WinRAR unter Beschuss: Kritische Sicherheitslücken

WinRAR, eines der weltweit am häufigsten genutzten Packprogramme, steht erneut im Fokus der IT-Sicherheitswelt. Aktuelle Berichte decken schwerwiegende Schwachstellen auf, die nicht nur die Integrität von Systemen gefährden, sondern auch grundlegende Fragen zur Nutzung von Shareware-Software aufwerfen.

🔓 Aktuelle Sicherheitslücken in WinRAR

Im Juni 2025 wurde eine kritische Sicherheitslücke in WinRAR entdeckt, die es Angreifern ermöglicht, Schadcode aus der Ferne auszuführen. Die Schwachstelle betrifft insbesondere die Windows-Version des Programms. Ein speziell präpariertes Archiv kann WinRAR dazu verleiten, beim Extrahieren einen vom Angreifer vorgegebenen Pfad zu nutzen, wodurch beliebiger Code ausgeführt werden kann. Die Entwickler haben bereits mit der Veröffentlichung der Beta-Version 7.12 auf diese Bedrohung reagiert und die Lücke geschlossen.

Zusätzlich wurde eine weitere Schwachstelle (CVE-2025-31334) identifiziert, die es ermöglicht, den Windows-Sicherheitsmechanismus „Mark of the Web“ (MotW) zu umgehen. Dieser Mechanismus kennzeichnet Dateien aus dem Internet als potenziell gefährlich. Durch die Lücke können Angreifer diese Kennzeichnung umgehen und so Schadcode unbemerkt ausführen. Ein Update auf Version 7.11 behebt dieses Problem.

💰 WinRARs Shareware-Modell: Zwischen Testphase und Dauernutzung

WinRAR wird als Shareware vertrieben, was bedeutet, dass Nutzer das Programm 40 Tage lang kostenlos testen dürfen. Nach Ablauf dieser Frist wird eine Lizenz erforderlich, um die Software weiterhin legal zu nutzen. In der Praxis funktioniert WinRAR jedoch auch nach der Testphase ohne Einschränkungen weiter, lediglich regelmäßige Hinweise erinnern an den Kauf einer Lizenz.

Eine Einzelplatzlizenz für WinRAR kostet derzeit 35,64 Euro. Für Unternehmen und Mehrfachlizenzen gibt es gestaffelte Preise.

🆓 7-Zip: Die quelloffene Alternative

Angesichts der Sicherheitsbedenken und des Lizenzmodells von WinRAR lohnt sich ein Blick auf 7-Zip, eine kostenlose und quelloffene Alternative. 7-Zip unterstützt eine Vielzahl von Archivformaten, darunter ZIP, RAR, GZIP, TAR und das eigene 7z-Format. Besonders hervorzuheben ist die hohe Komprimierungsrate und die Möglichkeit, Archive mit AES-256-Bit-Verschlüsselung zu sichern.

Als Open-Source-Software unter der LGPL-Lizenz ist 7-Zip nicht nur kostenlos, sondern ermöglicht auch Transparenz und Sicherheit durch offenen Quellcode. Die Software ist für Windows verfügbar und bietet sowohl eine grafische Benutzeroberfläche als auch eine Kommandozeilen-Version.

✅ Fazit: Sicherheit und Transparenz bevorzugt

Die jüngsten Sicherheitslücken in WinRAR unterstreichen die Bedeutung regelmäßiger Updates und eines kritischen Blicks auf die verwendete Software. Während WinRAR durch seine Shareware-Politik und wiederkehrende Sicherheitsprobleme in die Kritik gerät, bietet 7-Zip eine sichere, transparente und kostenfreie Alternative für die Archivierung und Komprimierung von Dateien.

Für Nutzer, die Wert auf Sicherheit, Transparenz und Kostenfreiheit legen, empfiehlt sich der Umstieg auf 7-Zip.

HP Universal-Druckertreiber kritisch

viele von Ihnen verwenden Drucker von #HP und damit auch den Universal #Druckertreiber (meist PCL6, 64 Bit). In der Softwareliste taucht dieser als "64 Bit HP CIO Components Installer" auf.

#Wichtig - bereits am 18. November 2024 veröffentlichte HP eine aktualisierte Version des Treibers, erst am 29. Januar 2025 wurde der Artikel dazu publik gemacht.

Konkret weisen alle älteren Versionen als v7.3.0.25919 im CVS mit 9.8 bewertete kritische #Sicherheitslücken auf, die es Angreifern ermöglicht, Programmcode über Systeme, wo der Treiber installiert ist, zu installieren und auszuführen. Details hier.

