Bundesamt für Sicherheit in der Informationstechnik (BSI)

Ihr habt Interesse, Teil des #TeamBSI zu werden und eurem #Traumjob einen Schritt näher zu kommen? 😍 Dann ist dieser Post für euch. Auf unserem 21. Deutschen IT-Sicherheitskongress am 15. & 16. April 2026 bieten wir mit unserem #Karriere-Speed-Dating die Möglichkeit, das BSI als Arbeitgeber kennenzulernen und zeigen euch, wie euer Einstieg bei uns aussehen kann. Wie läuft das Speed-Dating ab? 🧐 1. Ihr habt Interesse? 📝 2. Dann meldet euch zum Kongress an und bucht euren digitalen Gesprächstermin ganz easy online -vorab oder spontan am Veranstaltungstag. 💬 3. In einem lockeren Gespräch beantworten wir eure Fragen rund um die Themen Einstieg, Arbeitsalltag und Rahmenbedingungen im BSI. 🥰 4. Es hat gematcht? Dann könnt ihr euch über einen direkten Link zu unserer Karriereseite und auf unsere Ausschreibung "Digitale Talente" unkompliziert und zeitnah bewerben. Interesse geweckt? Hier geht es zu weiteren Informationen: 👉️ zum Karriere-Speed-Dating: https://lnkd.in/ex3amE4F 👉️ zum #TeamBSI: https://lnkd.in/e_Wtqy-v 👉️ zu unseren Stellenanzeigen: https://lnkd.in/dZ9Fhrk Wir freuen uns auf euch.

1991: Die erste Website geht online – und wir im BSI nehmen unsere Arbeit auf. 🎉 Damals ging es vor allem um den Schutz einzelner IT-Systeme. Heute sichern wir hoch-vernetzte digitale Ökosysteme. Seit 35 Jahren entwickelt sich Cybersicherheit ständig weiter – und wir mit ihr. Mit einem klaren Ziel: gemeinsam die Cybersicherheit in Deutschland zu stärken – auf dem Weg zur Cybernation Deutschland. 💪 Mehr zu unserer Geschichte: https://lnkd.in/e6ntVNpZ #CybernationDeutschland #Cynernation #BSI #DigitaleSicherheit

📢⚠️ Version 1.0: F5 BIG-IP – Aktive Ausnutzung einer #Schwachstelle im Access Policy Manager. Am 27. März 2026 gab der Hersteller #F5 ein Advisory heraus, in dem Details zu beobachteten Angriffen auf BIG-IP-Instanzen beschrieben wurden. Im Bericht enthalten waren im Wesentlichen Indicators of Compromise (IoCs), anhand derer eine Ausnutzung von CVE-2025-53521 detektiert werden kann. Diese #Schwachstelle war ursprünglich im Oktober 2025 veröffentlicht und nach dem Common Vulnerability Scoring System (CVSS) hinsichtlich ihrer Kritikalität als „hoch“ eingestuft worden. Auf Basis der aktuellen Erkenntnisse wurde außerdem bekannt, dass neben den im Oktober prognostizierten Denial-of-Service-Angriffen nun auch Remote Code Execution (RCE)-Szenarien möglich sind. F5 setzte die Bewertung folglich von 8.7 auf 9.3 von 10 bzw. von „hoch“ auf „kritisch“ herauf (CVSS v4.0). ❗️ Verwundbar sind BIG-IP-Lösungen auf virtuellen Servern mit aktiviertem Access Policy Manager (APM) – inzwischen unter dem Namen Zero Trust Access erhältlich. Akteure könnten hier aus der Ferne und ohne Authentifizierung Angriffe initiieren. Mehr Informationen auf unserer Website oder direkt hier unten: ⬇️

📢⚠️ Update zur Sicherheitswarnung: Version 1.1: #Citrix NetScaler ADC und Gateway – #Schwachstellen gefährden Organisationen Seit dem Wochenende häufen sich Berichte über Angriffe auf Citrix-Systeme [WAT26], [XCO26]. So finden mindestens seit dem 27. März Angriffsversuche mithilfe von CVE-2026-3055 statt. Die Beobachtung, dass sich die Täter mittels HTTP-GET-Aufruf sowohl auf die Endpunkte - /saml/login als auch - /wsfed/passive?wctx konzentrieren, lässt zusätzlich darauf schließen, dass sich unterschiedliche und kumuliert geschlossene Schwachstellen hinter dieser CVE verbergen könnten. Nutzt ein Angreifer diese Sicherheitslücke(n) aus, werden mehrere Kilobyte Arbeitsspeicher in Form eines Base64-kodierten Cookies ausgeliefert. Diese Daten können unter Umständen Hinweise auf interne Systeme, Schlüsselmaterial oder auch Sitzungs-IDs von administrativen Sessions enthalten. Mehr Informationen findet ihr hier: https://lnkd.in/d_XjU9SB

