Connect with us

Datenschutz & Sicherheit

BSI-Bericht zeigt Schwächen in Praxis- und Kliniksoftware


Während der Digitalisierungsdruck infolge gesetzlicher Vorgaben stetig zunimmt, bleibt die IT-Sicherheit zentraler Softwareprodukte im Gesundheitswesen zurück. Zu diesem Ergebnis gelangt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach der Auswertung mehrerer in Auftrag gegebener Studien, die darauf abzielten, den etablierten Stand der IT-Sicherheit besser einzuschätzen und konkrete Verbesserungshinweise zu erarbeiten.

Weiterlesen nach der Anzeige

Die verpflichtende Anbindung an die Telematikinfrastruktur (TI), jetzt auch für die Pflege und die elektronische Patientenakte, werde die Angriffsfläche weiter vergrößern, so das BSI. Daher plädiert die Behörde für weitergehende Untersuchungen, der Deutsche Pflegerat fordert gesetzliche Regelungen zur Cybersicherheit mit verbindlichen Herstellerstandards. Das BSI verdeutlicht dabei auch anhand der Untersuchungsergebnisse, dass die IT-Sicherheit im Gesundheitswesen kein Nischenthema bleiben soll, sondern als gemeinsame Aufgabe von Herstellern, Betreibern und Regulierern verstanden wird.

Mängel in Verschlüsselung, Kryptografie, Authentifizierung und Architektur

In den Projekten SiKIS (Sicherheitseigenschaften von Krankenhausinformationssystemen), SiPra (Sicherheit von Praxisverwaltungssystemen) und DiPS (Studie zur Sicherheit von digitalen Pflegedokumentationssystemen) gab es insgesamt neun Penetrationstests im Auftrag des BSI. Die drei Studien, die vermutlich zwischen 2024 und Anfang 2025 durchgeführt wurden, ergeben zusammen ein umfassendes Bild der IT-Sicherheitslage der zentralen Softwareprodukte im deutschen Gesundheitswesen. Bereits in früheren Untersuchungen wie dem Projekt CyberPraxMed hatte das BSI in Arztpraxen vor Ort teils schwerwiegende Sicherheitsmängel festgestellt, darunter unzureichenden Schutz vor Schadsoftware, mangelndes Patch-Management und fehlende Backups. Die aktuellen Projekte gehen nun einen Schritt weiter und nehmen nicht die Praxen selbst, sondern die dort eingesetzte Software ins Visier.

Laut BSI ziehen sich fehlende Verschlüsselung, veraltete kryptografische Verfahren, unsichere Authentifizierung und architektonische Schwächen wie ein roter Faden durch Praxisverwaltungssysteme (PVS), Krankenhausinformationssysteme (KIS) und digitale Pflegedokumentationssysteme. In mehreren Fällen gelang es den Testern, über eine Verkettung einzelner Schwachstellen Angriffe aus dem Internet zu konstruieren.

Das BSI ließ durch die Firma ERNW Enno Rey Netzwerke GmbH vier nicht namentlich genannte PVS testen. Die Ergebnisse sind ernüchternd: Obwohl die vier Systeme auf unterschiedlichen Technologien basieren, traten in allen vergleichbare Schwachstellenklassen auf. Bei drei der vier getesteten Produkte konnten die Tester dem SiPra-Abschlussbericht (PDF) zufolge durch eine Verkettung einzelner Schwachstellen Angriffsketten konstruieren, die einen Zugriff aus dem Internet ermöglichen – mit unterschiedlicher Kritikalität, aber durchweg besorgniserregend.

Unsichere Dateianhänge, veraltete kryptografische Verfahren und Co.

Laut Bericht gibt es unter anderem Architektur- und Konzeptprobleme inklusive unsicherer Annahmen zur Vertrauenswürdigkeit des Praxisnetzes anstelle einer Zero-Trust-Absicherung und granulärer Absicherung. Teilweise waren die PVS-Server über Online-Zugänge direkt im Internet erreichbar und die Authentifizierung umgehbar. Ferner fehlte in mehreren PVS die Transportverschlüsselung. Die Kommunikation im lokalen Praxisnetzwerk wurde unverschlüsselt übertragen – einschließlich medizinischer Patientendaten, Passwort-Hashes und Konfigurationsdaten. Zu weiteren Mängeln zählen fehlende Passwortrichtlinien, veraltete kryptografische Verfahren und unsichere Annahmen zur Vertrauenswürdigkeit von zum Beispiel WLAN oder Mitarbeitern anstelle von Zero Trust.

