Unbekannte haben IT-Systeme des Arbeiter-Samariter-Bunds im Saarland angegriffen und sich Zugriff auf Daten von Beschäftigten und Kund:innen verschafft. Der Ex-BND-Vizepräsident ist auf eine Phishing-Attacke über einen Messenger reingefallen. Böswillige Hacker:innen erpressen eine Einrichtung für Menschen mit Behinderungen in Essen. Das sind nur drei von unzähligen Meldungen über IT-Sicherheitsvorfälle der letzten Wochen. Das Problem scheint bodenlos und in Deutschland gibt es eine unübersichtliche Landschaft an Behörden, Organisationen und Gesetzen, die dabei helfen sollen, es in den Griff zu bekommen.

Nun soll ein weiteres Gesetz dazukommen, das „Gesetz zur Stärkung der Cybersicherheit“. Ende Februar veröffentlichte das Bundesinnenministerium dazu einen Referentenentwurf, der Vorschriften für Bundespolizei, Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ändern und ihnen mehr Befugnisse geben soll. Dabei markiert der Gesetzentwurf eine Abkehr vom Grundsatz, dass der beste Schutz vor Angriffen auf IT-Systeme in der Prävention und Stärkung von Resilienz liegt.

Von der Abwehr zum Angriff

„Gegen groß angelegte Cyberangriffe mit großem Schadenspotential“ böten präventive Maßnahmen in eigenen IT-Systeme keinen „hinreichenden Schutz“, heißt es in der Problembeschreibung. Daher müsse es „ergänzend Möglichkeiten zur Unterbindung solcher Cyberangriffe“ geben. Das heißt: Bundespolizei, BKA und BSI sollen künftig in IT-Systeme eingreifen dürfen, um sie etwa abzuschalten, Datenverkehr zu verändern oder sogar Daten zu löschen.

Das BKA würde dem Entwurf zufolge die Aufgabe bekommen, Gefahren für IT-Sicherheit „bei internationaler Zusammenarbeit oder außen- und sicherheitspolitischer Bedeutung“ abzuwehren. Liegt eine solche Gefahr vor, soll das BKA unter anderem Datenverkehr umleiten oder blockieren dürfen sowie Daten auf einem IT-System „erheben, löschen oder verändern“ können.

Es soll also „zurückhacken“, was unter dem Begriff „Hackback“ bekannt ist. Das gilt in bestimmten Fällen selbst für privat genutzte IT-Systeme, beispielsweise wenn es um Gefahren geht, die für „die Vertraulichkeit und Integrität informationstechnischer Systeme einer großen Anzahl von Personen“ relevant sind.

Die Eingriffsbefugnisse sind so formuliert, dass sie sich nicht nur gegen IT-Systeme richten, von denen Angriffe ausgehen, sondern auch gegen Opfersysteme. Das können gekaperte Router im Heimnetz sein, die von Angreifer:innen für kriminelle Zwecke missbraucht werden. Ähnliche Regeln sind analog für die Bundespolizei in deren Aufgabenbereich vorgesehen.

IT-Sicherheitsfachleute kritisieren diese Befugnis scharf. Sven Herpig, Leiter für Cybersicherheitspolitik und Resilienz beim Policy-Institut interface, schreibt gegenüber netzpolitik.org: „Auch wenn für Eingriffe in private Systeme zusätzliche gerichtliche Hürden vorgesehen sind, wird der Anwendungsbereich strukturell weit gezogen. Die Darstellung als bloße Detailkorrektur verkennt damit die qualitative Erweiterung staatlicher Eingriffsbefugnisse im digitalen Raum.“ Herpigs Auffassung nach müsste wegen der „Intensität der vorgesehenen Maßnahmen und ihrer potenziellen Reichweite“ die Frage gestellt werden, ob es dafür nicht eine „offene verfassungsrechtliche Grundsatzdebatte – einschließlich der Frage nach einer Grundgesetzänderung“ geben müsse.

Warnung vor Kollateralschäden

Die Arbeitsgruppe KRITIS, die sich insbesondere mit der Sicherheit Kritischer Infrastrukturen wie Energieversorgern oder Transportunternehmen befasst, warnt in einer Stellungnahme vor möglichen Folgeschäden. Auch Betreiber Kritischer Infrastrukturen und Behörden könnten ohne ihr Wissen von Angreifern instrumentalisiert werden und wären damit entsprechende Opfersysteme, in die Bundespolizei oder BKA eingreifen könnten.

