Heimat der Akademie
Blogs
NIS2-Verzögerungen, Sicherheitslücken im Gesundheitswesen und verbessertes Trust Center: Cyberday Produkt- und Nachrichtenübersicht 5/2025 🛡️
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

NIS2-Verzögerungen, Sicherheitslücken im Gesundheitswesen und verbessertes Trust Center: Cyberday Produkt- und Nachrichtenübersicht 5/2025 🛡️

ISO 27001-Sammlung
NIS2-Verzögerungen, Sicherheitslücken im Gesundheitswesen und verbessertes Trust Center: Cyberday Produkt- und Nachrichtenübersicht 5/2025 🛡️
NIS2-Sammlung
NIS2-Verzögerungen, Sicherheitslücken im Gesundheitswesen und verbessertes Trust Center: Cyberday Produkt- und Nachrichtenübersicht 5/2025 🛡️
Cyberday Blog
NIS2-Verzögerungen, Sicherheitslücken im Gesundheitswesen und verbessertes Trust Center: Cyberday Produkt- und Nachrichtenübersicht 5/2025 🛡️

Hier finden Sie die Mai-Neuigkeiten und den Produktrückblick vom Cyberday sowie eine Zusammenfassung des letzten Admin-Webinars. Unser nächstes Admin-Webinar, bei dem wir live gehen werden, findet im Herbst 2025 statt. Sie können sich für das Webinar auf unserer Webinar-Seite anmelden, wenn das Datum näher rückt.

Nehmen Sie an unseren wöchentlichen Webinaren teil

Verpassen Sie nicht unsere wöchentlichen Live-Sitzungen zu den Themen ISO 27001 und NIS2. Expertengespräche und Fragen und Antworten - jetzt anmelden!

An Webinaren teilnehmen

Nachrichtenübersicht 5/2025

NIS2-Verzögerungen sollten nicht zur Untätigkeit führen

Artikel von pinsentmasons.com

Die NIS2-Richtlinie der EU bewegt sich nur langsam durch die nationalen Gesetzgebungen, wobei 19 von 27 Ländern die Umsetzungsfrist am 14. Mai verpasst haben. Diese Verzögerung wirkt sich zwar auf die Einzelheiten der nationalen Vorschriften aus, nicht aber auf die Verpflichtungen, die die Unternehmen erfüllen müssen. Die Richtlinie selbst legt Mindestanforderungen fest, und während lokale Versionen diese ergänzen können, werden sich die zentralen Erwartungen nicht ändern. Die Europäische Kommission hat bereits eine förmliche Warnung, eine so genannte "mit Gründen versehene Stellungnahme", verschickt, in der den Ländern eine Frist von zwei Monaten eingeräumt wird, um darauf zu reagieren, andernfalls drohen ihnen Geldstrafen. Die Umsetzung wird wahrscheinlich frühestens Ende dieses Jahres vollständig abgeschlossen sein, aber das bedeutet nicht, dass Unternehmen mit dem Handeln warten sollten.

Eine abwartende Haltung mag sich sicher anfühlen, ist aber riskant: sowohl aus Sicht der Einhaltung von Vorschriften als auch aus Sicht der Cybersicherheit. Ja, einige Details sind noch im Fluss, aber die Richtung ist klar, und die Verpflichtungen sind real. Wenn man jetzt nichts unternimmt, könnten die Unternehmen ins Straucheln geraten, sobald die nationalen Gesetze fallen. Stattdessen sollten Unternehmen mit den Vorbereitungen beginnen: Sie sollten ihre Risiken erfassen, ihre internen Teams schulen und flexible Pläne zur Einhaltung der Vorschriften aufstellen. NIS2 ist nicht nur eine gesetzliche Belastung, sondern auch eine Chance, die Basis für Ihre Cybersicherheit zu verbessern. Und angesichts der heutigen Bedrohungslage ist dies unabhängig von der gesetzlichen Frist ein kluger Schritt.

