Ich weiß nicht, wo wir genau bei der Ausarbeitung des Gesetzes für die Umsetzung der NIS2-Richtlinie stehen. Aus meiner Sicht gibt es ein paar kleine Punkte, die unser Leben deutlich vereinfachen könnte, die man aber leicht übersehen könnte, wenn sich rein an die Text der Richtlinie hält.

In der Cybersecurity Community herrschte letzte Woche helle Aufregung, weil die Einsparungstruppe von Trumps Gnaden die grandiose Idee hatte, das Funding für den Betrieb des CVE-Systems durch Mitre einzustellen. Wahrscheinlich aufgrund des starken Gegenwindes von der Seite der US-Industrie wurde eine Lösung gefunden und der Betrieb ist (angeblich) für die nächsten 11 Monate gesichert.

Ich will das zum Anlass nehmen, das System hinter den bekannten CVE-Nummern zu erklären und mögliche Entwicklungen aufzuzeigen.

Am Freitag, den 10. April, veröffentlichte Fortinet Informationen über eine weltweite Kompromittierung von FortiGate-Geräten, die dem Angreifer dauerhaften lesenden Zugriff ermöglichte. Die Angreifer:innen nutzten offenbar drei bekannte Schwachstellen in der SSL-VPN-Funktion, um sich Zugang zu den Geräten zu verschaffen, und eine Hintertür im Dateisystem zu platzieren um den illegalen Zugriff nachhaltig zu ermöglichen.

Am 1. März startet pünktlich um 18 Uhr die Qualifikation für die ACSC2025.

Das österreichische Verteidigungsministerium präsentierte am 27. Jänner das "Risikobild 2025" - für uns als nationales CERT enthält es eine Bestätigung unserer bisherigen Arbeit, aber auch ein neues Konkurrenzthema.  

Der Gemeindebund hat sich letztens für die Einführung von E-Voting als Alternative zur Urnenwahl stark gemacht. Ich bin da sehr skeptisch.

Manche DDoS-Angriffe lassen sich einfach abwehren.

Wie problematisch ist die gefundene Schwachstelle?

3 Thesen zum aktuellen Gesetzesentwurf:

• Die Fiktion, dass wir mit dem aktuellen Gesetzesentwurf einfach nur die Telefonüberwachung fortschreiben, ist nicht haltbar. Wir lügen uns damit nur selbst an.
• Aktuelle Überwachungssoftware ist sehr mächtig und verleitet dadurch zu Missbrauch. Diese Gefahr ist nicht theoretisch, diese Fälle sind auch in der EU schon mehrfach dokumentiert. Der Bericht des EU-Parlament spricht hier sehr klare, warnende Worte.
• Der Interessenskonflikt im BMI ist real: Schützen wir die kritische Infrastruktur, die Politik, die Verwaltung und die Zivilgesellschaft vor Spionage, oder wollen wir die Instrumente der Angreifer auch selbst nutzen?

Ich will anhand eines Beispiels erläutern, welche Überlegungen in die Erstellung unseres Lagebildes einfließen.