Schlagwort: BSI
16. Juni 2016
Wie heise online berichtet, will das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig eine “Cyber-Feuerwehr” zur Unterstützung von IT-Unternehmen ins Leben rufen. Die Mannschaft wird wohl voraussichtlich 20 Personen stark sein und konkrete Hilfestellungen geben, damit die angegriffene IT-Infrastruktur möglichst zügig wieder in eine annehmbar stabile Lage kommt. Falls alles klappt, soll die “Cyber-Feuerwehr” ab 2017 ihre Arbeit beginnen.
Hintergrund ist vermutlich unter anderem die seit Juli 2015 auf Grund des IT-Sicherheitsgesetzes bestehende Pflicht für Betreiber kritischer Infrastrukturen, schwere Angriffe auf ihre Computer-Systeme an das BSI zu melden. Viele Unternehmen scheuen sich jedoch davor, einen Angriff zu melden da sie um ihren Ruf fürchten oder Angst haben, interne Daten preiszugeben. Ziel der “Cyber-Feuerwehr”-Gründung sei es, Unternehmen zu unterstützen und ihnen Mut zu machen, bei einer Attacke um Hilfe zu bitten.
18. April 2016
Im betrieblichen Alltag gehen mehr und mehr Unternehmen dazu über, allein wegen der hohen Anschaffungskosten IT-Geräte (z. B. Multifunktionsdrucker, Laptops, Festplatten) zu mieten oder zu leasen. Dabei gerät schnell in Vergessenheit, dass Geräte, die über einen nicht flüchtigen Langzeitspeicher wie Festplatten und sog. „Flashspeicher-Bausteine“ verfügen, beim bestimmungsgemäßen Gebrauch (z. B. Kopieren und Faxen) personenbezogene Daten erzeugen. Diese Daten werden für einen unbestimmten Zeitraum auf diesen Speichern abgelegt. Daher sollte bei der Rückgabe von geleasten oder gemieteten IT-Geräten darauf geachtet werden, dass nicht versehentlich personenbezogene Daten an den Leasinggeber oder Vermieter weitergegeben werden.
Dazu hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BDI Berlin) in ihrem jüngst vorgestellten 15. Tätigkeitsbericht Stellung bezogen. Neben dem expliziten Hinweis, dass gerade auch Multifunktionssysteme, die in das eigene Netzwerk integriert werden können und internetfähig sind, ähnliche Sicherheitsvorkehrungen benötigen wie PCs oder Server, appelliert sie, dass die einsetzende Stelle sicherstellt, dass bei der Rückgabe gemieteter/ geleaster IT-Geräte die in den Geräten enthaltenen Datenträger – sofern diese nicht hinreichend verschlüsselt sind, was regelmäßig ausreichend ist – datenschutzkonform gelöscht sind bzw. die Datenträger datenschutzkonform vernichtet werden. Die Löschung/ Vernichtung durch ein in Deutschland zertifiziertes Unternehmen sei dabei regelmäßig als datenschutzkonform einzustufen.
17. Februar 2016
Nachdem im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (BSIG) geändert wurde, stellt das Bundesministerium des Inneren (BMI) den Entwurf einer Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) vor.
Im Rahmen der Änderungen des BSIG im vergangenen Sommer wurden unter anderem die §§ 8a ff. BSIG eingeführt. Diese Vorschriften verpflichten die Betreiber von Kritischen Infrastrukturen besondere Sicherheitsmaßnahmen zu treffen, um Mindestsicherheitsstandards für informationstechnische Systeme zu implementieren. Wer bisher eine kritische Infrastruktur betrieb, war nicht eindeutig geregelt. Das BMI hat zwischenzeitlich von seiner Verordnungsermächtigung Gebrauch gemacht und in einem ersten Korb der Verordnung teilweise bestimmt, welche Anlagen unter den Begriff “Kritische Infrastruktur” zu subsumieren sind. Auf dieser Grundlage lässt sich ein erster Adressatenkreis des BSIG bestimmen.
In diesem ersten Korb werden Schwellenwerte für Anlagen und Dienstleistungen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung festgelegt. Hierbei ging der Verordnungsgeber in drei Schritten vor, wobei jeweils mit Vertretern der verschiedenen Branchen zusammengearbeitet wurde. In einem ersten Schritt wurde abgestimmt, welche Dienstleistungen eines Sektors als kritisch anzusehen sind. In einem zweiten Schritt wurden die Anlagenkategorien identifiziert, die zur Erbringung dieser Dienstleistung erforderlich sind. Schließlich werden in der BSI-KritisV Schwellenwerte für solche Anlagen und Teile von Anlagen festgelegt, die als hinreichend bedeutsame Anlagen zur Versorgung der Allgemeinheit als Kritische Infrastrukturen gelten.