„Dies würde ohne Wissen des Betreibers geschehen. Die Behörden hätten dabei sogar die Befugnis, Daten zu verändern oder zu löschen“, schreibt die AG KRITIS. „Ein nicht abgestimmter Eingriff in Konfigurationsdaten, Systemparameter oder Netzwerkverbindungen kann dort unmittelbare Betriebsstörungen auslösen und bis zum Versorgungsausfall für die Bevölkerung führen.“ Auf dieses Risiko gehe der Entwurf nicht ein. Neben Kollateralschäden gehört zur Kritik der offensiven Abwehr von Angriffen, dass Sicherheitslücken offengelassen werden könnten, um im Zweifel Angreifer darüber zu schlagen – was wiederum IT-Systeme für alle unsicherer macht. Ein klar geregeltes Schwachstellenmanagement, das zur konsequenten Schließung der Lücken verpflichtet, fehlt weiterhin.

Die AG KRITIS kritisiert zusätzlich, dass das BKA überhaupt eine Zuständigkeit für Cyberangriffe bekommt. Gemäß dem Grundgesetz ist Gefahrenabwehr prinzipiell Sache der Länder, das BKA ist hingegen etwa bei internationalem Terrorismus oder Verbrechen zuständig. Dass es nun auch bei Cyberangriffen von „außen- und sicherheitspolitischer Bedeutung“ tätig werden soll, sei „verfassungsrechtlich in mehrfacher Hinsicht fragwürdig“. Der Begriff sei unbestimmt und biete einen „unkontrollierbaren Beurteilungsspielraum“.

Wie bereits Herpig von interface regt die AG KRITIS an, dass der Weg einer Verfassungsänderung geboten sei, wenn es bei Angriffen auf IT-Systeme Bundesregelungen brauche. Eine Haltung, die von Staatsrechtlern geteilt wird.

Neben den Polizeien soll künftig auch das BSI neue Kompetenzen bekommen. Bislang durfte das Bundesamt etwa bei Vorfällen in der Bundesverwaltung helfen, um einen Schaden zu bewältigen und Systeme wiederherzustellen. Nun soll es bereits dann zu Hilfe gerufen werden können, wenn Anhaltspunkte für eine Beeinträchtigung vorliegen. Das heißt beispielsweise: wenn erkannt wird, dass ein Angriff vorbereitet werden könnte, indem Systeme ausgeforscht werden. Ebenso soll es Dienstleistern wie Domain-Registrierungsstellen anordnen können, Einträge umzuleiten.

Massiver Personalaufwuchs bei BKA und Bundespolizei

Neben den Befugniserweiterungen für die drei Behörden ist der Teil des Gesetzentwurfs bemerkenswert, der keine existierenden Gesetze ändert, sondern den personellen Aufwand für die Änderungen einschätzt. Allein im BKA sollen 264 Personen für die Umsetzung benötigt werden, in der Bundespolizei schätzt das Innenministerium, dass 90 und im BSI 21 neue Stellen bis zum Jahr 2030 anfallen.

Herpig sieht den massiven Stellenaufbau bei BKA und Bundespolizei „für hochinvasive, personalintensive und nur in Einzelfällen benötigte aktive Abwehrmaßnahmen“ kritisch. „Dies steht im Widerspruch zu politischen Versprechen von Bürokratieabbau und Ausgabendisziplin“, so der Experte für IT-Sicherheit. Er verweist dabei auf einen Bericht des Bundesrechnungshofs aus dem Sommer 2025. Der bemängelte, dass die IT des Bundes selbst „nicht auf die aktuellen Bedrohungen vorbereitet“ sei, es Mängel bei Detektion und Resilienz gäbe und sich die Cybersicherheitsarchitektur „durch einen Dschungel von Institutionen und Zuständigkeiten“ auszeichne.

Für Herpig ist das „ein klarer Hinweis darauf, dass die Priorität auf die Stärkung dauerhafter Schutz- und Früherkennungsstrukturen liegen sollte, statt auf den Ausbau einmalig einsetzbarer Einsatzapparate“.

Die Installation der Windows-Updates zum Februar-Patchday von Microsoft oder neuere Fassungen führt auf einigen Samsung-Geräten zu gravierenden Nebenwirkungen, haben Nutzer und Nutzerinnen Microsoft berichtet. Die Rechner können dann nicht mehr auf ihr C:-Laufwerk zugreifen. Die Windows-Updates sind jedoch dieses Mal nicht daran schuld.

