Die Zero Day Initiative (ZDI) von Trend Micro ist 20 Jahre alt. Anlässlich des Jubiläums verweist das Cybersicherheits-Unternehmen auf den eigenen Erfolg: Es hat sich in dieser Zeit zum größten herstellerübergreifenden Programm zur koordinierten Offenlegung (Coordinated Disclosure) von Schwachstellen in Software entwickelt. Seit zwei Jahrzehnten vermittelt Trend Micro die Ausschüttung von Prämien („Bug Bounty“) für entdeckte Sicherheitslücken.

Trend Micro erinnert daran, dass das Programm 2005 eher bescheiden angefangen hat. Ins Leben gerufen hat es die Cybersecurity-Firma Tipping Point. Ziel war es, Sicherheitsforscher finanziell zu belohnen, wenn sie bis dato unbekannte Sicherheitslücken an die jeweiligen Hersteller melden. Erst nachdem diese die Fehler beseitigt haben, veröffentlicht ZDI Details der Lücken. So sollen keine Attacken motiviert werden, bevor die Sicherheitslücken geschlossen sind.

Pwn2Own eng verbandelt

Auch der Exploit-Wettbewerb Pwn2Own, der dieses Jahr erstmals in Berlin stattfand und einige der weltbesten Finder von Schwachstellen anzog, ist seit seiner Erfindung im Jahr 2007 eng mit der Zero Day Initiative verbunden. 2015 hat Trend Micro dann Tipping Point für 300 Millionen US-Dollar gekauft und damit auch die Verantwortung für die ZDI übernommen.

Laut einer von Trend Micro zitierten Zählung verantwortungsvoll offengelegter Sicherheitslücken wurden allein im Vorjahr 73 Prozent über die Zero Day Initiative weitergegeben. Trend Micro erklärt, dass sie ihre Kunden im Schnitt zwei Monate eher vor darüber gemeldeten Sicherheitslücken schützen können als die betroffenen Softwarehersteller.

Mittlerweile arbeiten in dem Unternehmen über 450 Forschende in 14 sogenannten Threat Centern. Außerdem tragen 19.000 unabhängige Forschende ihre Ergebnisse bei.

(mma)

Ende 2022 hat die EU die zweite „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau“ beschlossen, die NIS-2-Richtlinie. Die Umsetzung der EU-Richtlinie in Deutschland dauert nun schon über zwei Jahre an. Sie wird wohl frühestens zum dritten Jahrestag im Winter gelingen.

Vor einem Jahr startete die letzte Bundesregierung mit dem „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“. Experten kritisierten den Entwurf. Wegen dem Ende der Ampel-Regierung wurde er nicht beschlossen.

Im Oktober 2024 lief die Umsetzungsfrist der EU ab. Die EU-Kommission eröffnete ein Vertragsverletzungsverfahren gegen Deutschland. Im Mai forderte sie erneut eine Umsetzung binnen zwei Monaten. Auch diese Frist ist längst verstrichen.

Höchste Zeit, das Tempo zu erhöhen. Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik, Claudia Plattner, hofft auf eine Umsetzung bis Anfang 2026. Solange die derzeitige Regierung stabil bleibt, ist das (noch) zu schaffen.

Vor zwei Wochen hat das Bundeskabinett ein entsprechendes Gesetz beschlossen. Allerdings weist der „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ nach wie vor erheblichen Nachbesserungsbedarf auf, dem sich hoffentlich der Bundestag noch widmet.

Steigende Cyberbedrohungen

Die zweite NIS-Richtlinie soll gegenüber ihrer Vorgängerin von 2016 mehr Einrichtungen erfassen, konkretere Vorgaben machen und die Umsetzung in den EU-Mitgliedstaaten stärker harmonisieren. Außerdem soll sie die Kooperation zwischen den Mitgliedstaaten fördern und darauf hinwirken, dass die nationalen Cybersicherheitsbehörden mehr Ressourcen erhalten. Kurz: Was die erste NIS-Richtlinie begann, sollte die NIS-2-Richtlinie erreichen.

Maßgeblich trägt der erweiterte Anwendungsbereich zu diesem Ziel bei: Künftig sollen statt 8.000 Einrichtungen knapp 30.000 Unternehmen erfasst sein. Die NIS-2-Richtlinie reguliert also nicht einzelne Sektoren, sondern visiert einen weitreichenden Wirtschaftsschutz an. Dabei differenziert sie zwischen wesentlichen Einrichtungen, die strengeren Anforderungen unterliegen, und wichtigen Einrichtungen verschiedener Sektoren.

