Schlagwort: BSI
12. März 2021
Aufgrund von gezielten Angriffen durch Hacker auf verschiedene Versionen der Microsoft Exchange Server hat Microsoft wichtige Sicherheitsupdates zum Download bereitgestellt. Seit Ende Februar 2021 werden offene Flanken der Mail-Einrichtung Exchange Server angegriffen. Vier Lücken wurden dabei mit dem Bedrohungsgrad „äußerst kritisch“ eingestuft. Die Updates erfolgen außer der Reihe und die Angriffswelle dauert aktuell noch an.
Auch viele deutsche Unternehmen sind von den Attacken betroffen. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind zehntausende Exchange Server in Deutschland aktuell über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das BSI hat bereits begonnen, potentiell Betroffene zu informieren und empfiehlt allen Betreibern der Exchange Server, sofort die von Microsoft bereitgestellten Patches einzuspielen.
Betroffene Schwachstellen
Die Schwachstellen betreffen die Exchange Server der folgenden Versionen:
- Exchange Server 2010 (RU 31 für Service Pack 3)
- Exchange Server 2013 (CU 23)
- Exchange Server 2016 (CU 19, CU 18)
- Exchange Server 2019 (CU 8, CU 7)
Die betroffenen Sicherheitslücken werden als Teil einer Angriffskette ausgenutzt. Der anfängliche Angriff setzt die Fähigkeit voraus, eine nicht vertrauenswürdige Verbindung zum Exchange-Server herzustellen, weitere Teilbereiche des Angriffs können dagegen auch ausgeführt werden, wenn der Angreifer bereits Zugang hat oder auf anderem Wege Zugang erhält. Das bedeutet, dass Abhilfemaßnahmen wie das Einschränken von nicht vertrauenswürdigen Verbindungen, oder das Einrichten eines VPNs nur vor dem ersten Teil des Angriffs schützt. Das Patch ist somit die einzige Möglichkeit, den Angriff vollständig abzuschwächen.
Es sei denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren könne, so das BSI. Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Aufgrund der öffentlichen Verfügbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivitäten sieht das BSI weiterhin ein sehr hohes Angriffsrisiko.
Die Sicherheitspatches sind über ein Windows Update verfügbar. Durch das Update werden die insgesamt 89 Sicherheitslücken geschlossen.
Chinesischer Bedrohungsakteur wohl verantwortlich
Nach den Informationen von Microsoft habe der in China ansässige und staatlich gelenkte Bedrohungsakteur “Hafnium” die Fehler ausgenutzt, um sich Zugang zu E-Mails und zusätzlicher Malware zu verschaffen, die einen langfristigen Zugriff auf die Umgebungen der Opfer ermöglichen soll. Hafnium greife Organisationen in zahlreichen Branchen an, darunter Forscher von Infektionskrankheiten, Rechtsanwaltskanzleien, Hochschuleinrichtungen, Verteidigungsunternehmen, politische Denkfabriken und NGOs (Nichtregierungsorganisationen).
Datenschutzrechtliche Maßnahmen
Wer als Unternehmen, Organisation oder Behörde von einem Angriff auf personenbezogene Daten betroffen ist, muss einen solchen Vorfall nach der Datenschutz-Grundverordnung (DS-GVO) unter bestimmten Umständen der zuständigen Datenschutzaufsichtsbehörde, bei Kritischer Infrastruktur zusätzlich auch dem Bundesamt für Sicherheit in der Informationstechnik melden.
