Angriffe auf die Lieferkette entwickeln sich zu einem erheblichen Sicherheitsrisiko für deutsche Unternehmen: Knapp 28 Prozent der Firmen waren innerhalb von zwölf Monaten von Cyberangriffen auf ihre Zulieferer betroffen oder hatten einen entsprechenden Verdacht. Das geht aus einer aktuellen Studie des Digitalverbands Bitkom hervor, für die mehr als 1000 Unternehmen quer durch alle Branchen befragt wurden.

Konkret gaben 9 Prozent der befragten Firmen an, dass ihre Zulieferer nachweislich Opfer von Industriespionage, Sabotage oder Datendiebstahl wurden. Weitere 19 Prozent hatten einen entsprechenden Verdacht. Die Angreifer nutzen dabei eine klassische Schwachstelle: Auch wenn ein Unternehmen selbst hohe Sicherheitsstandards implementiert hat, können über vernetzte IT-Systeme oder bei Zulieferern liegende Geschäftsunterlagen – zum Beispiel Konstruktionspläne – Angriffsvektoren entstehen.

Die Auswirkungen sollten Firmen laut Bitkom auf keinen Fall unterschätzen: 41 Prozent der Unternehmen, deren Zulieferer attackiert wurden, spürten konkrete Folgen. Diese reichen von Produktionsausfällen über Lieferengpässe bis hin zu Reputationsschäden. Bei knapp der Hälfte (49 Prozent) blieben die Angriffe auf Zulieferer ohne direkte Auswirkungen auf das eigene Geschäft.

„Angreifer suchen sich die schwächste Stelle aus. Gerade bei besonders gut geschützten Unternehmen sind das häufig weniger gut geschützte Zulieferer“, erklärt Bitkom-Präsident Ralf Wintergerst. Zur Verbesserung der Cybersicherheit müssten Geschäftspartner entlang der Lieferkette sensibilisiert, Schutzmaßnahmen vereinbart und gemeinsam implementiert werden.

Ebenfalls kritisch: 15 Prozent der befragten Unternehmen wissen nicht, ob ihre Zulieferer angegriffen wurden – oder wollten keine Angaben dazu machen. Lediglich 4 Prozent arbeiten nicht mit Zulieferern zusammen. Die übrigen 53 Prozent gaben an, dass es keine bekannten Angriffe auf ihre Zulieferer gab. Die Studie findet sich als PDF in der Mitteilung des Bitkom.

(fo)

Es geht um nicht weniger als eine Generalüberholung der europäischen Digitalregulierung: Am 19. November will die EU-Kommission einen umfassenden Gesetzesvorschlag vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll laut Kommission Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen.

Vier Regulierungsbereiche stehen im Fokus des umfangreichen Reformvorhabens: der Datenschutz, Regeln für die Datennutzung, der Umgang mit Cybersicherheitsvorfällen und die KI-Verordnung. Daher auch der Begriff Omnibus („für alle“) – er wird in der Gesetzgebung verwendet, wenn mehrere Rechtsakte zugleich geändert werden. Die Kommission hat ihre zahlreichen Pläne auf zwei getrennte Gesetzesvorschläge aufgeteilt.

Wir veröffentlichen einen Zwischenstand des Gesetzespakets.

Aus vier mach eins: der überarbeitete Data Act

Mit dem ersten „Digital-Omnibus“ plant die EU-Kommission eine umfassende Konsolidierung verschiedener Datengesetze.

Im Zentrum steht hier der vor rund zwei Jahren verabschiedete Data Act, der nach einer Übergangsfrist erst seit September EU-weit anwendbar ist und nun überarbeitet werden soll. Im neuen Data Act sollen gleich drei weitere Gesetze aufgehen: die Open-Data-Richtlinie, die Verordnung über den freien Fluss nicht-personenbezogener Daten und der Data Governance Act.

Die Kommission präsentiert das erste Omnibus-Gesetz als „eine ehrgeizige Liste technischer Änderungen an einem umfangreichen Korpus digitaler Rechtsvorschriften, die den breitesten Bereich digitaler Unternehmen abdecken.“ Ziel sei es, „Unternehmen, öffentlichen Verwaltungen und Bürgern gleichermaßen sofortige Erleichterungen zu verschaffen“.

Kommission will die Datenschutzgrundverordnung aufbohren

Dabei will die Kommission auch die Datenschutzgrundverordnung (DSGVO) aufbohren. Im Fokus stehen hier unter anderem Cookies und pseudonymisierte Daten.

Um der Cookie-Banner-Flut und der „Zustimmungsmüdigkeit“ bei den Nutzenden zu begegnen, will die Kommission „den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen und deren Berücksichtigung durch Website-Anbieter ebnen, sobald entsprechende Standards verfügbar sind“.

Konkret bedeutet das: Etwa Browser oder Betriebssysteme sollen Signale an Websites senden, die individuelle Entscheidungen der Nutzenden übermitteln, ob diese Cookies annehmen oder ablehnen wollen. Ausgenommen von dieser Regel sollen Medienanbieter (media service providers) sein – „angesichts der Bedeutung des unabhängigen Journalismus in einer demokratischen Gesellschaft und um dessen wirtschaftliche Grundlage nicht zu untergraben“.

