Auf dem 21. Deutschen IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschäftigte sich am Mittwoch ein ganzer Vortragsblock mal wieder mit der NIS-2. Die EU-Richtlinie zur Absicherung von Unternehmenssoftware und -netzen trat im Oktober 2024 in Kraft und beschäftigt das BSI und seine Partner nach wie vor. Das liegt vor allem daran, dass bisher viel weniger Firmen die Vorschriften der Richtlinie erfüllen, als man eigentlich bei einem solchen Gesetz erwarten würde.

Registrierung beim BSI läuft schleppend

Wie Manuel Bach aus der BSI-Abteilung Cybersicherheit in der Wirtschaft in seiner Einführung ansprach, ist es sehr schwierig, konkrete Zahlen zur NIS-2-Umsetzung in der deutschen Wirtschaft zu erheben. Im BSI-Portal bleiben die Registrierungszahlen von Firmen, die laut dem Gesetz als „wichtige“ oder „besonders wichtige“ Einrichtungen dazu verpflichtet sind, nach wie vor unter den Erwartungen. Bis zum 6. März hätten sich eigentlich alle entsprechenden Unternehmen beim BSI melden müssen.

Das BSI weiß von mehreren meldepflichtigen Unternehmen, die nach Konsultation der Firmenspitze mit Rechtsbeiständen zu dem Schluss gekommen sind, bewusst die eigene Firma nicht zu melden, so Bach weiter. Ein kürzlich veröffentlichter Bericht der Firma Schwarz Digits legt nahe, dass dies keine Einzelfälle sind – Unternehmenslenker wollen wohl keine schlafenden Hunde wecken.

Bach wies in diesem Zusammenhang darauf hin, dass Geschäftsführungen das Thema ernst nehmen sollten – nicht nur wegen der im Gesetz festgeschriebenen persönlichen Haftung der Betriebsleitung. Nur weil man selbst der Meinung sei, die eigene Firma sei nicht meldepflichtig, entspräche das noch lange nicht der Realität. Bach verglich das mit der Steuerpflicht, da könne man auch nicht selbst entscheiden, ob diese zutreffe.

Knapp die Hälfte der Unternehmen hat nie von der NIS-2 gehört

Dass sich viele Firmen bisher noch nicht beim BSI gemeldet haben, obwohl sie das eigentlich müssten, liegt aber wohl auch daran, dass in vielen Firmen nach wie vor das Bewusstsein fehlt, was die NIS-2 überhaupt ist. Schlimmer noch, es gibt wohl aber auch noch eine große Anzahl an Firmen in Deutschland, die gar nicht wissen, dass die NIS-2 überhaupt existiert. Laut Manuel Bach hat das BSI im Rahmen einer Studie Ende letzten Jahres festgestellt, dass knapp die Hälfte der deutschen Unternehmen zu diesem Zeitpunkt noch nicht einmal den Begriff „NIS-2“ gehört hatten.

Younes Ahmadzei, der sich im Rahmen seiner Bachelorarbeit an der Technischen Universität München mit der Umsetzung der NIS-2 bei kleinen und mittelständischen Unternehmen in Deutschland beschäftigt hatte, zeichnete in seinem Vortrag ein ähnliches Bild. Viele der von ihm befragten Unternehmen hätten angegeben, sich erst seit Anfang 2026 mit der NIS-2 auseinanderzusetzen. Laut Ahmadzei sehen viele Firmenvertreter die Umsetzung des Gesetzes als reine Pflichtaufgabe und bezweifelten, dass die damit verbundenen Prozesse die IT-Sicherheit in ihrem Unternehmen verbessern würden.

Am Ende des Vortragsblocks zu diesem Thema stellte auch Manuel Bach vom BSI fest, dass die Bundesregierung – aber auch seine eigene Behörde – beim Thema NIS-2 noch viel Arbeit vor sich habe. Die geringe Kenntnis über dieses Thema in weiten Teilen der Wirtschaft deute klar darauf hin, dass hier noch viel Aufklärungsarbeit zu leisten sei. Und vor allem sieht es so aus, als ob ein nicht unerheblicher Teil der deutschen IT-Landschaft darüber hinaus dann auch noch davon überzeugt werden muss, dass die Umsetzung dieses EU-Gesetzes mehr als eine Arbeitsbeschaffungsmaßnahme durch EU-Kommission und BSI ist.

Wer sich beim Lesen dieser Meldung ertappt fühlt, findet im iX Workshop „NIS-2 – Anforderungen und Vorgaben“ einen kompakten und praxisnahen Einstieg in die gesetzlichen Vorgaben und deren Umsetzung.

(cku)

Der Europäische Gerichtshof hat eine Entscheidung präzisiert, die es ermöglicht, urheberrechtlich geschützte Werke ohne Zustimmung ihrer Rechtsinhaber:innen zu verwenden. Demnach müssen bestimmte Voraussetzungen zutreffen, damit ein Sample als erlaubtes „Pastiche“ gilt.

27 Jahre – so lange streiten sich der Musikproduzent Moses Pelham und die Band Kraftwerk bereits vor Gericht. Recht auf Sampling gegen Urheberrecht. Gestritten wird um einen zwei Sekunden langen Musikschnipsel aus dem Kraftwerk-Song „Metall auf Metall“. Der stammt aus 1977. Rund 20 Jahre später schnitt Pelham aus den zwei Sekunden die Dauerschleife für den Song „Nur mir“ von Sabrina Setlur. Kraftwerk klagte 1999 dagegen.

