Security News Folge 15

Hallo und herzlich willkommen! Schön, dass Sie wieder dabei sind! Wir wünschen Ihnen ein gutes Security-Jahr 2026!

Nicht nur die Umsetzung von NIS2 ist ein wichtiges Thema in diesen Wochen und Monaten, es gibt viele weitere wichtige Entwicklungen rund um die Cybersicherheit. Wir bleiben für Sie am Ball!

Jetzt reinhören, abonnieren und mit Sicherheit immer gut informiert sein, in weniger als zehn Minuten!

Beginnen wir mit dem Stromausfall in Berlin:

Der jüngste Stromausfall in Berlin macht erneut deutlich, wie verwundbar unsere kritischen Infrastrukturen sind – und wie eng physische Versorgungssicherheit und digitale Resilienz inzwischen miteinander verknüpft sind, so eco – Verband der Internetwirtschaft. Für die Internetwirtschaft haben Stromausfälle unmittelbare Auswirkungen auf Rechenzentren, Netze, Plattformen und digitale Dienste, die für Wirtschaft, Verwaltung und Gesellschaft unverzichtbar sind.

Vor diesem Hintergrund fordert eco, dass das KRITIS-Dachgesetz zügig verabschiedet und wirksam umgesetzt wird. Es braucht einen sektorenübergreifenden, praxistauglichen Rechtsrahmen, der den physischen Schutz kritischer Infrastrukturen stärkt und gleichzeitig konsequent mit den Anforderungen der IT- und Cybersicherheit – insbesondere im Kontext von NIS2 – verzahnt ist, wie der Verband der Internetwirtschaft erklärt.

Kommen wir jetzt zu einer Warnung vor der Betrugsmasche „Sextortion“:

Das LKA Niedersachsen warnt: Immer häufiger geraten Unternehmen ins Visier von Cyberkriminellen, die mit angeblich gehackten E-Mail-Konten, intimen Inhalten und Zahlungsaufforderungen ein verheerendes Druckmittel ins Spiel bringen.

Doch was sind Sextortion E-Mails? Der Begriff „Sextortion“ setzt sich aus den Wörtern „Sex“ und „Extortion“ (also Erpressung) zusammen. Dabei handelt es sich um eine Erpressung mit angeblich sexuellem Material, das per E-Mail verschickt wird. Meist behaupten die Täter, Nacktaufnahmen oder intime Videos von einem Opfer zu besitzen und fordern daraufhin Geld, damit diese nicht veröffentlicht werden.

Weil solche Mails massenhaft verschickt werden, können sie an beliebige Empfänger gehen, darunter auch Geschäftsadressen oder Firmenpostfächer. Auf diese Weise hoffen die Täter, möglichst viele Personen zu erreichen, die auf die Erpressung reagieren. Dabei spielt es keine Rolle, ob es sich um eine Privatperson oder ein Unternehmen handelt.

Das LKA gibt Sicherheitshinweise, Sie finden den Link in den Shownotes.

Nun geht es um NIS-2-Registrierung:

Für rund 29.500 Unternehmen in Deutschland und Institutionen der Bundesverwaltung gelten seit Inkrafttreten des NIS-2-Umsetzungsgesetzes neue gesetzliche Pflichten in der IT-Sicherheit. Sie müssen sich unter anderem als NIS-2-Einrichtungen registrieren und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erhebliche Sicherheitsvorfälle melden. Der dafür vorgesehene Registrierungsprozess ist zweistufig: Zunächst muss eine Anmeldung beim digitalen Dienst Mein Unternehmenskonto (MUK) erfolgen, dann eine Registrierung im neu entwickelten BSI-Portal, das ab sofort zur Verfügung steht.

Das BSI-Portal wird sukzessiv zu einer Informations- und Austauschplattform mit Echtzeit-Daten und aktuellen Analysen für schnelle Reaktionsmöglichkeiten ausgebaut. Dadurch trägt es dazu bei, Cybergefahren zu erkennen, bevor sie Schaden anrichten. Im BSI-Portal erhalten registrierte Unternehmen und Institutionen Informationen zu den gesetzlichen Pflichten, die für sie mit dem BSI-Gesetz einhergehen. So müssen Unternehmen, die unter die Regulierung fallen, eine Risikoanalyse durchführen, um anschließend angemessene Risikomanagementmaßnahmen umsetzen und dokumentieren zu können. Hierfür bietet das Portal gebündelte Informationen und Hilfestellungen. Im BSI-Portal werden zudem die Tageslageberichte und IT-Sicherheitsmitteilungen des BSI bereitgestellt. Auch Schwachstellen und Sicherheitslücken können dem BSI über das Portal gemeldet werden – dies ist auch anonym und ohne Registrierung möglich.

Sie finden den Link zu dem BSI-Portal in den Shownotes.

