![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Der U.S. Kongress unterh\u00e4lt ein \"Budget Office\" (CBO), welches wirtschaftliche Einsch\u00e4tzungen bez\u00fcglich Gesetzesvorhaben erstellt. Dessen IT wurde – mutma\u00dflich durch einen b\u00f6sen staatlichen Akteur – gehackt – so was schlimmes, kann man nix machen. Doof, wenn Sachen seit einem Jahr nicht gepatcht wurden. Hier ein Blick in den Hinterhof.<\/p>\n
<\/p>\n
Vor einigen Stunden wurde bekannt, dass das CBO wohl \"Opfer eines Cyberangriffs\" geworden ist. Die Washington Post hat erstmals berichtet (leider hinter Paywall), und gab unter Berufung auf vier anonyme Personen, die mit der Situation vertraut sind, an, dass der Angriff \"vermutlich von einem ausl\u00e4ndischen Akteur durchgef\u00fchrt\" wurde. Das CBO best\u00e4tigte bisher nicht, ob der Angriff von einem ausl\u00e4ndischen Akteur verursacht wurde.<\/p>\n Die Seite hier<\/a> hat einige Informationen frei abrufbar. Dort wird\u00a0Caitlin Emma, eine Sprecherin des CBO, erw\u00e4hnt, die in einer schriftlichen Stellungnahme erkl\u00e4rte, dass die Beh\u00f6rde \"den Sicherheitsvorfall identifiziert, sofortige Ma\u00dfnahmen zu seiner Eind\u00e4mmung ergriffen und zus\u00e4tzliche \u00dcberwachungsma\u00dfnahmen sowie neue Sicherheitskontrollen eingef\u00fchrt hat, um die Systeme der Beh\u00f6rde k\u00fcnftig besser zu sch\u00fctzen\".<\/p>\n \"Der Vorfall wird derzeit untersucht, und die Arbeit f\u00fcr den Kongress geht weiter\", sagte Emma. \"Wie andere Regierungsbeh\u00f6rden und Unternehmen des privaten Sektors ist auch das CBO gelegentlich mit Bedrohungen f\u00fcr sein Netzwerk konfrontiert und \u00fcberwacht dieses kontinuierlich, um diesen Bedrohungen zu begegnen.\"<\/p>\n Ein Einbruch in diese US-Beh\u00f6rde k\u00f6nnte m\u00f6glicherweise Entw\u00fcrfe von Berichten, Wirtschaftsprognosen und interne Mitteilungen offenlegen, bef\u00fcrchtet Bleeping Computer<\/a>. In diesem Artikel<\/a> gibt es auch noch \u00e4hnliche Statements.<\/p>\n Ist ein Cyberangriff, dazu noch ausgef\u00fchrt von ausgebufften staatlichen Akteuren – kann man nichts machen, es triff doch einfach alle, ist die \u00fcbliche Antwort. Und es folgt die Floskel, dass man die Sicherheit noch ein wenig verbessert habe. Noch besser kommt es, wenn man \"wir machen jetzt was mit AI\" in solche Statements einflie\u00dfen lassen kann. Die \u00d6ffentlichkeit nickt wissend und wartet auf den n\u00e4chsten Cybervorfall.<\/p>\n Ich h\u00e4tte diesen Cybervorfall hier im Blog nicht aufgegriffen – was interessiert, wenn im fernen Amerika ein Sack Reis im Kongress umf\u00e4llt – wenn ich nicht pl\u00f6tzlich einen (Ein-)Blick in den \"schmutzigen Hinterhof\" des CBO bekommen h\u00e4tte.<\/p>\n Beim morgendlichen Abrufen meiner Informationsquellen ist mir obiger BlueSky-Post<\/a> von Sicherheitsforscher Kevin Beaumont ins Auge gesprungen. Der hat mich nat\u00fcrlich sofort getriggert, steht doch die Behauptung im Raum, dass die seit \u00fcber einem Jahr die IT-Infrastruktur nicht gepatcht h\u00e4tten.<\/p>\n In obigem Post<\/a> schreibt, dass die CISCO ASA-Box der CBO.org offline sei, und f\u00fcgt in diesem Post<\/a> an, dass etwa 70 % der Unternehmen diese Cisco ASA-Sicherheitsl\u00fccken noch immer nicht gepatcht haben. Der Shodan-Record zeigt, dass die Cisco ASA-Box seit 15. September 2025 \"online\" sei.