Die Worte, die der Bundesrechnungshof kürzlich in einem internen, geleakten Bericht für die Cybersicherheit des Bundes fand, sind hart, aber notwendig: „Die IT des Bundes ist nicht bedarfsgerecht geschützt. Haushaltsmittel alleine schaffen keine Cybersicherheit.“

Danach folgt Backpfeife um Backpfeife in einem Bericht, der nicht nur ITlern die Haare zu Berge stehen lässt. Nicht einmal zehn Prozent der über einhundert deutschlandweit verteilten Rechenzentren, auf denen die IT des Bundes aufbaut, erfüllen die Mindeststandards für den Krisenfall.

Soweit man weiß jedenfalls, denn bereits die Informationslage ist mangelhaft: Dem BSI, das die Sicherheit der staatlichen Rechenzentren überprüft, fehlt es an Kontrolleuren. Erst 20 von 112 Prüfer-Stellen sind besetzt, nur drei kümmern sich um das gesamte Bundesgebiet. Dass manche Rechenzentren noch nicht einmal genug Treibstoff für die vorgeschriebene Notstromversorgung besitzen, ist daher nur die Spitze des Eisbergs. Wie viele der tragenden IT-Säulen marode sind, ist also nicht einmal völlig klar.

Das ist aber nicht die wichtigste Erkenntnis aus dem Bericht des Bundesrechnungshofs, es wäre zu kurz gegriffen, hier nur den Kopf über fehlende Redundanzen, Treibstoffkanister und Prüfer zu schütteln. Der Kern des Berichts besagt: Ihr zäumt den Gaul von der falschen Seite auf.

Denn der nunmehr dritten Cybersicherheitsstrategie des Bundes lag keine Analyse der Defizite zugrunde. Statt Probleme zu ermitteln, die zu beheben wären, rief der Bund zahlreiche Einrichtungen ins Leben, die alle irgendwie auch für Cybersicherheit mitverantwortlich sind. Nun zeichne sich die Cybersicherheitsarchitektur „durch einen Dschungel von Institutionen und Zuständigkeiten aus“.

Auch dieses vernichtende Verdikt: notwendige Härte. Denn ganze 77 Einrichtungen zählt der Bundesrechnungshof mittlerweile auf Bundesebene, die bei der IT-Sicherheit mitreden. Die verfügen aber weder über eine gemeinsame Datenbasis, noch kommunizieren sie überhaupt groß miteinander. Das Überborden der Zuständigkeiten lässt die Grafik erahnen, die Dr. Sven Herpig und Frederic Dutke unter cybersicherheitsarchitektur.de zusammengestellt haben.

Und während Innen- und Digitalministerium dem Fazit, dass hier eindeutig zu viele Akteure im Spiel sind, „im Wesentlichen zustimmen“, geben sie den Schwarzen Peter noch einmal nach oben weiter. Viele ins Leben gerufene Institutionen wären durch EU-Vorgaben bedingt. Das klingt zwar durchaus nachvollziehbar (die EU-Institutionen bilden den großen Block im oberen Drittel der Grafik), wirkt aber auch wie das Eingeständnis, eine effektive Umsetzung verbaselt zu haben – siehe aktuell NIS2.

Der Fisch hat in dem Fall also nicht einen, sondern viele Köpfe, die aber alle nicht mehr so gut riechen. Wenn es mehr Sicherheits-Behörden als Sicherheits-Kontrolleure gibt, dann läuft da etwas falsch. Wer möchte, kann auch einmal in seinem Erfahrungsschatz kramen, wie bereit man wäre, ein Projekt mit 77 beteiligten Parteien und ohne einheitliche Datenbasis voranzutreiben. Digitalminister Wildberger drückte es kürzlich im Interview mit den Tagesthemen ganz treffend aus: „Alles wieder etwas zurückbauen, damit einfach wieder Sauerstoff reinkommt“. Das wäre sinnvoll. Und etwas mehr Sprit für das Notstromaggregat bitte auch.

Bei diesem Kommentar handelt es sich um das Editorial der neuen iX 8/2025, die am 25. Juli erscheint.

(kki)

Oracle hat in der Nacht zum Mittwoch seinen quartalsweise stattfindenden „Critical Patch Update“ genannten Patchday begangen. Dabei hat das Unternehmen 309 Sicherheitspatches für Produkte quer durch sein Portfolio veröffentlicht.