Nun geht es um einen Aufruf zum Feedback: Gemeinsam die Sicherheit der Software-Lieferkette verbessern:

Die EU-Agentur für Cybersicherheit ENISA lädt Branchenvertreter und interessierte Parteien ein, ihr Feedback zum Entwurf der SBOM Landscape Analysis abzugeben.

Mit der neuen öffentlichen Konsultation möchte die Agentur Fachleute aus den Bereichen Produktsicherheit und -entwicklung einbeziehen, um ihnen sinnvolle Orientierung und Unterstützung bei der Verbesserung der Cybersicherheit im gesamten Ökosystem zu bieten.

Die Implementierung von Software-Stücklisten (SBOM) ist ein wichtiger Schritt für Unternehmen, um Management, Transparenz und Ausfallsicherheit ihrer Systeme zu verbessern. ENISA hat einen Entwurf für einen umfassenden und gleichzeitig praxisorientierten Leitfaden zur Implementierung von Software-Stücklisten in Unternehmen unterschiedlicher Größe und Leistungsfähigkeit erstellt.

Sie können Ihr Feedback bis zum 23. Januar 2026 abgeben, Sie finden den Link in den Shownotes.

Nun geht es um den Entwurf neuer NIST-Richtlinien: Cybersicherheit im Zeitalter der KI neu denken:

Künstliche Intelligenz (KI) beeinflusst die Aktivitäten vieler Organisationen, und die Cybersicherheit bildet da keine Ausnahme. Für alle, die sich für die Chancen und Risiken an der Schnittstelle von Cybersicherheit und KI interessieren, hat das Nationale Institut für Standards und Technologie (NIST) einen ersten Entwurf seines Cyber-KI-Profils veröffentlicht.

Die Publikation mit dem vollständigen Titel „ Cybersecurity Framework Profile for Artificial Intelligence “ ( NISTIR 8596 ) bietet Leitlinien für die Anwendung des NIST Cybersecurity Framework ( CSF 2.0 ), um die sichere Einführung von KI zu beschleunigen. Das Profil unterstützt Organisationen dabei, die strategische Einführung von KI zu planen und gleichzeitig die mit dem rasanten Fortschritt der KI verbundenen neuen Cybersicherheitsrisiken zu bewältigen.

Das Cyber-KI-Profil konzentriert sich auf drei Schwerpunkte:

Sicherung von KI-Systemen:  Identifizierung von Cybersicherheitsherausforderungen bei der Integration von KI in organisatorische Ökosysteme und Infrastrukturen

Durchführung KI-gestützter Cyberabwehr:  Identifizierung von Möglichkeiten zur Nutzung von KI zur Verbesserung der Cybersicherheit und Verständnis der Herausforderungen bei der Nutzung von KI zur Unterstützung defensiver Operationen

Abwehr von KI-gestützten Cyberangriffen:  Aufbau von Resilienz zum Schutz vor neuen KI-gestützten Bedrohungen

Auch dieser Link ist in den Shownotes.

– Diese Folge wird Ihnen präsentiert von Marktplatz IT-Sicherheit und dem Angebot Anbieterverzeichnis – IT-Sicherheitslösungen für Ihr Unternehmen, die Ihnen helfen können

Sie suchen verlässliche Partner für IT-Sicherheit?

Ob Firewalls, End-Point-Security, Penetrationstests, IT-Sicherheitsanalysen oder Managed Security Services – im Anbieterverzeichnis auf dem Marktplatz IT-Sicherheit finden Sie kompetente IT-Sicherheitslösungsanbieter auf einen Blick.

Was das Anbieterverzeichnis IT-Sicherheit bietet:

IT-Sicherheitsanbieter für verschiedene IT-Sicherheitslösungen und -dienstleistungen

Informationen zu Leistungen, Schwerpunkten, Erfahrungen und Kompetenzen

Unterstützung bei Auswahl und Kontaktaufnahme

Intelligente Suchfunktion für gezielte Ergebnisse

IT-Sicherheitsanbieter können sich zudem mit ihren Kompetenzprofilen und IT-Sicherheitsleistungen präsentieren – für maximale Sichtbarkeit und einfache Vergleichbarkeit.

Jetzt den passenden IT-Sicherheitsanbieter für Ihr Unternehmen finden

Sie finden den Link zu diesem Angebot von Marktplatz IT-Sicherheit sowie alle anderen Links zu dieser Folge in den Show-Notes zu diesem Podcast.

Das war es für heute.

Ich freue mich, wenn wir uns bald wieder hören, besuchen Sie den Marktplatz IT-Sicherheit und abonnieren Sie diesen Podcast und die anderen Formate auf dem Marktplatz IT-Sicherheit! Hier werden Sie mit Sicherheit gut informiert! Das war Oliver Schonschek, der News-Analyst vom Marktplatz IT-Sicherheit