Schauen wir doch einmal, was im ersten Drittel des Jahres 2025 im Bereich der Informationssicherheit in einigen unterschiedlichen Organisationen - sowohl auf nationaler als auch auf internationaler Ebene - vor sich gegangen ist.

Einige ausgewählte Organisationen

Zunächst betrachten wir die Publikationen einiger Organisationen von Jahresbeginn bis circa Ende April 2025. An dieser Stelle möchten wir darauf hinweisen, dass es sich nicht um eine vollständige und umfassende Erhebung aller Publikationen handelt. Wir möchten lediglich einen kurzen Überblick darüber geben, was uns interessant erschien. Pressemitteilungen zu organisationalen Änderungen oder Ankündigung eines “Tag der offenen Tür” wurden für diesen Artikel außen vor gelassen.

BSI

Das Bundesamt für Sicherheit in der Informationstechnik ist eine deutsche Bundesbehörde und beschäftigt sich mit Fragen der Informationssicherheit und Digitalisierung für öffentliche Einrichtungen, Wirtschaftsunternehmen und Privatpersonen.

Vielleicht ist Einigen der jährlich erscheinende Bericht zur Lage der IT-Sicherheit in Deutschland ein Begriff. Wir schauen uns über das Jahr beispielsweise unregelmäßig Publikationen und Pressemitteilungen des BSI an. Dies liegt auch an der dortigen Verortung von KRITIS-Aufgaben und der nach wie vor aktuellen NIS2 Thematik mit Auswirkungen auf viele nationale Organisationen und Unternehmen - also Kunden oder potentiellen Kunden von uns.

Auf der Münchner Sicherheitskonferenz hat das BSI bei dem Thema KI und deren Einflussmöglichkeiten auf die Demokratie beigetragen. Im Zuge von Crowdstrike in Verbindung mit Microsoft Betriebssystemen wurde man aktiv und hat den Vorfall aufgearbeitet. Drohnen sind als Cyberbedrohung in die Betrachtung gerückt - grundsätzlich werden in diesem Bereich derzeit verstärkt Forschung und Entwicklung vorangetrieben um diese Technologien in verschiedensten Ausprägungen nutzbar zu machen. Eine recht zentrale “Technische Richtlinie” zu Krypto-Verfahren wurde hinsichtlich Post-Quanten-Kryptographie aktualisiert und neben der Anregung zur regelmäßigen Datensicherung vor dem Hintergrund des “World Backup Day” wurden im Rahmen des Deutschen Seniorentages zugeschnittene Angebote an diese Zielgruppe für Cybersicherheitsthemen gerichtet.

Von dem halbjährlich erscheinenden BSI-Magazin wurde in 2025 bisher keine Ausgabe herausgebracht. Mitte des Monats wird der dies-jährliche Cyber-Sicherheits-Tag stattfinden - diesbezüglich wird eine Agenda der Inhalte bereitgestellt. Wir sind hier insbesondere gespannt auf weitere NIS2 Neuigkeiten. Gemeinsam mit dem ZenDIS (“Zentrum für Digitale Souveränität in der Öffentlichen Verwaltung”) hat das BSI ein Strategiepapier für “Sichere Softwarelieferketten” herausgebracht (bezieht sich auf Softwarelieferketten in der öffentlichen Verwaltung). Eine neue Version der Orientierungshilfe für “KRITIS-Nachweise” wurde genauso wie eine Arbeitshilfe zum “Sicheren Software-Lebenszyklus” veröffentlicht. Zudem wurden Grundschutzprofile für kleine/mittlere Flughäfen und den Öffentlichen Straßenpersonenverkehr (U-Bahn, Straßenbahn, Busse, etc.) publiziert. Ein Dokument über Chancen und Risiken im Rahmen von Generativen KI-Modellen wurde ebenfalls aktualisiert. Abschlussdokumentation zum Projekt SIKIS (“Sicherheitseigenschaften von Krankenhausinformationssystemen”) ist verfügbar gemacht worden. Im Rahmen von (KRITIS-) Nachweisen wurde zusätzlich noch ein Dokument für Reife- und Umsetzungsgradbewertung bereitgestellt.

NCSC

Das National Cyber Security Centre ist eine Organisation des Vereinigten Königreichs mit dem Zweck den öffentlichen und privaten Sektor zu beraten und zu unterstützen. Ziel ist es auch hier Bedrohungen der Computersicherheit zu vermeiden.

Es wurde ein Forschungspapier zur Reduktion von “unverzeihlichen” Fehlern veröffentlicht, Strategien für die Migration hin zu Post-Quanten-Kryptographie vorgestellt, neue Regularien für kritische Sektoren angekündigt, neue Leitfäden mit für die Absicherung von “edge devices” herausgebracht, Informationen für Personenkreise mit hohem Risiko einer digitalen Überwachung zusammengestellt und Risiken für kritische Systeme in Bezug auf neu hinzukommende KI-Bedrohungen dargelegt.

ENISA

Die European Network and Information Security Agency der Europäischen Union beschäftigt sich mit dem Erreichen eines hohen Niveaus in der Cybersicherheit. Zweck ist die Fähigkeit zur Abwehr gegen Cyberangriffe und das Vertrauen in die Cybersicherheit zu stärken mit dem Ziel Abläufe des Binnenmarktes ohne Beeinträchtigungen gewährleisten zu können.