Das Oberlandesgericht Hamburg, der Bundesgerichtshof, das Bundesverfassungsgericht und der Europäische Gerichtshof – sie alle haben sich im letzten Vierteljahrhundert mit dem Fall beschäftigt. Derweil ist das Samplen gängige Kulturpraxis, nicht nur in HipHop und Techno.

Um eine Rechtsgrundlage zu schaffen, führte die EU 2019 eine „Pastiche-Regel“ ein, die 2021 im deutschen Urheberrecht verankert wurde. Dort heißt es in § 51a Karikatur, Parodie und Pastiche: „Zulässig ist die Vervielfältigung, die Verbreitung und die öffentliche Wiedergabe eines veröffentlichten Werkes zum Zweck der Karikatur, der Parodie und des Pastiches. Die Befugnis nach Satz 1 umfasst die Nutzung einer Abbildung oder sonstigen Vervielfältigung des genutzten Werkes, auch wenn diese selbst durch ein Urheberrecht oder ein verwandtes Schutzrecht geschützt ist.“

Wann ist Pastiche Pastiche?

Nun hat der Europäische Gerichtshof sich zur Tragweite der Ausnahme für „Pastiches“ im Zusammenhang mit dem Sampling geäußert. Demnach sei entscheidend, ob die Neuschöpfung im Zuge des Samplings mit den urheberrechtlich geschützten Werken einen „erkennbaren künstlerischen oder kreativen Dialog“ führe, „gleichzeitig aber wahrnehmbare Unterschiede“ aufweise. Beispielsweise in Form einer offenen Nachahmung des Stils oder kritischer Auseinandersetzung. Auf diese Weise solle ein angemessener Rechts- und Interessenausgleich zwischen Rechteinhaber:innen und der Kunstfreiheit gesichert werden. Eine Nachahmung ohne erkennbare Auseinandersetzung mit dem Original sei demnach kein zulässiges Pastiche.

Nach weitläufiger Interpretation hat der Europäische Gerichtshof damit das Recht auf Remix und Sampling gestärkt – und damit geht der Fall „Metall auf Metall“ in die letzte Runde und zurück an den Bundesgerichtshof in Karlsruhe: Dieser muss nun entscheiden, ob Pelham sich in dem Song von 1997 in einem ausreichenden Dialog mit „Metall auf Metall“ befindet und wahrnehmbare Unterschiede bestehen.

Das Oberlandesgericht Hamburg hatte bereits festgestellt, dass die Rhythmussequenz trotz leichter Abwandlung in „Nur mir“ als Anspielung auf das Original erkennbar bleibe – darauf weist der Europäische Gerichtshof hin. Fraglich ist jetzt, ob der Bundesgerichtshof dieser Auffassung folgen wird.

Am Patchday im April hat Microsoft mehr als 160 Sicherheitslücken geschlossen. Es gibt bereits Attacken, und Angreifer haben neben dem Webbrowser Edge auch SharePoint Server im Visier. Eine Sicherheitslücke in Defender ist öffentlich bekannt, und Attacken können bevorstehen.

Jetzt patchen!

Die derzeit ausgenutzte Schwachstelle (CVE-2026-32201 „mittel“) in SharePoint Server nutzen Angreifer einer Warnmeldung zufolge für Spoofing-Attacken über Netzwerke aus. Was das im Detail konkret bedeutet, wie solche Angriffe ablaufen und welchem Umfang sie stattfinden, führt Microsoft derzeit nicht detailliert aus. Immerhin teilt das Unternehmen mit, dass Angreifer nach erfolgreichen Attacken eigentlich abgeschottete Daten einsehen und verändern können. Auch die US-amerikanische IT-Sicherheitsbehörde CISA hat die Warnung vor laufenden Angriffen ausgesprochen.

Durch eine Chromium-Lücke (CVE-2026-5281 „hoch“) führen Angreifer über eine von ihnen aufgesetzte Website Schadcode aus. Auch hier ist zurzeit unbekannt, in welchem Umfang Angreifer an der Schwachstelle ansetzen.

Die öffentlich bekannte Lücke (CVE-2026-33825 „hoch“) im Virenscanner Defender könnte als Nächstes im Portfolio von Angreifern landen. Ist das der Fall, könnten sie sich auf einem nicht näher beschriebenen Weg höhere Nutzerrechte verschaffen, warnen die Entwickler in einem Beitrag. Es könnte sich der Beschreibung nach um die „BlueHammer“ genannte Rechteausweitungslücke handeln. Das ursprünglich öffentliche GitHub-Repository mit dem Exploit-Code hat Microsoft nun offenbar mit einem Login-Schutz versehen, ein weiteres Indiz dafür.

Weitere Gefahren

Microsoft stuft mehrere Lücken als „kritisch“ ein. Darunter fallen etwa Schadcode-Lücken in Office (CVE-2026-32190) und Remote Desktop Client (CVE-2026-32157). Weiterhin können Angreifer verschiedene Windows-Komponenten wie TCP/IP attackieren. Ebenfalls verwundbar sind unter anderem Active Directory, Azure und .NET Framework.

Um künftige Attacken über Remote Desktop (RDP) zu erschweren, haben die Entwickler mit den April-Updates eine RDP-Härtung veröffentlicht. Nach der Installation erscheint nun beim Öffnen von RDP-Dateien vor dem Herstellen einer Verbindung eine Warnmeldung.

Admins sollten sicherstellen, dass die Updatefunktion von Windows aktiv ist und die aktuellen Sicherheitspatches installiert sind. Wer Windows 10 im erweiterten Support nutzt, bekommt diesen Monat auch Sicherheitsupdates. Weitere Informationen zu den in diesem Monat geschlossenen Lücken listet Microsoft im Security Update Guide auf.

(des)