Bringen Sie - falls noch nicht geschehen - bitte Ihren Universal-Druckertreiber von HP, sofern im Einsatz, auf den aktuellen Stand.

[linkbutton link="https://support.hp.com/de-de/drivers/hp-universal-print-driver-series-for-windows/model/3271558" label="HP Universaldruckertreiber Downloadseite"]

Teamviewer kritische Sicherheitslücken

Wir setzen zwar das Produkt nicht selbst oder bei unseren Kunden ein, viele Dritt-Dienstleister aber doch. So finden sich bei OpenAudit Classic Scans häufig alte bis uralte Teamviewer Installationen. Zum Einen darf der Teamviewer Host im geschäftlichen Umfeld nur mit nötiger Lizenzierung eingesetzt werden, zum Anderen bietet auch ein installierter Teamviewer Client Angriffspotential für Menschen, die nichts Gutes im Sinne haben.

Konkret kann man mit installiertem Teamviewer älter als Version 15.58.4 Benutzer-Rechte zu Adminrechten ausweiten und (bösartige) Software installieren.

Die #Sicherheitslücken sind (CVE-2024-7479, CVE-2024-7481; beide CVSS 8.8, Risiko „hoch„) und auf der Seite von Teamviewer beschrieben.

#Wichtig - Teamviewer deinstallieren, wenn nicht verwendet, oder aktualisieren, wenn Lizenzen vorhanden. Wird nur der Viewer benutzt, ist die „Ausführen, nicht installieren“ Variante empfehlenswert, immer wenn Ihr Dienstleister Zugriff für Remote Assistenz benötigt.

Kaspersky Antivirus in den USA verboten

#Wichtig - In den vereinigten Staaten wurde nun ein Vertriebsverbot für #Kaspersky Security-Produkte verabschiedet. Es wird noch im Juli 2024 für den Abschluss von neuen Abonnements wirksam. Bisher war nur amerikanischen Behörden untersagt, Produkte dieses Herstellers zu verwenden. Das „Kaufverbot“ wurde nun auch auf andere Unternehmen ausgeweitet. Im Artikel steht nichts davon, ob es auch für Consumer gültig ist.

Zwar sitzt die Kaspersky Holding LLC in London (was aber mittlerweile auch außerhalb der EU liegt) und EMEA-Signaturen müssen in der Schweiz freigegeben werden, es gibt aber technisch gut funktionierende Alternativen zum vergleichbaren Preis mit ähnlichen Performance-Werten.

Wir berichteten bereits in diesem Artikel über die Vorgeschichte.

So ist der #Defender für Business in Unternehmen bis 300 Mitarbeitenden im Microsoft 365 Business Premium Plan enthalten und umfasst auch den KI-unterstützten erweiterten Schutz für Endgeräte. Server lassen ich ebenfalls mit Plänen absichern. Bei größeren Unternehmungen kommen die Enterprise oder M-Pläne zum Einsatz.

Unter Betrachtung dieser Aspekte ist es eine Überlegung wert, den Kaspersky durch Defender für Business / Server / Azure Server zu ersetzen.
Nach Ablauf der Kaspersky-Subscription sollte diese nicht verlängert werden und ein Wechsel zum Microsoft Produkt (oder einem Virenscanner Ihrer Wahl, der aber Risiken und Performance Nebenwirkungen haben kann und nicht von uns getestet ist) anzustreben.

Exchange gefällig? - gefährlich?

Eine aktuelle Analyse im Internet zeigt: Von etwa 45.000 Microsoft-Exchange-Servern in Deutschland, die über das Internet via Outlook Web Access (OWA) erreichbar sind, gibt es leider immer noch viele veraltete und unsichere Versionen.

Das Bundesamt für Sicherheit in der Informationstechnik hat festgestellt, dass rund 12 % dieser Server noch mit Exchange 2010 bzw. 2013 laufen, für die seit Oktober 2020 bzw. April 2023 keine Sicherheitsupdates mehr erhältlich sind. Außerdem sind ungefähr 28 % der Server mit den neueren Versionen Exchange 2016 oder 2019 nicht auf dem neuesten Stand und haben daher eine oder mehrere kritische Sicherheitslücken, die es einem Angreifer von außen ermöglichen, beliebige Programme auf dem angegriffenen System auszuführen (Remote Code Execution, RCE). #Wichtig - das entspricht rund 25 % aller Exchange-Server in Deutschland.

