Schlagwort: BSI

BSI weist auf Gefährdung kritischer Infrastrukturen durch Cyber-Angriffe hin

20. Januar 2017

Nachdem NATO-Generalsekretär Jens Stoltenberg dieser Tage seine Besorgnis über das Ansteigen von Cyber-Angriffen auch auf kritische Infrastrukturen zum Ausdruck gebracht hat, bestätigt der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, diese Einschätzung auch aus nationaler Sicht.

Im Jahr 2016 habe es pro Monat durchschnittlich 500 bedrohliche Angriffe auf das Datennetz des Verteidigungsbündnisses gegeben, so Stoltenberg gegenüber der Welt. Dies sei ein Anstieg von 60 % und habe ein intensives Eingreifen seitens der Sicherheitsexperten notwendig gemacht. Anstrengungen, die Sicherheit in diesem Bereich zu verbessern, müssten noch intensiviert werden.

Ebenso sieht Schönbohm die mit diesem Anstieg verbundenen Herausforderungen beim Schutz Kritischer Infrastrukturen, wie beispielsweise im Gesundheitswesen oder im Energiesektor. Deutschland sei jedoch durch die Cyber-Sicherheitsstrategie der Bundesregierung und das IT-Sicherheitsgesetz sowie durch Einrichtungen wie den UP KRITIS (= öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen) hier seiner Meinung nach bereits sehr gut aufgestellt.

 

 

Kategorien: Allgemein · Hackerangriffe
Schlagwörter: ,

BSI veröffentlicht Technische Richtlinie zum Sicheren E-Mail-Transport

12. Dezember 2016

Vergangene Woche veröffentliche das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Richtlinie „Sicherer E-Mail-Transport“ (BSI TR-03108). Adressaten der Richtlinie sind E-Mail-Diensteanbieter und Betreiber eines E-Mail-Dienstes in seiner Organisation. Die Richtlinie enthält Anforderungen an die Sicherheit des E-Mail-Versands. Durch die Festlegung von Mindestsicherheitsstandards sollen diese vergleichbarer werden und sich außerdem bei den Diensteanbietern verbreiten.

Hintergrund ist, dass derzeit Verschlüsselungstechnologien von E-Mails nur von wenigen Endnutzern verwendet werden. Mit der nun veröffentlichten Richtlinie soll sich das ändern. Denn die Sicherheit des E-Mail-Transports wird dann erhöht, wenn die Diensteanbieter die Sicherheitsstandards der Richtlinie umsetzen. Die Sicherheitsstandards ergeben sich im Einzelnen aus der Richtlinie.

Die Umsetzung der Sicherheitsstandards können die Diensteanbieter durch ein Zertifikat nachweisen. Diensteanbieter erhalten das Zertifikat durch einen BSI-zertifizierten Auditor, der die Umsetzungen der  Anforderungen der Richtlinie überprüft.

Diese Richtlinie ist insofern begrüßenswert, als dass hierdurch die Verbreitung von höheren Sicherheitsstandards gefördert werden.

Sensible Daten auf Smartphones werden zu wenig geschützt

9. November 2016

Nach einer aktuellen Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nutzt rund jeder fünfte Smartphone-Besitzer (20,7 %) sein Gerät ohne jegliche Sicherheitsfunktion. Dies überrascht umso mehr vor dem Hintergrund, dass fast Dreiviertel der Nutzer (74,6 %) sensible Daten wie Bilder, Videos, Kontaktdaten, Passwörter und sogar Gesundheitsdaten (etwa in Form von sog. Fitness-Apps) auf ihren Smartphones oder Tablets ablegen.

Das Marktforschungsinstituts TNS Infratest GmbH hatte diese Umfrage Ende Oktober im Auftrag des BSI anlässlich der vierten Aktionswoche im European Cyber Security Month (ECSM) durchgeführt. Das BSI nutzte diese Aktionswoche, um über Risiken und Schutzmöglichkeiten für Smartphones aufzuklären und die Nutzer zu sensibilisieren. Wie das konkret aussehen kann, hat das BSI auf einer Service-Seite zusammengestellt. Wenigstens die einfachen Sicherheitsmaßnahmen sollten konsequent und regelmäßig umgesetzt werden, wie beispielsweise die regelmäßige Aktualisierung des Betriebssystems, das Sichern des Gerätes mit PIN, Wischmuster oder Fingerabdruck und die Deaktivierung von offenen Schnittstellen wie WLAN oder Bluetooth bei Nichtgebrauch.

