Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich mit den Auswirkungen von Künstlicher Intelligenz auf die IT-Sicherheitslage beschäftigt. Herausgekommen ist ein Papier, das die Lage zusammenfasst und Probleme benennt.

Das BSI sieht eine grundlegende Änderung der Cybersicherheitslage. Insbesondere die Reaktionsgeschwindigkeit hat demnach stark zugenommen. Wo zuvor Kriminelle arbeitsteilig KI genutzt haben, etwa um überzeugendere Phishing-Mails zu verfassen, sind aktuelle KI-Systeme in der Lage, Schwachstellen in Software in kurzer Zeit nahezu autonom zu erkennen, zu analysieren und selbsttätig in Angriffe umzusetzen. Es könne Organisationen „mit einer erheblich steigenden Zahl neu entdeckter Schwachstellen, Exploits, Patches und Folgevorfällen“ konfrontieren, führt das BSI aus.

In der Diskussion stehen die Fähigkeiten aktueller KI-Modelle, Schwachstellen in großen Mengen in Quellcode zu erkennen und gleich passenden Exploit-Code zu liefern. Jedoch sei ein massiver Zuwachs an Fähigkeiten auch beim Reverse Engineering zu beobachten. Neben den Top-Modellen („Frontier-Modellen“) wie Claude Opus und GPT-5.5 spielten auch kleinere und günstigere LLMs eine Rolle in der IT-Sicherheit.

Aussichten: Angriffe einfacher durch KI

Die oberste IT-Sicherheitsbehörde Deutschlands sieht einen klaren Trend. Künstliche Intelligenz senke Aufwand, Zeitbedarf und Einstiegshürden für Cyberangriffe signifikant. Angreifer können mit geringem Aufwand und höherer Geschwindigkeit ihre Kampagnen skalieren und automatisieren. Die Abwehrseite bleibt an „Betriebsgrenzen“ gebunden, etwa in Bezug auf Testaufwand, Freigabeprozesse, Wartungsfenster, Abhängigkeiten von Herstellern sowie rechtliche und organisatorische Abstimmungen – und nicht zuletzt eingeschränkten Personalressourcen. Die Angriffsfläche müsse daher grundsätzlich reduziert werden, um trotz der genannten Einschränkungen mit der Bedrohungslage Schritt zu halten, erklärt das BSI.

Das zehnseitige PDF des BSI geht etwas mehr ins Detail. Die Reaktionsgeschwindigkeit müsse sich verbessern, insbesondere, da mehr Zero-Days und IT-Vorfälle zu beobachten sind. Konkrete Maßnahmen schlagen die Beamten ebenfalls ab Seite 4 vor – IT-Verantwortliche sollten sich das Dokument einmal zu Gemüte führen und prüfen, ob sie noch blinde Flecken haben. Unter anderem verweist die Behörde auf den IT-Grundschutz und den Best-Practices zu Produkten. Ein Wandel in der Bewertung ist ebenfalls nötig. Das BSI rät, bei nachträglich gepatchten Zero-Day-Lücken davon auszugehen, dass diese zuvor bereits missbraucht wurden. Zudem ist KI nicht nur als Werkzeug für Täter eine Gefahr, sondern kann auch selbst als Einfallstor dienen.

(dmk)

Sicherheitslücken sollte man beheben – besonders gravierende Sicherheitslücken sollte man besonders schnell beheben. An sich eine Selbstverständlichkeit, aber woher weiß man, welche Lücken man sich besonders dringend ansehen muss? CVE-Nummern eignen sich dafür nicht, sie dienen lediglich der eindeutigen Identifizierung von Lücken. Aber um diese Nummern herum hat sich eine Vielzahl an Bewertungssystemen, Zusatzmetriken und Entscheidungsbäumen gebildet, die selbst Fachleute regelmäßig ins Grübeln bringt. In Folge 60 nimmt sich der Podcast eine ganze Episode Zeit für diverse verbreitete Sicherheits-Kennzahlen.

