyber-Risikofaktor: Künstliche Intelligenz

Neuste Entwicklungen trügen noch zur Brisanz des Themas zu, so seien 53,4 Prozent der befragten IT-Verantwortlichen der Meinung, dass sich Künstliche Intelligenz (KI) negativ auf die Cyber-Sicherheit auswirke. Nur 11,4 Prozent gingen davon aus, dass KI einen positiven Beitrag – etwa bei der Abwehr potenzieller Cyber-Angriffe – leisten könne.

Für die vorliegende aktuelle Studie habe das Marktforschungsinstitut Civey unter 500 IT-Entscheidern im Zeitraum zwischen dem 20. September und dem 6. Oktober 2024 eine repräsentative Befragung durchgeführt.

Weitere Informationen zum Thema:

datensicherheit.de, 13.11.2024
Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen / Kleine und mittlere Unternehmen – mithin das Rückgrat der deutschen Wirtschaft – stehen besonders im Fokus der Cyber-Angreifer

datensicherheit.de, 26.07.2024
Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt / Am 19. Juli 2024 hatte ein Software-Update des Cybersecurity-Unternehmens CrowdStrike weltweit einen massiven IT-Ausfall ausgelöst

datensicherheit.de, 24.07.2024
Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall / Das Beheben des akuten „CrowdStrike“-Problems hat nur das Entfernen einer einzigen Datei erfordert – in der Praxis aber astronomischen Aufwand verursacht