Bedenkt man, dass auch in Unternehmen teilweise die Verwendung des persönlichen Smartphones für betriebliche Zwecke zugelassen ist („Bring your own device – BYOD“), hat dieses Umfrageergebnis auch eine Bedeutsamkeit für den Datenschutz im Unternehmen.

Kategorien: Allgemein · Mobile Business
Schlagwörter: , ,

„Cyber-Feuerwehr“ des BSI

16. Juni 2016

Wie heise online berichtet, will das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig eine „Cyber-Feuerwehr“ zur Unterstützung von IT-Unternehmen ins Leben rufen. Die Mannschaft wird wohl voraussichtlich 20 Personen stark sein und konkrete Hilfestellungen geben, damit die angegriffene IT-Infrastruktur möglichst zügig wieder in eine annehmbar stabile Lage kommt. Falls alles klappt, soll die „Cyber-Feuerwehr“ ab 2017 ihre Arbeit beginnen.

Hintergrund ist vermutlich unter anderem die seit Juli 2015 auf Grund des IT-Sicherheitsgesetzes bestehende Pflicht für Betreiber kritischer Infrastrukturen, schwere Angriffe auf ihre Computer-Systeme an das BSI zu melden. Viele Unternehmen scheuen sich jedoch davor, einen Angriff zu melden da sie um ihren Ruf fürchten oder Angst haben, interne Daten preiszugeben. Ziel der „Cyber-Feuerwehr“-Gründung sei es, Unternehmen zu unterstützen und ihnen Mut zu machen, bei einer Attacke um Hilfe zu bitten.

BDI Berlin: Umgang mit Datenträgern bei gemieteten IT-Geräten

18. April 2016

Im betrieblichen Alltag gehen mehr und mehr Unternehmen dazu über, allein wegen der hohen Anschaffungskosten IT-Geräte (z. B. Multifunktionsdrucker, Laptops, Festplatten) zu mieten oder zu leasen. Dabei gerät schnell in Vergessenheit, dass Geräte, die über einen nicht flüchtigen Langzeitspeicher wie Festplatten und sog. „Flashspeicher-Bausteine“ verfügen, beim bestimmungsgemäßen Gebrauch (z. B. Kopieren und Faxen) personenbezogene Daten erzeugen. Diese Daten werden für einen unbestimmten Zeitraum auf diesen Speichern abgelegt. Daher sollte bei der Rückgabe von geleasten oder gemieteten IT-Geräten darauf geachtet werden, dass nicht versehentlich personenbezogene Daten an den Leasinggeber oder Vermieter weitergegeben werden.

Dazu hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BDI Berlin) in ihrem jüngst vorgestellten 15. Tätigkeitsbericht Stellung bezogen. Neben dem expliziten Hinweis, dass gerade auch Multifunktionssysteme, die in das eigene Netzwerk integriert werden können und internetfähig sind, ähnliche Sicherheitsvorkehrungen benötigen wie PCs oder Server, appelliert sie, dass die einsetzende Stelle sicherstellt, dass bei der Rückgabe gemieteter/ geleaster IT-Geräte die in den Geräten enthaltenen Datenträger – sofern diese nicht hinreichend verschlüsselt sind, was regelmäßig ausreichend ist – datenschutzkonform gelöscht sind bzw. die Datenträger datenschutzkonform vernichtet werden. Die Löschung/ Vernichtung durch ein in Deutschland zertifiziertes Unternehmen sei dabei regelmäßig als datenschutzkonform einzustufen.

Bundesministerium des Inneren stellt Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen vor

17. Februar 2016

Nachdem im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (BSIG) geändert wurde, stellt das Bundesministerium des Inneren (BMI) den Entwurf einer Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) vor.