Auch nach erfolgreichem Einspielen der Patches sollte bedacht werden, dass betroffene Organisationen in der Zwischenzeit angreifbar waren. Nach Angaben des Bayrischen Landesamt für Datenschutzaufsicht (BayLDA) müssen die jeweiligen Unternehmen prüfen (und ihren Incident-Respone-Plan anwenden, sofern ein solcher vorhanden ist), inwieweit Unregelmäßigkeiten im Betrieb festzustellen seien. Des Weiteren müsse die Kompromittierung des Systems durch das Ausnutzen der Sicherheitslücke, gemäß Art. 33 DS-GVO von einem betroffenen Unternehmen auch gemeldet werden, da es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist. Unter bestimmten Voraussetzungen müssten dann auch die betroffenen Personen informiert werden. Nur wenn in der vorliegenden Konstellation atypischer Weise kein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen sollte, müsse keine Meldung erfolgen, so das BayLDA. Darüber hinaus seien jedoch die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens umfassend zu dokumentieren.
26. Februar 2021
Im Jahre 2015 wurde das erste Sicherheitsgesetz verabschiedet (wir berichteten). Dieses soll reformiert werden, wozu schon seit 1,5 Jahren ein Gesetzgebungsverfahren läuft. Der aktuelle Gesetzesentwurf ist vom 25. Januar 2021. Damit soll Bedrohungen für die Cybersicherheit, die sich für Staat, Wirtschaft und Gesellschaft gleichermaßen ergeben, entgegengewirkt werden.
Änderungen betreffen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Gesetz über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung sowie das Zehnte Buch Sozialgesetzbuch (SGB X).
Im Mittelunkt steht die Stärkung der Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es soll zukünftig als nationale Cybersicherheitszertifizierungsbehörde im Sinne des EU Cybersecurity Acts (Verordnung EU/2019/881) fungieren sowie als allgemeine Stelle für Sicherheit in der Informationstechnik.
Der Aufgabenbereich soll insbesondere folgende Punkte umfassen:
- Das BSI soll Befugnisse bekommen, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen mit Hilfe von Port-Scans aufzudecken sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots).
- Das BSI soll zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes zwölf Monate lang Protokolldaten speichern. Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten.
- Betreiber kritischer Netzwerkkomponenten müssen vor Inbetriebnahme ein komplexes Zulassungsverfahren durchlaufen und vom BSI zertifiziert werden. Netzbetreiber müssen garantieren, dass technische Komponenten vertrauenswürdig sind. Das BSI kann von Betreibern kritischer Infrastrukturen oder Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen.
- Das BSI führt Produkt- oder Leistungszertifizierungen für die Bundesverwaltung durch. Im Rahmen der Zertifizierung haben betroffene Ministerien ein Mitspracherecht.
- Der Verbraucherschutz soll mit einem „IT-Sicherheitskennzeichen“ für die IT-Sicherheit von Produkten verbessert werden. Es beinhaltet eine Erklärung des Herstellers, in welcher dieser das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts zusichert und eine Information des BSI über sicherheitsrelevante IT-Eigenschaften. Die Einhaltung dieser Vorgaben wird vom BSI in regelmäßigen Abständen überprüft.
- Das BSI spricht Empfehlungen für Identifizierungs- und Authentisierungsverfahren aus und legt den Stand der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte fest.
Der aktuelle Entwurf ist noch nicht von Bundestag verabschiedet worden, so dass sich noch weitere Änderungen ergeben können. Wir halten Sie auf dem Laufenden!
9. März 2020
Das Bundesamt für Sicherheit in der Informationstechnik (im Folgenden: BSI) hat einen neuen Anforderungskatalog hinsichtlich Sicherheitskriterien für Smartphones veröffentlicht. Dadurch soll die Datensicherheit der Nutzer in der digitalen Welt verbessert werden.
Der BSI-Präsident Arne Schönbohm erklärte in der Pressemitteilung: „Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher wie möglich zu machen, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default.”
Der Sicherheitskatalog richtet sich an die Hersteller, Mobilfunkanbieter und Erstausrüster von Smartphones. Dort werden Kriterien beschrieben um Mobilfunkgeräte über spezielle Hardware-Eigenschaften zu schützen und die Software im Auslieferungs-Zustand bereits zu stärken.
Zusätzlich werden Voraussetzungen an die einheitliche Bereitstellung
von Updates während der Gerätelaufzeit aufgestellt.
