30. März 2026

BSI und Datev

Die IT-Sicherheitslage bleibt auch im März 2026 angespannt. Aktuelle Hinweise des Bundesamts für Sicherheit in der Informationstechnik (BSI) und neue Informationen von DATEV zeigen: Unternehmen müssen sowohl regulatorische Entwicklungen als auch konkrete Sicherheitsmaßnahmen im Alltag im Blick behalten.

Mitteilungen des BSI

Die Behörde baut ihre Sensorik in der Cybersicherheit gemeinsam mit Ländern und Kommunen weiter aus. Ziel ist es, die Reaktionsfähigkeit und Resilienz gegen IT-Sicherheitsvorfälle zu stärken.

Angesichts der angespannten Cybersicherheitslage baut das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Reaktionsfähigkeit und damit auch die Resilienz Deutschlands gegen IT-Sicherheitsvorfälle weiter aus. Mit den öffentlichen IT-Dienstleistern von Ländern und Kommunen wird der Einsatz der Daten-Sensorik erweitert und Echtzeitanalysen ausgebaut. Diese dienen u.a. der Anomalie-Erkennung bei IT-Systemen und damit als Frühwarnsystem für Cybersicherheitsvorfälle. Die IT-Systeme von Ländern und Kommunen haben eine kritische Funktion für die Handlungsfähigkeit von Staat und Verwaltung in Deutschland. 

BSI-Präsidentin Claudia Plattner: „Für den Schutz und die Resilienz von Staat, Wirtschaft und Gesellschaft – also für unsere zivile Verteidigung im digitalen Raum – müssen wir es schaffen, Cybersicherheit zu industrialisieren. Dank dieser Kooperation über föderale Ebenen hinweg, können wir Länder und Kommunen einbeziehen und gemeinsam an der automatisierten Abwehr von Cyberangriffen arbeiten.“

Das Projekt gilt als eine der ersten Maßnahmen zum Aufbau des Cyberdomes für Deutschland. Die Kooperation haben das BSI und die govdigital eG geschlossen, um mit den öffentlichen IT-Dienstleistern aus zehn Bundesländern die Cybersicherheit in Deutschland zu erhöhen. Sie soll zu einer Vernetzung des BSI und so genannter Security Operations Center (SOC) führen, die auf kommunaler sowie auf Länderebene die IT-Infrastrukturen überwachen und schützen. Gemeinsam sollen so Bedrohungsinformationen ausgewertet werden. Als Genossenschaft der öffentlichen IT-Dienstleister organisiert govdigital die operative Zusammenarbeit der IT-Dienstleister von Ländern und Kommunen – unter anderem auf dem Feld der Cybersicherheit.

Das BSI hat am 13. März 2026 ein NIS-2-FAQ für die öffentliche Verwaltung gestartet, um Bund, Ländern, Kommunen und weiteren öffentlichen Stellen praktische Orientierung bei der Umsetzung zu geben.

Einen Katalog mit zentralen Fragestellungen und Antworten zur NIS-2-Umsetzung in der öffentlichen Verwaltung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestellt. Die zum 18. März veröffentlichten "Frequently Asked Questions" (FAQ) bieten den betroffenen Organisationen eine Orientierung, wie die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) umzusetzen ist. Die FAQ sind nach den gesetzlichen Anforderungen an Bund, Länder, Kommunen und Justizverwaltung gruppiert. Für darüber hinaus gehende Fragen steht die Sicherheitsberatung des BSI den Behörden und anderen Verwaltungsorganen als zentrale Anlaufstelle für Informationssicherheit zur Verfügung.

Das BSI übernimmt beim Cyber Resilience Act den Vorsitz der zuständigen europäischen Koordinierungsgruppe, was zeigt, dass regulatorische Anforderungen an sichere digitale Produkte weiter an Bedeutung gewinnen.

Im Rahmen der Umsetzung des Cyber Resilience Acts (CRA) wird dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erneut eine besondere Rolle zuteil. Neben der Ernennung zur marktüberwachenden Behörde übernimmt das BSI auf europäischer Ebene nun den Vorsitz der Administrative Cooperation Group „AdCo CRA“.

Die Rolle der Vorsitzenden übernimmt Anna Schwendicke, Referatsleiterin „Marktaufsicht“ im BSI. Mit dieser Funktion erfolgt ein bedeutender nächster Schritt im Aufbau des CRA-Ökosystems. Die AdCo sorgt als eine formelle Gruppe für eine effiziente übergreifende Zusammenarbeit und Kommunikation der europäischen Marktüberwachungsbehörden und eine einheitliche Auslegung der Marktüberwachungen im europäischen Binnenmarkt. Zudem entwickelt sie gemeinsame Vorgehensweisen und Methodiken zur Umsetzung der Anforderungen des CRA und koordiniert übergreifende Marktüberwachungsmaßnahmen.

