Das neue Meldeportal des BSI ist da. Es ist als zentrale, gesetzlich vorgesehene Plattform gedacht: zur Registrierung von NIS2-Einrichtungen ebenso wie zur Entgegennahme, Verarbeitung und Koordination von Meldungen – sowohl von KRITIS-Unternehmen, die dazu verpflichtet sind, als auch von anderen Personen. Das Portal nimmt sensible Daten der kritischsten Unternehmen Deutschlands entgegen und ist für diesen Zweck obligatorisch einzusetzen.

Die Security-Bubble schreit auf. Der Grund? Das Portal wird bei AWS betrieben. Platt gesagt: Nein, das ist kein Zeichen für die Stärkung der eigenen Digitalindustrie. Und damit auch keines für das, was viele unter nationaler digitaler Souveränität verstehen. Alternativen am deutschen Markt gibt es zuhauf. Sich wie BSI-Präsidentin Claudia Plattner gegenüber heise online auf „eine passende Infrastruktur mit Sicherheitseigenschaften nach dem Stand der Technik“ zurückzuziehen, greift zu kurz.

Rein formal ist alles sauber. Die Datenschutzerklärung des Portals ist transparent und ausführlich. Wenn dort aber steht „Dadurch kann es zu einer Übermittlung der IP-Adresse in die USA kommen“ und gleichzeitig freiwillige Meldungen „einfach und anonym“ erfolgen sollen, zucke ich innerlich zurück. Muss das wirklich sein? Ich denke nicht. Alternativen – siehe oben – gibt es doch.

Souverän oder autark

Der Fairness halber: Das BSI beziehungsweise seine Präsidentin unterscheidet schon seit Längerem zwischen „digital souverän“ und „digital autark“. Internationale Produkte sollen daher so eingebettet werden können, dass „Datenabfluss technisch unmöglich“ ist, wie Frau Plattner im BSI-Cybernation-Blog zur digitalen Souveränität schreibt. Das ist ein nachvollziehbarer Ansatz.

Warum im Falle des Portals nicht konsequent der erste Punkt der Doppelstrategie, den „EU-Markt und die eigene Digitalindustrie“ zu stärken, verfolgt wurde, bleibt bislang unkommentiert. Hier wünsche ich mir dringend einen Nachsatz bei dem zentralen und gesetzlich verpflichtenden Portal für KRITIS-Betreiber.

Auch technisch wirft die Umsetzung Fragen auf, selbst wenn eine Analyse naturgemäß nur eingeschränkt möglich ist. Warum etwa die security.txt nicht RFC-konform implementiert wurde – immerhin Stand der Technik, den das BSI in seinen FAQ für den Umgang mit Schwachstellen selbst empfiehlt –, erschließt sich mir nicht. Offensichtlich kommt zudem die Web Application Firewall (WAF) von AWS zum Einsatz.

„Datenabfluss technisch unmöglich“?

Üblicherweise terminiert eine WAF den verschlüsselten Datenstrom, damit sie den Inhalt analysieren kann. Auch die Vorfallsmeldung eines KRITIS-Unternehmens. Wie unter diesen Voraussetzungen sichergestellt wird, dass ein „Datenabfluss technisch unmöglich“ ist, interessiert mich als Informatiker brennend. Gleiches gilt für die Persistenz der Daten auf AWS und ihre Weiterverarbeitung in nachgelagerten Fachverfahren.

Das bestehende Portal MIP-2 wird übrigens von der Swiss IT Security Deutschland GmbH betrieben – immerhin in Schweizer Hand – und steht KRITIS-Betreibern „voraussichtlich sogar bis 31.12.2026“ zur Verfügung. Funfact am Rande: Im Zuge der Recherche für diese Zeilen habe ich eine klassische Webschwachstelle in MIP-2 gefunden. Gemeldet habe ich sie lieber PGP-verschlüsselt per E-Mail statt über das neue Portal. Nur wenn ich mich selbst darum kümmere, ist technisch sichergestellt, dass ein „Datenabfluss technisch unmöglich“ bleibt. Schade eigentlich.

Dieser Kommentar ist das Editorial zur neuen iX-Ausgabe 02/2026, die ab 22. Januar 2026 erhältlich ist.

(axk)

Amazon macht „Fallout“ nach dem Erfolg der gleichnamigen Serie auch zur Reality-Show. In „Fallout Shelter“ müssen sich Show-Teilnehmer in einem Vault in verschiedenen Wettbewerben duellieren. Die Reality-Serie soll zehn Folgen umfassen und auf Amazon Prime Video zu sehen sein.

