Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die erste Version seines Leitfadens zur Methodik des Grundschutzes++ veröffentlicht. Der entsprechende Katalog ist bereits zum 30. September 2025 erschienen. Damit kommt das BSI seiner in der NIS2-Umsetzungsverordnung festgelegten Pflicht nach, einen neuen „Stand der Technik“ zu definieren, der für alle wichtigen und besonders wichtigen Organisationen verpflichtend ist. Die bisherige Fassung des IT-Grundschutzes gilt aber noch bis Ende 2028.

Damit hat das BSI pünktlich und umfangreich geliefert, aber es ist auch festzustellen, dass noch nicht alles fertig ist. Wer mit dem Leitfaden und dem Anwenderkatalog jetzt die Migrationen starten möchte, sollte besser noch etwas Geduld haben. Der Leitfaden ist explizit nur für Pilotprojekte und nicht für die Migration von Informationsverbünden, die derzeit ein Informationssicherheitsmanagementsystem (ISMS) nach Grundschutz Edition 2023 betreiben.

Weniger Aufwand dank Maschinenlesbarkeit

Das BSI hat nun bis Ende 2028 Zeit, aus den Pilotprojekten zu lernen und die Methodik, die Umsetzungshilfen, das Auditierungsschema und alles, was die Anwender sonst benötigen, weiterzuentwickeln. Besonders wichtig ist auch ein Migrationspfad und die notwendigen Werkzeuge, denn der Grundschutz++ besteht nicht mehr aus PDF-Dateien, die jeweils einen Baustein enthalten, sondern aus drei OSCAL-Katalogdateien (Methodik, Kernel und die Kombination aus beiden, der Anwenderkatalog). Dazu kommen Anleitungen, beispielsweise welche Maßnahmen die Organisation auf ein Hostsystem (früher: Server) anwenden muss. Mit der Verwendung eines maschinenlesbaren Standards will das BSI auch die Verwaltung der Sicherheitsanforderungen erleichtern.

Mit dem am heutigen Mittwoch erschienenen Leitfaden wird bereits viel erklärt – nützlich für alle, die sich früh auf die Migration vorbereiten wollen oder als NIS2-Betroffene ein ISMS nach vom BSI definierten „Stand der Technik“ aufbauen wollen. Aber mit Änderungen ist noch zu rechnen. Was sich wohl nicht mehr stark ändern wird, sind die genannten drei Kataloge. Hier finden Anwender alle Punkte, an denen sie sich auch heute schon orientieren können. Der Leitfaden unterstützt beim Verständnis. Im Zweifel gilt allerdings immer, was der Katalog festlegt.

Für Neugierige hat die „AG 3 Benutzergenerierte Inhalte“ der aktuellen Phase 2 der Community-Kommentierung mehrere Werkzeuge bereitgestellt. Der „GSpp-Viewer.html“ zeigt den Katalog und die Zielobjektkategorien. Die weiteren One-Page-HTML-Apps bilden alle Arbeitsschritte gemäß NIST OSCAL 1.1.3 ab.

(axk)

Mit Artemis-2 wurden zum ersten Mal seit Apollo 17 im Jahr 1972 wieder Menschen zum Mond gestartet. Die vierköpfige Crew soll ihn zu Ostern umrunden. Es ist immer noch ein Testflug, aber die Astronauten werden sich weiter von der Erde entfernen und schneller fliegen als je ein Mensch zuvor, sagt die NASA. Um Geschäfte im Weltraum kümmert sich SpaceX und hat jetzt seinen Börsengang beantragt. Offiziell darf das niemand wissen, denn ein GröBaZ will gut vorbereitet sein. Es könnte der größte Börsengang aller Zeiten (GröBaZ) werden, denn der Konzern von Elon Musk könnte mit zwei Billionen US-Dollar bewertet werden. Derweil konnten Angreifer nach der Supply-Chain-Attacke auf LiteLLM auf interne Cisco-Daten zugreifen, wie jetzt berichtet wird. Sourcecode von Cisco und Kunden wurde demnach gestohlen. Denn durch den früheren Angriff auf eine Open-Source-Bibliothek konnten sich die Cyberkriminellen offenbar Anmeldeinformationen auch von Cisco aneignen – die wichtigsten Meldungen im kurzen Überblick.

