Security News Folge 26

Hallo und herzlich willkommen! Schön, dass Sie wieder dabei sind!

Wir haben für Sie wichtige und spannende Meldungen rund um Cybersicherheit von der Bundesregierung, dem BSI, der ENISA, dem Verband der IT-Sicherheit TeleTrusT und der Cloud Security Alliance gesichtet und zusammengetragen.

Jetzt reinhören, abonnieren und mit Sicherheit immer gut informiert sein, in weniger als zehn Minuten!

Wir beginnen mit der IT-Sicherheit im Deutschland-Stack:

Cyber-Sicherheit darf im Deutschland-Stack nicht als nachgelagerter Baustein oder als Sammlung einzelner Sicherheitsprodukte verstanden werden, so der Verband der IT-Sicherheit TeleTrusT. Cybersicherheit ist demnach zu verstehen als ein durchgängiges Struktur- und Betriebsprinzip des gesamten Stacks und muss in Governance, Architektur, Standards, Zugriffsmodell, Betriebsmodell und Resilienz verbindlich verankert werden. Das TeleTrusT-Positionspapier “IT-Sicherheit im Deutschland-Stack” verdichtet diese Anforderungen zu einem eigenständigen cyber-politischen und architektonischen Zielbild für den Deutschland-Stack.

Der Deutschland-Stack verfolgt das richtige strategische Ziel, erklärt TeleTrusT: digitale Handlungsfähigkeit, Nachnutzbarkeit, Interoperabilität, Resilienz und Souveränität im öffentlichen Sektor zu stärken. Aus Sicht der Cyber-Sicherheit reicht es jedoch nicht aus, Technologien und Standards aufzuzählen. Entscheidend ist, wie diese in einem beherrschbaren, auditierbaren und resilienten Gesamtmodell zusammenwirken. Cyber-Sicherheit ist dabei kein eigener Layer neben anderen, sondern eine Querschnittsanforderung an alle Layer des Stacks sowie an Governance und Betrieb, die zudem der regelmäßigen Aktualisierung und Anpassung an den Stand der Technik unterliegt.

Der Deutschland-Stack muss zu einem zentralen Baustein digitaler Souveränität und Sicherheit in Deutschland werden und zugleich auch als sicherheitskritische nationale Infrastruktur verstanden werden, betont TeleTrusT. Dafür muss Cyber-Sicherheit jedoch als Ordnungsprinzip verstanden werden: nicht als isolierter Sicherheitsblock, sondern als verbindende Logik von Architektur, Betrieb, Kontrolle und Wiederherstellung.

Sie finden den Link zum Positionspapier in den Shownotes.

Weiter geht mit dem geplanten Gesetz zur Stärkung der Cybersicherheit

Das Bundeskabinett hat kürzlich einen Gesetzentwurf zur Stärkung der Cybersicherheit beschlossen, der die rechtlichen Grundlagen für eine verbesserte Detektion und aktive polizeiliche Gefahrenabwehr im Cyberraum schaffen soll.

Der Gesetzentwurf sieht spezifische Cyberabwehrbefugnisse für das Bundeskriminalamt (BKA) und die Bundespolizei vor. Diese umfassen unter anderem die Untersagung des Betriebs informationstechnischer Systeme, die Umleitung von Datenverkehr auf eine von der Polizei vorgegebene Zieladresse oder dessen Unterbindung sowie das Auslesen, Löschen oder Verändern von gefahrgegenständlichen Daten in IT-Systemen.

Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Verbesserungen im Betrieb des Schadprogramm-Erkennungssystems zum Schutz der Kommunikation des Bundes vorgesehen. Zudem erhält das BSI Anordnungsbefugnisse gegenüber DNS- und digitalen Diensteanbietern sowie die Verpflichtung dieser Anbieter, dem BSI sicherheitsrelevante Informationen zur Verfügung zu stellen. Im Bereich der kritischen Infrastrukturen (KRITIS) ist eine automatisierte Übermittlung von Informationen aus den Systemen zur Angriffserkennung und zur Verfügbarkeit wichtiger IT-Komponenten an das BSI geplant.

Sie finden den Link zum Gesetzesentwurf in den Shownotes.

Nun geht es um die zweite Runde der Hall of Fame für mehr E-Mail-Sicherheit:

Wir erinnern uns: 2025 stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI), der eco – Verband der Internetwirtschaft e. V. und Bitkom e. V. das Thema „E-Mail-Sicherheit“ in den Mittelpunkt eines Aktionsjahrs.

2026 ziehen die Partner der Aktion nun das Fazit: Welche Unternehmen haben investiert, modernisiert und Hürden überwunden, um ihren Mitarbeitenden sowie ihren Kundinnen und Kunden eine geschützte E-Mail-Infrastruktur verfügbar zu machen? Die Hall of Fame geht in eine zweite, finale Runde: Ausgezeichnet werden all die Unternehmen, denen es gelungen ist, konkrete Maßnahmen zur E-Mail-Sicherheit umzusetzen oder weiterhin aufrecht zu erhalten.

Bewerben können sich alle bisherigen Teilnehmenden der Hall of Fame sowie alle weiteren Unternehmen, die bis zum 30.06.2026 den Standard DNSSEC nach BSI TR-03108 „Sicherer E-Mail-Transport“ implementiert haben. Nach Abschluss der ersten Hall of Fame im vergangenen Jahr haben sich zahlreiche Unternehmen beim BSI gemeldet, die bereits die Anforderungen der Technischen Richtlinie erfüllen. Jetzt haben auch sie die Chance, dafür öffentliche Anerkennung zu erhalten und ihre Beteiligung an der Cybernation Deutschland sichtbar zu machen.