Der Katalog kann kostenlos auf der Seite des BSI heruntergeladen werden.
5. Februar 2020
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist von seiner bisherigen Empfehlung abgerückt, wonach Passwörter in regelmäßigen Abständen gewechselt werden sollten. Eine entsprechende Empfehlung fehlt in dem IT-Grundschutz-Kompendium Edition 2020 des BSI.
Mit dem IT-Grundschutz-Kompendium veröffentlicht das BSI im Februar jeden Jahres seine wesentlichen Empfehlungen zum IT-Grundschutz. Der IT-Grundschutz soll Unternehmen eine Empfehlung zur Identifizierung und Umsetzung von Sicherheitsmaßnahmen in der Informationstechnik an die Hand geben. Bisher empfahl das BSI stets, in der Informationstechnik genutzte Passwörter in regelmäßigen Abständen zu ändern. Nur auf diese Weise sei die Entschlüsselung von Passwörtern zu verhindern und somit ein hinreichender Schutz der Systeme gewährleistet.
Von dieser Empfehlung ist das BSI nun abgerückt. Der Wechsel eines Passworts sei nur dann zwingend erforderlich, “wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht” (IT-Grundschutz-Kompendium: ORP.4.A8 Regelung des Passwortgebrauchs). Die weiteren Vorgaben beschränken sich darauf, dass eine Mehrfachverwendung von Passwörtern zu unterbleiben hat, genutzte Passwörter geheimzuhalten (insbesondere ist eine schriftliche Fixierung nur für Notfälle erlaubt und dann eine sichere Aufbewahrung erforderlich) und nur hinreichend sichere, ausschließlich dem Nutzer bekannte Passwörter zu nutzen sind.
Unternehmensinterne Regelungen zum IT-Grundschutz können nun in Zukunft auch dann entsprechend dieser Maßgaben angepasst werden, wenn sie nach den Bestimmungen des BSI zertifiziert werden sollen. Aber auch ohne ein solches Zertifizierungsvorhaben empfiehlt sich die Änderung entsprechender Regelungen und die Sensibilisierung der Beschäftigten: Datenschützer weisen seit Jahren darauf hin, dass das regelmäßige Auswechseln von Passwörtern mehr Risiken als Nutzen birgt.
7. Dezember 2018
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Tagen häufig Meldungen von IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. Betroffene leiden unter Ausfällen der kompletten IT-Sicherheitsstruktur, die die Geschäftsprozesse erheblich einschränken und Schäden in Millionenhöhe nach sich ziehen.
Das BSI hat aus aktuellem Anlass neue umfassende Sicherheitsmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.
Mithilfe des sogenannten “Outlook-Harvesting” ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Die Schadsoftware liest Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Weiterhin verfügt Emotet über die Möglichkeit weitere Schadsoftware bei bereits infizierten Systemen nachzuladen. Dadurch haben Angreifer Zugriff auf Zugangsdaten und erhalten einen vollständigen Remotezugriff auf das System.
Insbesondere der Banking-Trojaner “Trickbot” wurde zuletzt nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann.
10. November 2017
Das in einer immer stärker vernetzten Welt das Internet nicht nur neue Möglichkeiten bietet, sondern durchaus auch eine Gefahrenquelle darstellen kann, wird angesichts immer häufiger auftretender Cyberangriffe deutlich. Unter anderem um solchen Gefahren begegnen zu können, wurde in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegründet.
In Berlin wurde nun von Thomas de Maizière und Arne Schönbohm der alljährliche Bericht zur Lage der IT-Sicherheit vorgestellt. Bereiche, die nach dem Bericht etwa besonders gefährdet sind, sind die Bundesverwaltung, die Wirtschaft und die Gesellschaft. Im Bereich der Gesellschaft ist es mit 11 gemeldeten Vorfällen mit kritischem Störpotential im Sektor Energie und 3 im Sektor Wasser zu Vorfällen gekommen, die enorme Auswirkungen auf das Gemeinwesen haben können. Um auch weiterhin ein möglichst hohes Maß an Sicherheit gewährleisten zu können, soll nach Schönbohm das IT-Sicherheitsnetz noch weiter ausgebaut, ein eigenes nationales Verbindungswesen eingerichtet und eine Fokusgruppe Verschlüsselung gegründet werden. Eigene Landesämter für Informationssicherheit soll es hingegen nach de Maizière nicht geben.