Wer #Exchange Server 2010 oder 2013 einsetzt ODER Exchange Server 2016 oder 2019 nicht mit allen verfügbaren Patches einsetzt, ist entweder schon unter Kontrolle der kriminellen Banden, hat Datenabfluss und Kompromittierung nur noch nicht bemerkt oder hat ein kritisches Risiko, gehackt zu werden.

Auch wenn alle Patches auf einem Exchange Server 2019 installiert sind, bleibt das Betriebs-Risiko wegen Zero-day-Lücken immer bis zum nächsten Patchday kritisch (also bis zu einem Monat!)

Cyber-Versicherungen lassen sich entweder gar nicht erst abschließen oder verweigern die Leistung im Schadenfall. Insbesondere weil mit Rechtswirksamkeit von NIS2 auch viele KMU-Unternehmen in die KRITIS Klasse 2 fallen, ist zusätzlich mit hohen Geldbußen und Strafen zu rechnen.

BSI Veröffentlichungen

Was ist zu tun?

[faq openfirst=1]Sie haben Exchange Server 2010/2013 im Einsatz?|=|Migrieren Sie umgehend auf Exchange online.
||Sie haben Exchange Server 2016/2019 im Einsatz?|=|Installieren Sie alle verfügbaren Updates, Sicherheitspatches und CUs und migrieren Sie ebenfalls umgehend auf Exchange online.
||Sie haben schon Exchange online?|=|Microsoft kümmert sich um die Updates und hat das primäre Betriebsrisiko und die Sicherstellung der Verfügbarkeit im Rahmen ihrer SLA vertraglich mit Ihnen geregelt.[/faq]

Exchange Server unbedingt patchen

#Wichtig - die zuletzt für #Exchange 2016 und 2019 geschlossenen, kritischen #Sicherheitslücken aus CVE-2024-21410, mit denen Angreifer leichtes Spiel haben, Exchange Server unter ihre Kontrolle zu bringen und Schadsoftware einzuschleusen, werden derzeit aktiv ausgenutzt.

Sollten Sie noch Exchange Server 2016 oder 2019 im Einsatz haben, ist das Installieren der Patches überlebenswichtig, da es sonst nur eine Frage der Zeit ist, wann Ihr Server übernommen wird.

Mehr Details und welcher Patch für welche Exchange Version installiert sein muss, finden Sie im unten verknüpften Artikel.

Kunden mit Microsoft 365 / Exchange online sind wieder einmal nicht betroffen, da Microsoft dort die Sicherheitslücken selbst und vor Veröffentlichung geschlossen hat.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410

Anydesk Server wurden gehackt

Anydesk ist eine Abonnement-Software zum Fernsteuern des (eigenen) Desktops über das Internet und wird teilweise auch für Homeoffice genutzt.

#Wichtig - Wie erst jetzt offiziell vom Anbieter bestätigt, hat es Datendiebstahl bei der Firma Anydesk gegeben, die es den Kriminellen ermöglichte, Anwendern Schadsoftware "unterzujubeln".

Zwar wurden mittlerweile die Codesignaturen gesperrt und durch neue ersetzt, es kann aber viele Fälle geben, wo schon eine Schadsoftware auf den Endgeräten installiert wurde und schlummert. Der Hersteller empfiehlt, die Anydesk Software zu deinstallieren und nur die aktuellste Version von der Webseite herunterzuladen und zu verwenden. Außerdem sollten die betroffenen Systeme mit mehreren Virenscannern untersucht werden. Auch die Zugangspasswörter zum Online-Konto müssen geändert werden. Unklar ist noch, ob auch Zahlungsdaten gestohlen wurden aus den Online-Profilen.

Wir empfehlen, die Software zu deinstallieren, das Abonnement zu kündigen, betroffene Geräte komplett zu löschen und neu zu installieren. Für die Anwendungen die Daten zu importieren. Wohl dem, der eine Datensicherung hat - es werden allerdings aus Sicherheitsgründen keine Programme und kein Betriebssystem wiederhergestellt.

Stellen Sie dann auf andere, sicherere Lösungen - wie beispielsweise den Azure Virtual Desktop unter Windows 10 oder Windows 365 bei Microsoft um. Bei der Microsoft Lösung ist die Sicherheit bereits durch die 2-Faktor-Authentifizierung deutlich höher. Zudem kann der Azure Virtual Desktop in Azure gesichert werden. Bei Homeoffice-Einsatz muss dann auch der PC im Büro nicht eingeschaltet sein und kann Strom sparen.

