Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verschärft bei der Umsetzung der NIS2-Richtlinie den Ton, setzt aber zunächst weiter auf Kooperation. Seit Inkrafttreten des novellierten BSI-Gesetzes am 6. Dezember 2025 müssen sich betroffene Unternehmen beim BSI registrieren. Ziel ist es, Störungen und Sicherheitsvorfälle bei Einrichtungen mit besonderer Bedeutung für Wirtschaft und Gesellschaft zu verhindern.

Die gesetzliche Registrierungsfrist ist am 6. März abgelaufen. Doch die Umsetzung stockt. In einem heise online vorliegenden Schreiben an Branchenverbände räumt das BSI ein, dass sich deutlich weniger Firmen angemeldet haben als erwartet. Die Organisationen sollen ihre Mitglieder daher erneut auf die Pflicht hinweisen. Das BSI geht davon aus, dass alle noch ausstehenden Registrierungen bis spätestens 31. Juli 2026 abgeschlossen werden.

Um den Prozess zu erleichtern, verweist die Behörde auf einen Frage-Antwort-Katalog, eine unverbindliche Betroffenheitsprüfung sowie weitere Informationsangebote unter dem Hashtag „#nis2know“. Offene Fragen sollen über die Verbände gebündelt ans BSI übermittelt werden. In Ausnahmefällen gewährt die Behörde eine Nachfrist von sechs Wochen nach Klärung offener Fragen.

Eine BSI-Sprecherin sagte heise online, der Stand der Anmeldungen sei „grundsätzlich zufriedenstellend“. Bis Ende Mai hätten sich knapp 18.500 Einrichtungen registriert. Der Aufwand sei gerade für bislang nicht regulierte Firmen und den Mittelstand hoch. Deshalb baue das Amt weiter auf Aufklärung. Zugleich macht die Behörde deutlich, dass bei anhaltenden Verstößen Bußgelder möglich seien. Sie können bis zu 500.000 Euro betragen.

Experten fordern: „Zähne zeigen“

Der IT-Sicherheitsrechtler Dennis-Kenji Kipker und der Rechtsanwalt Stefan Hessel bewerten die Lage kritischer. Dass mehr als die Hälfte der betroffenen Unternehmen ihrer Registrierungspflicht nicht nachkommt, halten sie für ein alarmierendes Signal. Wer sich nicht melde, beachte gesetzliche Anforderungen zur Cybersicherheit nicht ausreichend.

Die Experten drängen deshalb auf ein entschlosseneres Vorgehen des BSI. Zwar habe auch der Gesetzgeber durch unklare Ausnahmen Rechtsunsicherheit geschaffen. Die Behörde verliere sich aber zu sehr im Detail, statt klare Leitlinien zu setzen. Das Motto müsse lauten: „Zähne zeigen.“ Nur gezielte Kontrollen und spürbare Sanktionen könnten dem Gesetz die nötige Wirkung verleihen. Andernfalls drohe NIS2 zum „Papiertiger“ zu werden und die angestrebte bessere Cybersicherheit eine theoretische Vorgabe zu bleiben.

(wpl)

Mit großem Brimborium startet heute das soziale Netzwerk W Social, das sich selbst seit Monaten großspurig als europäische Alternative zu Twitter darstellt. W Social will besser sein, weil man die Daten in Europa hostet. Außerdem muss man dort für einen Account über 18 Jahre alt sein und mit seinem Personalausweis nachweisen, dass man eine Person ist. So sollen Bots, Spam, Desinformation und Manipulation ausgeschlossen werden, das Versprechen des Anbieters.

Mal abgesehen davon, dass mit diesem Konzept Identifizierungspflichten und Alterskontrollen im Netz Vorschub geleistet wird, ist vollkommen unklar, warum wir ausgerechnet einem profitorientierten schwedischen Start-Up glauben sollen, es besser zu machen als die etablierten Twitter-Alternativen Mastodon, Bluesky oder auch Eurosky.

Geldgeber von W Social sind laut Medienberichten ein schwedisches Medieunternehmen, mit an Bord sind Leute von Spotify und Ericsson, die Geschäftsführerin war früher bei Ebay. W Social kündigt jetzt schon die Einführung für Werbung und Micropayments für Medienartikel hinter Bezahlschranke an.

Es gibt unkommerzielle Alternativen

Im Gegensatz dazu gibt es mit dem Fediverse, zu dem auch Mastodon gehört, seit Jahren unzählige unkommerzielle Alternativen und Projekte. Technisch ähnlicher zu W Social ist Eurosky, das Projekt der nicht-kommerziellen Modal-Stiftung aus den Niederlanden. Es hat vor einigen Tagen auch eine von Bluesky unabhängige App veröffentlicht.

Technisch baut W Social wie Bluesky und Eurosky auf dem AT-Protokoll auf. Das ist ein offenes, föderiertes Protokoll für soziale Anwendungen und Netzwerke. Es ermöglicht eine Interoperabilität zwischen verschiedenen Anwendungen sowie die Möglichkeit, Benutzerkonten umzuziehen.