Derzeit sucht Amazon nach Teilnehmern für „Fallout Shelter“. Wer mitspielen will, muss mindestens 21 Jahre alt sein und in die USA sowie ins Vereinigte Königreich reisen dürfen. Gefilmt wird voraussichtlich im Juni 2026 für drei Wochen, heißt es in dem Casting-Aufruf.

Produziert vom „Squid Game“-Team

„Fallout Shelter“ (nicht zu verwechseln mit dem gleichnamigen Mobilspiel von Bethesda) wird von Studio Lambert produziert. Das Team steckt auch hinter der Reality-Umsetzung von „Squid Game“, deren Teilnehmer zum Teil massive Kritik an den Drehs äußerten: An einem verlassenen Militärflughafen nördlich von London mussten Teilnehmer etwa stundenlang bei Temperaturen um den Gefrierpunkt stillstehen. Mehrfach mussten Teilnehmer von Notfallsanitätern versorgt werden, berichtete unter anderem die Sun. „Sie haben uns wie Pferde bei einem Pferderennen behandelt“, sagte eine Person dem Rolling Stone.

Voraussichtlich werden Amazon und Studio Lambert trotzdem keine Probleme haben, ausreichend Interessenten für die Reality-Show aufzutreiben. Immerhin winkt dem Gewinner ein „riesiger Cash-Preis“ – die genaue Summe wird noch nicht genannt.

„Angesiedelt in den bombensicheren Bunkern von Vault-Tec versetzt ‚Fallout Shelter‘ eine vielfältige Gruppe von Teilnehmern in eine immersive Welt, in der viel auf dem Spiel steht“, schreibt Amazon in der Ankündigung der Serie. „Fallout Shelter“ sei vom schwarzen Humor der Serie inspiriert und soll Teilnehmer vor eine Reihe anspruchsvoller Herausforderungen stellen. Auch moralische Dilemmata müssen die Spieler demnach lösen. Wann „Fallout Shelter“ ausgestrahlt wird, ist noch nicht bekannt.

(dahe)

Netflix versucht, die Sorge zu zerstreuen, dass die Übernahme des Hollywood-Urgesteins Warner Brothers die Zukunft der Filmtheater-Branche torpedieren könnte. Der Streaming-Riese werde das Kino-Geschäft von Warner keinen Risiken aussetzen, versicherte Co-Chef Ted Sarandos in einem Interview der New York Times. So werde man etwa das bisherige Zeitfenster von etwa 45 Tagen, die Filme exklusiv in Kinos laufen, beibehalten.

Netflix hatte in der Vergangenheit wenig Begeisterung für Filmtheater gezeigt. Auf Fragen dazu antworteten Manager stets, dass es für die Firma wichtiger sei, Filme für hunderte Millionen Streaming-Kunden zu veröffentlichen, als sie in Kinos zu bringen. Zur Verkündung der Warner-Übernahmepläne hatte Sarandos noch signalisiert, dass Netflix von einer schrittweisen Veränderung der Zeiträume ausgehe, die Filme nur im Kino zu sehen seien. Amerikanische Kinobetreiber sorgen sich, dass ihnen bei kürzeren Exklusivfenstern überlebenswichtige Einnahmen entgehen könnten. Filme von Warner waren zuletzt ein wichtiger Stützpfeiler für das Geschäft der Kinos.

„Wir wollen gewinnen“

Sarandos betonte, dass Netflix nach einer Warner-Übernahme auch die Nummer eins im Kino-Geschäft sein wolle. „Wir wollen gewinne“ sagte er, und zwar sowohl am ersten Wochenende eines Films als auch bei den Einnahmen an den Kinokassen insgesamt. Durch Einblick in die Warner-Bilanzen habe Netflix festgestellt, dass das Kino-Geschäft des Hollywood-Konzerns besser laufe als man es angenommen habe.

Netflix will das Studio- und Streaming-Geschäft von Warner Brothers in einem 83 Milliarden Dollar schweren Deal kaufen – ohne die aktuell noch zum Konzern gehörenden Fernsehsender wie CNN. Der Rivale Paramount dagegen bietet 108,4 Milliarden Dollar für das gesamte heutige Unternehmen Warner Bros. Discovery. Das Warner-Management entschied sich für das Netflix-Gebot, Paramount wandte sich danach direkt an die Aktionäre. Der Ausgang des Bieter-Wettstreits ist noch offen.

(nie)