Als roter Faden dient eine konkrete, recht kritische Sicherheitslücke der jüngeren Vergangenheit: CVE-2026-41940. Anhand dieses Beispiels (und ein paar anderer Anekdoten) arbeiten sich die Hosts durch die verschiedenen Bewertungssysteme, angefangen bei CVSS, dem Common Vulnerability Scoring System: Christopher erklärt, was diese Scores in Version 3.1 und 4.0 jeweils abbilden – und was eben nicht. Denn zumindest der Base-Score von CVSS beschreibt die theoretische Gefährlichkeit einer Lücke auf einem System ohne jegliche Schutzmaßnahmen. Mit dem tatsächlichen Risiko in einer konkreten Umgebung und zu einem konkreten Zeitpunkt hat das oft wenig zu tun.

Daher versuchen optionale Erweiterungen von CVSS, solche veränderlichen Faktoren zu erfassen. Noch weiter gehen die ebenfalls im Podcast thematisierte Stakeholder-Specific Vulnerability Categorization (SSVC) und EPSS, das Exploit Prediction Scoring System. Letzteres soll die Wahrscheinlichkeit der tatsächlichen Ausnutzung einer Lücke berechnen. Auch die Common Weakness Enumeration (CWE) und die Common Platform Enumeration (CPE) kommen, einschließlich ihrer Probleme, zur Sprache.

Grundsätzlich erläutern die Hosts, warum es oft schwierig bis unmöglich ist, Sicherheitslücken unstrittig Schweregrade zuzuweisen. Unter anderem am Beispiel des berüchtigten „Scope“-Parameters in CVSS 3.1 illustriert Sylvester, dass die Bewertung mitunter zum Münzwurf verkommt. Am Ende steht die Frage, was all diese Kennzahlen letztlich nützen, und ob es nicht ein Irrweg ist, immer noch mehr Kennzahlen aus noch mehr Parametern zu errechnen. Einig sind sich die Hosts, dass Scores bei der Triage helfen mögen, aber keine der Metriken die Frage beantwortet, ob und wie schwer eine Lücke die eigene Organisation betrifft.

Die neue Folge von „Passwort – der Podcast von heise security“ steht seit Mittwoch auf den üblichen Podcast-Plattformen bereit.

(syt)

Der Ausschuss für Wirtschaft und Währung (Econ) im Europäischen Parlament hat heute für die Einführung des Digitalen Euro (D€) gestimmt und damit den Weg für das Trilog-Verfahren zwischen EU-Parlament, Rat und Kommission freigemacht.

Sollte der Digitale Euro als gesetzliches Zahlungsmittel eingestuft werden, müssen ihn die meisten Unternehmen und Händler im Euro-Währungsraum annehmen.

Die Mitgliedstaaten hatten sich bereits im Dezember 2025 auf eine Position geeinigt. Die Einigung hatte sich hingezogen. Grund waren strittige Fragen zwischen Abgeordneten der konservativen EVP-Fraktion auf der einen Seite und den Mitgliedern der sozialdemokratischen, liberalen und grünen Fraktionen auf der anderen.

EU-Parlament will mehr Datenschutz

Das Europäische Parlament will durch den Digitalen Euro Datenschutz und Privatsphäre bei digitalen Zahlungen verbessern.

Die Grundsätze „Privacy by Design“ und „Privacy by Default“ würden integriert werden. Mit Technologien wie „Zero-Knowledge-Proofs“ können Transaktionen überprüft werden, ohne dass personenbezogene Daten offengelegt werden müssen. Diese würden nur in dem Umfang verarbeitet, der für das Funktionieren des Systems unbedingt erforderlich ist. Die EZB hätte keinen Zugriff auf personenbezogene Daten, heißt es in der Pressemitteilung des EU-Parlaments.

Offline-Funktion nur in physischer Nähe

Besonders datenschutzfreundlich soll die Offline-Funktionalität des Digitalen Euro werden. Transaktionen von Mobilgerät zu Mobilgerät sollen ohne aktive Internetverbindung möglich sein. Dabei soll auf Datenspeicherung verzichtet werden, was die gleiche Anonymität wie bei Bargeldzahlungen ermögliche.

