Datenschutz & Sicherheit
Was ist eigentlich Cyber-Resilienz? Eine Begriffsklärung
Der Begriff Cyber-Resilienz gerät vermehrt in den Fokus aktueller Projekte der IT-Sicherheit. So zielt die am 6. Dezember 2025 in Kraft getretene Netzwerk- und Informationssicherheitsrichtlinie NIS-2 explizit darauf ab, die Resilienz der Kritischen Infrastruktur zu erhöhen. Der Cyber Resilience Act (CRA), der in genau zwei Jahren am 11. Dezember 2027 vollumfänglich verpflichtend wird, trägt die Resilienz sogar im Namen. Dabei geht es eigentlich darum, Produkte im IT-Umfeld im weitesten Sinne sicher zu gestalten. Da geht es mit der Sicherheit und der Resilienz bereits munter durcheinander.
Weiterlesen nach der Anzeige
Überhaupt werden in der IT die Begriffe Security und Resilienz oft parallel oder sogar austauschbar verwendet. Dabei gibt es eigentlich eine klare Unterscheidung. Die IT-Sicherheit bezieht sich primär auf das Vorfeld möglicher Angriffe. Es geht vorwiegend darum, Angriffe zu verhindern oder zumindest deutlich zu erschweren. Resilienz hingegen kommt dann ins Spiel, wenn der Angriff bereits erfolgt ist und man den Betrieb trotzdem weiterführen oder zumindest möglichst schnell wieder aufnehmen muss. Dazu gehört insbesondere die Fähigkeit, sich auf Angriffe – oder auch Unfälle oder Naturkatastrophen – einzustellen.
Trotzdem!
„Cyber-Resilienz bedeutet, trotz Angriffen weiter arbeitsfähig zu bleiben“, erklärt Samira Taaibi vom Fraunhofer IEM. Taaibi leitet eine Studie zum besseren Verständnis von Resilienz und wie man sie erreicht. Eine ihrer ersten Erkenntnisse dazu ist es, dass es immer noch kein einheitliches Verständnis dessen gibt, was Cyber-Resilienz tatsächlich bedeutet und wie man sie aktiv verbessert. Da gibt es zwar die NIST-Definition, an der sich auch Fraunhofer IEM orientiert:
Die Fähigkeit, widrige Umstände, Belastungen, Angriffe oder Kompromittierungen von Systemen, die Cyberressourcen nutzen oder durch diese ermöglicht werden, zu antizipieren, ihnen standzuhalten, sich von ihnen zu erholen und sich an sie anzupassen.
Doch das hilft Unternehmen oder konkret Software-Entwicklern, die ihre Produkte resilienter machen wollen, wenig weiter. Kompakter formuliert, kann man Cyber-Resilienz so definieren:
Die Fähigkeit einer IT-Infrastruktur-Einheit, ihre Aufgabe trotz Störungen und Angriffen weiter zu erfüllen
Wie funktioniert Resilienz?
Weiterlesen nach der Anzeige
Man kann die Umsetzung von Resilienz dann in vier grundlegenden Bereiche unterteilen.
- Antizipieren: Risiken und mögliche Angriffswege frühzeitig erkennen, sich auf Störungen vorbereiten und entsprechende Maßnahmen einplanen.
- Widerstehen: Angriffe oder Störungen abfedern, sodass der Betrieb nicht oder nur eingeschränkt beeinträchtigt wird.
- Wiederherstellen: Dienste nach einem erfolgreichen Angriff schnell und kontrolliert zurück in einen funktionsfähigen Zustand bringen.
- Anpassen: Aus Vorfällen lernen und Systeme so weiterentwickeln, dass ähnliche Angriffe künftig schwerer erfolgreich sind.
Da wird bereits klar, dass es hier um keine statische Eigenschaft geht, die man einmal sicherstellt und dann vergessen kann. Während man einem Produkt die Widerstandsfähigkeit etwa im Rahmen von „Secure by Design“ mit auf den Weg geben kann, erfordert spätestens die Reaktion auf akute Vorfälle in der Regel auch Maßnahmen nach der Inbetriebnahme. Da braucht es dann etwa regelmäßig Mitigations oder Patches für neu entdeckte Sicherheitsprobleme. Und Anpassung benötigt einen Mechanismus, auf die Umgebung und deren Veränderungen so zu reagieren, dass das System insgesamt resistenter wird.
Doch darüber, wie Resilienz in der IT dann ganz praktisch funktioniert und vor allem wie man sie gezielt verbessert, gibt es noch keinen allgemeinen Konsens. An diesem Punkt ist noch Forschung nötig, um das Verständnis zu verbessern – wie Taaibis aktuelle Studie im Rahmen des Forschungsprojekts CyberResilience.nrw. In der geht es darum, wie es um die Cyber-Resilienz in deutschen Organisationen steht; Interessierte können daran übrigens noch bis zum 31.12.2025 teilnehmen.
