Einfach zum Smartphone greifen, Kontakt auswählen und anrufen? Das können Gefängnisinsassen in Deutschland nicht. Denn sie dürfen weder ein Smartphone besitzen noch ist es ihnen in der Regel erlaubt, ein Telefon auf der Zelle zu haben.

Stattdessen müssen Insassen meist einen Apparat auf dem Flur nutzen, wo alle mithören können. Und in den meisten Justizvollzugsanstalten brauchen sie dafür ein Konto bei Telio, einer privaten Firma mit Sitz in Hamburg. Auf dieses Konto müssen sie – oder ihre Angehörige draußen – Geld einzahlen. Außerdem müssen sie jede Telefonnummer, die sie anrufen möchten, zunächst freischalten lassen.

Telio wurde im Januar gehackt

Telio ist Mitte Januar gehackt worden. Gestohlen wurden offenbar Kontakt- und Kontodaten ehemaliger Mitarbeiter*innen des Unternehmens. Eine Anfrage von netzpolitik.org per Informationsfreiheitsgesetz (IFG) hat außerdem ergeben, dass höchstwahrscheinlich auch Kund*innendaten – also von Gefangenen und/oder Angehörigen – in Kroatien, Tschechien und den Niederlanden abgegriffen wurden.

Gehackt wurde das Unternehmen in der Nacht vom 13. auf den 14. Januar, gemeldet hat Telio den Vorfall am 15. Januar bei der zuständigen Datenschutzbehörde in Hamburg. Bei einem „unbefugten Zugriff auf ein Administratorkonto“ seien „mindestens ca. 600 MB an Datenverkehr nach Extern“ abgeflossen. „Sofortige Eindämmungsmaßnahmen und Ermittlungsmaßnahmen sind im Gange“, heißt es in der Meldung.

Sicherheitsvorfälle wie diese müssen Firmen laut Datenschutzgrundverordnung (DSGVO) innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde melden. Jede neue Erkenntnis zum Datenleck muss die Firma nachmelden. Die Behörde kann dann weitere Informationen und Maßnahmen einfordern. Bußgelder, falls die Maßnahmen nicht ergriffen werden, sind allerdings nicht vorgesehen.

Am 17. Januar ergänzte Telio, dass etwa 265 Personen von dem Vorfall betroffen seien. Diese habe das Unternehmen „per Rundschreiben und dezidiertem Informationsportal im Intranet“ informiert. Auf der Webseite von Telio findet sich darüber hinaus ein „Informationsschreiben gemäß Art. 34 DSGVO an ehemalige Mitarbeiter“ von Mitte Februar, das nähere Angaben zum Datenleck enthält. Ein ehemaliger Mitarbeiter von Telio gab gegenüber netzpolitik.org an, er habe erst durch die Medienanfrage vom Datenabfluss erfahren.

Insgesamt 160 GB an Daten abgeflossen

Netzpolitik.org liegt exklusiv der E-Mail-Verkehr von Telio mit der Hamburger Datenschutzbehörde vor. Am 21. Januar schreibt ein Rechtsbeistand von Telio – die Namen in dem Dokument sind geschwärzt –, dass nach ersten Erkenntnissen aus einem lokalen Netzwerk nicht 600 MB, sondern „tatsächlich ca. 160 GB an Daten exfiltriert wurden“. Betroffen seien „konkret die (alten) Personal- und Finance Ordner“. Weiter schreibt er: „Es geht v.a. um Mitarbeiterdaten, aber auch Daten von Geschäftspartnern und Kunden z.b. aus Verträgen.“

Konkreter wird er nicht, auch die übrigen per IFG-Anfrage erhaltenen Dokumenten gehen nicht näher darauf ein.

Details könnte nur die von Telio extern in Auftrag gegebene forensische Untersuchung liefern. Sie ging der Frage nach, wie es zu dem Hack kam sowie welche Systeme und Daten davon betroffen waren. Den Abschlussbericht will Telio auf Anfrage nicht herausgeben und liegt auch der Datenschutzbehörde in Hamburg noch nicht vor.

In einer undatierten Tabelle mit Fragen der Datenschützer und Antworten von Telio heißt es lediglich: „Auf dem Fileserver befindet sich jedenfalls der alte Personalordner.“ Auf diesem seien Personaldaten von Wohnadresse über Feedbackbögen bis Behindertenstatus abgelegt.