Nach Schätzungen des BMI erfüllen circa 680 Anlagen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation und Ernährung die Schwellenwerte der BSI-KritisV. Im Frühjahr 2016 soll die BSI-KritisV in Kraft treten. Ab dem Zeitpunkt des Inkrafttretens haben die betroffenen Betreiber Kritischer Infrastrukturen 2 Jahre Zeit, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.
Für die übrigen Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen sollen bis Ende 2016 Bestimmungen zur Definition Kritischer Infrastrukturen festgelegt werden.
9. November 2015
Mit einer speziellen Aufklärungswoche vom 09.11. bis zum 13.11. will das Bundeskriminalamt (BKA) zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die durch Cyberkriminalität drohenden Gefahren aufmerksam machen. Unter anderem sollen Fragen wie beispielsweise Wie kann man sich im Internet gegen den Diebstahl digitaler Identitäten schützen? Was tun gegen betrügerische Phishing-Mails? Wie gehe ich verantwortlich mit meinen Daten um? mit Hilfe allgemeiner Informationen, statistischem Material sowie erklärenden Podcasts zu den einzelnen Gefahrenquellen beantwortet werden.
Sowohl BSI als auch BKA geben in diesem Rahmen hilfreiche Vorsorgetipps, wie beispielsweise Checklisten zur Absicherung des PCs gegen Angriffe durch das Internet oder für den sicheren Umgang mit mobilen Geräten.
Deutschland beteiligt sich durch diese Aktionswoche an der Präventionskampagne “Operation Blackfin” der britischen National Crime Agency (NCA), wie auch Europol und achte weitere Staaten.
9. Oktober 2015
Medienberichten zufolge rechnet die Industrie damit, ab Mitte 2016 sämtliche Kartenlesegeräte für die elektronische Gesundheitskarte austauschen zu müssen, wodurch Kosten von fast 100 Millionen Euro entstehen würden. Hintergrund seien Bedenken des Bundesamtes für Sicherheit in der Informationstechnik, wonach die bisherigen Kartenlesegeräte, mit denen Ärzte die Patientendaten ein- und auslesen können, nicht hinreichend vor dem Zugriff Unbefugter geschützt sind. Problematisch seien insbesondere die Gehäuse der knapp 400 Euro teuren Kartenlesegeräte. Die bislang verwendeten Plastikhüllen seien nicht in der Lage, Daten abzuschirmen und Hacker davon abzuhalten, in die Krankenakten von Patienten Einsicht zu nehmen. Die Lesegeräte waren erst 2011 mit der Auslieferung der bislang gültigen Gesundheitskarte eingeführt worden.
14. September 2015
Die Anforderungen an ein sicheres Passwort sind hoch. Nach den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik ist ein Passwort “sicher”, wenn es
- mindestens zwölf Zeichen lang ist,
- aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) besteht,
- nicht den Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten etc. beinhaltet,
- nicht in Wörterbüchern vorkommt und
- nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern besteht (z.B. “asdfgh” oder “1234abcd”).
Damit das Passwort nicht in falsche Hände gerät, ist es zu vermeiden, dieses unverschlüsselt auf dem PC abzulegen oder auf dem berühmt berüchtigtem Notizzettel an den Bildschirm zu kleben. Wer sich Passwörter notieren will, sollte diese stattdessen auf Papier unter Verschluss halten bzw. auf dem Rechner in einer verschlüsselten Datei ablegen. Der Nachteil ist dann, dass man u. U. nicht stets auf das dokumentierte Passwort Zugriff hat. Der beste Weg – aber zugleich auch eine mehr oder minder große Herausforderung – ist daher, dass man sich das Passwort merkt.
Um sich ein Passwort gut zu merken, gibt es viele hilfreiche Tricks. Bewährt hat sich insbesondere die Methode, dass man sich einen mehr oder minder sinnvollen Satz ausdenkt und von jedem Wort nur den ersten Buchstaben (alternativ den zweiten, dritten etc.) inklusive Groß- und Kleinschreibung benutzt. Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. Beispiel: “Morgens bleibe ich nach dem Aufwachen noch mindestens vier Minuten im Bett und döse”. Nur die ersten Buchstaben: “MbindAnmvMiBud”. Das “i” wird durch eine “1” ersetzt, die Zahl wird nun nicht mehr ausgeschieben und das Sonderzeichen “&” ersetzt das “und”: “Mb1ndAnm4M1B&d”.
Auch gibt es diverse Lernvideos, die helfen, Passwörter zu merken und zugleich aufführen, wie schnell triviale Passwörter, z. B. mittels eines Wörterbuchangriffs, geknackt werden können.