Die Offline-Funktion läuft über das Herunterladen von „Tokens“ auf das Endgerät, die zur Bezahlung von Gerät-zu-Gerät versendet werden. Für die Offline-Transaktionen soll es Zahlungslimits geben können, um illegalen Aktivitäten wie Geldwäsche vorzubeugen.

Eine konkrete Grenze bei der physischen Distanz zwischen den Nutzungsgeräten ist nicht vorgesehen. Dadurch werden die maximalen Übertragungsgrenzen von Technologien wie Bluetooth, NFC oder WLAN vollständig nutzbar sein.

Gebühren sollen geringer als bei Privatanbietern ausfallen

Das EU-Parlament möchte zudem einen „no-worse-off“-Grundsatz, wonach Händler für den Digitalen Euro auf keinen Fall höhere Kosten tragen müssen als bei Kreditkarten oder andere vergleichbare Zahlungsmittel privater Anbieter.

Für die Festlegung der Zahlungsgebühren soll eine Übergangsfrist von mindestens fünf Jahren gelten: Innerhalb dieses Zeitraums sollen die Gebühren anhand der durchschnittlichen Kosten vergleichbarer Zahlungsmittel gedeckelt werden.

Gemeinsam mit der Verordnung zum Digitalen Euro beschloss der Ausschuss auch seine Position zur Bargeld-Verordnung. Damit will die EU die Rolle von Euro-Scheinen und Münzen als gesetzliches Zahlungsmittel stärken. Zudem soll weiterhin verpflichtend gelten, dass Standorte mit sogenannten essenziellen Dienstleistungen Bargeld annehmen müssen, „selbst wenn dort nur noch Automaten stehen, sei es jetzt am Bahngleis oder im Supermarkt“, sagt der Europaabgeordnete Damian Boeselager (Volt) gegenüber netzpolitik.org.

EU-Kommission und EZB sollen Haltelimits festlegen

Ein Kernpunkt der bisherigen Verhandlungen war eine Begrenzung der maximalen Summe, die eine Person am D€ halten dürfe. Haltelimits sollen verhindern, dass die Nutzer:innen zu viel Bankguthaben in Digitale Euros umtauschen und den Banken damit die privaten Einlagen ausgehen. Die Bankenlobby befürchtet damit eine Verdrängung ihres Fiatgelds. Expert:innen und die Europäische Zentralbank (EZB) befürchten hingegen, dass zu geringe Haltelimits den Digitalen Euro weniger attraktiv machen.

Das EU-Parlament fordert, dass die EZB einen technischen Bericht mit einer empfohlenen Obergrenze erstellt. Die Kommission soll auf dieser Grundlage dann eine Obergrenze per delegiertem Rechtsakt festlegen. Das konkrete Haltelimit soll abschließend zwar von der EZB festgelegt werden, dieses Limit bewegt sich aber im Rahmen der Obergrenze, die von der Kommission vordefiniert wird.

Ihr Haltelimit sollen Nutzer:in auf mehrere Konten aufteilen können. Unternehmen oder Vereine hingegen sollen keine D€ halten dürfen. Entsprechende Geldtransfers an diese würden demnach auf ihre regulären Bankkonten überwiesen.

Trilog-Verhandlungen kommen

Laut des Fortschrittsberichts der EZB soll es erste Pilot-Ausgaben des Digitalen Euro ab Mitte 2027 geben. Eine öffentliche Ausgabe des Digitalen Euro zum 1. Januar 2029 sei demnach noch möglich, „wenn wir es schaffen, uns bis Ende 2026 mit den Mitgliedsstaaten noch zu einigen im Trilog”, so Boeselager.

Der Digitale Euro würde in der Folge auch die Abhängigkeit der Eurozone von US-amerikanischen Kreditkartenanbietern reduzieren. Politisch motivierte Sanktionen gegen Einzelpersonen – wie zuletzt bei einem Richter des Internationalen Strafgerichtshofs – könnten damit eingeschränkt werden.