Weiterlesen nach der Anzeige

Hersteller argumentieren zwar, dass das Praxisnetzwerk als vertrauenswürdig gelte, doch bereits in früheren BSI-Untersuchungen zeigte sich, dass dies häufig nicht der Realität entspricht. Ungesicherte WLAN-Netze, offene LAN-Ports in Behandlungsräumen oder mit Malware infizierte Praxis-PCs können dazu führen, dass Dritte den Netzwerkverkehr mitlesen. An verschiedenen Stellen – von Patientenakten und Kommunikationssystemen – konnten demnach Dateien angehängt werden, die in mehreren Fällen beim Öffnen direkt mit dem Standardprogramm des Betriebssystems ausgeführt wurden. In manchen Systemen ließ sich zudem der angezeigte Dateiname verschleiern, sodass selbst technisch geschultes Personal eine als Bilddatei getarnte Schadsoftware nicht erkennen konnte.

Die Veröffentlichung der Ergebnisse hat sich verzögert. Auf Nachfrage von heise online erklärte das BSI Ende 2025: „Aus Sicht des BSI haben die Rückmeldungen der Hersteller zur Identifizierbarkeit der Produkte die Veröffentlichung zwar verzögert, die Qualität des Berichts aber weiter gesteigert.“ Im Juni 2025 habe ein BSI-Mitarbeiter bereits einen Vortrag zum Projekt gehalten. Da die getesteten Produkte aus Neutralitätsgründen des BSI nicht namentlich genannt werden, musste sichergestellt werden, dass die anonymisierten Ergebnisse keine Rückschlüsse auf einzelne Hersteller ermöglichen.

Schwächen bei Krankenhausinformationssystemen

Das Projekt zu Sicherheitseigenschaften von Krankenhausinformationssystemen, kurz SiKIS, (PDF) macht auf zahlreiche Mängel aufmerksam. Im Auftrag des BSI testeten das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) und Open Source Security GmbH zwei repräsentative Krankenhausinformationssysteme (KIS). Für die Tests stellten zwei Krankenhäuser Testumgebungen mit anonymisierten Daten bereit. Zu den Mängeln gehörten unter anderem:

  • Fehlende Verschlüsselung: Verbindungen vom KIS-Client zum KIS-Server und zu Drittsystemen wie der Datenbank waren häufig nicht oder nur unzureichend verschlüsselt. Selbst dort, wo TLS eingesetzt wurde, prüften die Clients das Serverzertifikat oft nicht ordnungsgemäß – aktive Angreifer konnten so die Kommunikation abfangen.
  • Veraltete Algorithmen: Passwörter wurden mit veralteten Hash-Algorithmen gespeichert, die das Brechen innerhalb weniger Stunden oder Tage ermöglichten. In einem KIS wurden Zugangsdaten mit dem als unsicher geltenden RC4-Algorithmus verschlüsselt, wobei für alle Einträge derselbe Schlüssel verwendet wurde.
  • Unsichere Wartungszugänge: KIS-Zugänge mit trivialen Passwörtern ermöglichten umfassenden Datenbankzugriff. Die Passwörter legten nahe, dass sie in mehreren Krankenhäusern identisch waren.
  • Fehlender Integritätsschutz bei Updates: Software-Updates wurden ohne Code-Signaturen verteilt. Ein Angreifer konnte die Update-Dateien durch Schadcode ersetzen, der von den Clients ohne Prüfung ausgeführt wurde.

Eines der getesteten KIS nutzte zudem einen einzigen Datenbankzugang für alle Nutzer. Angreifer konnten sämtliche Daten lesen und schreiben und neue Administratorkonten erstellen.

Erhebliche Mängel bei Datenaustauschformaten

SiKIS untersuchte zusätzlich die gängigen medizinischen Datenaustauschformate. Dabei bemängelte das BSI, dass gängige Protokolle wie HL7 v2, das seit Jahren Standard für den Datenaustausch ist, über keinerlei Sicherheitsfeatures verfügt. Auch der DICOM-Standard, das umfassende Sicherheitserweiterungen spezifiziert, werde in Krankenhäusern nahezu ausnahmslos ohne selbige eingesetzt. Forscher haben in der Vergangenheit immer wieder gezeigt, wie sich DICOM-Verbindungen angreifen lassen.

