Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die erste Version seines Leitfadens zur Methodik des IT-Grundschutzes++ veröffentlicht. Der entsprechende Katalog ist bereits zum 1. Januar 2026 erschienen. Damit kommt das BSI seiner in der NIS2-Umsetzungsverordnung festgelegten Pflicht nach, einen neuen „Stand der Technik“ zu definieren, der für alle wichtigen und besonders wichtigen Organisationen verpflichtend ist. Die bisherige Fassung des IT-Grundschutzes gilt aber noch bis Ende 2028.

Damit hat das BSI pünktlich und umfangreich geliefert, aber es ist auch festzustellen, dass noch nicht alles fertig ist. Wer mit dem Leitfaden und dem Anwenderkatalog jetzt die Migrationen starten möchte, sollte besser noch etwas Geduld haben. Der Leitfaden ist explizit nur für Pilotprojekte und nicht für die Migration von Informationsverbünden, die derzeit ein Informationssicherheitsmanagementsystem (ISMS) nach Grundschutz Edition 2023 betreiben.

Weniger Aufwand dank Maschinenlesbarkeit

Das BSI hat nun bis Ende 2028 Zeit, aus den Pilotprojekten zu lernen und die Methodik, die Umsetzungshilfen, das Auditierungsschema und alles, was die Anwender sonst benötigen, weiterzuentwickeln. Besonders wichtig ist auch ein Migrationspfad und die notwendigen Werkzeuge, denn der Grundschutz++ besteht nicht mehr aus PDF-Dateien, die jeweils einen Baustein enthalten, sondern aus drei OSCAL-Katalogdateien (Methodik, Kernel und die Kombination aus beiden, der Anwenderkatalog). Dazu kommen Anleitungen, beispielsweise welche Kontrollen die Organisation auf ein Hostsystem (früher: Server) anwenden muss. Mit der Verwendung eines maschinenlesbaren Standards will das BSI auch die Verwaltung der Sicherheitsanforderungen erleichtern.

Mit dem am heutigen Mittwoch erschienenen Leitfaden wird bereits viel erklärt – nützlich für alle, die sich früh auf die Migration vorbereiten wollen oder als NIS2-Betroffene ein ISMS nach vom BSI definierten „Stand der Technik“ aufbauen wollen. Aber mit Änderungen ist noch zu rechnen. Was sich wohl nicht mehr stark ändern wird, sind die genannten drei Kataloge. Hier finden Anwender alle Kontrollen, an denen sie sich auch heute schon orientieren können. Der Leitfaden unterstützt beim Verständnis. Im Zweifel gilt allerdings immer, was der Katalog festlegt.

Für Neugierige hat die „AG 3 Benutzergenerierte Inhalte“ der aktuellen Phase 2 der Community-Kommentierung mehrere Werkzeuge bereitgestellt. Der „GSpp-Viewer.html“ zeigt den Katalog und die Zielobjektkategorien. Die weiteren One-Page-HTML-Apps bilden alle Arbeitsschritte gemäß NIST OSCAL 1.1.3 ab.

(axk)

Apple wird im Laufe des Mittwochs ein spezielles Update für Nutzer ausliefern, die mit ihren Geräten noch unter iOS 18 verblieben sind. Der Grund: Sie sind möglicherweise für die Malware DarkSword anfällig, die über verschiedene Websites verbreitet wird. Da der Quellcode für den Datenschädling mittlerweile bekannt ist, verbreitet er sich derzeit. Die Infektion beginnt, sobald man eine infizierte Seite im Browser aufruft. Aufgetreten sein soll das bereits auf Websites mit Zielgruppe in der Ukraine, Malaysia, Saudi-Arabien und Türkei. Es kann aber letztlich überall passieren, sofern die Kriminellen die Kontrolle über einen Server haben. DarkSword soll weitgehenden Zugriff auf die Hardware erhalten, kann somit zahlreiche Daten auslesen und exfiltrieren sowie vermutlich auch Kamera und Mikrofon aktivieren.

