Der Messenger-Dienst Signal hat ein neues Verschlüsselungsprotokoll namens SPQR vorgestellt, das Nutzerkommunikation auch vor künftigen Quantencomputern schützen soll. Die Abkürzung steht für „Sparse Post-Quantum Ratchet“ und erweitert das bewährte Double-Ratchet-Verfahren um eine dritte Komponente – die Entwickler sprechen nun vom „Triple Ratchet“.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird künftig die Einhaltung des Cyber Resilience Acts (CRA) in Deutschland kontrollieren. Die Bundesregierung hat die Behörde offiziell als zuständige Marktaufsichtsstelle bei der EU-Kommission gemeldet.

Die israelische NSO Group, Hersteller der berüchtigten Überwachungssoftware Pegasus, wechselt den Besitzer. Eine US-amerikanische Investorengruppe hat nach Unternehmensangaben „dutzende Millionen Dollar“ investiert und die Kontrollmehrheit übernommen.

In Ausgabe 25-21 habe ich in einem Artikel darüber geschrieben, dass viele Entscheider (und zum Teil auch ITler) glauben, dass durch die Cloud alles sicherer wird. Dem ist aber nicht so! Bei einem Cloud-Dienst wie Microsoft 365 wird es sehr schnell unternehmenskritisch und kann im schlimmsten Fall (der schneller eintritt, als einem lieb ist) sogar ein Insolvenzrisiko für das Unternehmen darstellen. Sicherheit muss also auch bei Cloud-Diensten von Anfang an mitgedacht werden. Genau hier setzt das Buch an, das ich Ihnen heute vorstellen möchte.

Kaum hat sich die Geschäftswelt mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO) arrangiert, steht mit der NIS-2-Richtlinie die nächste große Herausforderung ins Haus. Ab Ende 2025 müssen zehntausende Organisationen in Deutschland, Österreich und der Schweiz nachweisen, dass sie ihre Netz- und Informationssicherheit auf ein neues Niveau gehoben haben.

Nach Art. 15 Datenschutz-Grundverordnung (DSGVO) haben Betroffene das Recht zu erfahren, ob personenbezogene Daten von ihnen verarbeitet werden und, wenn ja, welche das sind. Dabei muss der Betroffene weder Form noch Frist oder Dienstweg einhalten und auch keine spezifischen Voraussetzungen erfüllen. Trotz oder wohl eher wegen der sehr weiten Ausgestaltung des Auskunftsanspruchs besteht in der Praxis mitunter Klärungsbedarf in Bezug auf die genaue Ausgestaltung der Auskunft.

Der Mittelstand ist das Rückgrat der Wirtschaft. Doch genau dieses Rückgrat wird immer häufiger zur Zielscheibe von Cyberangriffen. Während Konzerne mit hochgerüsteten IT-Abteilungen und umfangreichen Cyberversicherungen ihre Abwehr stetig verbessern, stehen kleine und mittlere Unternehmen (KMU) und Behörden oft ungeschützt im Wind. Angreifer haben das längst erkannt – und nutzen diese Schwäche.

Montagmorgen, 8 Uhr. Der IT-Leiter eines mittelständischen Unternehmens trinkt entspannt seinen Kaffee. Das Backup-System läuft seit Jahren zuverlässig, jeden Abend sichert es automatisch alle Daten in die Cloud. „Läuft alles“, denkt er sich. Die Geschäftsführung ist zufrieden, die Kosten überschaubar, die grünen Häkchen im Dashboard beruhigend. Doch dann, drei Wochen später: Ransomware. Die Produktion steht still. Jetzt soll das Backup die Rettung sein. Der IT-Leiter öffnet das Backup-System – und stellt fest: Auch die Backups sind verschlüsselt. Die Angreifer hatten Zugriff auf das komplette System. Die letzte „sichere“ Kopie ist drei Monate alt. Der Schaden: Mehrere hunderttausend Euro, wochenlanger Stillstand, Reputationsverlust. Diese Situation ist kein Einzelfall mehr. Sie zeigt: Ein Backup, das einfach nur „läuft“, reicht heute nicht mehr aus.

Meine Antwort: Eine hervorragende Frage, die zeigt, dass Sie über das Papier hinausdenken. Ein Incident-Response-Plan ist wie ein Erste-Hilfe-Koffer: Er bringt nur dann etwas, wenn man ihn im Ernstfall auch […]