Fehlende Sicherheit bei Pflegedokumentationssystemen

Erstmals neu untersuchte das BSI mit dem Projekt DiPS die Sicherheit von digitalen Pflegedokumentationssystemen (PDF). Das Fraunhofer SIT testete drei weitverbreitete Systeme, die von den Herstellern als On-Premise-Installationen bereitgestellt wurden. Trotz unterschiedlicher Technologien wiesen alle drei Produkte Schwachstellen auf, insgesamt 13 mit hohem oder kritischem Schweregrad. Dazu zählen etwa unsichere Kommunikationskanäle, bei denen Man-In-The-Middle-Angriffe möglich waren, eine schwache Authentifizierung, Installationspakete mit Datenbankpasswörtern, architektonische Schwächen, fehlende Prüfmechanismen bei Update-Prozessen und ein schwaches Schlüsselmanagement.

Die Umfrage unter 52 Pflegediensten zeigte, dass 43 Pflegedienste regelmäßig unterwegs auf das System zugreifen, 16 dabei direkt über das Internet ohne VPN. 25 bestätigten, dass Hersteller oder IT-Dienstleistende einen permanenten Fernzugang zu ihrem Netzwerk haben. Nicht nur in Arztpraxen und Krankenhäusern, auch bei Pflegediensten bemängelten die Experten eine fehlende Transportverschlüsselung, veraltete kryptografische Verfahren, mangelnde Zugriffskontrollen und das Architekturproblem. Fehlende Passwortrichtlinien fanden sich ebenfalls bei PVS und KIS, unsichere Software-Updates bei KIS und Pflegesoftware, fest kodierte Zugangsdaten, insbesondere bei der Pflegesoftware. Das BSI betont allerdings, dass ein Penetrationstest nur das Vorhandensein von Schwachstellen nachweisen kann – nicht deren Abwesenheit. Wenn eine Schwachstellenklasse in einem Projekt nicht auftrat, bedeutet das lediglich, dass sie im begrenzten Testzeitraum nicht identifiziert wurde.

Hersteller zeigten sich laut BSI kooperativ

In allen drei Projekten reagierten die Hersteller laut BSI kooperativ. Im SiPra-Projekt zeigten sie „große Offenheit gegenüber Verbesserungsvorschlägen“. Auch die KIS-Hersteller konnten bis zur Veröffentlichung der Studie „schon die meisten Schwachstellen beheben oder mitigieren“. Die Veröffentlichung der Ergebnisse hatte sich deutlich verzögert. Auf Nachfrage von heise online erklärte das BSI Ende 2025 noch: „Derzeit arbeitet das BSI in Abstimmung mit betroffenen Herstellern an der finalen Fassung des Berichts. Aus Sicht des BSI haben die Rückmeldungen der Hersteller zur Identifizierbarkeit der Produkte die Veröffentlichung zwar verzögert, die Qualität des Berichts aber weiter gesteigert.“ Bereits im Juni 2025 hatte ein BSI-Mitarbeiter einen öffentlichen Vortrag zum Projekt gehalten, die vollständige Veröffentlichung erfolgte aber erst im Frühjahr 2026. Da die getesteten Produkte aus Neutralitätsgründen des BSI nicht namentlich genannt werden, musste sichergestellt werden, dass die anonymisierten Ergebnisse keine Rückschlüsse auf einzelne Hersteller ermöglichen.

Dennoch offenbart die Herstellerbefragung strukturelle Defizite, die Sicherheitsstandards variieren stark. „Nicht alle Hersteller haben eine designierte Anlaufstelle, an die sich Kunden wenden können, um Schwachstellen oder Security-Vorfälle zu melden“, heißt es im Bericht. Nur etwa zwei Drittel der antwortenden PVS-Hersteller führen regelmäßig Penetrationstests durch. Kein Hersteller hat ein Bug-Bounty-Programm. Das Tracking von Schwachstellen in Drittbibliotheken erfolgt teils manuell. Keiner betreibt ein Bug-Bounty-Programm. Auf die Frage nach berücksichtigten Sicherheitsstandards kamen sehr unterschiedliche – und oft gar keine – Angaben. Auf den Webseiten wird selten auf IT-Sicherheit eingegangen; stattdessen werben Hersteller mit Funktionen wie Videosprechstunde, Sprachsteuerung oder KI-gestützten Abrechnungsvorschlägen.