Kettering Health nach Ransomware-Angriff von systemweitem Ausfall betroffen

Artikel von bleedingcomputer.com

Ein kürzlich erfolgter Cyberangriff auf Kettering Healt in Ohio hatte weitreichende Auswirkungen auf die 14 Krankenhäuser und mehr als 120 ambulanten Einrichtungen der Organisation und führte zu einer Unterbrechung wichtiger Systeme, darunter Plattformen für die Patientenversorgung und das Callcenter. Infolgedessen wurden elektive stationäre und ambulante Eingriffe gestrichen und Termine verschoben, während die Notdienste weiterhin in Betrieb sind. Zu allem Übel haben Betrüger die Situation ausgenutzt, indem sie sich als Kettering-Mitarbeiter ausgaben, um Zahlungen von ahnungslosen Patienten zu erpressen. Die Organisation hat aus Sicherheitsgründen alle Abrechnungsanrufe gestoppt und die Patienten aufgefordert, verdächtige Aktivitäten zu melden.

Die Wiederherstellung nach dem Vorfall dauert noch an, und die IT-Teams arbeiten eng mit Cybersecurity-Experten und Strafverfolgungsbehörden zusammen, um den Betrieb wiederherzustellen. Während Kettering die Art des Angriffs nicht bestätigt hat, führt das Cybersicherheitsunternehmen PRODAFT die Verletzung auf einen Bedrohungsakteur namens Nefarious Mantis zurück, der mit der Interlock-Ransomware-Gruppe in Verbindung steht. Diese Gruppe hat bereits in der Vergangenheit Unternehmen aus dem Gesundheitswesen und der Biotechnologie angegriffen und dabei das Interlock RAT und Ransomware eingesetzt, um die Kontrolle über Systeme zu übernehmen und sensible Daten zu exfiltrieren. Die Situation bei Kettering verdeutlicht die wachsende Bedrohung, die Ransomware für die Infrastruktur des Gesundheitswesens darstellt, wo Betriebsausfälle reale Folgen für die Patientenversorgung haben können. Es ist eine deutliche Mahnung für alle Branchen, insbesondere aber für das Gesundheitswesen, dass die Widerstandsfähigkeit der Cybersicherheit als oberste Priorität behandelt werden muss.

Dieser Artikel unterstreicht die wachsende Bedrohung für die Infrastruktur des Gesundheitswesens und die dringende Notwendigkeit einer stärkeren Bereitschaft und Reaktion im Bereich der Cybersicherheit.

Anspruchsvolles Phishing über NPM und AES

Artikel von darkreading.com

Ein kürzlich durchgeführter Phishing-Angriff, der auf Microsoft 365-Nutzer abzielte, nutzte einen einzigartig komplexen Ansatz, bei dem mehrere fortschrittliche Techniken in einem einzigen Angriff kombiniert wurden - etwas, das Forscher bisher noch nicht in dieser Kombination gesehen haben. Laut einer Sicherheitsanalyse tarnte sich die Phishing-E-Mail als DocuSign-Benachrichtigung, die mit AES verschlüsselt war. Beim Öffnen des Anhangs wurde eine Verbindung zu einem bekannten CDN (wie Cloudflare oder Google Cloud) hergestellt und ein bösartiges npm-Paket ausgeführt. Dieses JavaScript-basierte Paket leitete das Opfer durch eine Kette von Umleitungen und landete schließlich auf einer überzeugenden, aber gefälschten Microsoft 365-Anmeldeseite, die darauf ausgelegt war, Anmeldedaten zu stehlen.