Darüber hinaus will die Kommission Artikel 9 der DSGVO zu besonderen Kategorien von Daten aufbohren. Durch diesen Artikel sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, die oben genannte Informationen explizit offenbaren. Das bedeutet: Gibt etwa eine Person in einem Auswahlfeld an, welche sexuelle Orientierung sie hat, wäre das weiterhin besonders geschützt. Schließt ein Datenverarbeiter aufgrund vermeintlicher Interessen oder Merkmale auf die mutmaßliche sexuelle Orientierung eines Menschen, würden bisherige Einschränkungen wegfallen.

Zugleich betont die Kommission, dass „der verstärkte Schutz genetischer Daten und biometrischer Daten aufgrund ihrer einzigartigen und spezifischen Merkmale unverändert bleiben sollte“. Auch die Verwendung personenbezogener Daten für das Training von KI-Modellen auf Grundlage des berechtigten Interesses soll nach den Plänen der EU-Kommission künftig grundsätzlich erlaubt sein.

KI-Verordnung soll aufgeweicht werden

Weitergehende Regelungen zum Umgang mit Künstlicher Intelligenz finden sich im zweiten Gesetzespaket zur KI-Verordnung.

Die hier geplanten Änderungen begründet die Kommission damit, dass es bei der KI-Verordnung noch „Herausforderungen bei der Umsetzung“ gebe, „die das wirksame Inkrafttreten wichtiger Bestimmungen gefährden könnten“. Die Kommission schlägt daher „gezielte Vereinfachungsmaßnahmen vor, die eine zeitnahe, reibungslose und verhältnismäßige Umsetzung gewährleisten sollen“.

Konkret sieht der zweite Omnibus unter anderem vor, die KI-Aufsicht teilweise bei dem sogenannten AI Office zu bündeln, das direkt bei der Kommission angesiedelt ist. Davon wären vor allem sehr große Online-Plattformen (VLOPS) und Anbieter großer Suchmaschinen betroffen.

VLOPs sind laut dem Digital Services Act (DSA) solche Angebote, die monatlich mehr als 45 Millionen Nutzer:innen in der EU erreichen. Dazu zählen große soziale Netzwerke und Marktplätze wie Facebook, Instagram oder Amazon.

Außerdem will die Kommission es Anbietern und Betreibern von KI-Systemen „erleichtern“, Dateschutzgesetze einzuhalten, wenn sie personenbezogene Daten verarbeiten. Zudem will sie Sonderregeln für kleine und mittlere Unternehmen schaffen, um sie von bestimmten Verpflichtungen etwa bei Dokumentation und Monitoring auszunehmen.

Unklar ist derzeit offenbar noch, ob die weitere Umsetzung der KI-Verordnung in Teilen aufgeschoben wird. Eine solche Verschiebung wäre im Sinne der Bundesregierung. Digitalminister Karsten Wildberger (CDU) wirbt seit Monaten dafür. Als Grund führt der Minister an, dass die technischen Standards noch nicht vorlägen.

Jean-Baptiste Kempf erhält den Europäischen South Tyrol Free Software Award (European SFS Award) 2025. Der Preis für besondere Beiträge zur „Kultur der Freien Software“ wird seit 2023 jährlich auf der South Tyrol Free Software Conference (SFSCon) im NOI Techpark in Bozen, Südtirol, vergeben.

Kempf wird ausgezeichnet für seine Mitentwicklung des VLC Media Players und die Gründung des zugehörigen Vereins und Unternehmens VideoLAN und Videolabs. Der VLC Player ist eine quelloffene Anwendung, die viele Multimedia-Formate abspielen kann.

Die Entwicklung begann als Studenten-Projekt an der École Centrale Paris. Jean-Baptiste Kempf erhielt die Software nach dem Abschluss der Hauptgründer am Leben überführte die Entwicklung später in die beiden oben genannten Organisationen. „Für viele Menschen, die herstellergebundene Betriebssysteme verwendeten, war es die allererste Freie Software, die sie jemals installiert haben“, sagt einer der Laudatoren über das Programm.

Verteidiger der Freien Software

Der Europäische SFS Award ist ein Ableger des SFS Awards, der seit 2004 von der Linux User Group Bozen-Bolzano-Bulsan vergeben wird. Der SFS Award hebt besondere Beiträge zur Einführung Freier Software in der Bozen-Region hervor und ging dieses Jahr an Adrian Kuntner. Der Europäische SFS Award erweitert diesen Wirkraum auf ganz Europa und wird von der Linux User Group Bozen-Bolzano-Bulsan in Zusammenarbeit mit der Free Software Foundation Europe (FSFE) seit 2023 vergeben.

Beide Preise werden auf der SFSCon vergeben, einer internationale Open-Source-Konferenz, die dieses Jahr zum 25. Mal Entwickler*innen, Forschende und Interessierte zusammenbringt. Die SFSCon 2025 dreht sich um Gesundheit, digitale Souveränität, IT-Sicherheit und mehr, immer mit Bezug zu Freier Software. Insgesamt 150 Expert*innen versammeln sich zu Vorträgen und Workshops.

Dieses Jahr sprechen dort unter anderem Karen Sandler, Direktorin der Software Freedom Conservancy, Martin Häuer, der Wissenschaftliche Direktor der deutschen Martin-Luther-Universität und Preisträger Jean-Baptiste Kempf selbst. Zu den Workshops zählen ein Hackathon und die Weiterbelebung von ausrangierten Rechnern, die nicht für ein Windows-11-Update geeignet sind, durch die Installation von Linux-Betriebssystemen.