Mit dieser aktiven Rolle übernimmt das BSI Verantwortung für die EU-weite einheitliche Umsetzung des CRA. Vorsitzende Anna Schwendicke: „Die CRA-Marktüberwachung ist ein europäisches Vorhaben, denn nur mit einem robusten und effizienten europäischen Ökosystem kann Cybersicherheit erfolgreich im Markt verankert werden. Als BSI wollen wir unsere Cybersicherheits-Expertise und Netzwerke nutzen, um dieses System gemeinschaftlich mit unseren europäischen AdCo-Partnern aufzubauen.“

Umfangreiche Cybersicherheitskompetenzen, Erfahrungen mit der Cybersicherheit von Produkten und ein starkes Netzwerk an anderen europäischen Behörden machen das BSI zu einer geeigneten Instanz für die Ausübung des Vorsitzes.

Der Vorsitz wurde Anna Schwendicke offiziell auf der AdCo CRA-Sitzung am 19. März in Athen übertragen.

Der Cyber Resilience Act ist die erste europäische Verordnung, die ein angemessenes Maß an Cybersicherheit für alle Produkte mit digitalen Elementen, die auf dem EU-Markt erhältlich sind, festlegt. Ziel ist es, die Cybersicherheit innerhalb der Europäischen Union zu erhöhen. Die neuen Vorschriften gelten in allen EU-Mitgliedstaaten und werden bis zum 11. Dezember 2027 schrittweise umgesetzt.

Microsoft Sharepoint Cybersicherheitswarnung

Besonders relevant ist außerdem eine aktuelle BSI-Cybersicherheitswarnung vom 25. März 2026: Das BSI meldet, dass Angreifer eine kritische Schwachstelle in Microsoft SharePoint aktiv ausnutzen. Für Unternehmen mit entsprechenden Umgebungen ist das ein klares Signal, Sicherheitsupdates, Härtungsmaßnahmen und Monitoring nicht aufzuschieben.

Einem Angreifer könnte es bei einer erfolgreichen
Ausnutzung gelingen, aus der Ferne Code auf verwundbaren SharePoint-Servern auszuführen und so das System vollständig zu kompromittieren. Während im Januar noch davon ausgegangen wurde, dass Täter hierfür zumindest über ein Konto auf dem Zielsystem verfügen müssen und damit der CVSS-Score bei 8.8 von 10 "hoch" lag, stellte sich nun heraus, dass eine Ausnutzung auch ohne Authentifizierung möglich ist. Microsoft passte das ursprüngliche Advisory auf den kritischen Schweregrad an.

Die Schwachstelle stellt für Betreiber von Microsoft SharePoints ein erhebliches Sicherheitsrisiko dar. In der Regel wird die Anwendung zur Erstellung, Bearbeitung und Speicherung Organisations-interner Dateien genutzt. Auch interne Kommunikation und Terminplanung können über SharePoint abgewickelt werden. Für Täter ergeben sich daraus eine Vielzahl an Angriffsszenarien, beispielsweise könnten vertrauliche Informationen abgegriffen oder manipuliert/sabotiert werden. Die Installation von Ransomware und anderem Schadcode ist ebenso denkbar, wie die Nutzung der gewonnen Erkenntnisse für Phishing-Attacken oder so genanntes Lateral Movement über verbundene Microsoft Dienste und Netzwerke.

In der Vergangenheit wurde beobachtet, wie Angreifer durch Ausnutzung ähnlicher Schwachstellen
kryptografische Schlüssel wie den ASP.NET Machine Key entwendeten, um auch nach Installation von Patches
persistenten Zugang zu erlangen. Aufgrund der Möglichkeit, dass der ASP.NET Machine Key auch in den aktuell
beobachteten Angriffen abgeflossen sein könnte, sollte dieser präventiv gewechselt werden, vor allem dann, wenn SharePoint exponiert betrieben wird und das Sicherheitsupdate im Januar nicht kurz nach Erscheinen installiert wurde.

IT-Sicherheitsverantwortliche und Betreiber von Microsoft SharePoint Instanzen sollten schnellstmöglich mindestens die seit Januar verfügbaren Patches installieren - siehe Microsoft Advisory. Zwischenzeitlich bietet der Hersteller jedoch auch weitere Patches für kürzlich bekannt gewordene Schwachstellen an. Betreiber sollten daher auf die neusten Versionen aktualisieren und die im März Patchday adressierten Sicherheitslücken in Microsoft SharePoint ebenfalls schließen.

Die Schwachstelle wurde bereits Anfang Januar 2026 gepatcht. Das BSI empfiehlt grundsätzlich, Sicherheitsupdates im Rahmen eines etablierten Patchmanagement-Prozesses schnellstmöglich zu prüfen und auszurollen. Organisationen, in denen der Patch noch nicht installiert wurde, sollten eine grundlegende Prüfung ihrer Arbeitsprozesse vornehmen.

DATEV

Zum 3. März 2026 wurde ein neues Zertifikat für den DATEV-https-Proxy eingeführt.

DATEV betont, dass in den meisten Fällen kein Handeln nötig ist, damit DATEVnet-Kunden weiterhin störungsfrei Arbeiten können. Trotzdem sollte geprüft werden, ob es in Sonderkonstellationen Anpassungsbedarf gibt. Sie müssen nur tätig werden bei Systemen, auf denen keine DATEV-Programme 19.0 (bereitgestellt ab August 2025) installiert sind oder die nicht mit einem Proxysetter ab Version 1.8 (bereitgestellt ab Februar 2025) in Betrieb genommen wurden.