Mit Artemis-2 ist die erste bemannte Mission zum Mond seit mehr als 50 Jahren gestartet. Mittwochabend (Ortszeit in Florida) hat die riesige Mondrakete SLS mit der Raumkapsel Orion vom Kennedy Space Center in Florida abgehoben. An Bord fliegen Reid Wiseman, Victor Glover und Christina Koch von der NASA sowie der Kanadier Jeremy Hansen. Für das Space Launch System ist es überhaupt erst der zweite Start und der erste mit Menschen. Bei Artemis-2 handelt es sich um einen Testflug, mit dem die Rückkehr von Menschen auf den Mond vorbereitet werden soll. Wenn jetzt alles nach Plan läuft, werden die drei Raumfahrer und die Raumfahrerin in den kommenden Tagen um den Mond fliegen. Dabei werden sie sich weiter von der Erde entfernen als je ein Mensch zuvor: Bilderbuchstart für bemannte NASA-Mondmission Artemis-2.

Eine private Weltraumorganisation kümmert sich hingegen um Geschäfte: Elon Musks Konglomerat SpaceX hat den lange erwarteten Börsengang formal eingeleitet, allerdings unter strikter Geheimhaltung. Dahinter steckt wohl kein finsteres Ansinnen, sondern die Hoffnung auf offene und ungestörte Kommunikation zwischen den Vertretern des Unternehmens und der US-Kapitalmarktbehörde SEC. Schließlich geht es um den größten Börsengang aller Zeiten (GröBaZ). Der von Musk kontrollierte Konzern dürfte mit größenordnungsmäßig zwei Billionen US-Dollar bewertet werden. Davon soll zwar nur ein kleiner Teil verkauft werden, aber auch mit 50 oder 75 Milliarden US-Dollar wäre es der größte Börsengang der Geschichte: SpaceX beantragt Börsengang unter Verschluss.

Bislang nicht offiziell bestätigt ist auch, dass Cisco Systems Opfer eines Cyberangriffs geworden ist. Dabei konnten Kriminelle angeblich auf Geräte der Entwicklungsabteilung zugreifen und Quellcode des US-Netzwerkspezialisten sowie von Kunden stehlen, berichten anonyme Quellen. Die Angreifer konnten sich demnach Zugriff auf interne Cisco-Daten und -Geräte verschaffen, nachdem sie entsprechende Anmeldeinformationen aus einem kürzlichen Angriff auf eine Open-Source-Bibliothek erlangt hatten. Dabei wurden mehr als 300 GitHub-Repositories kopiert, heißt es. Das betrifft Quellcode für Produkte künstlicher Intelligenz wie KI-Assistenten, KI-Sicherheitslösungen und bislang unveröffentlichte Produkte, so der Bericht: Cyberkriminelle stehlen Quellcode von Cisco und dessen Kunden.

Um KI geht es auch beim Projekt Spark des Bundesministeriums für Digitales und Staatsmodernisierung (BMDS). Damit will der Bund gegen lahme Prozesse und dicke Aktenstapel wirken, bisher Sinnbild deutscher Verwaltung. Nun veröffentlicht das BMDS eine Reihe von KI-Modulen, die die Arbeitsweise in Behörden grundlegend verändern könnten. Eine Besonderheit ist der Ansatz der Veröffentlichung: Unter dem Leitsatz Public Money, Public Code stehen die Anwendungen für jeden auf der Plattform OpenCode zur Verfügung. Damit folgt das BMDS dem Ruf nach digitaler Souveränität und ermöglicht es Kommunen, Firmen und der Zivilgesellschaft, die Werkzeuge ohne Lizenzgebühren zu nutzen und weiterzuentwickeln. Ziel ist die Beschleunigung komplexer Planungs- und Genehmigungsverfahren: Bund veröffentlicht lizenzfreie KI-Werkzeuge.

In der heutigen Ausgabe der #heiseshow besprechen wir die NASA-Mission Artemis 2, die in der vergangenen Nacht Menschen Richtung Mond geschickt hat, mit dem Ziel der Mondumrundung. Wie genau läuft die Mondmission ab? Ist das der Startschuss für eine neue Ära der bemannten Mond- und Raumfahrt? In Deutschland planen mehrere Bundesländer Einschränkung der Informationsfreiheit – trotz Widerstand der Zivilgesellschaft. Wie begründet die Politik die Einschränkungen der Auskunftspflicht? Welche Rolle spielen Plattformen und Tools dabei? Zudem feiern wir Apples 50. Geburtstag und schauen uns an, wie sich das Unternehmen und seine Produkte im vergangenen halben Jahrhundert verändert haben. Das sind die Themen heute um 17 Uhr live in der #heiseshow: Mondmission, Einschränkung der Informationsfreiheit, 50 Jahre Apple.