Was diesen Angriff besonders gefährlich macht, ist, dass er herkömmliche Erkennungssysteme umging, obwohl er keine offensichtliche Verschleierung verwendete. Stattdessen verließ sich der Angreifer auf Verschlüsselung, ein vertrauenswürdiges CDN und vergiftete Open-Source-Software, um sich unter den legitimen Datenverkehr zu mischen. Dies ist ein klares Signal, dass Verteidiger ihre Strategien weiterentwickeln und auf subtile Indikatoren wie verschlüsselte Dateien in E-Mails und Phishing-Taktiken in Nischen mit geringem Umfang achten müssen. Auch wenn die Infrastruktur, die für diesen speziellen Angriff verwendet wurde, inzwischen abgeschaltet wurde, sind die Auswirkungen weitreichend: Bedrohungsakteure entwickeln sich ständig weiter, und die Sicherheitsteams müssen ebenso flexibel sein. Dieser Fall unterstreicht auch die Bedeutung eines engagierten ISMS-Teams und strukturierter interner Sicherheitsprozesse - etwas, das Cyberday bald noch umfassender unterstützen wird.

Zufriedenheit mit Telefonen fällt auf 10-Jahres-Tief - und KI ist nur zum Teil schuld daran

Artikel von zdnet.com

Die Zufriedenheit der Smartphone-Nutzer ist laut dem jüngsten amerikanischen Kundenzufriedenheitsindex auf den niedrigsten Stand seit einem Jahrzehnt gesunken: von 82 % auf 78 %. Dies ist ein deutlicher Rückgang nach dem Rekordhoch des letzten Jahres. Dieser Rückgang ist vor allem auf schleppende Innovationen, steigende Preise und weniger überzeugende Gründe für ein Upgrade zurückzuführen. Obwohl sich die Hersteller mit der Einführung neuer Funktionen beeilen, sind die Nutzer zunehmend frustriert über die fehlenden Verbesserungen bei Kernfunktionen wie Akkulaufzeit, Zuverlässigkeit der Anrufe und Benutzerfreundlichkeit.

Die Studie unterstreicht auch, dass KI-Verbesserungen für die meisten Nutzer keinen nennenswerten Wert darstellen: Nur 8 % geben an, dass sie für KI-Funktionen bezahlen würden. Die Verbraucher ziehen eindeutig das Praktische dem Neuen vor. Selbst Branchenführer wie Apple und Samsung mussten leichte Rückgänge bei der Zufriedenheit hinnehmen, und Google verzeichnete einen noch stärkeren Rückgang von 3 %. Bei den Smartwatches liegt Samsung mit 83 % Zufriedenheit an der Spitze, gefolgt von Apple und Fitbit, was wiederum zeigt, dass den Nutzern vor allem ein robustes Design und eine gute Displayqualität wichtig sind. Die Botschaft ist klar: Innovation muss den Grundlagen dienen, sonst wird sie nicht zum Erfolg führen.

Dies unterstreicht die zunehmende Diskrepanz zwischen Smartphone-Innovationen und den Erwartungen der Nutzer, wobei die Kundenzufriedenheit auf dem niedrigsten Stand seit einem Jahrzehnt ist. Trotz auffälliger neuer Funktionen wie künstliche Intelligenz (KI) legen die Nutzer den Schwerpunkt auf Kernfunktionen wie Akkulaufzeit, Zuverlässigkeit und Benutzerfreundlichkeit, die weiterhin zu kurz kommen.

Billionen werden in IT-Projekte gesteckt, doch sie gehen schief - warum?

Artikel von tivi.fi

40 % der IT-Projekte überschreiten ihre Budgets, 20 % sogar um mehr als 50 % und einige sogar um mehr als 200 %. Jüngsten Erkenntnissen zufolge ist dieser besorgniserregende Trend auf einige konsistente Herausforderungen zurückzuführen: mangelnde IT-Erfahrung, fehlendes zertifiziertes Projektmanagement und die abstrakte Natur vieler digitaler Projekte, die es schwierig macht, sie zu planen und zu kontrollieren. Im Vergleich zu Bereichen wie dem Brückenbau, wo detaillierte Pläne sorgfältig geprüft werden, bevor die Arbeit beginnt, leiden viele IT- und Compliance-Initiativen immer noch unter vagen Anfängen.