Die Redaktion

WebP - Sicherheitslücken zahlreich

Kurz notiert, aber #wichtig - In einer von zahlreichen Softwareprodukten genutzten Grafik-Bibliothek sind kritische Sicherheitslücken festgestellt worden. Auf einer Skala von 10 mit Risiko 10 bewertet. Die Referenz ist: CVE-2023-5129.

Eines der betroffenen Produkte ist auch Libreoffice, das einige von Ihnen beispielsweise zum Erstellen von PDF-Formularen benutzen. Aber auch einige kostenlose Grafiklösungen sind betroffen.

Grundsätzlich gilt: Aktualisieren Sie Libreoffice auf Version 7.6.2.1 und recherchieren Sie, ob weitere Software, die Sie im Einsatz haben, betroffen sein könnten. Bei Unsicherheit ist es immer eine gute Idee, alle Tools, Werkzeuge und frei Software auf dem aktuellen Stand zu haben.

(Noch unvollständige) Liste betroffener Software

auf Github

FritzBox und Repeater Sicherheitsupdates

Weil einige von Ihnen beispielsweise bei Vodafone West Business (ehemals Unitymedia) Internet-Leitungen im Einsatz haben und der Standard-Grenzrouter AVM Fritz!box Cable 6490 oder 6691 sind, hier der Hinweis, dass AVM in allen Routern eine kritische Sicherheitslücke geschlossen hat und - auch für sehr alte Geräte das Sicherheitsupdate anbietet. Das gilt auch für Repeater wie Fritz!Box 1750E oder neuer.

Updates gibt es im Übrigen nicht nur für Kabelmodems, sondern für alle Fritz-Produkte.

Die sicheren Versionen sind entweder: 7.57 oder bei ganz alten Modellen 7.31.

Da Sie das Update nur bei frei gekauften und nicht bei vom Provider im Mietverhältnis bereitgestellten Boxen über die Oberfläche installieren können, bzw. es nur dort bei der passenden Einstellung automatisch installiert wird, hier die sicherste Vorgehensweise bei Kabel-Mietboxen:

#Wichtig - machen Sie die Boxen für mindestens 5 Minuten stromlos. Stecken Sie den Stromstecker wieder ein und warten ca. 20 Minuten, bis das Update provisioniert und installiert wurde.

Wenn Sie die "Stromlos" Aktion nicht durchführen, kann es mitunter mehrere Wochen dauern, bis Ihr Provider das Update an einem Morgen um 0600 Uhr zwangsweise installiert.

Tipp: AVM vodafone Sicherheitsupdate beschleunigen durch Box stromlos für 5 Minuten

Notepad++ Sicherheitslücke geschlossen

Weil der nützliche Editor doch sehr weit verbreitet ist, ist die folgende Meldung eine Notiz wert:

Nachdem bekannt wurde, dass im Notepad++ vier offene Sicherheitslücken klaffen, hat der Chefentwickler das Update 8.5.7 veröffentlicht. Die geschlossenen Sicherheitslücken sind CVE-2023-40031, CVE-2023-40036, CVE-2023-40164 und CVE-2023-40166. Außerdem wurde die uninstall.exe digital signiert.

Mit einer der Sicherheitslücken konnte man durch Öffnen eines präparierten Dokuments Angreifern die Ausführung von Programmen und damit die Kontrolle über Systeme erlauben.

#Wichtig - Aktualisieren Sie bitte dringend alle Ihre Systeme durch Notepad++, Version 8.5.7, um auf der sicheren Seite zu sein.

veeam - Sicherheitslücke - V12 erforderlich

Eine Datensicherungssoftware muss immer den aktuellen Stand haben, denn bei einem Befall aufgrund einer Sicherheitslücke in der Software wären im schlimmsten Fall ein Datenverlust oder Datendiebstahl verbunden.

Bei veeam hat die Sicherheitslücke, vor der die CISA derzeit warnt, ein Ranking von 7.5 von 10 auf der Schadensskala. Problem ist der Prozess Veeam.Backup.Service.exe, der auf TCP-Port 9401 reagiert. Angreifer können verschlüsselte Anmeldeinformationen herausbekommen und Zugriffe auf Backup-Infrastruktur-Hosts stattfinden, schreiben die Entwickler von veeam.

Neu dabei ist, dass man nun auch Version 11 mit aktuellem Patchlevel auf Version 12 anheben muss. Erst mit Version Build 12.0.0.1420 P20230223 oder neuer ist diese Lücke sicher geschlossen.