Zweierlei Maß für Unternehmen und Staat

Nicht nur Bundesregierung und Gesetzgebung, sondern auch die Wirtschaft muss sich dem Thema NIS-2-Umsetzung widmen. Das BSI beginnt bereits jetzt, Unternehmen zu beraten, und bietet beispielsweise eine Orientierungshilfe zur Betroffenheitsprüfung an.

Dies täuscht jedoch nicht darüber hinweg, dass die zögerliche Umsetzung der NIS-2-Richtlinie in Unternehmen vor allem durch die verspätete gesetzgeberische Umsetzung bedingt ist. Hier beginnt bereits die erste Scheinheiligkeit: Während die Politik nicht in die Gänge kommt, sollten Unternehmen ihre Hausaufgaben idealerweise noch vor Beschluss des NIS-2-Umsetzungsgesetzes erledigt haben.

Die zweite Scheinheiligkeit liegt in der – breit diskutierten und kritisierten – Ausnahme der Bundesverwaltung vom Pflichtenprogramm der NIS-2-Richtlinie: Unternehmen treffen von Registrierungs- und Meldepflichten bis hin zu einem Maßnahmenkatalog mit zehn Punkten zahlreiche Anforderungen.

Die Bundesverwaltung muss dagegen im Grundsatz nur (vom BSI noch auszuarbeitende) Mindeststandards erfüllen. Lediglich das Bundeskanzleramt und die Bundesministerien müssen zusätzlich die BSI-Standards sowie das IT-Grundschutz-Kompendium einhalten.

Ob der Grund hierfür in den knappen Haushaltsmitteln liegt oder der bisherigen Verschleppung des Themas IT-Sicherheit in Bundesbehörden, ist unklar. Spätestens der Bericht des Bundesrechnungshofs sollte die Bundesregierung eigentlich motivieren, Cybersicherheit konsequent umzusetzen.

Endlich ein CISO Bund?

Diese Mängel vermag auch nicht das Portfolio neuer Rollen und Ämter auf Bundesebene zu kaschieren: Künftig soll es eine(n) Informationssicherheitsbeauftragte(n) der Bundesverwaltung geben, die/der für die IT-Sicherheitsprozesse verantwortlich ist. Ebenso soll jedes einzelne Ressort eine(n) Informationssicherheitsbeauftragte(n) erhalten – sowie für wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen.

Dieses „Gewimmel“ erfordert Koordination, und zwar durch eine(n) Koordinator(in) für Informationssicherheit. Der Gesetzesentwurf schweigt zu den Aufgaben und Kompetenzen dieses Amts; die Gesetzesbegründung stellt klar, dass hiermit (endlich) „CISO Bund“ eingeführt werde. Alles Übrige soll dann ein Kabinettsbeschluss regeln. Wichtig sei nur, dass „die Funktion möglichst unabhängig organisiert“ werde. Eine gute Lösung wäre es, den CISO Bund dem BSI beziehungsweise dessen Präsidentin zu übertragen.

Prekäre Stellung des BSI

Damit lässt sich gleich zum nächsten, bislang unbefriedigend gelösten Problem überleiten: die Abhängigkeit des BSI von Weisungen des Bundesinnenministeriums, dem beispielsweise auch die Nachrichtendienste und andere Sicherheitsbehörden unterfallen. Dieses Thema ist ein alter Hut und schon seit der Errichtung des BSI wiederholt problematisiert worden.

Ungeachtet der verschiedenen denkbaren Modelle ist entscheidend, ob das BSI in der Lage ist, transparent, nachvollziehbar und nach fachlicher Kompetenz zu handeln. Das NIS-2-Umsetzungsgesetz hätte die Aufgaben des BSI anpassen können, um klarzustellen, dass das BSI nicht auf Weisung des Bundesinnenministeriums wider der Förderung von Cybersicherheit handelt. Insbesondere eine explizite Pflicht des BSI, gemeldete Schwachstellen an den jeweiligen Hersteller weiterzugeben, würde das Vertrauen in die Behörde stärken.

EU systematisiert, Deutschland verwirrt

Doch nicht nur die Grundsatzentscheidungen des Gesetzesentwurfs enttäuschen. Die EU bemüht sich, seit der Cybersicherheitsverordnung ein kohärentes Begriffsgerüst für das Cybersicherheitsrecht zu entwerfen. Das reicht von einer einheitlichen Cybersicherheitsdefinition bis hin zu einem einheitlichen Verständnis von Schwachstellen.

