Security News Folge 6

Hallo und herzlich Willkommen! Schön, dass Sie wieder dabei sind!

Auch Folge 6 bietet wieder wichtige Security-News aus den IT-Sicherheitsbehörden, Verbänden und bekannten Organisationen wie NIST.

Jetzt reinhören, abonnieren und mit Sicherheit immer gut informiert sein, in weniger als zehn Minuten!

Und schon geht es los!

Kommen wir zuerst zu der Aktionskampagne, die E-Mails in Deutschland sicherer machen soll: Mit dem „E-Mail-Sicherheitsjahr 2025“ hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit eco – Verband der Internetwirtschaft e.V. und dem Digitalverband bitkom eine Aktionskampagne zur Verbesserung der E-Mail-Sicherheit in Deutschland ins Leben gerufen. Nun veröffentlichen die Initiatoren erstmals eine „Hall of Fame der E-Mail-Sicherheit“ und zeichnen damit rund 150 Unternehmen aus, die sich aktiv an der Umsetzung moderner E-Mail-Sicherheitsmaßnahmen beteiligen.

Die Idee hinter der Kampagne: Wer E-Mails versendet, trägt Verantwortung – für Sicherheit, Vertrauen und digitale Resilienz. „Der wirksamste Schutz vor Phishing ist, wenn Phishing-Mails gar nicht erst bei den Nutzenden ankommen“, so Claudia Plattner, die BSI-Präsidentin.

Und was bedeutet das für Versender? Mit SPF, DKIM und DMARC stehen wirksame Werkzeuge bereit, um Absenderidentität zu schützen und Spoofing zu verhindern. Doch technische Maßnahmen allein reichen nicht: Es braucht aktive Umsetzung, regelmäßige Prüfungen – und ein gemeinsames Ziel. Weitere Informationen gibt es in den Shownotes.

Mein Hinweis: Natürlich gibt es auf dem Marktplatz IT-Sicherheit umfangreiche Informationen dazu sowie interaktive Listen zu E-Mail-Sicherheit als Schlüssel zur digitalen Kommunikationssicherheit.

Weiter geht es mit einer Warnmeldung des Bundeskriminalamtes (BKA):

Bereits im Juni 2025 hatte das BKA vor Aktienempfehlungen in betrügerischen Chatgruppen gewarnt. Nun haben die Täter den Modus Operandi angepasst: in extra dafür generierten WhatsApp-Gruppen behaupten sie, dass das BKA technische Unterstützung u.a. mittels der App „Trezor Suite Lite“ bei der Rückgewinnung betrügerisch erlangter Gelder leistet.

Geschädigte werden aufgefordert, die Umstände ihres finanziellen Verlustes (durch einen mutmaßlichen Betrug im Zusammenhang mit Anlagetipps) und ihren Rückzahlungsanspruch gegen die Täter anhand von Unterlagen darzulegen. Es kann nicht ausgeschlossen werden, dass es hierbei zu weiteren Tathandlungen, insbesondere Phishing von Zugangsdaten, kommt, so das BKA.

Das BKA erklärt deshalb: Es handelt sich um Fake-Chatgruppen, die von Kriminellen betrieben werden. Das BKA leistet keine technische Unterstützung bei der Rückgewinnung von Geld, das mutmaßliche Geschädigte verloren haben. Es sind keine BKA-Mitarbeitenden in diesen WhatsApp Gruppen aktiv.

Und nun eine Meldung des Landesamtes für Sicherheit in der Informationstechnik (LSI) in Bayern:

Das Landesamt für Sicherheit in der Informationstechnik (LSI) konnte zur zweiten Veranstaltung der Thementagsreihe „Informationssicherheit in Kliniken“ rund 60 Teilnehmer in der München Klinik Bogenhausen begrüßen. Zu Gast waren Klinikleitungen, IT-Leiter und Informationssicherheitsbeauftragte von Kliniken aus dem südbayerischen Raum.