Ein abgedichtetes iOS 18 ist längst da

In iOS 26 hatte Apple die von DarkSword ausgenutzten Lücken bereits geschlossen. Auch für iOS 18 liegen eigentlich längst Patches vor, zuletzt lieferte Apple zusammen mit iOS 26.4 auch iOS 18.7.7 und iPadOS 18.7.7 aus. Das Problem: Diese Aktualisierungen laufen nur auf iPhone XS, XS Max und XR sowie den iPads der 7. Generation. Dies sind Geräte, die iOS 26 nicht mehr vertragen, aber mit iOS 18 arbeiten. Für alle moderneren iPhones und iPads erwartet Apple eigentlich, dass User auf iOS 26 beziehungsweise iPadOS 26 wechseln. Auch wegen der umstrittenen neuen Oberfläche Liquid Glass taten dies aber nicht alle.

Deswegen will Apple nun eine zusätzliche Version von iOS 18 (und vermutlich iPadOS 18) herausbringen, die mittels Backporting kritische Fehlerbehebungen ausliefern soll. „Wir stellen das iOS-18-Update für weitere Geräte bereit, damit Nutzer, bei denen die automatische Aktualisierung aktiviert ist, wichtige Sicherheitsupdates automatisch erhalten“, so Apple gegenüber dem Magazin Wired. Das heißt: Apple öffnet die Updates auch für Geräte, die eigentlich mit iOS 26 arbeiten. Apple empfiehlt allerdings weiterhin, für den „fortschrittlichsten Schutz” gleich ganz auf iOS 26 umzusteigen.

Neben DarkSword gab es auch Coruna

Der Vorgang wirft ein Schlaglicht auf die Tatsache, dass Apple Fehlerbehebungen nur noch teilweise an ältere Versionen seiner Betriebssysteme ausliefert beziehungsweise – wie bei iOS 26 und neueren Geräten – gar keine mehr. Der bekannte Sicherheitsexperte Patrick Wardle sagte gegenüber Wired, wenn der Schutz der Nutzer wichtig ist, müssten kritische Fehlerbehebungen auch für ältere Versionen der Standard sein.

Apple hatte bereits verschiedene ältere Versionen mit Fixes außer der Reihe versehen, um seine Systeme neben DarkSword auch gegen eine andere Malware namens Curona abzusichern. Es zeigt sich einmal mehr, dass nur die jeweils neueste Version eines Apple-Betriebssystems die am besten geschützte ist, was angesichts des Jahrestaktes an Updates, die Apple nach wie vor vorlegt, Nutzer in Gefahr bringt, die nicht so schnell aktualisieren wollen.

(bsc)

Rund neun Millionen Menschen in Deutschland haben Geld in Aktienfonds und ETFs investiert. Viele hoffen, damit für ihr Alter vorzusorgen und befürchtete Rentenlücken zu überbrücken. Die beliebten ETFs bilden dabei die Entwicklung eines Wertpapierindexes nach, einer der bekanntesten Indizes ist der MSCI World, auf dem viele ETF-Produkte wie der „iShares Core MSCI World ETF“ von BlackRock basieren.

Doch wer in einen Index mit vielen verschiedenen Unternehmen investiert, findet darunter meist auch solche, die jede Menge Kritik erhalten. Etwa Palantir, das derzeit mit 0,4 Prozent Gewichtung im oben genannten ETF enthalten ist. So wie im „iShares Core MSCI World ETF“ befinden sich Palantir-Anteile in mehreren hundert Indexfonds.

Palantir scheint für Anleger:innen attraktiv: Im 4. Quartal 2025 machte das US-Unternehmen mehr als 1,4 Milliarden US-Dollar Umsatz. Das hat der Hersteller von Big-Data-Analyse-Software wie Gotham zu großen Teilen der US-Regierung unter Donald Trump zu verdanken. Verschiedene Bereiche der Trump-Administration setzen auf Produkte aus dem Haus der Firmenmitgründer Peter Thiel und Alex Karp. International am bekanntesten ist wohl die zentrale Bedeutung von Palantirs Software für die US-Abschiebebehörde ICE, die mit Produkten des Unternehmens Jagd auf Migrant:innen macht. Der Strom an Aufträgen für Palantir reißt nicht ab: Erst kürzlich berichtete die Nachrichtenagentur Reuters, dass Palantirs KI-System „Maven“ im Pentagon nun als Kernsystem der US-Militärstrategie gilt. In Iran und Gaza kommt ebenfalls Palantir-Software zum Einsatz.