Auch noch wichtig:

• Für nur 5 Euro bietet Ikea die Bluetooth-Lautsprecher mit Namen „Kallsup“ an. Wir haben ihn kurz ausprobiert: Ikeas Brüllwürfel Kallsup ausprobiert.
• Der Schritt wurde seit Anfang März erwartet: Oracle entlässt tausende Mitarbeiter. Hintergrund sind offenbar hohe Ausgaben für KI: Oracle startet offenbar Entlassungswelle.
• Ein Tarifwechsel klingt nach Vorteil – kann aber die Laufzeit verlängern. Unser Fall zeigt diesmal, mit welchen Tricks gesetzliche Grenzen umgangen werden, bei Vorsicht, Kunde: 1&1-Tarifwechsel mit Nebenwirkung.
• Der Raspberry-Pi-Hersteller wächst in fast allen Metriken und malt einen rosigen Ausblick. Die Börse zeigt sich ekstatisch: Raspi-Aktie schießt nach Geschäftsbericht um 60 Prozent hoch.
• Google hat ein Update für Chrome veröffentlicht. Es stopft 21 Sicherheitslücken. Angriffe laufen auf eine Codeschmuggel-Lücke. Nutzer sollten jetzt aktualisieren: Chrome-Sicherheitslücke wird angegriffen.
• Mitte März machte die Runde, dass PayPal-Verknüpfungen mit der Google Wallet aufgelöst werden. PayPal korrigiert die Aussagen nun: Bei den Google-Wallet-Verknüpfungen PayPals ändert sich doch nichts.
• Der Krieg im Iran treibt weltweit die Energiepreise in die Höhe. Nun appelliert die EU-Kommission an die Mitgliedstaaten sowie die Bürgerinnen und Bürger für Tempolimits und mehr Homeoffice: Brüssel appelliert an die Mitgliedstaaten.
• Maximos Roboter installiert automatisiert Solarmodule. Das klappt schneller, als Menschen es allein können: Maximo-Roboter installiert Solarmodule fast doppelt so schnell wie ein Mensch.
• Nutzer in den USA können nun ihren Gmail-Nutzernamen ändern, also den Teil vor „@gmail.com“. Die alte Mail-Adresse bleibt dabei funktional, sagt Google: Gmail-Nutzername kann bald ausgetauscht werden.
• Der Maintainer-Account für das Paket axios auf npm wurde geknackt, um einen Remote-Access-Trojaner für Windows, macOS und Linux einzuschleusen. Nach Malware auf npm lädt HTTP-Client axios Backdoor für Windows, macOS und Linux.
• Am Wochenende hat Microsoft die Verteilung der Windows-Update-Vorschauen gestoppt. Nun stehen sie als ungeplantes Update bereit: Windows-Update-Vorschau jetzt als Update außer der Reihe verfügbar.

(fds)

Anna Bicker, Volker Zota und Alexander Spier sprechen in dieser Ausgabe der #heiseshow unter anderem über folgende Themen:

• Jubiläum, olé: Apple feiert 50. Geburtstag und wir schauen uns an, wie sich das Unternehmen und seine Produkte im vergangenen halben Jahrhundert verändert haben.

Außerdem wieder mit dabei: ein Nerd-Geburtstag, das WTF der Woche und knifflige Quizfragen.

Jeden Donnerstag ab 17 Uhr live

Fragen an die Moderatoren und Gäste können während der Sendung im YouTube-Chat und in unserem Twitch-Kanal (twitch.tv/heiseonline) sowie vorab per E-Mail und im heise-Forum gestellt werden. Die Redaktion freut sich bereits auf zahlreiche Zuschauer und auf reges Feedback.

Die #heiseshow wird jeden Donnerstag um 17 Uhr live auf heise online gestreamt. Nach der Live-Übertragung ist die Sendung zum Nachschauen und -hören auf YouTube und als Podcast verfügbar:

(anka)