Eine wichtige Empfehlung lautet, mehr Zeit in die Planungsphase zu investieren, insbesondere für Compliance- und KI-bezogene Projekte, bei denen es oft an Klarheit und Struktur mangelt. Gartner prognostiziert für dieses Jahr weltweite IT-Ausgaben in Höhe von 5,6 Billionen US-Dollar, was das Ausmaß und die potenzielle Verschwendung unterstreicht, die auf dem Spiel stehen. Die wichtigste Erkenntnis? Wenn diejenigen, die Ihre KI-Bemühungen priorisieren und leiten, den Bereich oder den erforderlichen Zeitaufwand nicht vollständig verstehen, riskieren Sie, dass das Projekt von Anfang an zum Scheitern verurteilt ist. Eine solide Planung und ein tieferes Verständnis des Projekts sind unerlässlich, um Budgetüberschreitungen und enttäuschende Ergebnisse zu vermeiden.

Russland will Standortverfolgung von Ausländerndurchsetzen

Artikel von bleedingcomputer.com

Russland hat ein umstrittenes neues Gesetz eingeführt, das alle ausländischen Staatsangehörigen in der Region Moskau (mit Ausnahme von Diplomaten und belarussischen Staatsbürgern) verpflichtet, eine von der Regierung herausgegebene Tracking-App auf ihren Smartphones zu installieren. Die App sammelt detaillierte persönliche Daten wie Fingerabdrücke, Gesichtsbilder, Informationen über den Aufenthaltsort und den Standort in Echtzeit, wobei jede Änderung des Aufenthaltsorts den Behörden innerhalb von drei Tagen mitgeteilt werden muss. Bei Nichteinhaltung wird die Aufnahme in ein überwachtes Register und die Abschiebung zur Folge haben.

Offiziell heißt es, die Maßnahme solle dazu dienen, Straftaten im Zusammenhang mit Migranten durch eine bessere Überwachung zu verringern, doch Kritiker haben ernsthafte Bedenken geäußert. Rechtsexperten argumentieren, dass die Maßnahme gegen verfassungsmäßige Datenschutzrechte verstößt, während führende Vertreter von Migrantengemeinschaften und Verfechter digitaler Rechte die Durchführbarkeit in Frage stellen und davor warnen, dass sie die dringend benötigte Arbeitsmigration verhindern könnte. Der Plan befindet sich noch in der Entwicklung, und praktische Probleme wie der Verlust von Geräten müssen noch geklärt werden. Das Überwachungspilotprojekt wird bis September 2029 laufen, mit der Möglichkeit einer landesweiten Ausweitung.

Wie denken Sie über das Gleichgewicht zwischen nationaler Sicherheit und individueller Privatsphäre bei Maßnahmen wie dem von Russland vorgeschlagenen Gesetz zur Überwachung von Migranten?

Wichtigste Themen in der Entwicklung von Cyberday

Verbesserungen bei den Cyberday Trust Centern

Wir haben die erste Implementierung des Cyberday Trust Centers erweitert, um Ihnen mehr Kontrolle, Klarheit und Vertrauen zu geben, wenn Sie Ihre Sicherheitslage mitteilen.

Mit den neuesten Updates können Sie jetzt:

  • Laden Sie Ihre eigenen Dokumente wie Bescheinigungen, Auditberichte oder Prüfbescheinigungen in Ihr Trustcenter hoch.
  • Verfolgen und verwalten Sie Zugriffsanfragen direkt in der Cyberday , so dass Sie einen vollständigen Überblick darüber haben, wer um was bittet.
  • Passen Sie die Besuchererfahrung an, indem Sie die grundlegenden Willkommensinformationen ausfüllen, um Ihr Trust Center effektiv vorzustellen.

Diese Verbesserungen machen es einfacher, Vertrauen bei Partnern und Kunden aufzubauen und gleichzeitig die Kontrolle über die gemeinsam genutzten Materialien zu behalten.