\u00a0Ich hatte im September 2025 im Beitrag\u00a0Cisco Adaptive Security Appliance wird \u00fcber 0-day angegriffen<\/a> \u00fcber eine Warnung der CISA an US-Beh\u00f6rden berichtet. Die Cisco ASA-Boxen wurden teilweise seit 2024 angegriffen. Beaumont schreibt<\/a>: \"Wenn ich eine Ransomware-Gruppe w\u00e4re, w\u00fcrde ich in (alte) Cisco ASA AnyConnect-Sicherheitsl\u00fccken investieren, da die \u00fcberwiegende Mehrheit der Unternehmen sich nicht um Patches k\u00fcmmert, weil sie zu sehr damit besch\u00e4ftigt sind, sich \u00fcber Quanten- und KI-Risiken den Kopf zu zerbrechen.\"<\/p>\n Beaumont erw\u00e4hnt hier<\/a>, dass er auf Mastodon Threads dar\u00fcber gepostet habe, dass AttorneyGeneral.gov nicht gepatcht war und dann \u00fcber CitrixBleed2 gehackt wurde (was zu einem Ransomware-Vorfall f\u00fchrte) und viele andere. Sein Favorit sie die US-Sicherheitsbeh\u00f6rde NSA. Daher sollte man die obige Aussage in \"ist halt ungepatchte Software und IT-Infrastruktur, kann man nix machen\" abwandeln – dann passt es besser.<\/p>\n Weil es gerade im Kontext passt: Deutschland hinkt ja um Monate bei der nationalen Umsetzung der EU NIS-2-Richtlinie. Immerhin gab es im Sommer einen Kabinettsbeschluss (siehe\u00a0Kabinettsbeschluss zur NIS-2-Richtlinie<\/a>). Nun berichtet heise<\/a> aktuell, dass sich Mitglieder der Unions- und SPD-Fraktion bei der \u00dcberarbeitung der Cybersicherheitsvorgaben f\u00fcr Kritische Infrastrukturen geeinigt haben. NIS-2 kann als Richtlinie nun durch das Gesetzgebungsverfahren laufen.<\/p>\n \u00c4hnliche Artikel zu NIS-2:<\/strong> Der U.S. Kongress unterh\u00e4lt ein \"Budget Office\" (CBO), welches wirtschaftliche Einsch\u00e4tzungen bez\u00fcglich Gesetzesvorhaben erstellt. Dessen IT wurde – mutma\u00dflich durch einen b\u00f6sen staatlichen Akteur – gehackt – so was schlimmes, kann man nix machen. Doof, wenn Sachen seit einem Jahr … Weiterlesen Das Congressional Budget Office<\/a> (CBO) ist eine \u00fcberparteiliche Beh\u00f6rde, die dem US-Gesetzgeber wirtschaftliche Analysen und Kostensch\u00e4tzungen f\u00fcr Gesetzesvorlagen zur Verf\u00fcgung stellt. Dies US-Bundesbeh\u00f6rde hat 275 Mitarbeiter – und d\u00fcrfte aktuell unter dem sogenannten Shutdown, also dem Ausgabenstopp bei US-Beh\u00f6rden, leiden. Die Beh\u00f6rde macht mutma\u00dflich etwas \u00e4hnliches wie der \"Wissenschaftliche Dienst\" des deutschen Bundestags.<\/p>\n
Das CBO wurde gehackt<\/h2>\n
Ein Blick in den (schmutzigen) Hinterhof<\/h2>\n
![\"Kevin](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/11\/0mYETWC.png\")
<\/a><\/p>\n![\"CBO](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/11\/Beaumond-CBO01.jpg\")
<\/a><\/p>\nNIS-2-Entwurf in Deutschland<\/h2>\n
\nNIS-2-Richtlinie: Wie ist der Status? Neuer Referentenentwurf (Juni 2025)<\/a>
\nBSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorf\u00e4llen<\/a>
\nKommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?<\/a>
\nPraxisleitfaden zur NIS-2-Umsetzung<\/a>
\nNIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"