Dieses Unterfangen konterkariert die Bundesregierung in ihrem Entwurf wiederholt. So verwendet der Entwurf unter anderem die Begriffe „Informationssicherheit“, „Netz- und Informationssicherheit“, „IT-Sicherheit“ und „Cybersicherheit“. Die Neuordnung des BSI-Gesetzes wäre eine Chance gewesen, auch inhaltlich Systematik herzustellen.

Zudem macht sie aus wesentlichen Einrichtungen jetzt „besonders wichtige“ Einrichtungen – wohl, weil sie die Bezeichnungen „wesentlich“ und „wichtig“ für irreführend hielt. Ob diese Bedenken berechtigt sind, ist Ansichtssache, verdeutlicht die „Wesentlichkeit“ doch die Bedeutung bestimmter Einrichtungen und Dienste für unsere Gesellschaft – ganz nach dem Sinngehalt kritischer Infrastrukturen. Jedenfalls sprengt dieser deutsche Sonderweg die EU-rechtliche Systembildung auf nicht gerade sprachgewandte Weise.

Auch die Einführung der „kritischen Anlagen“ weicht vom europäischen Konzept ab und stiftet gemeinsam mit den „kritischen Komponenten“ und „kritischen Dienstleistungen“ Verwirrung. Denn die NIS-2-Richtlinie löst sich vom Begriff der „Kritischen Infrastrukturen“, um die Cybersicherheit in der gesamten EU an Schlüsselstellen zu stärken.

Kritikwürdig ist allgemein die fehlende Systematisierungsleistung dieser Gesetzes-Novelle: Weder der allgemeine Aufbau des Gesetzentwurfs noch beispielsweise die Reihenfolge der Aufgaben des BSI wirken durchdacht. Das Bundesinnenministerium hätte mehr Struktur schaffen können – auch, um die Praktikabilität zu erhöhen.

Auch der Maßnahmenkatalog, den besonders wichtige und wichtige Einrichtungen erfüllen müssen, ist sowohl irreführend, weil er zu falscher Sicherheit verleiht, als auch nicht auf alle Einrichtungen gleichermaßen anwendbar. Der Verweis auf den Stand der Technik wäre hier zielführender und in der Praxis deutlich besser gestaltbar gewesen.

Weg aus der Regulierung

Hinzu kommen die „vernachlässigbaren“ Geschäftstätigkeiten: Sofern die Geschäftstätigkeiten, die den durch die NIS-2-Richtlinie regulierten Einrichtungsarten entsprechen, insgesamt nur eine deutlich untergeordnete Rolle spielen, entfallen die Pflichten zu mehr Cybersicherheit.

Dieser Passus öffnet Unternehmen daher einen Weg aus der Regulierung – bei bislang unklarer Definition von Grenzen und Maßstäben ebenjener vernachlässigbaren Geschäftstätigkeiten. Zugleich verfehlt Deutschland mit derlei Vorstößen das eigentlich angestrebte Ziel der Mindestharmonisierung durch die NIS-2-Richtlinie.

Wesentliche Fragen unbeantwortet

Enttäuschend ist nicht zuletzt auch, dass das NIS-2-Umsetzungsgesetz einigen wichtigen, vieldiskutierten Fragen ausweicht, die schon seit mehreren Jahren den Kern der nationalen Cybersicherheitsdebatte ausmachen.

Beispielsweise lässt der Entwurf ungeklärt, ob das BSI gemeldete Schwachstellen zurückbehalten und an Sicherheitsbehörden weitergeben darf, damit diese etwa Online-Durchsuchungen oder Quellen-Telekommunikationsüberwachung durchführen, das heißt per „Staatstrojaner“ IT-Systeme überwachen können. Die Weitergabe von gemeldeten Schwachstellen untersagt der Gesetzesentwurf nicht.

Dabei hat das Bundesverfassungsgericht der Gesetzgebung aufgegeben, bei der Geheimhaltung und Verwendung von Zero-Day-Schwachstellen (dem Hersteller unbekannte Schwachstellen) zu regeln, inwiefern der Ermittlungserfolg mit dem Interesse der Allgemeinheit an der Benachrichtigung der Hersteller und Behebung von Schwachstellen abzuwiegen ist (sogenanntes Schwachstellen-Management).