Die mittlerweile feste Rolle des Unternehmens in den Vereinigten Staaten trug offenkundig auch dazu bei, dass Palantirs Aktienkurs seit Donald Trumps zweiter Amtszeit als US-Präsident kräftig zugelegt hat. Rangierte das Papier vor dessen Wahl in einem Bereich um die 20 Euro, erreichte der Kurs im November 2025 sogar einen Wert bis zu rund 176 Euro.

Es verwundert also nicht, dass Palantir mittlerweile ein beliebtes Investitionsobjekt ist. Das gilt nicht nur für Privatanleger:innen, sonder offenbar auch für Banken, Vermögensverwalter, Pensionskassen und Versicherungen, wie eine Recherche des niederländischen Investigativ-Mediums Follow the Money mit internationalen Partnermedien zeigt.

Beteiligung an Palantir steigt Europa-weit

Das Ergebnis: Trotz immer neuer medial bekannter Menschenrechtsbedenken lassen sich viele der großen Investoren und Finanzdienstleister offenbar nicht abschrecken. Bei fast allen der 20 größten europäischen Anteilsinhaber erhöhte sich deren Bestand an Palantir-Aktien zwischen dem letzten Quartal des Jahres 2024 und 2025. Allen voran die norwegische Norges Band, die Ende 2025 29 Millionen Palantir-Aktien hielt – das entsprach damals einem Marktwert von 5,1 Milliarden US-Dollar. Das gesamte Investitionsvolumen von mehr als 100 europäischen Banken, Vermögensverwaltern und Versicherern beziffert Follow the Money auf mindestens 27 Milliarden US-Dollar.

netzpolitik.org konnte gemeinsam mit Follow the Money die Beteiligungen der zehn deutschen Unternehmen analysieren, die die meisten Aktien von Palantir halten. Die Zahlen dazu stammen aus den sogenannten 13F-Berichten, die von der US-Börsenaufsicht vierteljährlich veröffentlicht werden.

Spitzenreiter bei der absoluten Anzahl der Aktien ist unter den deutschen Akteuren mit großem Abstand die Deutsche Bank AG. Hielt sie Ende 2024 noch 6,7 Millionen Aktien des Unternehmens, waren es ein Jahr später schon mehr als 11 Millionen. Das entspricht aktuell einem Wert von 1,9 Milliarden US-Dollar und macht 0,64 Prozent des Gesamtportfolios der Deutsche Bank AG aus. Palantir steht somit auf Platz 18 der größten Investitionen der Bank. Damit ist die Deutsche Bank auch europaweit eine der größten Investor:innen des Unternehmens.

Spitzenreiter beim prozentualen Zuwachs ist der Versicherungskonzern Allianz SE, der seinen Aktienanteil an Palantir binnen eines Jahres um 1.126 Prozent steigerte – von 6.300 auf 77.255 Aktien. Das entspricht 0,18 Prozent des Gesamtportfolios. Die Kapitalverwaltungsgesellschaft der Allianz, die Allianz Asset Management GmbH, hält absolut gesehen noch mehr Anteile, nämlich über 2,4 Millionen.

Passive und aktive Investitionen

Die Aktienanteile der genannten und in der Tabelle aufgeführten Unternehmen können auf unterschiedliche Art und Weise zustande kommen. Mehrere der angefragten Unternehmen verwiesen darauf, dass die Anteile hauptsächlich daher rührten, dass Palantir in mehreren passiven Indexfonds enthalten ist. Neben dem eingangs erwähnten Blackrock-ETF haben andere Produkte noch deutlich höhere Palantir-Gewichtungen in ihrem Fonds. Etwa ein ETF, der sich auf US-Rüstungstechnologie konzentriert. Darin ist Palantir mit einer Gewichtung von mehr als 5 Prozent überdurchschnittlich vertreten.