#Wichtig - Bitte aktualisieren Sie Ihre veeam-Installationen auf die aktuelle 12er Version oder lassen sie aktualisieren.

https://www.veeam.com/kb4424

NIS2 - Sicherheits-Richtlinie ab Okt 2024

Die #NIS2 ist Nachfolger der NIS1 EU-Richtlinie und betrifft die Anforderung, gewisse IT-Sicherheitsstandards zu erfüllen, da ansonsten empfindliche Bußgelder verhängt werden.

Während die derzeit in deutsches Recht umgesetzte NIS1 nur große Unternehmen und Firmen im Bereich kritischer Infrastrukturen betraf, ist NIS2 auch auf mittelständische und kleine Unternehmen ausgeweitet.

#Wichtig - So ist ein mittelständischer Betrieb mit mehr als 50 Mitarbeitern oder/und 10 mio Euro Bilanzsumme, der Lebensmittel produziert oder damit handelt oder mit Chemikalien (z.B. Pflanzenschutz) handelt, von der NIS2 betroffen.

Die Umsetzung der EU-Richtline in deutsches Recht (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz NIS2UmsuCG) muss bis zur Umsetzung des Gesetzes erfolgen. Der aktuelle Entwurf ist beim BMI einsehbar.

Änderungen nach nationaler Umsetzung des Gesetzes

Experten schätzen, das die Verabschiedung als Gesetz entweder zum 1.1.2025 erfolgt, oder aber schon nach der Sommerpause des Bundesrates zum Oktober 2024. Das BSI spricht dann von einer Toleranzzeit von drei Monaten, in denen eine Registrierung nachgeholt werden kann. Derzeit kann man sich beim BSI aber nur für KRITIS1 (besonders wichtige Unternehmen) registrieren. Die genaue Verfahrensweise, wie es endgültig sein wird, ist abzuwarten.

Das BSI schreibt dazu: "[...] Bitte beachten Sie dazu aus den FAQ zu NIS2 (https://www.bsi.bund.de/dok/nis-2-faq) die Antwort zur Frage „Mein Unternehmen erfüllt die Kritierien, um als besonders wichtige (essential entities) oder KRITIS-Betreiber oder wichtige Einrichtung (important entities) zu gelten. Welche Pflichten sind zu erfüllen?“ Hier insbesondere der Hinweis: „Zu den exakten Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Umsetzung der NIS-2-Richtlinie der EU und Abschluss des Gesetzgebungsverfahrens Auskunft gegeben werden. Nach Verabschiedung eines geänderten BSI-Gesetzes zur Umsetzung der NIS2-Richtlinie der EU wird das BSI konkrete Hinweise zu den einzelnen Pflichten und Maßnahmen geben.“

Wer ist betroffen?

Zählt deren Branche zur kritischen Infrastruktur, sind auch Kleinunternehmen betroffen. Neu ist, dass auch für andere Geschäftszwecke Unternehmen, die mehr als 50 Personen beschäftigen und Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR übersteigt, unter die NIS2 fallen. Neu ist auch die Unterscheidung von "wesentlichen" (wie bisher KRITIS mit erweiterten Kriterien) und "wichtigen" Unternehmen. Die Einstufung hat Einfluss auf die Höhe der Bußgelder.

[] mindestens 50 Mitarbeiterinnen und Mitarbeitern.
[] einem Jahresumsatz und einer Jahresbilanz von über 10 Mio. Euro.
[] oder (KRITIS) einem Jahresumsatz >50 mio und einer Jahresbilanz von über 43 mio.

und einer Tätigkeit aus den Folgenden:

[] Herstellung, Produktion und Vertrieb von Chemikalien.
[] Lebensmittelproduktion, -verarbeitung und -Vertrieb.
[] Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff).
[] Produktion (Herstellung von Medizinprodukten, Maschinen, Fahrzeugen).
[] Gesundheit (Gesundheitsdienstleister, EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte).
[] Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr).
[] Bankwesen (Kreditinstitute).
[] Finanzmarktinfrastruktur (Handelsplätze).
[] Digitale Infrastruktur (Internet-Knoten, Cloud Provider, Rechenzentren, Elektronische Kommunikation).
[] Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke).
[] Post- und Kurierdienste.
[] Forschung.
[] Weltraum (Bodeninfrastruktur).
[] Öffentliche Verwaltungen.
[] Trinkwasser (Wasserversorgung).
[] Abwässer (Abwasserentsorgung).
[] Abfallwirtschaft (Abfallbewirtschaftung).