In der Übersicht zum Oracle CPU im Juli listet das Unternehmen die einzelnen Schwachstellen in den Produkten auf. Von den 309 Schwachstellen stufen Oracles Entwickler neun als kritisches Risiko ein. Weitere 144 gelten als hochriskant und haben einen CVSS-Wert von 7.0 bis 8.9. Die meisten dieser Lücken lassen sich von Angreifern aus dem Netz missbrauchen, in weiten Teilen ohne Privilegien am System, also etwa ohne vorherige Authentifizierung.

Insgesamt 111 Produkte sind laut Oracles Auflistung von Sicherheitslücken betroffen. IT-Verantwortliche sollten prüfen, ob sie davon welche einsetzen, und die verfügbaren Updates zügig installieren. Oracle weist zudem darauf hin, dass ausschließlich für Produkte Updates bereitstehen, die noch „Premier Support“ erhalten oder in der erweiterten Support-Phase sind; wer ältere Softwarestände einsetzt, sollte zunächst auf noch unterstützte Fassungen aktualisieren.

Der vorherige Oracle CPU fand im April statt. Da musste der Hersteller sogar 378 Schwachstellen ausbessern. Der Großteil davon ließ sich da aus der Ferne ohne vorherige Anmeldung ausnutzen.

(dmk)

Cisco hat vier neue Sicherheitsmitteilungen veröffentlicht und eine ältere aktualisiert. Eine der behandelten Schwachstellen erhält die Einstufung als kritisches Risiko mit Höchstwertung. Eine weitere der Lücken gilt als hochriskant.

In Ciscos Identity Services Engine (ISE) können Angreifer aus dem Netz ohne vorhergehende Authentifizierung Befehle ins Betriebssystem einschleusen, die im Kontext des root-Users ausgeführt werden. Die Sicherheitsmitteilung stammt ursprünglich von Ende Juni. Jetzt hat Cisco ihr jedoch ein Update verpasst und den bislang bekannten Schwachstellen mit den Nummern CVE-2025-20281 und CVE-2025-20282 den neuen Eintrag CVE-2025-20337 / EUVD-2025-21708 beiseitegestellt. „Angreifer benötigen keinerlei gültige Zugriffsdaten, um die Lücke zu missbrauchen. [..] Sie können sie durch das Senden einer manipulierten API-Anfrage ausnutzen. Bei Erfolg erhalten Angreifer root-Rechte auf betroffenen Geräten“, erklärt Cisco dazu. Betroffen sind Cisco ISE und ISE-PIC 3.3 und 3.4, die Versionen 3.3 Patch 7 sowie 3.4 Patch 2 schließen die neu bekannt gewordene Sicherheitslücke.

In Ciscos Unified Intelligence Center können Angreifer mit gültigem Zugang hingegen aufgrund einer Schwachstelle im Web-basierten Management-Interface beliebige Dateien auf verwundbare Systeme hochladen. „Ein erfolgreicher Exploit erlaubt Angreifern, bösartige Dateien im System abzulegen und beliebige Befehle im Betriebssystem auszuführen“, erklärt Cisco in der Sicherheitsmitteilung. Zum Missbrauch müssen bösartige Akteure mindestens Zugriff auf Ebene „Report Designer“ haben (CVE-2025-20274 / EUVD-2025-21714, CVSS 6.3, Risiko laut Cisco jedoch „hoch„). Das höher eingestufte Risiko erklärt Cisco damit, dass Angreifer ihre Rechte zu root ausweiten können.

Weitere Sicherheitslücken in Cisco-Produkten

Cisco hat noch weitere Schwachstellen gemeldet, die der Hersteller mit Updates ausbessert.

• Cisco Identity Services Engine Authenticated Remote Code Execution and Authorization Bypass Vulnerabilities, CVE-2025-20283, CVE-2025-20284, CVE-2025-20285 / EUVD-2025-21712, EUVD-2025-21711, EUVD-2025-21709, CVSS 6.5, Risiko „mittel„
• Cisco Unified Intelligence Center Server-Side Request Forgery Vulnerability, CVE-2025-20288 / EUVD-2025-21710, CVSS 5.8, Risiko „mittel„
• Cisco Prime Infrastructure and Evolved Programmable Network Manager Blind SQL Injection Vulnerability, CVE-2025-20272 / EUVD-2025-21713, CVSS 4.3, Risiko „mittel„

IT-Verantwortliche sollten die Aktualisierungen für bei ihnen eingesetzte Geräte zeitnah anwenden.

(dmk)