Automatisierter monatlicher Export von ISMS-Kennzahlen

Sie können jetzt einen automatischen monatlichen Export Ihrer wichtigsten ISMS-Dokumentation von Cyberday aus aktivieren. Dies ist besonders nützlich, wenn Sie Offline-Backups aufrechterhalten oder die Geschäftskontinuitätsplanung mit regelmäßig gespeicherten Kopien Ihrer kritischen Daten unterstützen möchten.

Richten Sie es ganz einfach im Abschnitt Einstellungen ein, indem Sie auswählen, welche Dokumentationslisten und Berichte Sie einschließen möchten. Nach der Aktivierung erhalten Sie eine monatliche E-Mail mit einem Link, über den Sie Ihr Datenpaket zu Beginn des Monats herunterladen können - keine manuellen Schritte erforderlich.

Bevorstehende Entwicklungen

‍In-App-Feed für aktuelle Entwicklungen: Wir führen einen neuen Feed für aktuelle Entwicklungen unter der Registerkarte "Community" ein, um Sie über die neuesten Updates auf dem Laufenden zu halten. Dies ist Ihre Anlaufstelle für schnelle Einblicke in neue Funktionen, Verbesserungen und Fortschritte hinter den Kulissen - direkt dort, wo Sie arbeiten.

Freigabe von Berichten für "Jedermann mit einem Link": Sie können Cyberday bald noch flexibler weitergeben, indem Sie den Zugriff für "Jeder mit einem Link" aktivieren. Dies macht es einfach, wichtige Informationen mit einem teilbaren Link extern zu verbreiten.

Zusammengefasste SoA-Ansicht von Compliance-Berichten: Wir fügen den Konformitätsberichten eine komprimierte Ansicht der Anwendbarkeitserklärung (Statement of Applicability, SoA) hinzu, die einen schnellen, konzentrierten Überblick über den Kontrollstatus ermöglicht - ideal für Audits und Überprüfungen durch Interessengruppen.

Weitere anstehende Themen auf dem Entwicklungsweg sind Aktualisierungen der Anbieterbewertung, erneuerte einzelne Framework-Seiten und frameworkspezifische Verbesserungsvorschläge.

Kürzlich veröffentlichte und künftige Rahmenwerke

Wir bauen unsere Unterstützung für wichtige Cybersicherheits- und Compliance-Rahmenwerke kontinuierlich aus. In diesem Frühjahr haben wir die Unterstützung für den Cyber Resilience Act (CRA) und die lokalen NIS2-Gesetze erweitert, die in den EU-Mitgliedstaaten in Kraft treten. Wir bereiten uns darauf vor, die Unterstützung für wichtige Standards wie HIPAA, ISA/IEC 62443-2-1 und viele andere einzuführen. Halten Sie sich auf dem Laufenden, sobald diese Frameworks in Cyberday verfügbar werden.

Überprüfen Sie die verfügbaren und kommenden Frameworks in der Cyberday oder auf der Frameworks-Website.

Geschrieben von
Ronja Isaksson
30.5.2025
@
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Andere ähnliche Inhalte von Academy

Blogs

Was ist ein vCISO? Die Rolle des virtuellen CISO verstehen

Was ein vCISO ist, was er tut und warum das Modell des virtuellen CISOs bei Unternehmen und Cybersecurity-Beratern schnell wächst.
12.6.2025

Was ist ein modularer Cybersicherheitsrahmen und warum er für Berater unerlässlich ist?

Modulare Cybersicherheits-Frameworks erleichtern das Compliance-Management und helfen Beratern, schneller zu skalieren, mehr Aufträge zu gewinnen und wiederkehrende Umsätze zu erzielen.
12.6.2025

Ausfall der Cyberday am Dienstag, den 6.10.2025: Erläuterung und Nachbereitung

In dieser Nachricht werden die Einzelheiten des jüngsten Vorfalls erläutert, der am 10.6.2025 zu einem Ausfall von Cyberday führte, sowie die damit verbundenen ersten Abhilfemaßnahmen.
11.6.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekNewsletterCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit