Mitglieder der Unions- und SPD-Fraktion haben sich bei der Überarbeitung der Cybersicherheitsvorgaben für Kritische Infrastrukturen geeinigt. Kurz vor Ende kam noch einmal kräftig Bewegung in die Diskussionen zwischen den Beteiligten: Wie genau soll im Fall der Fälle der Betrieb einer betriebskritischen Komponente in den kritischen Anlagen verboten werden können? Bereits heute gibt es im BSI-Gesetz die Möglichkeit, dass der Einsatz kritischer Komponenten vom Bundesinnenministerium untersagt werden kann. Mit der Ausweitung der Betroffenen des dann überarbeiteten BSI-Gesetzes auf voraussichtlich etwa 30.000 Betreiber wird das wesentlich relevanter.

Künftig sollen in einer Kabinettsverordnung die jeweils als kritisch erachteten Komponenten aufgelistet werden, für die dann ein Verbot möglich wäre, wenn die Hersteller nicht als vertrauenswürdig gelten.

Zugleich wird aber die Reihenfolge geändert: Von einer Ex-Ante, also einer Prüfung im Vorhinein, wird dann auf Ex-Post umgestellt – die Betreiber können auf eigenes Risiko also Komponenten einsetzen, müssen deren Verwendung aber dem BSI anzeigen und im Nachgang bei einem Verbot auch wieder ausbauen. Da die Entscheidung über ein Verbot aber immer auch eine politische Dimension hat, muss dieses von der Hausleitung des Bundesinnenministeriums ausgesprochen werden. Dessen Staatssekretär Hans-Georg Engelke zeigte sich am Mittwochabend auch „ganz zufrieden“ mit der gefundenen Lösung.

Telekommunikationsanbieter fürchten Unsicherheit

Insbesondere die Telekommunikationsbranche fordert Planungssicherheit. „Wir brauchen an dieser Stelle Planungssicherheit und nicht ein Wiederaufmachen dieser Thematik im Jahresrhythmus“, forderte Telefonica Deutschland-Vorständin Valentina Daiber bei einer Veranstaltung des CDU-nahen Wirtschaftsrats am Mittwoch in Berlin.

Das sei zwar ein absolut legitimer Wunsch, erwiderte Klaus Müller, Präsident der Bundesnetzagentur. Ihm stehe aber eben eine sich schnell verändernde Welt entgegen. Die Bundesnetzagentur hatte erst am Montag den Entwurf neuer Sicherheitsrichtlinien im Telekommunikationsbereich veröffentlicht – im Vorgriff auf die NIS2-Regelungen.

Er sei zu den Notwendigkeiten mit der Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik Claudia Plattner regelmäßig im Dialog, sagte Müller bei der Veranstaltung: „Das sind keine schönen Gespräche.“ Tatsächlich dürften die Regelungen vor allem in anderen Kritis-Branchen Auswirkungen haben – der Telekommunikationssektor hat dank der Huawei-Debatte und dem bisherigen §9b BSI-Gesetz bereits vergleichsweise viel Erfahrung.

CISO Bund geht zum BSI

Auf Plattners Behörde kommen nun weitere Aufgaben zu: Die Rolle des „Chief Information Security Officer“ (CISO), also des IT-Sicherheitsbeauftragten der Bundesverwaltung, geht nach der Einigung im parlamentarischen Verfahren nun zur Bonner Behörde – dort soll die Stelle angesiedelt werden. Eine weitere relevante Änderung betrifft nicht nur das BSI, sondern auch die anderen nachgeordneten Bundesbehörden: Die sollen zumindest gewisse Sicherheitspflichten künftig auch erfüllen müssen. Eine Forderung, die auch der Bundesrechnungshof erhoben hat.

Mit der Einigung im Bundestag wird die Wahrscheinlichkeit von Strafzahlungen an die EU wegen der Nichtumsetzung von EU-Recht deutlich reduziert: Die EU-Kommission hatte zuletzt angekündigt, gegen jene Staaten, die die NIS2-Richtlinie nicht in nationales Recht umgesetzt haben, ein Vertragsverletzungsverfahren einzuleiten. Bislang haben erst 15 der 27 Mitgliedstaaten die Vorgaben für mehr Cybersicherheit in kritischen Infrastrukturen umgesetzt.

Die Strafe hätte zuständigkeitshalber aus dem Etat des Innenministeriums beglichen werden müssen, das den Entwurf kurz vor der Sommerpause mit einigen offenen Baustellen den Abgeordneten im Bundestag überantwortete. Der soll das Umsetzungsgesetz nach der Einigung aufgrund der vielfältigen Dringlichkeit schnellstmöglich verabschieden – kommende Woche soll das Gesetz den Bundestag passieren.

(wpl)

Die Windows-Sicherheitsupdates, die Microsoft zum Oktober-Patchday verteilt hat, können dazu führen, dass beim Rechnerneustart die Bitlocker-Wiederherstellung gestartet wird. Der Startvorgang ist dann nur mit der Eingabe des Wiederherstellungsschlüssels möglich.