(ju)
Datenschutz & Sicherheit
CISA-Warnung vor Angriffen auf VMware vCenter, Zimbra und mehr
Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf fünf Produkte. Die Schwachstellen sind offenbar bereits einige Zeit bekannt. Admins sollten unverzüglich Aktualisierungen vornehmen.
Weiterlesen nach der Anzeige
Etwa auf Vite Vitejs, Versa Concerto, Prettier und Zimbra konnten in freier Wildbahn Angriffe beobachtet werden, vor denen die CISA in einer Alarmmeldung warnt. Vitejs erlaubt offenbar den Zugriff auf eigentlich blockierte Ressourcen und kann dadurch geschützte Informationen preisgeben (CVE-2025-31125, CVSS 5.3, Risiko „mittel“). In Versa Concerto können Angreifer die Authentifizierung umgehen (CVE-2025-34026, CVSS 9.2, Risiko „kritisch“). „eslint-config-prettier“ hat in einigen Versionen bösartigen Code für einen Lieferkettenangriff enthalten (CVE-2025-54313, CVSS 7.5, Risiko „hoch“).
Angriffe auf weitverbreitete Software
Angreifer attackieren demnach auch eine Sicherheitslücke in Zimbra. Es handelt sich um eine File-Inclusion-Lücke, bei der Angreifer aus dem Netz ohne Anmeldung sorgsam präparierte Anfragen an den API-Endpunkt „/h/rest“ richten und dadurch das Einbinden beliebiger Dateien aus dem Webroot-Verzeichnis erreichen können (CVE-2025-68645, CVSS 8.8, Risiko „hoch“). Anfang Januar warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor, dass in Deutschland viele hunderte Zimbra-Server frei zugänglich im Netz stehen und teils noch für Sicherheitslücken anfällig sind.
Zudem wurden Attacken auf eine Root-Lücke in VMware vCenter Server beobachtet (CVE-2024-37079, CVSS 9.8, Risiko „kritisch“). Es handelt sich um einen Heap-basierten Pufferüberlauf, den Angreifer durch Senden sorgsam präparierter Netzwerkpakete auslösen und in der Folge Schadcode einschleusen und ausführen können.
Die Hersteller stopfen die Sicherheitslücken mit Sicherheitsupdates. IT-Verantwortliche sollten aufgrund der beobachteten Angriffe spätestens jetzt dafür sorgen, dass die Aktualisierungen auch angewendet werden.
(dmk)
Datenschutz & Sicherheit
Pwn2Own-Automotive-Wettbewerb: Ladesäule geknackt, um „Doom“ zu spielen
Für Autohersteller wie Tesla war der diesjährige Pwn2Own-Automotive-Wettbewerb ein Debakel. Schließlich haben die teilnehmenden Teams zahlreiche Schwachstellen erfolgreich ausgenutzt und unter anderem „Doom“ auf einer Ladestation gezockt.
Weiterlesen nach der Anzeige
Hintergründe
Bei Pwn2Own-Wettbewerben treffen Sicherheitsforscher auf Computer, Technik und Autos, um diese zu knacken. Klappt das, gibt es ein Preisgeld und im besten Fall liefern die betroffenen Hersteller zügig Sicherheitspatches aus. Nach dem Pwn2Own Automotive 2026 haben sie auf jeden Fall viel zu tun. Insgesamt haben die Teilnehmer 76 Zero-Day-Sicherheitslücken aufgedeckt. So bezeichnet man Software-Schwachstellen, für die es noch kein Sicherheitsupdate gibt. Ob mittlerweile Patches erschienen sind, ist bislang nicht bekannt.
Nach einer erfolgreichen Attacke läuft „Doom“ auf dem Bildschirm einer Ladesäule für E-Autos.
(Bild: Trend Micro Zero Day Initiative)
Den Wettbewerb veranstaltet Trend Micros Zero Day Initiative. In ihrem Blog haben sie die Ergebnisse zusammengetragen.
Erfolgreiche Attacken
Die Veranstalter geben an, insgesamt knapp über 1 Million US-Dollar Preisgeld ausgeschüttet zu haben. Auf Platz 1 in der Gesamtwertung hat es das Team Fuzzware.io geschafft. Das hat ihm 215.000 US-Dollar eingebracht. Dafür haben sie unter anderem die Ladestation ChargePoint Home Flex (CPH50-K) erfolgreich attackiert.
Bereits am ersten Tag des Wettbewerbs musste Teslas Infotainmentsystem dran glauben. Das Team Synacktiv hat zwei Sicherheitslücken miteinander kombiniert, um über eine USB-basierte Attacke einen Speicherfehler auszulösen. Ein derartiger Zustand ist oft die Basis für das Ausführen von Schadcode.