IT-Sicherheit von PVS unverbindlich

Ein zentrales Ergebnis aller drei Studien ist der Mangel an verbindlichen Sicherheitsanforderungen. Die KBV-Zertifizierung von PVS prüft ausschließlich funktionale Anforderungen. IT-Sicherheitskriterien werden nicht geprüft. Eine Rahmenvereinbarung nach § 332b SGB V können Hersteller freiwillig mit der KBV schließen. Das BSI kommentiert: „Darüber hinaus gibt es trotz der enormen Relevanz des Themas auffällig wenig explizite oder verbindliche Richtlinien zum Thema IT-Sicherheit von PVS.“

Auch für Pflegedokumentationssysteme existiert keine verpflichtende Zulassung. Lediglich bei KIS greift über die ISiK-Zertifizierung ein gewisser Mindeststandard – allerdings betrifft dieser primär die Interoperabilität. Der Deutsche Pflegerat hatte daher wiederholt klare Regeln zur Cybersicherheit gefordert.

Handlungsempfehlungen des BSI

Zu allen drei Projekten hat das BSI Handlungsempfehlungen veröffentlicht und zur Kommentierung bereitgestellt. An die Hersteller richtet das BSI Forderungen zur Verbesserung der Sicherheitsarchitektur und zum konsequenten Einsatz von TLS. Zudem fordert es die Verwendung moderner Kryptografie sowie das Signieren von Software-Updates. Weiterhin verlangt das BSI die Durchsetzung konfigurierbarer Passwortrichtlinien und die Einführung einer Whitelist zulässiger Dateianhänge. Abschließend sollen Härtungsrichtlinien und Schnittstellendokumentation erstellt und bereitgestellt werden. Leistungserbringer soll das „unterstützen, die IT-Sicherheit ihrer Arztpraxis zu steigern“.

An Betreiber richten sich Empfehlungen wie die Netzwerksegmentierung bei größeren Einrichtungen, regelmäßige Audits aller Nutzerkonten einschließlich Wartungszugängen, Geräteverschlüsselung und sichere Entsperrcodes für mobile Endgeräte, zeitnahes Einspielen von Updates sowie die aktive Nachfrage nach Härtungsrichtlinien beim Hersteller. Für die ambulante Pflege enthält die DiPS-Handlungsempfehlung eine konkrete Checkliste mit zahlreichen Prüfpunkten – von der TLS-Konfiguration bis zum Offboarding-Prozess. Zudem empfiehlt das BSI, proaktiv Verträge mit qualifizierten Incident-Response-Dienstleistern abzuschließen.

Lesen Sie auch


(mack)



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

74.000 Fortinet-Firewalls geknackt: Wer und was steckt hinter FortiBleed?


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Firewalls und VPN-Gateways sind ein lohnendes Angriffsziel – bewachen sie doch das Eingangstor in Unternehmensnetzwerke. Ein Sicherheitsforscher hat nun nach eigenen Angaben eine großangelegte Angriffskampagne gegen Geräte des Herstellers Fortinet aufgedeckt. An die 74.000 sollen kompromittiert worden sein.

Weiterlesen nach der Anzeige

Wer hinter dem Angriff steckt ist unklar, Entdecker Volodymyr Diachenko erwähnt jedoch eine „russischsprachige Cybercrime-Gruppe mit mehreren Mitgliedern“. Diese habe zunächst massenhaft Zugangsdaten – etwa aus vorherigen Datenlecks – bei Fortinet-Geräten durchprobiert, insgesamt 1,16 Milliarden Kombinationen aus Benutzernamen und Passwörtern.

Auch die Zahl der über „FortiBleed“ angegriffenen Geräte ist astronomisch: Es seien 320.000 gewesen. Die Hälfte aller über das Internet erreichbaren Fortinet-Geräte. Davon hätten die Kriminellen bei 73.932 Fortinet-Appliances in aller Welt erfolgreich Zugangsdaten abgegriffen, führt Diachenko aus. Die Angaben lassen sich nicht unabhängig überprüfen. In der Mehrzahl der Fälle waren wohl die Management-Interfaces aus dem Internet zugänglich.

Doch wie die Angreifer genau auf die Geräte kamen, bleibt unklar. Sicherheitsexperte Kevin Beaumont vermutet, sie hätten womöglich eine bislang noch unbekannte Sicherheitslücke genutzt, um sich Zugriff zu verschaffen. Dann hätten sie die Gerätekonfiguration abgezogen und die dort enthaltenen Passwort-Hashes mittels eines spezialisierten Clusters mit 48 GPUs und einer Bruteforce-Attacke geknackt. In älteren Versionen der Fortinet-Firmware sind Passwörter mit dem Verfahren SHA256 mit Salt gehasht, das sich im Vergleich zu der ab FortiOS 7.2.11 üblichen PBKDF2-Variante mit zufälligem Hash erheblich effizienter mittels Werkzeugen wie hashcat angreifen lässt.