Einmal kurz nicht aufgepasst – und die Daten sind weg 😱 Wir im BSI sehen: Nur 26 % sichern ihre Daten regelmäßig. Dabei sind Backups oft die einzige Rettung bei Defekt, Diebstahl oder Schadsoftware. Die gute Nachricht: Ihr könnt sofort starten. Schnell und ohne viel Aufwand. 💡 Unser Tipp für euch: die 3-2-1-Regel ➡️ 3 Kopien eurer Daten ➡️ 2 verschiedene Speicherorte ➡️ 1 Backup extern (z. B. Cloud) So schützt ihr eure Daten einfach und wirksam. 👉 Schritt-für-Schritt-Anleitungen für alle Systeme findet ihr hier: https://lnkd.in/eDzNvvEZ Weitere Informationen gibt es außerdem hier: https://lnkd.in/eKWnTktT #CyberSicherheit #DigitaleSicherheit #BSI #WorldBackupDay

‼️ Von der eigenen Fotografie unfreiwillig zur Deepfake-Pornografie... Jede Person kann Opfer von #Deepfakes werden. ‼️ Verleumdung und Mobbing, Persönlichkeitsrechtsverletzungen, Desinformation, Täuschung oder Erpressung – Deepfakes, die mithilfe von #KI erstellt werden, sind längst kein Problem mehr, das nur den digitalen Raum betrifft. Deepfakes ermöglichen es, Personen Handlungen oder Aussagen zuzuordnen, die nie wirklich stattgefunden haben – so auch bei künstlich hergestellten, sexualisierenden Videos. Durch manipulierte Medieninhalte sind allerdings auch Desinformationskampagnen möglich, um Unsicherheiten, gezielte Meinungsmache oder Unwahrheiten zu verbreiten, die beispielsweise seriösen Medien oder gar Politikerinnen und Politikern in den Mund gelegt werden. Auch im Bereich #Authentifizierung ist es mit Hilfe von Deepfake-Verfahren möglich, biometrische Systeme zu überwinden oder per gefälschter Spracherkennung und Videoidentifikation Zugang zu sensiblen Diensten oder Dateien zu erlangen. KI-generierte Stimmen können darüber hinaus Personen am Telefon zu Aktionen verleiten, die Geld- oder Datenverlust zur Folge haben. Dann spricht man von sogenanntem Social Engineering. Die Justiz arbeitet an gesetzlichen Vorgaben zur Verfolgung und Bestrafung von Deepfakes, doch was könnt ihr schon heute zum Schutz beitragen? ➡️ Privatsphäre-Einstellungen prüfen und sparsam mit der Veröffentlichung privater Daten sein. ➡️ Zwei-Quellen- und Zweitweg-Check: News oder z. B. Anrufe/E-Mails verifizieren. ➡️ Bei Bildern, Videos oder Audios auf Ungereimtheiten, Pixelfehler oder verschwindende Objekte achten. ➡️ Gesundes Misstrauen auf ALLEN Kanälen haben. Mehr zum Thema Deepfakes: 👉️ https://lnkd.in/dbKZ7vqj

Wie lassen sich neue regulatorische Anforderungen in der Praxis umsetzen? 💻🔒 Beim 21. Deutschen IT-Sicherheitskongress geben Expertinnen und Experten aus Verwaltung, Wissenschaft und Praxis Einblicke in die Regulierung der Informationssicherheit – mit Fokus auf aktuelle EU-Rechtsakte wie den Cyber Resilience Act (CRA). Die Session zeigt unter anderem: ➡️ wie sich Pflichten aus CRA, NIS-2 und DSGVO einordnen lassen ➡️ wie technisch-organisatorische Maßnahmen priorisiert werden können ➡️ wie Informationssicherheit und Datenschutz zusammengedacht werden 👉 Teilnahme am 16. April 2026 ab 13 Uhr möglich – kostenlos und virtuell unter dem folgenden Link: https://lnkd.in/dTiErjE #Cybersicherheit #BSIKongress2026 #CybernationDeutschland #designoffices