In den Windows-Release-Health-Notizen führen Microsofts Entwickler das Problem genauer aus. Nutzer und Nutzerinnen könnten auf die Fehlermeldung „C:\ is not accessible – Access denied“ („C:\ ist nicht zugreifbar – Zugriff verweigert“) stoßen, was den Zugriff auf Dateien verhindert und den Start einiger Anwendungen wie Outlook, Office-Apps, Webbrowser, Systemwerkzeuge oder Quick Assist („Windows-Schnellhilfe“) betreffe.

Samsung-App verursacht Probleme

Bei der gemeinsamen Analyse haben Microsoft und Samsung den Übeltäter ausgemacht, es handelt sich um die „Samsung Galaxy Connect“-App. Diese dient zur nahtlosen Verbindung von Samsung-Geräten, etwa mittels „Quick Share“, „Link to Windows“, „Smart View“ (Screen-Mirroring) und Ähnlichem Der zeitliche Zusammenhang scheint zwar mit den März- oder Februar-Updates zusammenzufallen. Die Untersuchungen hätten jedoch ergeben, dass weder kürzliche noch aktuelle Windows-Updates dieses Problem verursachen.

Die Probleme ließen sich demnach auf dem Samsung Galaxy Book 4 und Samsung-Desktop-Rechnern mit Windows 11 24H2 und 25H2 beobachten. Die bislang bekannten Baureihen mit dem Problem umfassen NP750XGJ, NP750XGL, NP754XGJ, NP754XFG, NP754XGK, DM500SGA, DM500TDA, DM500TGA und DM501SGA von Samsung. „Das Problem tritt bei den betroffenen Geräten auf, wenn Benutzer übliche Aktionen ausführen, wie auf Dateien zuzugreifen, Anwendungen zu starten oder administrative Aufgaben zu erledigen“, erklärt Microsoft. Um das Fehlverhalten zu provozieren, seien keine anderen Aktionen nötig. In einigen Fällen können Nutzer aufgrund von fehlerhaften Berechtigungen ihre Rechte nicht erhöhen, keine Updates deinstallieren oder Logdateien einsammeln.

Schnelle Gegenmaßnahme: App aus Microsoft Store geworfen

Microsoft schreibt, dass das Unternehmen die verursachende Samsung-Galaxy-Connect-App temporär aus dem Microsoft Store entfernt habe, um weitere Installationen zu verhindern. Samsung hat zudem eine stabile Vorgängerversion veröffentlicht, um das Auftreten auf weiteren Geräten zu verhindern. Wiederherstellungsmöglichkeiten für bereits betroffene Geräte seien jedoch begrenzt. Samsung evaluiert derzeit Gegenmaßnahmen zusammen mit dem Microsoft-Support. Für konkrete Hilfestellung sollen sich Betroffene jedoch an Samsung wenden.

Die Problemmeldung von Microsoft ist ungewöhnlich. In den vergangenen Monaten gab es viele Probleme nach der Installation der Windows-Updates zu den Patchdays, die auf mangelhafte Qualitätssicherung schließen ließen. Es ist daher eine unerwartete Wendung, dass das jetzt aufgetauchte Problem gar nicht von den Windows-Updates herrührt.

(dmk)

Die globale Automobilindustrie steht laut Experten vor einer digitalen Bedrohungslage, die in ihrer Intensität und ihren wirtschaftlichen Folgen neue Dimensionen erreicht hat. Während früher primär klassische IT-Systeme in Büros das Ziel von Hackern waren, rückt demnach nun das Herzstück der Branche in den Fokus: die Produktion.

Ein aktuelles Weißbuch des in Bergisch Gladbach angesiedelten Center of Automotive Management (CAM), das dieses in Kooperation mit Cisco verfasst hat, verdeutlicht die Entwicklung. Die geschätzten Schadenskosten für den Sektor sind demnach auf über 20 Milliarden US-Dollar angestiegen – eine Verzwanzigfachung gegenüber dem Jahr 2022. Große Namen wie Toyota, Honda, Jaguar Land Rover, Bridgestone oder Thyssenkrupp Automotive mussten bereits schmerzhafte Erfahrungen mit Produktionsausfällen und unterbrochenen Lieferketten machen.