Weiterer Vorfall im Februar

Die IFG-Anfrage von netzpolitik.org hat außerdem ergeben: Am ersten Februarwochenende wurde Telio ein weiteres Mal Opfer von Hackern.

Offenbar hatten Angreifer am 13. Januar eine sogenannte Backdoor platziert, wie Sven Marquardt im Gespräch mit netzpolitik.org sagt. Er ist beim Hamburger Datenschutzbeauftragten für den Telio-Fall zuständig,. Die Hintertür hätten die Hacker dann genutzt, um sich wenige Wochen später erneut Zutritt zur internen Infrastruktur zu verschaffen.

Der Zugriff war offenbar weitreichend. Aufklärung darüber, welche Daten dabei abflossen, könnte nur der Forensikbericht geben.

Was bereits aus der per IFG-Anfrage herausgegebenen Dokumenten hervorgeht: Bei dem erneuten Ransomware-Angriff waren nicht nur Systeme des Unternehmens in Deutschland betroffen, sondern auch in Slowenien. Und zumindest in den Niederlanden, Tschechien und Kroatien waren darüber hinaus wohl auch JVA-Kundensysteme betroffen. Die Behörden in den Ländern seien demnach darüber informiert worden.

Ein Sprecher der Datenschutzbehörde in den Niederlanden erklärte, grundsätzlich keine Informationen über Datenleck-Meldungen von Unternehmen an Medien herauszugeben. Anfragen an die übrigen Datenschutzbehörden und Justizministerien blieben bis Redaktionsschluss unbeantwortet.

Angreifer forderten Lösegeld

Laut der Meldung an die Hamburger Datenschützer hat Telio auch „digitale Lösegeldforderung […] auf den betroffenen Systemen gefunden.“ Eine Anfrage von netzpolitik.org, wie hoch die Lösegeldforderung war und ob das Unternehmen dieser nachkommen wird oder bereits nachgekommen ist, wies eine Telio-Sprecherin mit Hinweis auf laufende Ermittlungen ab. Auch nähere Angaben, ob und was über die Angreifer bekannt ist, will das Unternehmen nicht machen.

Ransomware-Gruppen veröffentlichen ihre Hacks häufig selbst. Auf der Webseite ransomware.live werden solche Selbstmeldungen übersichtlich publiziert. Dass die Sicherheitslücke bei Telio dort nicht aufgeführt ist, kann unterschiedliche Gründe haben. Nicht alle Hacks werden veröffentlicht oder von ransomware.live gefunden. Möglicherweise wurde bereits Lösegeld gezahlt, weshalb die Hackergruppe keinen Grund hat, ihren Hack zu veröffentlichen, um so Druck auf das Unternehmen auszuüben. Denkbar ist aber auch, dass kein Lösegeld gezahlt wurde, die Gruppe die Daten bereits verkauft hat und daher nicht auf das Lösegeld angewiesen sei. Oder sie verfolgt gänzlich andere Ziele mit den Daten.

Telio ist der einzige Anbieter für Gefangenentelefonie

Auch wenn bei dem Hack offenbar keine Daten von Gefangenen und ihren Angehörigen entwendet wurden, hat sich der Angriff auch in den Gefängnissen bemerkbar gemacht. Teilweise konnten Insassen nicht telefonieren oder kein Geld auf ihr Telefonkonto eingezahlt werden.

Allerdings klagen Gefangene, mit denen netzpolitik.org gesprochen hat, generell über den Service von Telio. Telefongespräche brächen immer wieder ab, teils könnten sie Anschlüsse nicht anrufen, obwohl die Nummern freigeschaltet seien.

Die Bundesländer – Justiz ist Ländersache – haben unterschiedlich auf den Hack bei Telio reagiert. In Nordrhein-Westfalen wurden einem Sprecher des Justizministeriums zufolge die Systeme auf Sicherheitslücken überprüft. Das Ergebnis war negativ. Bremen und Sachsen verwiesen auf die gesetzliche Pflicht, Gefangene an Kommunikation teilhaben zu lassen.