Zu Beginn des Jahres hat die ENISA ihr Arbeitsprogramm für 2025-2027 herausgebracht. Prominente Themen in diesem Dokument sind der Cybersecurity Act und die NIS2 Direktive. Zudem hat man sich mit der Bedrohungslandschaft im Finanzsektor, der Reifegradmessung von kritischen Sektoren und der Bedrohungslandschaft im Weltall (insbesondere von Satelliten) beschäftigt.

CISA

Die amerikanische Cybersecurity and Infrastructure Security Agency zeichnet sich verantwortlich für den Schutz der verschiedenen Ebenen innerhalb der amerikanischen Verwaltung.

Das Jahr startete bei der CISA mit einer Meldung bezüglich eines Cybersicherheitsvorfalls in der Finanzverwaltung (“treasurey department”). Zudem wurde sich mit der Absicherung von Schulen beschäftigt. Berichte zu Treffen von SAFECOM (Notfall-Helfer und gewählte Vertreter verschiedenster Regierungsebenen) und NCSWIC (Koordination zur Zusammenarbeit zwischen den einzelnen Staaten) wurden veröffentlicht. Eine Pressemeldung zum CISA-eigenen Red Team wurde herausgegeben. Es wurde hinsichtlich der Resilienz von integrierten Informations- und Kommunikationslieferketten sensibilisiert. Eine gemeinsame Warnung mit der NSA bezüglich der Nutzung von “fast flux” Netzwerken durch Angreifer wurde publiziert und es wurden verschiedene, klärende Informationen mit Bezug zum CVE (Common Vulnerabilities and Exposures) Programm abgegeben.

NIST

Das ebenfalls amerikanische National Institute of Standards and Technology beschäftigt sich unter anderem mit Standardisierungsprozessen. An dieser Stelle ist das NIST Herausgeberin verschiedener, für die USA relevanter Cyber-Sicherheitsstandards.

Es wurde ein Referenzprofil (übrigens auch in deutscher Übersetzung) für Verbraucher-IoT-Produkte publiziert. Auch hier hat man sich zum Jahresbeginn mit Lieferkettensicherheit beschäftigt. Zudem waren zukünftige Sicherheit des Web3-Paradigmas und die Herstellung eines stärkeren Bezugs von Geschäftsfortführungsanalysen und Risikopriorisierung und -reaktion Themen. Ein Statusbericht zur vierten Runde des Post-Quanten-Kryptographie Standardisierungsprozesses ist ebenfalls zu finden. Arbeiten am CSF 2.0 (Cyber Security Framework) werden fortgeführt, insbesondere Übersetzungen und Incident Response Empfehlungen im Kontext des Cybersicherheits-Risikomanagements. Zudem ist ein Jahresbericht für das Geschäftsjahr 2024 für das NIST-Programm “Cybersicherheit und Datenschutz” zu finden.

Überlegungen / Fazit

Es sind aus unserer Sicht Schnittmengen in den betrachteten Themen der verschiedenen Organisationen erkennbar. Post-Quanten-Kryptographie, Schutz von (kritischen) Infrastrukturen sowie Absicherung der Lieferketten sind aktuelle Themen in nationalen und übernationalen Publikationen. Gleichzeitig sieht man auch voneinander abweichende Schwerpunkte hinsichtlich der Themenfokussierung der verschiedenen Länder.

Wir nehmen aus der Betrachtung mit, dass sich Deutschland mit dem Vorantreiben der in Verzug geratenen Umsetzung von Inhalten für regulierten Unternehmen beschäftigt (KRITIS-Dokumentaktualisierungen und Vorantreiben der Umsetzung europäischer NIS2-Vorgaben auf nationaler Ebene). In Amerika - vielleicht aus aktuell aufgekommenen Anlass heraus - lag ein Fokus auf dem Fortführen des CVE Programms und der Kommentierung der eigenen Ressourcenlage (unter anderem am Beispiel des CISA Red Teams).

Zwischen den Zeilen liest man immer wieder die Bestrebung zur besseren Verknüpfung und Interaktion der verschiedenen Stakeholder untereinander - sowohl auf nationaler als auch auf internationaler Ebene. Die EU spannt einen Schirm über die einzelnen Mitgliedstaaten des Wirtschaftsraumes. Aber auch innerhalb der einzelnen Staaten wird auf eine möglichst reibungslos verlaufende Abstimmung zwischen den einzelnen Ländern und Landesbehörden abgezielt um Themen der Cybersicherheit voranzutreiben.

Am Ende des Tages lohnt sich unserer Meinung nach der Blick in die Publikationen der einen unmittelbar betreffenden Organisationen. Aber auch der Blick über den “Tellerrand” hinaus macht Sinn, da sich verschiedene, in den einzelnen Wirtschaftsräumen zentral genutzte Standards und Normen gegenseitig befruchten. Wer sich in der Vergangenheit frühzeitig mit dem sogenannten “Zero Trust” Paradigma beschäftigen wollte, konnte sich in den amerikanischen Standards umfangreich belesen. Viele der Inhalte der betreffenden NIST-Publikationen werden auch in Veröffentlichungen des BSI referenziert, wenn es um dieses Thema geht.