Im IT-Lagebereicht 2017 wird auch explizit auf das Internet der Dinge und das daraus resultierende Gefahrenpotential eingegangen. Kennzeichnend für das Internet der Dinge ist es, dass etwa verschiedene Alltags- und Haushaltsgeräte über Schnittstellen mit dem Internet verbunden und somit untereinander kommunizieren oder von dem Nutzer ferngesteuert werden können. Mittlerweile gibt es nicht nur Lautsprecher mit Sprachsteuerung oder Staubsaugerroboter, sondern auch Türschlösser oder mit dem Internet verbundene Kühlschränke. Smarte Kühlschränke sind beispielsweise mit Kameras im Inneren ausgestattet, über die der Besitzer von unterwegs über eine App nachschauen kann, ob er noch genügend Lebensmittel vorrätig hat. Sollte der Nutzer einmal die Temperatur seines Kühlschranks anpassen wollen, so kann er dies auch bequem von unterwegs über die dazugehörige App erledigen.
Die Funkstellen, mit denen solche smarten Haushaltsgegenstände mit dem Internet verbunden sind, stellen oftmals jedoch eine Schwachstelle und ein Risikopotential dar. Mit gezielten Attacken auf die oftmals schlecht gesicherten Funkstellen dieser Haushaltshelfer können Angreifer die Steuerung übernehmen. Bei Geräten mit integrierten Kameras kann es so vorkommen, dass Angreifer unbemerkt Videoaufnahmen vom Inneren des eigenen Hauses anfertigen und so die Privat- und Intimsphäre der Besitzer ausspionieren. Darüber hinaus ist es auch möglich, über die Haushaltsgeräte in das Heimnetzwerk einzudringen oder verschiedene Geräte zu sogenannten Bot-Netzwerken zusammenzuschließen und mit diesen Webseiten im Internet lahmzulegen.
Gerade im Bereich des Internets der Dinge ist daher auch der Nutzer gefragt, sich etwa durch starke Verschlüsselungen, datenschutzbewusste Geräteeinstellungen und eine sorgfältige Produktauswahl möglichst gut gegen Angriffe auf seine Privatsphäre abzusichern.
4. Juli 2017
Am 30.06.2017 ist das Gesetz zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) in Kraft getreten.
Damit werden u. a. die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert: Vor allem werden die Aufsichts- und Durchsetzungsbefugnisse des BSI über die Betreiber Kritischer Infrastrukturen ergänzend zum IT-Sicherheitsgesetz ausgeweitet. Außerdem wird mit der Richtlinie und ihren Umsetzungsgesetzen ein einheitlicher Rechtsrahmen für den Auf- und Ausbau nationaler Kapazitäten für die Cyber-Sicherheit geschaffen. Eine weiteres wichtiges Ziel, Mindestsicherheitsanforderungen an und Meldepflichten für Kritische Infrastrukturen zu kreieren, wurde ebenfalls erreicht.
Darüber hinaus trat zeitgleich die erste Verordnung zur Änderung der BSI-Kritisverordnung vom 03.05.2016 in Kraft. Druch sie werden die kritischen Infrastrukturen, bislang Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, um die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt.
20. Januar 2017
Nachdem NATO-Generalsekretär Jens Stoltenberg dieser Tage seine Besorgnis über das Ansteigen von Cyber-Angriffen auch auf kritische Infrastrukturen zum Ausdruck gebracht hat, bestätigt der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, diese Einschätzung auch aus nationaler Sicht.