Das Experten-Team des LSI stellte dabei die Unterstützungsmöglichkeiten im Rahmen von IT-Sicherheitsvorfällen durch das Cyber Defence Center des LSI vor, sowie Themen wie Multifaktor-Authentisierung, Beratungsangebote des LSI für die bayerischen Kliniken und Table-Top Übungen. Die Bayerische Krankenhausgesellschaft und das Bayerische Staatsministerium für Gesundheit, Pflege und Prävention zum Beispiel informierten die Teilnehmer über aktuelle Themen wie „Sicherheitsanforderungen der elektronischen Patientenakte (ePA) und Telematikinfrastruktur“ sowie „Transformationsfonds und Cybersicherheit“.

Die nächste Meldung kommt vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik:

Acht internationale Behörden unter Federführung der US-amerikanischen Cybersicherheitsbehörde CISA haben die Publikation “Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators”, zur Asset-Inventarisierung im Bereich von Operational Technology (OT), herausgegeben. Neben weiteren Partnern aus der Industrie hat das Bundesamt für Sicherheit in der Informationstechnik an der Veröffentlichung mitgearbeitet. Der Leitfaden soll Betreibern Kritischer Infrastrukturen (KRITIS) dabei helfen, Assets zu identifizieren, richtig zu inventarisieren und Cyberangriffe schnellstmöglich zu erkennen, um ihre Assets bestmöglich zu schützen.

Als Assets werden besonders schützenswerte Soft- und Hardwarekomponenten bezeichnet. Ihr Ausfall könnte beispielsweise zu erheblichen Auswirkungen hinsichtlich der Verfügbarkeit einer Anlage führen und massive Produktionsausfälle auslösen. Auf 31 Seiten werden in der Publikation Abläufe, Taxonomien und Fallbeispiele für verschiedene KRITIS-Sektoren vorgestellt.

Weiter geht es mit dieser Meldung von NIST:

Gesichtsmorphing-Software, die Fotos verschiedener Gesichter zu einem einzigen synthetischen Bild zusammenfügt, erleichtert es Kriminellen, Identitätsprüfungssysteme in Gebäuden, an Grenzen, Flughäfen und anderen Umgebungen zu umgehen. Morphing-Fotos können Gesichtserkennungssysteme täuschen und so das Bild fälschlicherweise als das von beiden Originalpersonen identifizieren. Dadurch kann die erste Person die Identität der zweiten Person annehmen und umgekehrt.

Um dieses Problem zu lösen, hat das National Institute of Standards and Technology (NIST) Richtlinien veröffentlicht, die Unternehmen dabei helfen können, moderne Erkennungsmethoden einzusetzen und zu nutzen, die darauf ausgelegt sind, Morph-Angriffe abzuwehren, bevor sie erfolgreich sind.

Die neue Veröffentlichung bietet eine allgemeinverständliche Einführung in Morphs und erläutert den Umgang damit. Das Dokument soll Organisationen beim effektiven Einsatz von Tools und Verfahren in Situationen unterstützen, in denen mit Morph-Fotos zu rechnen ist. Der Link zur Publikation ist in den Shownotes.

– Diese Folge wird Ihnen präsentiert von Marktplatz IT-Sicherheit und dem Angebot Serious Games: Spielerisch Cybersicherheit vermitteln

In einer zunehmend digitalisierten Welt ist Cybersicherheit längst keine rein technische Domäne mehr – sie betrifft alle Mitarbeitenden, quer durch Branchen und Hierarchien. Gleichzeitig wächst der Druck auf Organisationen, eine nachhaltige Sicherheitskultur zu etablieren. Klassische Schulungsformate stoßen hier schnell an Grenzen: Sie erklären, aber sie verändern selten Verhalten. Genau an diesem Punkt setzen Serious Games an. Klingt spannend für Sie?

Sie finden den Link zu diesem neuen Angebot von Marktplatz IT-Sicherheit sowie alle anderen Links zu dieser Folge in den Show-Notes zu diesem Podcast.

Das war es für heute.

Ich freue mich, wenn wir uns bald wieder hören, besuchen Sie den Marktplatz IT-Sicherheit und abonnieren Sie diesen Podcast und die anderen Formate auf dem Marktplatz IT-Sicherheit! Hier werden Sie mit Sicherheit gut informiert! Das war Oliver Schonschek, der News-Analyst vom Marktplatz IT-Sicherheit