Diese Pflicht ergibt sich aus dem Resozialisierungsgedanken: Die Haftzeit soll Gefangene immer auch auf ein Leben draußen vorbereiten. „Ein längerfristiger Ausfall der Telefonie wäre als besonders kritisch anzusehen und würde – nachvollziehbar – auch erheblichen Unmut bei den Gefangenen erzeugen“, sagt ein Justizsprecher aus Sachsen. Und Bremen erklärt: „Ein adäquater Ersatz des Anbieters steht derzeit nicht zur Verfügung.“ Denn: Telio ist der einzige Anbieter für Gefangenentelefonie in Deutschland.

Andere Bundesländer kommen ohne Telio aus

Aufgrund hoher Telefontarife bei Telio gebe es in Sachsen immer wieder Überlegungen, die Gefangenentelefonie durch die öffentliche Hand selbst zu organisieren. „Eine entsprechende Umsetzung dürfte indes mehrere Jahre in Anspruch nehmen und wäre mit erheblichem finanziellen Aufwand verbunden“, so ein Sprecher.

Andere Bundesländer wie etwa Bayern kommen allerdings gut ohne Telio aus: Hier melden Gefangene Telefongespräche für eine bestimmte Uhrzeit an und können diese dann in einem abgeschlossenen Raum durchführen – ohne dass ihnen dadurch Kosten entstehen.

Seit Mitte Juni sucht Telio übrigens einen IT Security Engineer für den Standort Hamburg. Die Person soll unter anderem IT-Sicherheitskonzepte entwickeln, implementieren und überwachen sowie „Risikobewertungen und Schwachstellenanalysen durchführen“. Eine Anfrage an Telio, ob die Position bisher schon besetzt war oder neu geschaffen werden soll, wollte das Unternehmen nicht beantworten.

Johanna Treblin ist Redakteurin bei der taz und freie Journalistin. Sie schreibt regelmäßig zu den Themen Gefängnis, Arbeit und Migration.

Die Zero Day Initiative (ZDI) von Trend Micro ist 20 Jahre alt. Anlässlich des Jubiläums verweist das Cybersicherheits-Unternehmen auf den eigenen Erfolg: Es hat sich in dieser Zeit zum größten herstellerübergreifenden Programm zur koordinierten Offenlegung (Coordinated Disclosure) von Schwachstellen in Software entwickelt. Seit zwei Jahrzehnten vermittelt Trend Micro die Ausschüttung von Prämien („Bug Bounty“) für entdeckte Sicherheitslücken.

Trend Micro erinnert daran, dass das Programm 2005 eher bescheiden angefangen hat. Ins Leben gerufen hat es die Cybersecurity-Firma Tipping Point. Ziel war es, Sicherheitsforscher finanziell zu belohnen, wenn sie bis dato unbekannte Sicherheitslücken an die jeweiligen Hersteller melden. Erst nachdem diese die Fehler beseitigt haben, veröffentlicht ZDI Details der Lücken. So sollen keine Attacken motiviert werden, bevor die Sicherheitslücken geschlossen sind.

Pwn2Own eng verbandelt

Auch der Exploit-Wettbewerb Pwn2Own, der dieses Jahr erstmals in Berlin stattfand und einige der weltbesten Finder von Schwachstellen anzog, ist seit seiner Erfindung im Jahr 2007 eng mit der Zero Day Initiative verbunden. 2015 hat Trend Micro dann Tipping Point für 300 Millionen US-Dollar gekauft und damit auch die Verantwortung für die ZDI übernommen.

Laut einer von Trend Micro zitierten Zählung verantwortungsvoll offengelegter Sicherheitslücken wurden allein im Vorjahr 73 Prozent über die Zero Day Initiative weitergegeben. Trend Micro erklärt, dass sie ihre Kunden im Schnitt zwei Monate eher vor darüber gemeldeten Sicherheitslücken schützen können als die betroffenen Softwarehersteller.

Mittlerweile arbeiten in dem Unternehmen über 450 Forschende in 14 sogenannten Threat Centern. Außerdem tragen 19.000 unabhängige Forschende ihre Ergebnisse bei.

(mma)

Ende 2022 hat die EU die zweite „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau“ beschlossen, die NIS-2-Richtlinie. Die Umsetzung der EU-Richtlinie in Deutschland dauert nun schon über zwei Jahre an. Sie wird wohl frühestens zum dritten Jahrestag im Winter gelingen.

