Bereits gelesen

Google führt eine Registrierungspflicht für alle Android-App-Entwickler ein. Laut Android-Chef beugt sich der Konzern damit unter anderem politischem Druck.

In alten Messdaten haben zwei US-Forscher einen Stern gefunden, der „völlig verrückt“ wirkte. Offenbar gab es in seinem Orbit eine katastrophale Kollision.

Google Maps is giving its driving experience the “biggest update in over a decade” with Immersive Navigation that redesigns visuals and offers “more intuitive guidance.”

more…

E-Autos müssen bei VW künftig eine größere Rolle spielen. Dafür schiebt der Konzern zahlreiche Neuerungen an, die unter anderem aus dem ID.3 den ID.3 Neo macht.

Disney+ has announced it is rolling out vertical video to subscribers in the US today, with global rollouts to follow. Here are the details on Disney’s new ‘Verts’ feature.

more…

Last week, Parallels cautioned that its Parallels Desktop for Mac software was not yet tested for MacBook Neo. Following the release of Apple’s $599 laptop, Parallels is back with an update on virtual machine compatibility.

more…

Das Verteidigungsministerium stellt Daten für das Training von KI-Modellen zur Verfügung

Okay, der Einstieg mit dem deutschen Bundestag war bei zweiter Betrachtung eher vorschnell: Erst Mitte Februar 2026 wurde die Deutsche Bahn das Opfer eines russischen Hackerangriffs. Andererseits ist die Deutsche Bahn im eigentlichen Sinne keine Behörde …

Für diese Recherche haben wir als Grundlage den jährlichen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) herangezogen, ihn jedoch mit Berichten von anderen Kontrollbehörden wie den Rechnungshöfen des Bundes und der Länder angereichert.

Das digitale Deutschland ist unserem Ergebnis zufolge zwar nicht schwerwiegend gefährdet, doch auf vielen Ebenen und bei vielen Instanzen fehlt entweder die Übersicht über die eigenen Systeme, oder diese werden wissentlich mit veralteter Software betrieben, oder man begibt sich in die Abhängigkeit von externen Mitarbeitern oder Lieferanten. Bei der kumulativen Häufung von solchen Missständen können größere Ausfälle drohen.

Physische und strukturelle Unzulänglichkeiten – für einen Angriff reicht ein Reinigungskittel

Dass für einen wirksamen Angriff auf die kritische Infrastruktur manchmal ein strategisch gelegter Brand ausreicht, zeigt der Stromausfall Anfang 2026 in Berlin. Eine Gruppe hat eine Kabelbrücke neben einem Kraftwerk beschädigt und so die Stromlieferung an 50.000 Haushalte in Berlin gekappt. Ein vergleichbarer Angriff auf die deutschen kommunalen und Landesbehörden ist zum Teil ebenfalls denkbar.

Einige Überprüfungen zeigen den nicht genügend gesicherten Zugang zu Server-Räumen. Die Technikräume in den kommunalen Behörden wurden als Abstell- oder Abfallkammer genutzt und mit alten Kartons, Müll und alten Geräten zugestellt. Externe Reinigungskräfte können unbeaufsichtigt zu den IT-Räumen Zutritt erlangen. Bei einem Berliner Bezirkamt befand sich das zentrale Netzkabel des Berliner Landesnetzes ungeschützt in einem unverschlossenen Raum:

Ein besonders schwerwiegender Sicherheitsmangel war, dass die zentralen Netzkabel des Berliner Landesnetzes und mithin die Anbindung des gesamten bezirklichen Netzwerks an das Berliner Landesnetz zum Prüfungszeitpunkt ungeschützt in einem unverschlossenen Raum untergebracht waren. Türen, Fenster und Gefahrenmeldeanlagen der Technikräume waren in Bezug auf Einbruch, Brand und Rauch nicht durchgängig für den tatsächlichen Schutzbedarf des zu sichernden Bereichs geeignet.

Bericht des Berliner Rechnungshofes, 2025, Seite 320

Manche kommunale Einrichtungen müssen Anlagen für unterbrechungsfreie Stromversorgung (kurz USV-Anlagen) betreiben. Der Rechnungshof Bremen hat im aktuellen Bericht beanstandet, dass sich in der Städtischen Bibliothek eine solche Anlage befand, jedoch nicht gewartet wurde. Dafür konnte die Einrichtung keinen Wartungsvertrag vorlegen.

Organisatorische Steuerung

Dass eine fehlende Steuerung der Prozesse selbst bei genügender Finanzierung zu Engpässen bei Personal und teils Betrieb mit veralteter Hard- und Software führen kann, haben wir am Beispiel der Integrierten Leitstellen in Bayern gezeigt.

