Liebe Leserinnen und Leser,
das Jahr neigt sich dem Ende, aber die Sicherheitsbranche ist wie immer sehr aktiv. Neben apokalyptischen Lücken und explodierenden Hardware-Preisen gibt es auch Lichtblicke in der digitalen Souveränität.
Die folgenden Themen behandeln wir:
Positive Stimmung bei der Open-Source-Migration in Schleswig-Holstein
UK möchte Softwarehersteller in die Verantwortung ziehen
RAMses II: Erneute Technik-Knappheit
Wir wünschen Ihnen Ruhe und Gelassenheit in den kommenden Tagen und beim Jahreswechsel.
Mit besten Grüßen
Abraham Söyler und Justus Tartz
Positive Stimmung bei der Open-Source-Migration in Schleswig-Holstein
Das Thema digitale Souveränität beschäftigt nicht nur die europäischen Unternehmen, sondern auch die Verwaltung und Behörden. Vor einigen Wochen machte Schleswig-Holstein Schlagzeilen mit der Erfüllung des ersten Meilensteins bei der Migration von Microsoft-Office-Produkten zu Open-Source-Lösungen, dem Wechsel von Exchange und Outlook auf Open-Xchange und Thunderbird.
Nach kleineren Anfangsschwierigkeiten läuft die Open-Source-Migration in Schleswig-Holstein mittlerweile gut. Bereits 80 % der Arbeitsplätze wurden umgestellt. Die Landesregierung spricht in einem Zwischenfazit von finanziellen Einsparungen und einem Zugewinn der digitalen Souveränität.
Gerade in Anbetracht jüngster Ankündigungen der US-Regierung, die Einfluss auf die EU und damit die Souveränität nehmen wolle, rückt die Relevanz des Souveränitätsaspekts ins Rampenlicht. Unabhängige und finanziell nachhaltige Lösungen sind auch außerhalb von Schleswig-Holstein im Trend.
Viele Verwaltungen haben in Beschaffungsvorschriften bereits Formulierungen integriert, die Open-Source bevorzugen, was zeigt: Auch die Stimmen für souveräne IT-Strategien in den Verwaltungen Europas werden immer lauter.
Klar ist: Die IT-Strategie der meisten Verwaltungen steht in Konflikt mit einem sich immer weiter auftuenden politischen Graben im Atlantik.
https://www.tagesschau.de/ausland/amerika/usa-vorwuerfe-europa-100.html
https://www.tagesschau.de/ausland/europa/eu-reaktionen-ussicherheitsstrategie-100.html
React2Shell: eine glatte 10
Eine der Lieblingsbeschäftigungen für Personen aus der Threat-Intel-Szene ist es, sich griffige Namen für Schwachstellen zu überlegen. Oft handelt es sich um Komponenten (log4j) oder Angreifergruppierungen (Hafnium), manchmal finden sich auch Kombinationen. Anfang Dezember veröffentlichte React ein Advisory zu einer Schwachstelle in ihrer Serverkomponente. Diese ermöglicht einem nicht authentifizierten Angreifenden vollständige Codeausführung, sofern diese Komponente im Einsatz ist. Aus diesem Grund hat die Schwachstelle einen Score von 10 erhalten, das Maximum.
In diesem Fall wurde die Schwachstelle React2Shell genannt, eine Anspielung auf die Plattform und die Auswirkung. Es ist definitiv leichter zu merken als CVE-2025-55182. Wie auch immer sie genannt wird: Patchen!
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
UK möchte Softwarehersteller in die Verantwortung ziehen
Große Sicherheitsvorfälle sind leider keine Seltenheit geworden. Oftmals entstehen sie aufgrund von Architekturfehlern und fehlender Sicherheitskonzeption bei der Planung. In Großbritannien wird gerade ein Vorschlag diskutiert, diese Lücke zu schließen. Ein großer Schmerzpunkt ist die Verallgemeinerung von Sicherheitsrisiken durch Unternehmen, der mit dem Vorschlag gelöst werden soll. Insbesondere soll verhindert werden, dass Unternehmen Software vertreiben, die nicht über ein Mindestmaß an Security verfügen. Ausschlaggebend soll die bestehende Publikation „Software Security Code of Practice“ der Regierung sein.
Auch die Meldepflichten sollen dort erweitert werden. Bisher gilt die Pflicht nur bei Ransomware-Angriffen, geplant ist jedoch eine Ausweitung auf alle Arten von Angriffen. In der Praxis muss das noch detaillierter beleuchtet werden, um nicht einen DDoS-Angriff auf die staatlichen Institutionen zu erzeugen, aufgrund der Menge an gemeldeten Phishing-Versuchen.
All diese Regelungen befinden sich zwar noch in einer frühen Diskussionsphase, es gab aber in der Vergangenheit bereits Fälle, in denen staatliche Regelungen und Vorschläge von anderen Jurisdiktionen übernommen wurden. Es lohnt sich also, die Entwicklung im Auge zu behalten.
https://therecord.media/software-companies-liable-britain-security
RAMses II: Erneute Technik-Knappheit
Der KI-Hype hat viele Auswirkungen auf unseren Alltag. Dadurch reduziert sich nicht nur die Qualität der Google-Suchergebnisse, sondern auch die Verfügbarkeit von RAM-Chips auf dem freien Markt. Wichtig anzumerken ist allerdings, dass DRAM (Dynamic Random Access Memory) in wesentlich mehr Produkten als in RAM-Modulen steckt.
Auch SSDs besitzen DRAM-Caches, Grafikkarten VRAM, und auch Smartphones und Embedded-Geräte sind darauf angewiesen. Mittelfristig dürften sich die massiven Preiserhöhungen also auch auf andere Produkte niederschlagen.
Doch warum schreiben wir darüber in einem Security Digest? Migrationen, IT-Infrastruktur-Planungen und Client-Systeme dürften die ein oder andere Kosten/Nutzen-Rechnung mittelfristig infrage stellen. Die Einschränkungen können Auswirkungen auf die Verfügbarkeit von Systemen und die Arbeitsfähigkeit von Mitarbeitenden haben, wenn diese essenziellen Komponenten ausfallen.
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Januar 2026.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!
Auf Facebook teilen
Auf X teilen
Auf LinkedIn teilen
Auf Xing teilen
Link kopieren