Aktuelles
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im September die Version 1.3 der Konfigurationsempfehlungen für die Microsoft Office Anwendungen Microsoft Access, Microsoft Excel, Microsoft Outlook, Microsoft PowerPoint, Microsoft Visio sowie Microsoft Word (Stand 28.3. 2025) veröffentlicht. Die aktuelle Veröffentlichung ergänzt Empfehlungen zur Version 2024. Die Gruppenrichtlinien helfen dabei, die Angriffsfläche auf Anwendungen von Microsoft Office zu verringern bzw. die Sicherheit zu erhöhen. Sie garantieren keine 100%-ige Sicherheit. (26.10.)
Das Bundesministerium des Innern hat am 1.9.2025 den Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (Stand 27.8.) veröffentlicht. Der Entwurf enthält auch den Entwurf des sog. KRITIS-Dachgesetzes. Der Gesetzentwurf setzt die CER-Richtlinie um und ist damit quasi die Schwester des Entwurfs des NIS2-Umsetzungsgesetzes. Der Entwurf des KRITIS-Dachgesetzes enthält wenig konkrete Vorgaben, dafür aber mehrere Verordnungsermächtigungen. "Zur weiteren Konkretisierung von sektorübergreifenden Resilienzmaßnahmen wird es eine Rechtsverordnungsermächtigung für das Bundesministerium des Innern geben, um einen Katalog mit Mindestanforderungen festzulegen." Es soll eine "gemeinsame Rechtsverordnung zur Bestimmung von Betreibern kritischer Anlagen sowie wichtiger und besonders wichtiger Einrichtungen nach dem KRITIS-Dachgesetz und dem BSIG geben." Während die DORA-Verordnung und der Entwurf des NIS2-Umsetzungsgesetzes sich um die Cybersicherheit kümmern, regelt das KRITIS-Dachgesetz die physische Resilienz. (9.9.)
In eigener Sache: Diese Webseite verwendet ab sofort die hybride Schlüsselvereinbarung "X25519MLKEM768" als bevorzugtes Verfahren. Die Kombination aus dem bewährten klassischem X25519 und dem quantensicheren ML-KEM (FIPS 203) wird von den Browsern Mozilla Firefox, Google Chrome und Microsoft Edge in den aktuellen Versionen unterstützt. Dies ist die erste kleine technische Umsetzung im Sinne des "Fahrplans für den Übergang zur Post-Quantum-Kryptographie" der Europäischen Kommission. Die Umstellung war einfacher als erwartet. (10.8.)
Das Bundesministerium des Innern hat einen Referentenentwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung mit Stand 23.6.2025 veröffentlicht.
Ob der Entwurf besser geworden ist, als der Entwurf der letzten Regierung, der schon in 1. Lesung im Bundestag war? Nicht wirklich. Es gibt viele kleine Verschlimmbesserungen. Es zeigt sich jedenfalls, dass wir dringend ein Cybersicherheitsgesetz benötigen, in dem die Cybersicherheitsregulierung an einer Stelle zusammengefasst wird. Zu viele Regelungen sind über zu viele Gesetze verstreut. Ein Beispiel aus dem Entwurf: Die Auflistung von Maßnahmen in Art. 21 Abs. 2 NIS2-Richtlinie wird in drei deutsche Gesetze eingefügt: § 30 Abs. 2 BSIG-E, § 165 Abs. 2a TKG-E und § 5c Abs. 4 EnWG-E. Und natürlich sind sie leicht unterschiedlich formuliert:
| Art. 21 Abs. 2 Lit. g NIS2 | grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit |
| § 30 Abs. 2 Nr. 7 BSIG-E | grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik |
| § 165 Abs. 2a Nr. 7 TKG-E | Grundlegende Verfahren und Schulungen im Bereich der Sicherheit von Netzen und Diensten |
| § 5c Abs. 4 Nr. 7 EnWG-E | grundlegende Verfahren im Bereich der Cyberhygiene und für Schulungen im Bereich der Sicherheit der Informationstechnik |
Die Begriffe "Informationssicherheit" (Definition § 2 Nr. 17 BSIG-E), "Datensicherheit" (§ 20 Abs. 3 Nr. 1 BSIG-E), "Netzsicherheit" (§ 20 Abs. 3 Nr. 1 BSIG-E), "Netz- und Informationssicherheit" (z.B. § 23 Abs. 2 Lit. a BSIG-E), "IT-Sicherheit" (z.B. § 55 BSIG-E oder § 5c EnWG-E), "Cybersicherheit" (im Kontext von Zertifizierung, z.B. § 3 Nr. 9 BSIG-E) oder "Sicherheit in der Informationstechnik" (Definition § 2 Nr. 39 BSIG-E) verwendet, ohne dass immer der Unterschied der Bedeutung erkennbar wird. (30.6.)
Das Buch "IT-Sicherheit für Dummies", das ich zusammen mit Sebastian R. Gerling geschrieben habe, ist jetzt erschienen und wir haben heute die ersten Exemplare erhalten. Damit können wir das Ergebnis der Arbeit der letzten eineinhalb Jahre buchstäblich in die Hand nehmen. Weitere Informationen - Inhaltsverzeichnis, Probeseiten und alle Links aus dem Buch - finden Sie auf der Web-Seite zum Buch. (20.4.22)
Ältere aktuelle Nachrichten sind hier archiviert