Eine Anmeldung ist bis Ende Juni 2026 möglich.

Den Link gibt es in den Shownotes.

Weiter geht es mit dem neuen ENISA NIS360-Bericht:

Die diesjährige Ausgabe des ENISA NIS360-Berichts zeigt eine Verbesserung der Cybersicherheitsreife kritischer Sektoren in der EU, während der Grad der Kritikalität in den Sektoren vergleichsweise stabiler bleibt.

In der diesjährigen Ausgabe bleiben Sektoren wie Bankwesen, Elektrizität, Luftfahrt, Raumfahrt und standardmäßig digitale Dienstleistungen (einschließlich Telekommunikation, Cloud und Rechenzentren) die wichtigsten.

Die Raumfahrtbranche ist in diesem Jahr dieser Gruppe beigetreten, was ihre wachsende Bedeutung in der Gesellschaft und anderen Sektoren widerspiegelt und ihre Abhängigkeit, ihren Einfluss und ihre zeitkritische Bedeutung erhöht. Der Eisenbahnsektor hat aufgrund seiner zunehmenden Rolle in der militärischen Logistik und der verstärkten Cyberbedrohung an Bedeutung gewonnen.

Drei Sektoren, darunter Vertrauensdienste, Luftfahrt und Finanzmarktinfrastrukturen (FMIs), stiegen in den hohen Reifegradbereich auf. Darüber hinaus stärkten vier Sektoren ihren Reifegrad innerhalb des mittleren Bereichs: Gas, Straßenverkehr, Schifffahrt und Gesundheitswesen.

Der ENISA NIS360 Bericht soll als jährliches Bewertungsinstrument dienen, das nationale Behörden, politische Entscheidungsträger und andere Interessengruppen bei der Beurteilung des Reifegrads und der Kritikalität der Cybersicherheit in hochkritischen Sektoren gemäß der NIS2-Richtlinie unterstützt.

Sie finden einen Link dazu in den Shownotes.

Nun folgt noch ein Bericht zur Sicherheit von Applikationen und KI:

Die Cloud Security Alliance (CSA) hat den Bericht „State of Modern Application & AI Security 2026“ veröffentlicht. Basierend auf Umfragedaten von über 900 Cybersicherheitsexperten deckt der Bericht ein strukturelles Versagen der Unternehmenssicherheit auf: Unternehmen haben massiv in Pre-Production-Scans und „Shift-Left“-Tools investiert, dennoch gelangen bekannte Schwachstellen weiterhin in die Produktion und führen zu Sicherheitsvorfällen. Im Zeitalter nach Mythos hat KI die Angriffsfenster deutlich verkleinert, und Unternehmen müssen ihre Gefährdungslage durch bereits laufende Behebungsmaßnahmen reduzieren, um mit dieser Entwicklung Schritt zu halten.

Die Ergebnisse stellen die Annahme in Frage, dass eine frühzeitige Erkennung allein mit den Risiken moderner Anwendungen und KI Schritt halten kann. Die Erkennung mag vor der Bereitstellung beginnen, doch der Schutz muss zunehmend auch nach dem Livegang der Anwendungen fortgesetzt werden. Transparenz und Behebung von Schwachstellen zur Laufzeit werden zur entscheidenden Lücke zwischen dem Erkennen einer Schwachstelle und der Verhinderung eines Sicherheitsvorfalls.

Der Link zu dem Bericht ist in den Shownotes.

– Diese Folge wird Ihnen präsentiert von Marktplatz IT-Sicherheit und dem Angebot Interaktive Liste E-Mail-Sicherheit

E-Mail-Sicherheit, der passende Schutz für das Rückgrat Ihrer Kommunikation

Trotz wachsender Vielfalt an Kommunikationskanälen bleibt die E-Mail das wichtigste Kommunikationsmittel im Geschäftsalltag. Mit ihrer hohen Verbreitung ist die E-Mail jedoch auch das bevorzugte Einfallstor für Cyberkriminelle. Schützen Sie Ihren zentralen betrieblichen Kommunikationsweg.

Was E-Mail-Sicherheitslösungen zum Beispiel leisten:

Ende-zu-Ende-Verschlüsselung Ihrer vertraulichen Nachrichten

Digitale Signatur zur Bestätigung der Absenderangaben

Unterstützung der Sicherheitsstandards für E-Mail wie DMARC und DKIM

Steigerung der Security Awareness bei E-Mail-Nutzern

Schutz vor Spam, Phishing, Malware und Tracking

Jetzt den passenden Anbieter entdecken und Ihre E-Mail-Kommunikation absichern.

Sie finden den Link zu diesem Angebot von Marktplatz IT-Sicherheit sowie alle anderen Links zu dieser Folge in den Show-Notes zu diesem Podcast.

Das war es für heute.

Ich freue mich, wenn wir uns bald wieder hören und auf wichtigen Events sehen, besuchen Sie den Marktplatz IT-Sicherheit und abonnieren Sie diesen Podcast und die anderen Formate auf dem Marktplatz IT-Sicherheit! Hier werden Sie mit Sicherheit gut informiert! Das war Oliver Schonschek, der News-Analyst vom Marktplatz IT-Sicherheit