Was ist zu tun?

BSI Betroffenheit prüfen

Das #BSI hat im Juli 2024 ein vorläufiges (vorbehaltlich Änderungen bei Gesetzeslegung) Prüf-Tool – veröffentlicht, mit dem Sie ermitteln können, in welchen Bereich und Kreis Sie im Rahmen NIS2 betroffen sind

[linkbutton link="https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung.html?nn=1116326#Pruefung" label="BSI Prüf-Tool Stand Juli 2024"]

Weitere Schritte

#Wichtig - da zu erwarten ist, dass die EU-Richtlinie weitgehend unverändert in deutsches Recht umgesetzt wird, prüfen Sie, anhand der Richtlinie, ob Sie zu den Betroffenen gehören, indem Sie in der Richtlinie nachlesen, ob die genannten Kriterien für Sie zutreffen.

Wenn ja, ist die Vorgehensweise leider nicht geregelt, da in der Richtlinie (ähnlich wie bei der DSGVO) keine konkreten Maßnahmen beschrieben sind, die man anhand einer zu erstellenden Checkliste abarbeiten oder prüfen kann.

Dennoch müssen bei den genannten Anforderungen mindestens ausgewählte Themen der BSI Grundschutz-Standards 200-1 und -2 UND eine Risikoanalyse mit Notfallplan (BSI-Standards 200-3 und -4) betrachtet und dokumentiert sein.

Bei genossenschaftlich geprüften Unternehmen kommen dann noch die ISA DE 315 (Prüfung durch die Wirtschaftsprüfer) dazu. Die Pflichten umfassen somit technische (auf dem aktuellen Stand der Technik) und organisatorische Maßnahmen (Awareness-Schulungen), ein Reporting (Meldung von Verstößen ähnlich der DSGVO) und Verhaltensregeln im Fehlerfall.

Darüber hinaus müssen regelmäßige Audits sicherstellen, dass die Maßnahmen erfüllt sind. Man geht im "best practice" von jährlichen Audits aus.

Zusätzlich ist von einem Meldesystem (MDR) die Rede. Meldungen von Vorfällen an BSI und die Meldebehörden können manuell, müssen aber im Rahmen der gesetzten Fristen kurzfristig erfolgen. Einige Drittanbieter wie die Telekom bieten auch ein MDR-System in der Cloud an, das Vorfälle erkennen und Meldungen automatisieren soll.

Registrierung im BSI Meldeportal

Während sich derzeit nur KRITIS Unternehmen im Meldeportal registrieren müssen, ist zu erwarten, dass auch der erweiterte Kreis unter NIS2 innerhalb von 24 Stunden eine Erstmeldung abgeben muss und innerhalb von 72 Stunden die Meldung. Dazu wird man sich in einem BSI-Portal registrieren müssen. Genauere Details wird das BSI nach Verabschiedung des Gesetzes bekannt geben.

Checkliste des BSI

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Checkliste, was zu tun ist, veröffentlicht:

[linkbutton link="https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-was-tun/NIS-2-was-tun_node.html" label="Checkliste zur Vorgehensweise vom BSI"]

Beispiele für Verstöße

• Internetzugang durch eine Firewall der ersten Generation oder nur einen Router
• keine 2-Faktor-Authentifizierung für administrativen Zugriff auf Online- und Clouddienste und/oder Webseiten, auf denen Geld bewegt wird
• Personal ist nicht Umgang mit IT-Risiken (nachweislich) geschult
• kein Konzept im Umgang mit Ransomware und Verschlüsselungsschadsoftware
• Kein Meldewesen bei erkannten Vorfällen

Fazit

Ähnlich wie 2018 bei der DSGVO gilt auch hier. Lassen Sie sich von Ihrem Fachanwalt beraten. Der hier erstellte Artikel dient nur zu Ihrer Information und stellt eine Möglichkeit dar, einen Mindestschutz zu erreichen. Erst mit Verabschiedung des Gesetzes wird NIS2 in deutsches Recht umgesetzt, jeder sollte sich aber schon jetzt Gedanken zur Umsetzung machen.

Unabhängig davon, ob Sie unter die genannten Unternehmen fallen, sind die Erfüllung wichtiger Themen aus dem BSI Grundschutz und der Notfallplan auch für kleinere Unternehmen bei Mängeln häufig Grund von Versicherungen, die Leistungen im Schadenfall zu kürzen. Auch Ratings von Banken bei der Kreditvergabe sind davon abhängig.