W Social profitiert davon, dass schon Millionen Nutzer:innen bei Bluesky dabei sind, mit denen die W‑Social-Nutzer:innen interagieren können. Das ist der große Vorteil föderierter Protokolle. Es ist also schon etwas los, wenn das Projekt startet. Im Gegensatz zu etablierten Gegenspielern Mastodon, Bluesky und Eurosky, die Open Source sind, setzt W Social aber auf geschlossenen Code. Auch das führt nicht gerade zu mehr Glaubwürdigkeit.

Vorschusslorbeeren von ganz oben

Was an dem ganzen Trubel aber wirklich verwundert: Die Europäische Kommission, Ursula von der Leyen, die Europäische Zentralbank und deren Präsidentin Christine Lagarde haben gerade ihren Bluesky-Account nicht irgendwann zu Eurosky umgezogen, sondern zu W Social. Das und vieles mehr hat die Aktivistin Elena Rossini herausgefunden.

Bei soviel Vorschusslorbeeren würde mich ja interessieren, welche Kontakte das schwedische Startup hat spielen lassen, um die sonst in Sachen soziale Netzwerke eher schwerfällige EU-Kommission zu sich zu locken. Geht es der Kommission darum, Identifizierungspflichten zu stärken oder Anwendungsfälle für das EUDI-Wallet zu schaffen? Oder kennt man sich einfach gut und kommerziell ist der Kommission immer lieber als unkommerziell? Oder irgendwas mit digitaler Souveränität, weil das ja immer gut kommt? Es bleibt unklar.

Bekannt ist auf jeden Fall auch, dass W Social auch Rechtsradikalen, sofern sie denn ihren Pass vorzeigen, Raum geben will. Die AfD-Vorsitzende Alice Weidel sei willkommen, ließ die CEO von W Social den Schweizer „Blick“ wissen. Und Blocklisten wie bei Bluesky werde es nicht geben. Na dann, wohl bekomms!

Schwachstellen in den IT-Sicherheitsappliances FortiSandbox von Fortinet dienen Angreifern aus dem Netz derzeit als Angriffsziel. Aktualisierungen, um die Sicherheitslücken zu schließen, stehen schon etwas länger bereit.

Auf X meldet DefusedCyber die beobachteten Angriffe. Gleich drei Schwachstellen in FortiSandbox werden demnach attackiert. Die erste Lücke ermöglicht bösartigen Akteuren, an einer Path-Traversal-Schwachstelle in der JRPC-API von FortiSandbox anzusetzen, um mit sorgsam präparierten HTTP-Anfragen die Authentifizierung zu umgehen (CVE-2026-39813, CVSS 9.1, Risiko „kritisch“). Bereits Mitte April hat Fortinet FortiSandbox 4.4.9 und 5.0.6 veröffentlicht, die das ausbessern.

Ebenfalls unter Beschuss steht eine unzureichende Filterung von Elementen, die in einem Befehl ans Betriebssystem von FortiSandbox verwendet werden, die Angreifern ohne Authentifizierung das Ausführen von nicht autorisiertem Code oder Befehlen mittels manipulierter HTTP-Anfragen ermöglichen (CVE-2026-39808, CVSS 9.1, Risiko „kritisch“). DefusedCyber sieht auch Angriffe auf eine jüngere Sicherheitslücke, die das unbefugte Einschleusen von Befehlen ohne vorherige Authentifizierung mittels manipulierter HTTP-Anfragen ermöglichen, die ans Betriebssystem durchgereicht und dort ausgeführt werden (CVE-2026-25089, CVSS 9.1, Risiko „kritisch“). Die Schwachstelle hat Fortinet in der vergangenen Woche gemeldet, die Versionen mit den Fehlerkorrekturen sind jedoch die gleichen wie aus dem April.

Ausmaß der Angriffe unklar

DefusedCyber bleibt sehr schmallippig und erwähnt lediglich, dass die IT-Forscher nach eigenen Angaben seit dem 14. Juni Angriffe auf diese Schwachstellen beobachten. Ein Screenshot zeigt eine Anfrage auf einen jsonrpc-Endpunkt. Die Fortinet-Advisories bestätigen die Angriffe derzeit noch nicht, sie weisen zum Meldungszeitpunkt „Known Exploited: No“ aus.

Zu den Angriffen auf die jüngere Schwachstelle CVE-2026-25089 schreiben die Autoren noch kurz, dass der Exploit mutmaßlich mittels Vibe Coding entstanden ist, also mit KI-Unterstützung. Er sei deshalb wahrscheinlich fehlerhaft. Einen funktionierenden Exploit für die Lücke hat DefusedCyber demzufolge noch nicht gesehen, es sei noch keiner veröffentlicht worden.

(dmk)