Die Analyse der Angriffsziele durch das CAM offenbart eine merkliche Verschiebung innerhalb des automobilen Ökosystems. Nicht die großen Hersteller, die sogenannten OEMs, stehen an vorderster Front der Cyberattacken, sondern die Zulieferbetriebe. Laut einer im Whitepaper zitierten VicOne-Studie entfallen fast 57 Prozent aller einschlägigen Angriffe auf die Zulieferer.

Händler folgen demnach mit rund 22 Prozent, während die Fahrzeughersteller selbst nur knapp 10 Prozent der direkten Angriffsziele ausmachen. Die Zahlen belegen, dass Cyberkriminelle gezielt das vermeintlich schwächste Glied in der hochgradig vernetzten Wertschöpfungskette suchen. Denn ein Stillstand bei einem spezialisierten Zulieferer kann innerhalb kürzester Zeit ganze Montagebänder bei den Herstellern zum Erliegen bringen.

IT und OT verschmelzen zum Einfallstor

Dass die Attacken mittlerweile so effektiv sind, liegt an der fortschreitenden Verschmelzung von Informationstechnik (IT) und Operation Technology (OT). Moderne Fabriken sind hochgradig digitalisiert: Cloud-Plattformen, KI-gestützte Steuerungen und vernetzte Robotik bilden ein engmaschiges Netz. Professionelle Ransomware-Gruppen und staatlich gestützte Akteure nutzen diese neuen Angriffspfade, um von der Bürokommunikation bis tief in die Steuerungslogik einzelner Maschinen vorzudringen.

CAM-Direktor Stefan Bratzel warnt davor, dass Produktionsstopps heute pro Tag Schäden im zweistelligen Millionenbereich verursachen könnten. Damit sei Cybersecurity von einem reinen IT-Thema zu einer existenziellen Frage der Betriebssicherheit geworden.

In einer begleitenden Umfrage unter Branchenvertretern identifizierten die Verfasser die größten Schmerzpunkte. Ganz oben auf der Liste stehen die Sicherheit in der Cloud sowie Risiken durch Remote-Arbeit, dicht gefolgt von klassischen Ransomware- und Malware-Attacken.

Aber auch neuere Bedrohungsfelder wie KI-basierte Angriffe und Schwachstellen in den vernetzten Fahrzeugen selbst machen den Entscheidern zunehmend Sorgen. Erschwerend kommt dazu, dass viele Werke noch immer einen Mix aus modernster Technik und veralteten Bestandsanlagen nutzen. Diese heterogenen Landschaften sind oft schwer zu segmentieren und bieten zahlreiche Einfallstore.

Neue Standards als Managementaufgabe

Neben den technologischen Hürden bremsen der Analyse zufolge strukturelle Probleme die Abwehrbemühungen. Es mangele an Fachkräften im speziellen Bereich der OT-Security, ist dem Weißbuch zu entnehmen. Zudem fehlten oft klare Rollenmodelle für die Verantwortlichkeiten in der Produktion. Gleichzeitig wachse der Druck durch regulatorische Vorgaben auf nationaler und internationaler Ebene.

Cybersicherheit wird laut den Fachleuten damit endgültig zur Managementaufgabe, die technisches Know-how mit juristischer und strategischer Weitsicht vereinen muss. Thorsten Rosendahl von Ciscos Security-Einheit Talos unterstreicht, ein ganzheitlicher Ansatz sei überlebenswichtig. Dieser dürfe keine Trennung mehr zwischen Büro-IT und Werkshalle zulassen.

Um Unternehmen eine Orientierung in diesem Feld zu bieten, stellt das Whitepaper das sogenannte 4C-Modell vor. Dieser Bewertungsrahmen betrachtet Cybersecurity als strategisches Mittel und gliedert sich in die Bereiche Kompetenzen, Kooperationen, Kultur und Strategie. Es geht dabei nicht nur um den Einsatz der neuesten Firewall. Vielmehr steht die Frage im Zentrum, ob das Personal über die richtigen Fähigkeiten verfügt, wie sicher die Partner angebunden sind und ob eine echte Sicherheitskultur in der Organisation gelebt wird. Die Autoren heben hervor: Nur durch dieses Zusammenspiel lasse sich eine nachhaltige Cyber-Resilienz aufbauen, die den Wirtschaftsstandort und seine industrielle Wertschöpfung langfristig absichere.

(nie)