Bedauerlich ist vor allem, dass die Zurückbehaltung von Zero-Day-Schwachstellen zu nachrichtendienstlichen und Strafverfolgungszwecken nicht ausgeschlossen ist. Und es ist ungünstig, dass die Regierung nicht wenigstens die Umstände und Maßstäbe für die Geheimhaltung von Schwachstellen regelt.

Auch der bislang noch unklare Plan zur Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen bewirkt, dass die Neuregelung des BSI-Gesetzes wohl bald Nachbesserungen erfordert. Denn ein ganzheitlicher Regulierungsansatz, der den Schutz vor physischen Gefahren und hybriden Bedrohungen mitdenkt, ist nach wie vor nicht gegeben, obwohl eigentlich in diesen Zeiten unbedingt erforderlich.

Die kommenden Wochen sind entscheidend

Der NIS-2-Umsetzungsentwurf für Deutschland wird in den nächsten Wochen bestimmen, wie sich das Thema Cybersicherheit hierzulande entwickeln wird: Werden alle Einrichtungen – Unternehmen wie Behörden – ihre Resilienz stärken oder werden Pflichten abgeschwächt und das Sicherheitsniveau systemisch gesenkt?

Die Politik sieht, dass Cybersicherheit Geld kostet. Ein Mangel an Cybersicherheit kostet aber ebenso – von Ransomware-Zahlungen bis hin zur Bewältigung von Cyberangriffen, zum Beispiel durch Arbeitsstunden und Kosten für neue IT-Systeme. Und nie war die Zeit günstiger als jetzt, um in die Cybersicherheit zu investieren.

Dennis-Kenji Kipker ist Research Director am Cyberintelligence Institute und Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin.

Carolin Kemper ist Forschungsreferentin am Deutschen Forschungsinstitut für öffentliche Verwaltung.

Ein wunder Punkt bei Online-Werbung sind etwa oftmals betrügerische Anpreisungen von vermeintlich sicheren Geldanlagen, bei denen die kriminellen Drahtzieher auf Namen und Gesichter prominenter Mitbürger setzen. Einige der Unternehmen, die diese Werbung ausspielen, reagieren jedoch nur langsam auf die Meldung derartiger Betrugsversuche. Insbesondere Meta fällt hier negativ auf, wie das Unternehmen Leakshield festgestellt hat.

Das Softwareunternehmen sucht für seine Kunden unter anderem nach betrügerischer Werbung in sozialen Netzwerken und versucht, deren Löschung zu veranlassen. Solche Werbeanzeigen sind auf diversen Plattformen von großen Playern platziert, etwa auch bei Google. Besonders perfide: Die einzelnen geschalteten Werbebilder sind jeweils nur wenige Stunden geschaltet – in der offiziellen Meta Ads Library lässt sich nachvollziehen, dass diese Werbungen lediglich eine bis zwölf Stunden aktiv gesetzt sind – und werden in rascher Folge ersetzt. Dadurch sinkt die Wahrscheinlichkeit, schnell entdeckt und frühzeitig blockiert zu werden, jedoch gelingt dies Unternehmen mit spezialisierten Tools.

Wenn eine Meldung so einer Werbung als betrügerisch erfolgt, sollte diese also rasch entfernt werden. Sonst laufen diejenigen, die sie angezeigt bekommen, Gefahr, Opfer der Betrugsmasche zu werden.

Langsame Löschung trotz verlässlicher Meldungen

Insbesondere, wenn es sich um verlässliche Berichte handelt, die sich etwa mit einer sehr hohen Takedown-Quote durchaus belegen lassen, sollten Plattformen, die solche Werbung schalten, schnell reagieren. Anders als etwa bei Google dauert es bei Meta / Facebook jedoch im Median etwa 12 Tage, bis Scam-Werbung mit Frank Thelen gelöscht wird. Missbrauchen die Kriminellen den Namen und das Antlitz von Dirk Müller, sind es noch 4 Tage (Median), bis die Werbung von Meta verschwindet Wohlgemerkt, sie ist dann bereits ohnehin nicht mehr aktiv geschaltet.

Nicht nachvollziehbar ist dabei, dass die MD5-Checksummen der Werbebilder nach einer Sperrung nicht gefiltert werden. Die wiederholen sich, merkt Leakshield gegenüber heise online an, auch bei später geschalteter Scam-Werbung.

Hier gibt es offenbar noch deutlichen Nachholbedarf seitens Meta. Andere Marktbegleiter zeigen, dass das schneller und kundenfreundlicher geht.

(dmk)