Das hat Microsoft nicht öffentlich in den Windows-Release-Health-Notzien eingeräumt, sondern in nur zahlenden Admins zugänglichen Eintrag im Micosoft-Admin-Center versteckt. Dort schreibt der Hersteller: „Nach der Installation der Windows-Updates, die am oder nach dem 14. Oktober 2025 veröffentlicht wurden (KB5066835), können bei einigen Geräten Probleme beim Neustart oder Start auftreten. Betroffene Geräte starten möglicherweise mit dem BitLocker-Wiederherstellungsbildschirm, sodass Benutzer den Wiederherstellungsschlüssel einmal eingeben müssen. Nach Eingabe des Schlüssels und Neustart des Geräts wird es normal gestartet, ohne dass weitere BitLocker-Eingabeaufforderungen angezeigt werden.“

Abhilfe schafft Teil-Deinstallation

Das Unternehmen erklärt weiter: „Das Problem scheint vorrangig Intel-basierte Geräte zu betreffen, die Connected Standby unterstützen – einer Funktion, die den Geräten ermöglicht, auch in einem Stromsparmodus mit dem Netzwerk verbunden zu bleiben“. Um das Problem zu lösen, bietet Microsoft einen Known Issues Rollback (KIR) an, also eine Teil-Deinstallation der Windows-Updates. Admins, die das in ihrer Einrichtung umsetzen wollen, sollen dazu den Microsoft-Support kontaktieren.

Betroffen sind Microsofts Angaben zufolge alle unterstützten Client-Betriebssysteme: Windows 10 22H2, Windows 11 22H2, 23H2, 24H2 und 25H2. Server zeigen offenbar keine derartigen Probleme. Microsoft gibt an, das Problem noch weiter zu untersuchen.

Wer Windows einsetzt, sollte sicherstellen, eine Kopie des Bitlocker-Wiederherstellungsschlüssels im Zugriff zu haben oder in dem eigenen Microsoft-Konto zu hinterlegen. Insbesondere in Windows-Home-Versionen ist Bitlocker öfter aktiviert, ohne, dass die Nutzerinnen und Nutzer ein Backup angelegt haben. In solchen Situationen laufen Betroffene dann Gefahr, den Zugriff auf ihre Daten auf dem Rechner zu verlieren.

Im Oktober kam es bereits zu weiteren unerwünschten Nebenwirkungen der Sicherheitsupdates und der Update-Vorschauen für Windows. Microsoft berichtete von fehlschlagender Authentifizierung mit Smartcards, nicht funktionierender Maus und Tastatur in der Windows-Wiederherstellungsumgebung oder dem Fehlschlagen des Ladens von IIS-Webseiten von localhost.

(dmk)

Dells Verschlüsselungs- und Key-Managementlösung CloudLink und Command Monitor zum Verwalten von PC-Beständen in Firmen sind verwundbar. Im schlimmsten Fall können Angreifer die volle Kontrolle über Systeme erlangen.

Feindliche Übernahme

In einem Beitrag führen die Entwickler aus, dass CloudLink unter anderem über zwei als „kritisch“ eingestufte Sicherheitslücken (CVE-2025-45378, CVE-2025-46364) attackierbar ist. In beiden Fällen kann ein Angreifer PCs vollständig kompromittieren. Dafür muss er aber über nicht näher ausgeführte Rechte verfügen.

In den anderen Fällen ist unter anderem Zugriff auf sensible Informationen möglich. Angreifer können aber auch DoS-Zustände herbeiführen. Die verbleibenden Sicherheitslücken sind mit dem Bedrohungsgrad „hoch“ (CVE-2025-30479, CVE-2025-45379) und „mittel“ (CVE-2025-46365, CVE-2025-46366, CVE-2025-46424) eingestuft. Weitere Lücken betreffen die OpenSSH-Komponente (CVE-2025-26465 „mittel„, CVE-2025-26466 „mittel„). Daran können Angreifer etwa für eine DoS-Attacke ansetzen.

Die Entwickler versichern, die Schwachstellen in den CloudLink-Ausgaben 8.1.1 und 8.2 gelöst zu haben. Alle vorigen Versionen sollen angreifbar sein. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Admins sollten trotzdem zeitnah handeln.

Durch das erfolgreiche Ausnutzen der Schwachstelle (CVE-2025-46990 „hoch„) in Command Monitor können sich Angreifer, die bereits über niedrige Nutzerrechte verfügen, hochstufen. Wie solche Attacken im Detail ablaufen könnten, ist bislang nicht bekannt.

In einer Warnmeldung listen die Entwickler die dagegen geschützte Ausgabe 10.12.3.28 auf.

Erst kürzlich wurde die Datenintegrationsplattform IBM InfoSphere Information Server gegen mögliche Attacken abgesichert.

(des)