 
Im Rahmen der Änderungen des BSIG im vergangenen Sommer wurden unter anderem die §§ 8a ff. BSIG eingeführt. Diese Vorschriften verpflichten die Betreiber von Kritischen Infrastrukturen besondere Sicherheitsmaßnahmen zu treffen, um Mindestsicherheitsstandards für informationstechnische Systeme zu implementieren. Wer bisher eine kritische Infrastruktur betrieb, war nicht eindeutig geregelt. Das BMI hat zwischenzeitlich von seiner Verordnungsermächtigung Gebrauch gemacht und in einem ersten Korb der Verordnung teilweise bestimmt, welche Anlagen unter den Begriff „Kritische Infrastruktur“ zu subsumieren sind. Auf dieser Grundlage lässt sich ein erster Adressatenkreis des BSIG bestimmen.

 
In diesem ersten Korb werden Schwellenwerte für Anlagen und Dienstleistungen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung festgelegt. Hierbei ging der Verordnungsgeber in drei Schritten vor, wobei jeweils mit Vertretern der verschiedenen Branchen zusammengearbeitet wurde. In einem ersten Schritt wurde abgestimmt, welche Dienstleistungen eines Sektors als kritisch anzusehen sind. In einem zweiten Schritt wurden die Anlagenkategorien identifiziert, die zur Erbringung dieser Dienstleistung erforderlich sind. Schließlich werden in der BSI-KritisV Schwellenwerte für solche Anlagen und Teile von Anlagen festgelegt, die als hinreichend bedeutsame Anlagen zur Versorgung der Allgemeinheit als Kritische Infrastrukturen gelten.

 
Nach Schätzungen des BMI erfüllen circa 680 Anlagen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation und Ernährung die Schwellenwerte der BSI-KritisV. Im Frühjahr 2016 soll die BSI-KritisV in Kraft treten. Ab dem Zeitpunkt des Inkrafttretens haben die betroffenen Betreiber Kritischer Infrastrukturen 2 Jahre Zeit, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

 
Für die übrigen Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen sollen bis Ende 2016 Bestimmungen zur Definition Kritischer Infrastrukturen festgelegt werden.

Aktionswoche zur Prävention von Cyberkriminalität

9. November 2015

Mit einer speziellen Aufklärungswoche vom 09.11. bis zum 13.11. will das Bundeskriminalamt (BKA) zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die durch Cyberkriminalität drohenden Gefahren aufmerksam machen. Unter anderem sollen Fragen wie beispielsweise Wie kann man sich im Internet gegen den Diebstahl digitaler Identitäten schützen? Was tun gegen betrügerische Phishing-Mails? Wie gehe ich verantwortlich mit meinen Daten um? mit Hilfe allgemeiner Informationen, statistischem Material sowie erklärenden Podcasts zu den einzelnen Gefahrenquellen beantwortet werden.

Sowohl BSI als auch BKA geben in diesem Rahmen hilfreiche Vorsorgetipps, wie beispielsweise Checklisten zur Absicherung des PCs gegen Angriffe durch das Internet oder für den sicheren Umgang mit mobilen Geräten.

Deutschland beteiligt sich durch diese Aktionswoche an der Präventionskampagne „Operation Blackfin“ der britischen National Crime Agency (NCA), wie auch Europol und achte weitere Staaten.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

Elektronische Gesundheitskarte: Austausch aller Lesegeräte erwartet

9. Oktober 2015

Medienberichten zufolge rechnet die Industrie damit, ab Mitte 2016 sämtliche Kartenlesegeräte für die elektronische Gesundheitskarte austauschen zu müssen, wodurch Kosten von fast 100 Millionen Euro entstehen würden. Hintergrund seien Bedenken des Bundesamtes für Sicherheit in der Informationstechnik, wonach die bisherigen Kartenlesegeräte, mit denen Ärzte die Patientendaten ein- und auslesen können, nicht hinreichend vor dem Zugriff Unbefugter geschützt sind. Problematisch seien insbesondere die Gehäuse der knapp 400 Euro teuren Kartenlesegeräte. Die bislang verwendeten Plastikhüllen seien nicht in der Lage, Daten abzuschirmen und Hacker davon abzuhalten, in die Krankenakten von Patienten Einsicht zu nehmen. Die Lesegeräte waren erst 2011 mit der Auslieferung der bislang gültigen Gesundheitskarte eingeführt worden.

 

Praxistipp: Sichere Passwörter generieren und merken

14. September 2015

Die Anforderungen an ein sicheres Passwort sind hoch. Nach den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik ist ein Passwort „sicher“, wenn es

  • mindestens zwölf Zeichen lang ist,
  • aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) besteht,
  • nicht den Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten etc. beinhaltet,
  • nicht in Wörterbüchern vorkommt und
  • nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern besteht (z.B. „asdfgh“ oder „1234abcd“).