Vor einem Jahr startete die letzte Bundesregierung mit dem „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“. Experten kritisierten den Entwurf. Wegen dem Ende der Ampel-Regierung wurde er nicht beschlossen.

Im Oktober 2024 lief die Umsetzungsfrist der EU ab. Die EU-Kommission eröffnete ein Vertragsverletzungsverfahren gegen Deutschland. Im Mai forderte sie erneut eine Umsetzung binnen zwei Monaten. Auch diese Frist ist längst verstrichen.

Höchste Zeit, das Tempo zu erhöhen. Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik, Claudia Plattner, hofft auf eine Umsetzung bis Anfang 2026. Solange die derzeitige Regierung stabil bleibt, ist das (noch) zu schaffen.

Vor zwei Wochen hat das Bundeskabinett ein entsprechendes Gesetz beschlossen. Allerdings weist der „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ nach wie vor erheblichen Nachbesserungsbedarf auf, dem sich hoffentlich der Bundestag noch widmet.

Steigende Cyberbedrohungen

Die zweite NIS-Richtlinie soll gegenüber ihrer Vorgängerin von 2016 mehr Einrichtungen erfassen, konkretere Vorgaben machen und die Umsetzung in den EU-Mitgliedstaaten stärker harmonisieren. Außerdem soll sie die Kooperation zwischen den Mitgliedstaaten fördern und darauf hinwirken, dass die nationalen Cybersicherheitsbehörden mehr Ressourcen erhalten. Kurz: Was die erste NIS-Richtlinie begann, sollte die NIS-2-Richtlinie erreichen.

Maßgeblich trägt der erweiterte Anwendungsbereich zu diesem Ziel bei: Künftig sollen statt 8.000 Einrichtungen knapp 30.000 Unternehmen erfasst sein. Die NIS-2-Richtlinie reguliert also nicht einzelne Sektoren, sondern visiert einen weitreichenden Wirtschaftsschutz an. Dabei differenziert sie zwischen wesentlichen Einrichtungen, die strengeren Anforderungen unterliegen, und wichtigen Einrichtungen verschiedener Sektoren.

Zweierlei Maß für Unternehmen und Staat

Nicht nur Bundesregierung und Gesetzgebung, sondern auch die Wirtschaft muss sich dem Thema NIS-2-Umsetzung widmen. Das BSI beginnt bereits jetzt, Unternehmen zu beraten, und bietet beispielsweise eine Orientierungshilfe zur Betroffenheitsprüfung an.

Dies täuscht jedoch nicht darüber hinweg, dass die zögerliche Umsetzung der NIS-2-Richtlinie in Unternehmen vor allem durch die verspätete gesetzgeberische Umsetzung bedingt ist. Hier beginnt bereits die erste Scheinheiligkeit: Während die Politik nicht in die Gänge kommt, sollten Unternehmen ihre Hausaufgaben idealerweise noch vor Beschluss des NIS-2-Umsetzungsgesetzes erledigt haben.

Die zweite Scheinheiligkeit liegt in der – breit diskutierten und kritisierten – Ausnahme der Bundesverwaltung vom Pflichtenprogramm der NIS-2-Richtlinie: Unternehmen treffen von Registrierungs- und Meldepflichten bis hin zu einem Maßnahmenkatalog mit zehn Punkten zahlreiche Anforderungen.

Die Bundesverwaltung muss dagegen im Grundsatz nur (vom BSI noch auszuarbeitende) Mindeststandards erfüllen. Lediglich das Bundeskanzleramt und die Bundesministerien müssen zusätzlich die BSI-Standards sowie das IT-Grundschutz-Kompendium einhalten.

Ob der Grund hierfür in den knappen Haushaltsmitteln liegt oder der bisherigen Verschleppung des Themas IT-Sicherheit in Bundesbehörden, ist unklar. Spätestens der Bericht des Bundesrechnungshofs sollte die Bundesregierung eigentlich motivieren, Cybersicherheit konsequent umzusetzen.

Endlich ein CISO Bund?