Inzwischen hat eine Fortinet-Sprecherin gegenüber TechCrunch erklärt, dass das Unternehmen von einer Zugangsdaten-Diebstahl-Kampagne mit Fortinet-Firewalls und -VPN zum Ziel mitbekommen habe. Den Analysen des Herstellers zufolge handelt es sich bei den Daten um solche aus vorherigen Vorfällen sowie um mittel Brute Force geknackten Zugangsdaten. Sie stünden nicht mit jüngeren Vorfällen oder Sicherheitsmitteilungen in Verbindung. Kevin Beaumont, der die Daten einsehen konnte, stellt die Situation anders dar: „Die IP-Adressen sind zum Großteil unterschiedlich zum Belsen-Group-Leak, der 15.000 Geräte umfasste. [Die Daten] enthalten hauptsächlich Geräte, die nicht in diesem Leak waren und dieses Mal sind die meisten Geräte noch online – das hier sind keine Daten aus 2022.“

Auch deutsche Geräte betroffen


Überprüfung auf FortiBleed

Überprüfung auf FortiBleed

Glück gehabt, keine übernommenen Fortinet-Geräte bei heise.de.

Unter den betroffenen Geräten sind auch gut 120, deren Domain auf einen Standort in Deutschland schließen lässt, darunter verschiedene Geräte im Netz der Telekom oder bei Mercedes-Benz. Das Threat-Intelligence-Unternehmen Hudson Rock ließ uns eine Liste der betroffenen de-Domains zukommen und hat eine Informationsseite mit Abfragemöglichkeit eingerichtet.

Weiterlesen nach der Anzeige

Betroffene sollten alle Zugangsdaten auf kompromittierten Geräten mit sicheren Passwörtern neu vergeben, verdächtige Zugriffe auf nachgelagerte Netze prüfen und Mehrfaktorauthentifizierung, etwa bei der VPN-Anmeldung, forcieren. Da zur Stunde nicht einmal klar ist, ob die Angriffe über eine bestehende Sicherheitslücke in FortiOS stattfanden, gibt es auch keine Patches, eine Stellungnahme seitens Fortinets Sicherheitsteams steht ebenfalls aus.

Da Fortinet-Geräte Zugang zu Netzwerken bereitstellen, sind sie beliebtes Ziel von Angreifern. Am Mittwoch wurden etwa Angriffe auf FortiSandbox bekannt.


Update

18.06.2026,

08:24

Uhr

Einordnung der Daten durch Kevin Beaumont ergänzt.


(cku)



Source link

Weiterlesen

Datenschutz & Sicherheit

KI-Agenten sollen eigene Ausweise erhalten, aus Estland


Estland soll das erste Land der Welt werden, das digitale Identitäten für KI-Agenten ausstellt. Das hat der Premierminister des Landes, Kristen Michal, angekündigt. Er greife dabei den Vorschlag eines KI-Beirats auf und danke diesem. Michal möchte, dass Estland jenes Land wird, in dem Künstliche Intelligenz so intensiv genutzt wird wie sonst nirgendwo.

Weiterlesen nach der Anzeige

KI-Agenten sind Softwareroutinen, die zwar Auftraggeber haben, aber eigenständig Entscheidungen berechnen und ausführen. Dabei nutzen sie regelmäßig Zugangsdaten zu Konten ihrer Auftraggeber, seien es E-Mail-Konten, Cloud-Speicher oder Bankkonten. Damit erhalten sie die selben Rechte wie der Auftraggeber selbst. Entscheidet ein Agent unvorteilhaft, kann das richtig ungemütlich und teuer werden, beispielsweise durch Datenlöschung oder Geldverschwendung. Auch unerwünschte Datenausleitung ist ein mögliches Problem.