Weiterlesen nach der Anzeige
Will it run „Doom“?
Mehrere Sicherheitsforscher haben sich die Ladestation Alpitronic HYC50 vorgenommen und am Ende lief darauf der Ego-Shooter „Doom“. Dafür gab es 20.000 US-Dollar. Aus Sicherheitsgründen gibt es zum jetzigen Zeitpunkt keine weiterführenden Details über die im Wettbewerb ausgenutzten Sicherheitslücken. Bleibt zu hoffen, dass die Auto- und Ladesäulenhersteller schnell reagieren und zeitnah Sicherheitspatches veröffentlichen.
(des)
Datenschutz & Sicherheit
Sparkassen stellen Passwort-Manager S-Trust ein
Der Passwort- und Dokumenten-Manager S-Trust der Sparkassen wird in Kürze Geschichte sein. Zum 31. März 2026 endet das Angebot. Es hat nicht die erhoffte Marktdurchdringung erreicht.
Weiterlesen nach der Anzeige
Das kündigen die Sparkassen jetzt auf der S-Trust-Webseite an. Zu den Hintergründen findet man etwa bei der Sparkasse Hannover etwas mehr Informationen: „Trotz aller gemeinsamen Anstrengungen konnte sich S-Trust in einem stark umkämpften Markt mit internationalen Wettbewerbern nicht dauerhaft durchsetzen. Ein wirtschaftlich tragfähiger Weiterbetrieb ist leider nicht möglich.“
S-Trust-Nutzerinnen und -Nutzer müssen aktiv werden
Wer das Angebot nutzt, könne zum Anbieter der originalen Software wechseln – SecureSafe des schweizerischen Unternehmens DSwiss AG. „Nutzende können ihre Daten über eine von DSwiss bereitgestellte technische Transfermöglichkeit zu SecureSafe übertragen, sofern sie sich eigenständig für diesen Dienst entscheiden“, erklärt die Sparkasse. Dafür seien Nutzerinnen und Nutzer verantwortlich, das Angebot stehe ausschließlich bei DSwiss selbst zur Verfügung. Die Hannoveraner Sparkasse liefert in ihrer oben verlinkten Ankündigung die Anleitung zum Wechsel gleich mit.
Wer auf gänzlich andere Anbieter wechseln möchte, findet ebenfalls Hilfestellung dafür. Das ist möglicherweise eine gute Idee: Bei der Prüfung von Passwort-Managern durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Dezember vergangenen Jahres kam die IT-Sicherheitsbehörde zu dem Ergebnis, dass der Hersteller theoretisch auf die Daten zugreifen könne, da bei SecureSafe lediglich serverseitig ver- und entschlüsselt wird. Laut BSI muss man dem Hersteller daher vertrauen, dass die „kompensatorischen Maßnahmen“ effektiv derartige Zugriffe unterbinden. Hinter dem S-Trust Password Manager verbirgt sich die SecureSafe-App, lediglich mit Sparkassen-Logo versehen, sodass das auch beim Sparkassen-Abkömmling gilt.
Dokumente in Sicherheit bringen
Verknüpfungen mit dem elektronischen Postfach der Sparkassen müssen Nutzer auflösen und zuvor etwaige bei S-Trust gelagerte Dokumente ins Postfach zurückverschieben. Auch andere mit der Dokumentenverwaltung aufbewahrte Dokumente sollten Nutzerinnen und Nutzer woanders speichern, um den Zugriff nicht zu verlieren.
Weiterlesen nach der Anzeige
An S-Trust nehmen etwa 80 Prozent der Sparkassen teil. Darunter auch die großen wie Haspa oder die Berliner Sparkasse.
(dmk)
-
Entwicklung & Codevor 2 MonatenKommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
-
UX/UI & Webdesignvor 3 MonatenArndt Benedikt rebranded GreatVita › PAGE online
-
Künstliche Intelligenzvor 4 WochenSchnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
-
Entwicklung & Codevor 2 MonatenKommentar: Anthropic verschenkt MCP – mit fragwürdigen Hintertüren
-
Apps & Mobile Entwicklungvor 2 MonatenFast 5 GB pro mm²: Sandisk und Kioxia kommen mit höchster Bitdichte zum ISSCC
-
Apps & Mobile Entwicklungvor 2 MonatenHuawei Mate 80 Pro Max: Tandem-OLED mit 8.000 cd/m² für das Flaggschiff-Smartphone
-
Social Mediavor 1 MonatDie meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights
-
Künstliche Intelligenzvor 3 MonatenWeiter billig Tanken und Heizen: Koalition will CO₂-Preis für 2027 nicht erhöhen