Diese Mängel vermag auch nicht das Portfolio neuer Rollen und Ämter auf Bundesebene zu kaschieren: Künftig soll es eine(n) Informationssicherheitsbeauftragte(n) der Bundesverwaltung geben, die/der für die IT-Sicherheitsprozesse verantwortlich ist. Ebenso soll jedes einzelne Ressort eine(n) Informationssicherheitsbeauftragte(n) erhalten – sowie für wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen.

Dieses „Gewimmel“ erfordert Koordination, und zwar durch eine(n) Koordinator(in) für Informationssicherheit. Der Gesetzesentwurf schweigt zu den Aufgaben und Kompetenzen dieses Amts; die Gesetzesbegründung stellt klar, dass hiermit (endlich) „CISO Bund“ eingeführt werde. Alles Übrige soll dann ein Kabinettsbeschluss regeln. Wichtig sei nur, dass „die Funktion möglichst unabhängig organisiert“ werde. Eine gute Lösung wäre es, den CISO Bund dem BSI beziehungsweise dessen Präsidentin zu übertragen.

Prekäre Stellung des BSI

Damit lässt sich gleich zum nächsten, bislang unbefriedigend gelösten Problem überleiten: die Abhängigkeit des BSI von Weisungen des Bundesinnenministeriums, dem beispielsweise auch die Nachrichtendienste und andere Sicherheitsbehörden unterfallen. Dieses Thema ist ein alter Hut und schon seit der Errichtung des BSI wiederholt problematisiert worden.

Ungeachtet der verschiedenen denkbaren Modelle ist entscheidend, ob das BSI in der Lage ist, transparent, nachvollziehbar und nach fachlicher Kompetenz zu handeln. Das NIS-2-Umsetzungsgesetz hätte die Aufgaben des BSI anpassen können, um klarzustellen, dass das BSI nicht auf Weisung des Bundesinnenministeriums wider der Förderung von Cybersicherheit handelt. Insbesondere eine explizite Pflicht des BSI, gemeldete Schwachstellen an den jeweiligen Hersteller weiterzugeben, würde das Vertrauen in die Behörde stärken.

EU systematisiert, Deutschland verwirrt

Doch nicht nur die Grundsatzentscheidungen des Gesetzesentwurfs enttäuschen. Die EU bemüht sich, seit der Cybersicherheitsverordnung ein kohärentes Begriffsgerüst für das Cybersicherheitsrecht zu entwerfen. Das reicht von einer einheitlichen Cybersicherheitsdefinition bis hin zu einem einheitlichen Verständnis von Schwachstellen.

Dieses Unterfangen konterkariert die Bundesregierung in ihrem Entwurf wiederholt. So verwendet der Entwurf unter anderem die Begriffe „Informationssicherheit“, „Netz- und Informationssicherheit“, „IT-Sicherheit“ und „Cybersicherheit“. Die Neuordnung des BSI-Gesetzes wäre eine Chance gewesen, auch inhaltlich Systematik herzustellen.

Zudem macht sie aus wesentlichen Einrichtungen jetzt „besonders wichtige“ Einrichtungen – wohl, weil sie die Bezeichnungen „wesentlich“ und „wichtig“ für irreführend hielt. Ob diese Bedenken berechtigt sind, ist Ansichtssache, verdeutlicht die „Wesentlichkeit“ doch die Bedeutung bestimmter Einrichtungen und Dienste für unsere Gesellschaft – ganz nach dem Sinngehalt kritischer Infrastrukturen. Jedenfalls sprengt dieser deutsche Sonderweg die EU-rechtliche Systembildung auf nicht gerade sprachgewandte Weise.

Auch die Einführung der „kritischen Anlagen“ weicht vom europäischen Konzept ab und stiftet gemeinsam mit den „kritischen Komponenten“ und „kritischen Dienstleistungen“ Verwirrung. Denn die NIS-2-Richtlinie löst sich vom Begriff der „Kritischen Infrastrukturen“, um die Cybersicherheit in der gesamten EU an Schlüsselstellen zu stärken.

Kritikwürdig ist allgemein die fehlende Systematisierungsleistung dieser Gesetzes-Novelle: Weder der allgemeine Aufbau des Gesetzentwurfs noch beispielsweise die Reihenfolge der Aufgaben des BSI wirken durchdacht. Das Bundesinnenministerium hätte mehr Struktur schaffen können – auch, um die Praktikabilität zu erhöhen.