Im Jahr 2016 habe es pro Monat durchschnittlich 500 bedrohliche Angriffe auf das Datennetz des Verteidigungsbündnisses gegeben, so Stoltenberg gegenüber der Welt. Dies sei ein Anstieg von 60 % und habe ein intensives Eingreifen seitens der Sicherheitsexperten notwendig gemacht. Anstrengungen, die Sicherheit in diesem Bereich zu verbessern, müssten noch intensiviert werden.
Ebenso sieht Schönbohm die mit diesem Anstieg verbundenen Herausforderungen beim Schutz Kritischer Infrastrukturen, wie beispielsweise im Gesundheitswesen oder im Energiesektor. Deutschland sei jedoch durch die Cyber-Sicherheitsstrategie der Bundesregierung und das IT-Sicherheitsgesetz sowie durch Einrichtungen wie den UP KRITIS (= öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen) hier seiner Meinung nach bereits sehr gut aufgestellt.
12. Dezember 2016
Vergangene Woche veröffentliche das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Richtlinie “Sicherer E-Mail-Transport” (BSI TR-03108). Adressaten der Richtlinie sind E-Mail-Diensteanbieter und Betreiber eines E-Mail-Dienstes in seiner Organisation. Die Richtlinie enthält Anforderungen an die Sicherheit des E-Mail-Versands. Durch die Festlegung von Mindestsicherheitsstandards sollen diese vergleichbarer werden und sich außerdem bei den Diensteanbietern verbreiten.
Hintergrund ist, dass derzeit Verschlüsselungstechnologien von E-Mails nur von wenigen Endnutzern verwendet werden. Mit der nun veröffentlichten Richtlinie soll sich das ändern. Denn die Sicherheit des E-Mail-Transports wird dann erhöht, wenn die Diensteanbieter die Sicherheitsstandards der Richtlinie umsetzen. Die Sicherheitsstandards ergeben sich im Einzelnen aus der Richtlinie.
Die Umsetzung der Sicherheitsstandards können die Diensteanbieter durch ein Zertifikat nachweisen. Diensteanbieter erhalten das Zertifikat durch einen BSI-zertifizierten Auditor, der die Umsetzungen der Anforderungen der Richtlinie überprüft.
Diese Richtlinie ist insofern begrüßenswert, als dass hierdurch die Verbreitung von höheren Sicherheitsstandards gefördert werden.
9. November 2016
Nach einer aktuellen Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nutzt rund jeder fünfte Smartphone-Besitzer (20,7 %) sein Gerät ohne jegliche Sicherheitsfunktion. Dies überrascht umso mehr vor dem Hintergrund, dass fast Dreiviertel der Nutzer (74,6 %) sensible Daten wie Bilder, Videos, Kontaktdaten, Passwörter und sogar Gesundheitsdaten (etwa in Form von sog. Fitness-Apps) auf ihren Smartphones oder Tablets ablegen.
Das Marktforschungsinstituts TNS Infratest GmbH hatte diese Umfrage Ende Oktober im Auftrag des BSI anlässlich der vierten Aktionswoche im European Cyber Security Month (ECSM) durchgeführt. Das BSI nutzte diese Aktionswoche, um über Risiken und Schutzmöglichkeiten für Smartphones aufzuklären und die Nutzer zu sensibilisieren. Wie das konkret aussehen kann, hat das BSI auf einer Service-Seite zusammengestellt. Wenigstens die einfachen Sicherheitsmaßnahmen sollten konsequent und regelmäßig umgesetzt werden, wie beispielsweise die regelmäßige Aktualisierung des Betriebssystems, das Sichern des Gerätes mit PIN, Wischmuster oder Fingerabdruck und die Deaktivierung von offenen Schnittstellen wie WLAN oder Bluetooth bei Nichtgebrauch.
Bedenkt man, dass auch in Unternehmen teilweise die Verwendung des persönlichen Smartphones für betriebliche Zwecke zugelassen ist (“Bring your own device – BYOD”), hat dieses Umfrageergebnis auch eine Bedeutsamkeit für den Datenschutz im Unternehmen.