Damit das Passwort nicht in falsche Hände gerät, ist es zu vermeiden, dieses unverschlüsselt auf dem PC abzulegen oder auf dem berühmt berüchtigtem Notizzettel an den Bildschirm zu kleben. Wer sich Passwörter notieren will, sollte diese stattdessen auf Papier unter Verschluss halten bzw. auf dem Rechner in einer verschlüsselten Datei ablegen. Der Nachteil ist dann, dass man u. U. nicht stets auf das dokumentierte Passwort Zugriff hat. Der beste Weg – aber zugleich auch eine mehr oder minder große Herausforderung – ist daher, dass man sich das Passwort merkt.

Um sich ein Passwort gut zu merken, gibt es viele hilfreiche Tricks. Bewährt hat sich insbesondere die Methode, dass man sich einen mehr oder minder sinnvollen Satz ausdenkt und von jedem Wort nur den ersten Buchstaben (alternativ den zweiten, dritten etc.) inklusive Groß- und Kleinschreibung benutzt. Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. Beispiel: „Morgens bleibe ich nach dem Aufwachen noch mindestens vier Minuten im Bett und döse“. Nur die ersten Buchstaben: „MbindAnmvMiBud“. Das „i“ wird durch eine „1“ ersetzt, die Zahl wird nun nicht mehr ausgeschieben und das Sonderzeichen „&“ ersetzt das „und“: „Mb1ndAnm4M1B&d“.

Auch gibt es diverse Lernvideos, die helfen, Passwörter zu merken und zugleich aufführen, wie schnell triviale Passwörter, z. B. mittels eines Wörterbuchangriffs, geknackt werden können.

Werden die Passwörter nach den o. g. Kriterien generiert und außerdem – wie allgemein empfohlen – in regelmäßigen Zeitabständen geändert und stets nur für einen Zugang genutzt, macht man es Hackern deutlich schwerer und schützt seine vertraulichen Daten, z.B. seine E-Mails oder Nachrichten. Man vermeidet aber insbesondere auch, dass sich Unbefugte in eigene Accounts einloggen und die eigene Identität annehmen, z.B. um kostspielige Online-Käufe zu tätigen oder aber „nur“ unter dem eigenen Namen E-Mails versenden.

 

Hacker-Angriff auch in Deutschland denkbar

13. April 2015

Nach der Cyberattacke auf den französichen Fernsehsender TV5Monde am vergangenen Donnerstag warnen Datensicherheitsexperten in Deutschland vor Nachahmungstaten. Der momentane Schutz vor deratigen Angriffen reicht bei weitem nicht aus. So äußerte sich der Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Andreas Könen, in der ARD dahingehend, dass es Glück sei, dass in den deutschen Infrastrukturen bisher nicht mehr passiert ist. Der Sprecher des BSI, Mathias Gärnter, ist der Überzeugung, dass man mit dem immer bedeutsamer werdenden Einsatz  internetgestützter Technik auch im Bereich des Fernsehens eine immer größere Angriffsfläche für Attacken aus dem Bereich der Cyber-Kriminalität liefere.

Die Deutsche Welle, in ihrem Medienangebot nach vergleichbar mit dem französischen TV5Monde, gab auf Anfrage von Handelsblatt-Online an, zwar regelmäßig ihre Sicherheit zu überprüfen, gegen solch einen professionellen Hackerangriff wie nun in Frankreich geschehen jedoch nicht speziell abgesichert zu sein.

Schutzbedüftig sind neben Medienanstalten jedoch vor allem besonders kritische Infrastrukturenin wie Elektrizität, Finanzwesen, Mobilität, hier sollten besonders hohe Standards auf dem Gebiet der IT-Sicherheit gelten. So sieht es auch das von der Bundesregierung vorgelegte IT-Sicherheitsgesetz vor, dass am 20. März in erster Lesung beraten wurde. Dieses soll dann beispielsweise für Energieunternehmen eine Pflicht zur Meldung vorsehen, wenn und sobald sie Opfer einer Cyberattacke werden – derzeit gibt es eine solche Verpflichtung noch nicht.

1 2 3