Auch der Maßnahmenkatalog, den besonders wichtige und wichtige Einrichtungen erfüllen müssen, ist sowohl irreführend, weil er zu falscher Sicherheit verleiht, als auch nicht auf alle Einrichtungen gleichermaßen anwendbar. Der Verweis auf den Stand der Technik wäre hier zielführender und in der Praxis deutlich besser gestaltbar gewesen.

Weg aus der Regulierung

Hinzu kommen die „vernachlässigbaren“ Geschäftstätigkeiten: Sofern die Geschäftstätigkeiten, die den durch die NIS-2-Richtlinie regulierten Einrichtungsarten entsprechen, insgesamt nur eine deutlich untergeordnete Rolle spielen, entfallen die Pflichten zu mehr Cybersicherheit.

Dieser Passus öffnet Unternehmen daher einen Weg aus der Regulierung – bei bislang unklarer Definition von Grenzen und Maßstäben ebenjener vernachlässigbaren Geschäftstätigkeiten. Zugleich verfehlt Deutschland mit derlei Vorstößen das eigentlich angestrebte Ziel der Mindestharmonisierung durch die NIS-2-Richtlinie.

Wesentliche Fragen unbeantwortet

Enttäuschend ist nicht zuletzt auch, dass das NIS-2-Umsetzungsgesetz einigen wichtigen, vieldiskutierten Fragen ausweicht, die schon seit mehreren Jahren den Kern der nationalen Cybersicherheitsdebatte ausmachen.

Beispielsweise lässt der Entwurf ungeklärt, ob das BSI gemeldete Schwachstellen zurückbehalten und an Sicherheitsbehörden weitergeben darf, damit diese etwa Online-Durchsuchungen oder Quellen-Telekommunikationsüberwachung durchführen, das heißt per „Staatstrojaner“ IT-Systeme überwachen können. Die Weitergabe von gemeldeten Schwachstellen untersagt der Gesetzesentwurf nicht.

Dabei hat das Bundesverfassungsgericht der Gesetzgebung aufgegeben, bei der Geheimhaltung und Verwendung von Zero-Day-Schwachstellen (dem Hersteller unbekannte Schwachstellen) zu regeln, inwiefern der Ermittlungserfolg mit dem Interesse der Allgemeinheit an der Benachrichtigung der Hersteller und Behebung von Schwachstellen abzuwiegen ist (sogenanntes Schwachstellen-Management).

Bedauerlich ist vor allem, dass die Zurückbehaltung von Zero-Day-Schwachstellen zu nachrichtendienstlichen und Strafverfolgungszwecken nicht ausgeschlossen ist. Und es ist ungünstig, dass die Regierung nicht wenigstens die Umstände und Maßstäbe für die Geheimhaltung von Schwachstellen regelt.

Auch der bislang noch unklare Plan zur Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen bewirkt, dass die Neuregelung des BSI-Gesetzes wohl bald Nachbesserungen erfordert. Denn ein ganzheitlicher Regulierungsansatz, der den Schutz vor physischen Gefahren und hybriden Bedrohungen mitdenkt, ist nach wie vor nicht gegeben, obwohl eigentlich in diesen Zeiten unbedingt erforderlich.

Die kommenden Wochen sind entscheidend

Der NIS-2-Umsetzungsentwurf für Deutschland wird in den nächsten Wochen bestimmen, wie sich das Thema Cybersicherheit hierzulande entwickeln wird: Werden alle Einrichtungen – Unternehmen wie Behörden – ihre Resilienz stärken oder werden Pflichten abgeschwächt und das Sicherheitsniveau systemisch gesenkt?

Die Politik sieht, dass Cybersicherheit Geld kostet. Ein Mangel an Cybersicherheit kostet aber ebenso – von Ransomware-Zahlungen bis hin zur Bewältigung von Cyberangriffen, zum Beispiel durch Arbeitsstunden und Kosten für neue IT-Systeme. Und nie war die Zeit günstiger als jetzt, um in die Cybersicherheit zu investieren.

Dennis-Kenji Kipker ist Research Director am Cyberintelligence Institute und Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin.

Carolin Kemper ist Forschungsreferentin am Deutschen Forschungsinstitut für öffentliche Verwaltung.