Hinzu kommen konkrete Warnungen vor Betrugsversuchen im DATEV-Kontext.

DATEV warnt aktuell vor Spear-Phishing-E-Mails mit gefälschten DATEV-Rechnungen, bei denen per Klick auf „Rechnung öffnen“ Schadsoftware nachgeladen werden kann. DATEV empfiehlt ausdrücklich, DATEV-Programme und Portale nicht über E-Mail-Links, sondern nur über bekannte Lesezeichen oder manuell eingegebene Adressen zu öffnen.

Aktuell kursieren Spear-Phishing-E-Mails mit dem Betreff "Rechnung Nr.:“ und einer gefälschten 11-stelligen Rechnungsnummer. Das Layout der E-Mail kann variieren, die zentrale Botschaft bleibt erhalten: „Ihre DATEV-Rechnung steht zum Download bereit“

Mit Klick auf die Schaltfläche mit der Aufschrift „Rechnung öffnen“ wird eine Datei namens „datev-rechnung.lnk“ heruntergeladen. Es öffnet sich dann eine gefälschte PDF-Rechnung. Zusätzlich wird im Hintergrund unbemerkt Schadsoftware auf dem Rechner installiert. Diese kann weitere schädliche Programme nachladen und Zugangsdaten ausspähen oder eine Verschlüsselungssoftware (Ransomware) starten.  

Woran Sie den Betrugsversuch erkennen: 

  • Inhalt der E-Mail: Aktuell befindet sich innerhalb der Phishing-E-Mails ein Hinweis, dass anbei die „DATEV-Rechnung Nr. 2********** (Kundennummer #*******)“ zu finden sei. Der Inhalt der Phishing-E-Mails kann jedoch variieren.  
  • Verdächtiger Hyperlink: Per Mouseover können Sie die Zieladresse eines Links kontrollieren. Weicht die angezeigte URL von bekannten DATEV-Domänen (datev.de) ab, klicken Sie auf keinen Fall darauf. Im aktuellen Fall wird bei einem Mouseover der dropbox-Link „dl.dropboxusercontent.com/scl/fi/------------l/DATEV-Rechnung-Nr.-381082026-pdf.zip?rlkey=zmasp---------ygo“ angezeigt. Dieser ist in vielen Fällen personalisiert und kann variieren. Bei einem Klick auf den Link eine Datei namens „datev-rechnung.lnk“ heruntergeladen. In Windows 11 wird die Dateiendung „.lnk“ grundsätzlich ausgeblendet, selbst wenn der Nutzer systemweit die Anzeige von Dateiendungen aktiviert hat. Dadurch wirkt die Datei auf viele Nutzer wie eine „normale Dokumentdatei“. Dieser UI-Effekt wird gezielt ausgenutzt.  
    Falls bereits geklickt wurde, empfehlen wir, sich direkt an Ihren zuständigen IT-Beauftragten zu wenden. 
  • Misstrauen Sie ungewöhnlichen Anfragen: Wenn Sie unerwartete Rechnungen oder Aufforderungen zur Eingabe persönlicher Daten erhalten, seien Sie skeptisch. Schützen Sie Ihre persönlichen Daten und prüfen Sie die Herkunft solcher Anfragen sorgfältig, bevor Sie handeln. Öffnen Sie DATEV-Programme und -Portale nie über E-Mail-Links, sondern ausschließlich über bekannte Lesezeichen oder geben Sie die Adresse manuell ein. 
  • Absenderadresse: Als Absenderadresse wird keine valide DATEV-E-Mail-Adresse verwendet. Betrüger können E-Mails jedoch so aussehen lassen, als kämen sie von DATEV (E-Mail-Spoofing). Seien Sie daher besonders aufmerksam. 

Ein weiterer wichtiger Punkt betrifft die Anforderungen an das DATEV-Ökosystem selbst:

Für DATEV-Marktplatz Premium Partner gilt laut DATEV eine Informationssicherheitszertifikatspflicht bis zum 30. Juni 2026. Wer den Prozess bereits begonnen hat, kann den Nachweis noch bis zum 31. Dezember 2026 nachreichen; bis dahin bleibt der Marktplatzauftritt deaktiviert. Ohne Nachweis endet die Premium-Partnerschaft. Das zeigt deutlich, dass Datenschutz und Informationssicherheit im Partnerumfeld weiter professionalisiert werden.

Zusätzlich weist DATEV im DATEVnet-Kundencenter darauf hin, dass bei der E-Mail-Verschlüsselung seit September 2025 neue Zertifikate verwendet werden, die zentral im DATEV-Rechenzentrum gespeichert sind und nicht mehr auf der persönlichen SmartCard. Auch das ist ein Zeichen dafür, dass Sicherheitsprozesse und Authentifizierungsverfahren bei DATEV weiter modernisiert werden.

Zurück

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.