Doch ähnliche Fälle finden sich auf der Bundesebene und auf der kommunalen Ebene in mehreren Behörden. So hat der Thüringer Rechnungshof ein Landratsamt überprüft und festgestellt, dass der Behörde am Sicherheitskonzept und an dem Datensicherungskonzept fehlte. Es gab in der Behörde keinen Informationssicherheitsbeauftragten. Entsprechend sah es mit der Ausstattung im Landratsamt aus:

Erhebliche Teile zentraler IT-Komponenten waren darüber hinaus technisch veraltet und hatten das Ende ihres Produktlebenszyklus erreicht oder bereits überschritten. Eine Versorgung mit Sicherheitsaktualisierungen war nicht mehr sichergestellt. 

Jahresbericht des Thüringischen Rechnungshofes, 2025, Seite 65

Teilweise sind die Behörden von externen Dienstleistern oder Experten abhängig. Die Abhängigkeit führt manchmal zu skurrilen Situationen. So haben die Justizbehörden in Berlin eine einheitliche Videokonferenzlösung. Ab Werk wurde in dieser Software Videoaufzeichnung freigeschaltet, die sich nur vom Betreiber der Software ausschalten lässt.

Cyberbedrohung – DDoS und Ransomware

In seinem Lagebericht 2025 spricht BSI über 194 Meldungen der Angriffe, 64 davon waren externe Angriffe auf die Bundesbehörden. Der Großteil von solchen Angriffen waren DDoS-Angriffe mit wenig angerichtetem Schaden. Dabei wird meist die Webseite oder generell ein Außenauftritt der Behörde betroffen. Für längerfristige Schäden sind DDoS-Angriffe nicht geeignet.

Ein Ransomware-Angriff kann jedoch auch über eine kurze Zeit erheblichen Schaden anrichten. So berichtet der Rechnungshof Niedersachsen über einen solchen Angriff auf die Hochschule Hannover im Oktober 2023. Die IT-Verantwortlichen der Hochschule haben die Aktivitäten im eigenen Netz rechtzeitig bemerkt und weitere Teile der Infrastruktur abgeschaltet. Doch selbst bei einem kurzfristigen Zugang haben die Angreifer mit ihrem Verschlüsselungssystem den Anmeldedienst, die zentrale Wartung und Pflege der IT-Arbeitsplätze beschädigt.

Der Angriff führte zu erheblichen Einschränkungen. Telefon, E-Mail, Intranet und Online-Dienste waren mehrere Wochen bis Monate nicht mehr zugänglich. Studierende konnten sich weder zu Veranstaltungen noch zu Prüfungen anmelden. Lehrende sowie Forschende hatten keinen Zugriff auf digitale Ressourcen. Auch die Verwaltung war weitgehend handlungsunfähig, da wesentliche IT-gestützte Prozesse ausgefallen waren.

Jahresbericht des Rechnungshofes Niedersachsen, 2025, Seite 199

Die Hochschule hat für die Beseitigung des Ransomware-Angriffs bislang 1,37 Mio. Euro ausgegeben.

Fazit

Das digitale Deutschland hat keine klaffenden Einfallstore für Ransomware-Erpresser und andere Cyber-Verbrecher, dennoch finden sich an jeder Verwaltungsebene, ob Kommune, ein Landratsamt oder eine große Bundesbehörde, an mehreren Stellen kleinere und größere Unzulänglichkeiten, die sich nicht mehr als Zufall abweisen lassen. Solche kleinere Risse im digitalen Schild eines Landes erwecken den Eindruck eines zuverlässigen Schutzes. Doch wenn der Angriff stark genug ist und aus unterschiedlichen Richtungen kommt, kann dieser Schild schnell implodieren und sich als Trugschluss erweisen.

Etwas ironisch ist, dass selbst die Prüfbehörden wie die Rechnungshöfe mit der veralteten Software arbeiten: Der Jahresbericht des Berliner Rechnungshofes 2025, am 13. Oktober 2025 verabschiedet, wurde mit Microsoft Word 2019 erstellt, dessen Support der Hersteller am 14. Oktober 2025 einstellte.

Microsoft 2019

Halyna Kubiv

Das Bundeskartellamt befürwortet die geplante Neuregelung, die Tankstellen nur eine Preiserhöhung pro Tag erlaubt. Das soll Transparenz schaffen.

In der Videokonferenzsoftware von Zoom finden sich teils kritische Sicherheitslücken. Angreifer aus dem Netz können Rechte ausweiten.