Rechteverwaltung statt alles oder nichts

Michal will diese Situation nicht hinnehmen. „Agenten müssen beschränkte, kontrollierbare und überprüfbare Autorisierung haben“, schreibt der seit knapp zwei Jahren amtierende Regierungschef. „Zum Beispiel muss es möglich sein, zu bestimmen, ob ein Agent Daten nur lesen kann, Dokumente ausarbeiten oder innerhalb eines fixen finanziellen Rahmens agieren darf.“

Dabei könnten eigenständige digitale Ausweise für KI-Agenten tatsächlich helfen. Eine eigenständige Identität kann ermöglichen, dass sich der KI-Agent gegenüber dem von ihm genutzten System als Agent im Auftrag eines bestimmten Auftraggebers ausgibt, anstatt so zu tun, als wäre er sein Auftraggeber selbst. Anhand dieser Unterscheidung kann das genutzte System dann granulär Zugriff auf Funktionen gewähren oder eben auch nicht.

Michal möchte Vertrauen in die neue Technik stärken. Und er denkt außenpolitisch: Wenn Estland es schaffe, „schnell und weise“ zu agieren, könne es auch als kleines Land dazu beitragen, internationale Standards zu beeinflussen. Ob die digitalen Identitäten optional oder für (bestimmte) KI-Agenten verpflichtend werden sollen, hat der liberale Politiker noch nicht gesagt. Ebenso wenig hat er über seinen Zeitplan gesprochen.


(ds)



Source link

Weiterlesen

Datenschutz & Sicherheit

NIS2-Mahnung: BSI setzt neue Frist zur Registrierung bis Ende Juli


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verschärft bei der Umsetzung der NIS2-Richtlinie den Ton, setzt aber zunächst weiter auf Kooperation. Seit Inkrafttreten des novellierten BSI-Gesetzes am 6. Dezember 2025 müssen sich betroffene Unternehmen beim BSI registrieren. Ziel ist es, Störungen und Sicherheitsvorfälle bei Einrichtungen mit besonderer Bedeutung für Wirtschaft und Gesellschaft zu verhindern.

Weiterlesen nach der Anzeige

Die gesetzliche Registrierungsfrist ist am 6. März abgelaufen. Doch die Umsetzung stockt. In einem heise online vorliegenden Schreiben an Branchenverbände räumt das BSI ein, dass sich deutlich weniger Firmen angemeldet haben als erwartet. Die Organisationen sollen ihre Mitglieder daher erneut auf die Pflicht hinweisen. Das BSI geht davon aus, dass alle noch ausstehenden Registrierungen bis spätestens 31. Juli 2026 abgeschlossen werden.

Um den Prozess zu erleichtern, verweist die Behörde auf einen Frage-Antwort-Katalog, eine unverbindliche Betroffenheitsprüfung sowie weitere Informationsangebote unter dem Hashtag „#nis2know“. Offene Fragen sollen über die Verbände gebündelt ans BSI übermittelt werden. In Ausnahmefällen gewährt die Behörde eine Nachfrist von sechs Wochen nach Klärung offener Fragen.

Eine BSI-Sprecherin sagte heise online, der Stand der Anmeldungen sei „grundsätzlich zufriedenstellend“. Bis Ende Mai hätten sich knapp 18.500 Einrichtungen registriert. Der Aufwand sei gerade für bislang nicht regulierte Firmen und den Mittelstand hoch. Deshalb baue das Amt weiter auf Aufklärung. Zugleich macht die Behörde deutlich, dass bei anhaltenden Verstößen Bußgelder möglich seien. Sie können bis zu 500.000 Euro betragen.

Experten fordern: „Zähne zeigen“

Der IT-Sicherheitsrechtler Dennis-Kenji Kipker und der Rechtsanwalt Stefan Hessel bewerten die Lage kritischer. Dass mehr als die Hälfte der betroffenen Unternehmen ihrer Registrierungspflicht nicht nachkommt, halten sie für ein alarmierendes Signal. Wer sich nicht melde, beachte gesetzliche Anforderungen zur Cybersicherheit nicht ausreichend.

Weiterlesen nach der Anzeige

Die Experten drängen deshalb auf ein entschlosseneres Vorgehen des BSI. Zwar habe auch der Gesetzgeber durch unklare Ausnahmen Rechtsunsicherheit geschaffen. Die Behörde verliere sich aber zu sehr im Detail, statt klare Leitlinien zu setzen. Das Motto müsse lauten: „Zähne zeigen.“ Nur gezielte Kontrollen und spürbare Sanktionen könnten dem Gesetz die nötige Wirkung verleihen. Andernfalls drohe NIS2 zum „Papiertiger“ zu werden und die angestrebte bessere Cybersicherheit eine theoretische Vorgabe zu bleiben.


(wpl)



Source link

Weiterlesen

Beliebt