Stecken also Kund:innen der Finanzinstitute ihr Geld in einen solchen Fonds, steigt auch die Menge an Palantir-Aktien im Portfolio des Unternehmens. So antwortet etwa die DWS, ein zur Deutschen Bank gehöriger Vermögensverwalter, in deren Auftrag: „Palantir ist Bestandteil gängiger Aktienindizes wie MSCI USA, S&P 500, MSCI World, Nasdaq 100. Diese Indizes dienen als Referenzindex einiger passiver ETFs, die die DWS anbietet.“ Veränderungen in den gehaltenen Anteilen würden sich so „primär aus Anpassungen der Indexzusammensetzungen sowie der Nachfrage unserer Kunden nach den jeweiligen Produkten“ zusammensetzen. Zu Details wolle man sich jedoch nicht äußern.

Eine andere Art, die Palantir-Anteile zu erhöhen, sind selbstgesteuerte Investitionen, etwa durch aktiv verwaltete Aktienprodukte. Wie relevant diese Investitionsart ist, wollte uns keines der angefragten Unternehmen offiziell mitteilen. Unseren Informationen zufolge verzichten einige der aufgeführten Unternehmen auf eigene, aktive Investitionen in Palantir, sowohl aus Bedenken gegen die Geschäftspraktiken als auch wegen Zweifeln an der ökonomischen Stabilität des US-Unternehmens.

Bedenken zu den Beteiligungen

In der Liste der zehn deutschen Top-Investoren findet sich nur ein Unternehmen, das seine Anteile zurückgefahren hat: die Baader Bank AG. Bei der DekaBank haben sich die Anteile nicht verändert. Auf europäischer Ebene jedoch gibt es noch mehr solcher Beispiele: Der norwegische Vermögensverwalter Storebrand verkaufte seine Anteile an Palantir wegen des Einsatzes von Palantir-Technologie zur Überwachung von Palästinenser:innen. Andere wie das belgische Bankinstitut KBC schlossen Palantir aus Produkten wie Fonds aus, die Nachhaltigkeit bewerben. Ein Bericht des US-Finanzdienstleisters MSCI bewertet Palantir in den Kategorien „civil liberties“ and „human rights concerns“ auf einer Skala von 1 bis 10 mit einer 2.

Doch auch bei den nicht als nachhaltig beworbenen Produkten stellt sich eine Frage: Die meisten Banken und andere Finanzinstitute haben sich den OECD-Leitsätzen „für multinationale Unternehmen zu verantwortungsvollem unternehmerischem Handeln“ und den UN-Leitprinzipien für Wirtschaft und Menschenrechte verpflichtet. Damit bekennen sie sich unter anderem dazu, „sich um Mittel und Wege zu bemühen, negative Auswirkungen auf die Menschenrechte zu verhüten oder zu mindern, die aufgrund einer Geschäftsbeziehung mit ihrer Geschäftstätigkeit, ihren Produkten oder Dienstleistungen unmittelbar verbunden sind, selbst wenn sie nicht zu diesen Auswirkungen beitragen“. Das würde nicht nur für eigene aktive Investitionen gelten, sondern auch dann, wenn die Unternehmen ihren Kund:innen ETFs von Dritten anbieten. Wie passt das zur Kritik an Palantir?

Tara Van Ho, Expertin für internationales Investment-Recht an der St. Mary’s University in Texas, plädierte gegenüber Follow the Money dafür, dass die Unternehmen möglicherweise Abstand von Palantir nehmen sollten: „Wenn glaubwürdige Bedenken hinsichtlich Menschenrechtsverletzungen bestehen, in die Palantir verwickelt ist, haben die Finanzakteure die Verantwortung, ihren eigenen Einfluss auf Palantir geltend zu machen, um zu versuchen, eine Änderung seines Verhaltens zu bewirken“, sagte sie. „Wenn Palantir sich weigert, sich zu ändern, müssen sie Wege finden, diese Beziehung zu beenden.“

Palantir selbst weist gegenüber dem Recherchenetzwerk Vorwürfe zurück, dass das Unternehmen zu Menschenrechtsverstößen beitrage oder eine anti-demokratische Agenda verfolge. Stattdessen verwies ein Sprecher darauf, dass Palantirs Software europäischen Institutionen bei Gesundheitsversorgung, Verteidigung, Strafverfolgung und nationaler Sicherheit geholfen habe.