💪 "Power of Community" – unter diesem Motto stand die diesjährige RSA Conference RSAC in San Francisco. Wir vom #TeamBSI waren vor Ort und Teil dieser Community. Die Schwerpunktthemen für uns: Künstliche Intelligenz, ihre Sicherheit und die Frage von Digitaler Souveränität Europas im Zeitalter von #KI. Das vollgepackte Programm aus zahlreichen spannenden Fachgesprächen, Vorträgen und Events bestand für uns aus folgenden Highlights: 🔹 Bilateralen Gesprächen mit internationalen Partnern aus Verwaltung und Industrie, insbesondere zu vertrauenswürdiger KI, Souveränitätsfragestellungen und Gesetzesinitiativen wie dem #CRA oder dem CSA 2.0. 🔹 Einem Vortrag zum Thema “The EU Cyber Resilience Act – What’s in it for Industry” von unserer Kollegin Nevena Rupp und Norbert Pohlmann. Mit starkem Fokus auf Resilienz, Marktaufsicht und strategischer Souveränität der europäischen Industrie. 🔹 Fachvorträgen u. a. zur Forschung am vom BSI empfohlenen PQC-Verfahren FrodoKEM, insbesondere im Bereich passwortauthentisiertem Schlüsselaustausch. 🔹 Einem Besuch des EU-Kommissionsbüros in San Francisco zur Diskussion “Securing the hyperconnected: EU–U.S. perspectives on cybersecurity” auch im Hinblick auf transatlantische Kooperation und europäische Gestaltungsfähigkeit. Eine weitere Besonderheit: Im Rahmen eines Side-Events überreichte BSI-Präsidentin Claudia Plattner drei Common Criteria Zertifikate an das Open-Source-Unternehmen SUSE. Für SUSE nahm Sheng Yang, Sr. Director of Engineering, die Zertifikate entgegen, darunter eines auf dem Level EAL 4+. Die Zertifikate wurden für das hochkonfigurierbare Betriebssystem SUSE Linux Enterprise Server 15 ausgestellt. Dieses wurde entwickelt, um ein in kommerziellen Umgebungen gefordertes Sicherheitsniveau anzubieten. Die Zertifikate bestätigen die Konformität zu Common Criteria-Schutzprofilen des National Information Assurance Partnership (NIAP) sowie des BSI. 📸 Ein paar Eindrücke der Veranstaltung gibt's in den Bildern. #CybernationDeutschland #RSAC2026 #RSAC #CyberSecurity

⚠️📢 Version 1.0: Trivy – Supply-Chain Angriff führt zu Kompromittierungen in Deutschland Der Open-Source-Schwachstellenscanner #Trivy von Aqua Security ist seit dem 19. März 2026 von einem Supply-Chain-Angriff betroffen. Ein Akteur kompromittierte das Repository des Herstellers, um neue, mit Schadcode erweiterte Trivy-Versionen zu verbreiten. Im Detail wurden dabei Trivy v0.69.4 veröffentlicht und 76 von 77 Versionen-Tags in 'aquasecurity/trivy-action' mit Malware zum Diebstahl von Zugangsdaten versehen sowie alle 7 Tags in 'aquasecurity/setup-trivy' durch schädliche Commits ersetzt. Auch schadhafte Docker-Images wurden zwischenzeitlich auf Docker Hub verbreitet. ❗️ Sollte ein Download von Versionen/Actions in diesem Zeitraum stattgefunden haben, sollte von einer Kompromittierung ausgegangen werden. Alle in diesen Runner-Umgebungen zugänglichen Geheimnisse müssen als abgeflossen angesehen werden. Die Verwundbarkeit wurde nach dem Common Vulnerability Scoring System (CVSS) mit 9.4 von 10 als "kritisch" eingeschätzt (CVSS v4.0). Mehr Informationen findet ihr direkt unten. 👇️

Generative #KI : Chance oder Sicherheitsrisiko? Beim 21. Deutschen IT-Sicherheitskongress widmet sich eine komplette Session genau dieser Frage. Erfahrt von Luise Kranich (Abteilungsleiterin Technologiestrategie und Informationstechnik) mehr über aktuelle Entwicklungen zur KI-Sicherheit. Am 15. April ab 13 Uhr geben euch Expertinnen und Experten Einblicke, ➡️ wie sich Sicherheitsrisiken bei generativer KI abschwächen lassen, ➡️ wie KI-Browser sicherer eingesetzt werden können und ➡️ wie Sprachmodelle in sicherheitskritischen Anwendungen genutzt werden können. Auch auf dem Programm: Beiträge zu Ergebnissen aus den Workshops zu Zero Trust und NIS-2 am 15. April um 14:45 Uhr. 👉 Jetzt kostenlos registrieren und die Agenda entdecken: https://lnkd.in/dTiErjE #BSIKongress2026 #CybernationDeutschland #Cybersicherheit #designoffices