Werden die Passwörter nach den o. g. Kriterien generiert und außerdem – wie allgemein empfohlen – in regelmäßigen Zeitabständen geändert und stets nur für einen Zugang genutzt, macht man es Hackern deutlich schwerer und schützt seine vertraulichen Daten, z.B. seine E-Mails oder Nachrichten. Man vermeidet aber insbesondere auch, dass sich Unbefugte in eigene Accounts einloggen und die eigene Identität annehmen, z.B. um kostspielige Online-Käufe zu tätigen oder aber “nur” unter dem eigenen Namen E-Mails versenden.
13. April 2015
Nach der Cyberattacke auf den französichen Fernsehsender TV5Monde am vergangenen Donnerstag warnen Datensicherheitsexperten in Deutschland vor Nachahmungstaten. Der momentane Schutz vor deratigen Angriffen reicht bei weitem nicht aus. So äußerte sich der Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Andreas Könen, in der ARD dahingehend, dass es Glück sei, dass in den deutschen Infrastrukturen bisher nicht mehr passiert ist. Der Sprecher des BSI, Mathias Gärnter, ist der Überzeugung, dass man mit dem immer bedeutsamer werdenden Einsatz internetgestützter Technik auch im Bereich des Fernsehens eine immer größere Angriffsfläche für Attacken aus dem Bereich der Cyber-Kriminalität liefere.
Die Deutsche Welle, in ihrem Medienangebot nach vergleichbar mit dem französischen TV5Monde, gab auf Anfrage von Handelsblatt-Online an, zwar regelmäßig ihre Sicherheit zu überprüfen, gegen solch einen professionellen Hackerangriff wie nun in Frankreich geschehen jedoch nicht speziell abgesichert zu sein.
Schutzbedüftig sind neben Medienanstalten jedoch vor allem besonders kritische Infrastrukturenin wie Elektrizität, Finanzwesen, Mobilität, hier sollten besonders hohe Standards auf dem Gebiet der IT-Sicherheit gelten. So sieht es auch das von der Bundesregierung vorgelegte IT-Sicherheitsgesetz vor, dass am 20. März in erster Lesung beraten wurde. Dieses soll dann beispielsweise für Energieunternehmen eine Pflicht zur Meldung vorsehen, wenn und sobald sie Opfer einer Cyberattacke werden – derzeit gibt es eine solche Verpflichtung noch nicht.
13. Oktober 2014
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Veröffentlichung einer Publikation zur Nutzung von Cloud-Diensten bekannt gegeben. Die Publikation “Sichere Nutzung von Cloud-Diensten” stelle eine Schritt-für-Schritt-Anleitung dar, die strategische Überlegungen über den Einsatz der Cloud und die Datenmigration ebenso behandelt wie die Auswahl des passenden Anbieters. Zudem würden Vertragsdetails behandelt, die mit Blick auf eine sichere Nutzung notwendig sind. Die Publikation richte sich an IT-Entscheider und das Management von Behörden und Unternehmen, die Cloud-Dienste nutzen möchten und dabei Antworten auf sicherheitsrelevante Fragen benötigen.
20. August 2014
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat – vor dem Hintergrund, dass mobile, internetfähige Geräte besonders im Urlaub zu unverzichtbaren Begleitern geworden sind – Sicherheitstipps zum Umgang mit Smartphons und Tablets im Urlaub veröffentlicht und warnt vor einem zu sorglosen Umgang.
Insbesondere bei der Nutzung mobiler Netzwerke sei ratsam, die WLAN-Funktion der internetfähigen Geräte nur bei Gebrauch zu aktivieren und die Firewall-Einstellungen auf ein hohes Sicherheitsniveau anzupassen. Sollte der Hotspot über eine schwache Verschlüsselung (z.B. ein kurzes Passwort) oder gar keine Sicherheitseinstellungen verfügen, sollte er erst gar nicht genutzt werden. Online-Banking oder -Einkäufe sollten bestenfalls gänzlich vermieden werden. Sofern ein Kontozugriff ausnahmsweise erfolgt, sollten die Internet-Adressen immer manuell eingegeben und auf eine verschlüsselte Datenübertragung geachtet werden.
Weitere Details und Tipps zur IT-Sicherheit bei Reisen hält das BSI auf seiner Website vor.
21. Mai 2014
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Sicherheitslücke in iTunes, durch die lokale Angreifer durch eine Rechteveränderung beim Benutzer-Ordner sämtliche anderen Benutzerkonten auf dem jeweiligen Mac einsehen und modifizieren können. Das Sicherheitsrisiko bestehe bei iTunes bis zu Version 11.2 in Verbindung mit Mac OS X ab 10.6.8. Den Anwendern wird ein Update auf die aktuellste iTunes Version 11.2.1 empfohlen.