„Stolz auf die europäischen Investitionen“

Doch wie könnte überhaupt eine solche Beziehung beendet werden? Allianz Global Investors teilt uns mit, einzelne Unternehmensbeteiligungen nicht zu kommentieren, schreibt aber allgemein: „Sämtliche Investmententscheidungen folgen unternehmensweit etablierten und robusten Prozessen. Dazu zählt insbesondere die Prüfung potenzieller Verstöße gegen international anerkannte Normen in den Bereichen Menschenrechte, Arbeitsstandards, Umweltschutz und Korruptionsbekämpfung.“ Diese Prüfung stütze sich „sowohl auf Daten anerkannter externer Anbieter als auch auf eigene Analysen und Einschätzungen“. Wenn man Auffälligkeiten entdecke, würden „diese selektiv im Rahmen unserer regelmäßigen Gespräche mit den Unternehmen“ adressiert. „Je nach Portfolioausrichtung und Schwere des Verstoßes kann im Extremfall der Ausschluss des Unternehmens aus dem investierbaren Universum erfolgen.“

Nach einem breiten Ausschluss von Palantir sieht es bisher keineswegs aus. Und auch wenn einige Anbieter Palantir nicht in ihre als nachhaltig gelabelten Fondsprodukte einschließen, lassen sich auch bei den „nachhaltigen“ Anlageprodukten solche mit Palantir-Anteilen finden. Etwa wenn sich die Fonds primär am Kohlendioxidausstoß der enthaltenen Firmen richten.

Palantir selbst sagt in einem Statement gegenüber Follow the Money, man sei „stolz auf die europäischen Investitionen in das Unternehmen“. Stolz dürfte Palantir auch auf die Aufträge sein, die es von europäischen Regierungen bekommt. In Deutschland arbeiten die Polizeien in Bayern, Hessen und Nordrhein-Westfalen bereits mit Palantir-Software. Baden-Württemberg sah eine Nutzung ab 2026 vor. Doch dort und anderswo in Ländern und Bund verbreitet sich Skepsis.

Bedenken bei Bundesminister:innen

Bundesjustizministerin Stefanie Hubig äußerte Bedenken und plädierte dafür, nur Mittel zu nutzen, „die mit rechtsstaatlichen Grundsätzen vereinbar sind“. Bundesverteidigungsminister Boris Pistorius ging auf Distanz zum deutschen Drohnenhersteller Stark Defence, da Palantir-Gründer Peter Thiel Anteile an dem Unternehmen hält.

Das Bundesinnenministerium äußert sich weniger klar. Der Bundestagsabgeordnete Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Parlament und stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums, fragte Innenminister Alexander Dobrindt schriftlich zu einer Beschaffung von Palantir-Produkten. Der Minister antwortete ausweichend: Eine gesonderte Positionierung der Bundesregierung dazu sei „nicht erfolgt und im Rahmen laufender fachlicher Prüf- und Entscheidungsprozesse auch nicht erforderlich“.

Von Notz kritisiert das gegenüber netzpolitik.org und erwartet eine klare Absage vom Bundesinnenminister. Die Antwort der Bundesregierung nennt der Abgeordnete „einmal mehr frappierend“: Obwohl Minister:innen auf Landes- und Bundesebene von Palantir abrücken würden und sich Gedanken über europäische Alternativen machten, sei man im Innenministerium „weiterhin nicht bereit, selbst diesen Schritt zu gehen und sich an den Diskussion zu beteiligen“. Auch die Bundesregierung sei nicht gewillt, „sich untereinander in dieser sicherheitspolitisch äußerst relevanten Frage abzustimmen und zu einer gemeinsamen Linie zu kommen“.

Vor diesem Hintergrund würden „alle schönen Sonntagsreden zur dringend notwendigen Erhöhung digitaler Souveränität und alle Gipfel, die man hierzu veranstaltet hat, zur Makulatur“.

Weitere Teile der Recherche erschienen bei Follow the Money, De Tijd, Børsen, Der Standard, Republik, Morgenbladet, The Nerve und El País.