Schlagwort: BSI

Neue Sicherheitsanforderungen für Smartphones

9. März 2020

Das Bundesamt für Sicherheit in der Informationstechnik (im Folgenden: BSI) hat einen neuen Anforderungskatalog hinsichtlich Sicherheitskriterien für Smartphones veröffentlicht. Dadurch soll die Datensicherheit der Nutzer in der digitalen Welt verbessert werden.

Der BSI-Präsident Arne Schönbohm erklärte in der Pressemitteilung: „Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher wie möglich zu machen, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default.”

Der Sicherheitskatalog richtet sich an die Hersteller, Mobilfunkanbieter und Erstausrüster von Smartphones. Dort werden Kriterien beschrieben um Mobilfunkgeräte über spezielle Hardware-Eigenschaften zu schützen und die Software im Auslieferungs-Zustand bereits zu stärken.

Zusätzlich werden Voraussetzungen an die einheitliche Bereitstellung von Updates während der Gerätelaufzeit aufgestellt.

Der Katalog kann kostenlos auf der Seite des BSI heruntergeladen werden.

BSI empfiehlt nicht mehr den regelmäßigen Wechsel von Passwörtern

5. Februar 2020

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist von seiner bisherigen Empfehlung abgerückt, wonach Passwörter in regelmäßigen Abständen gewechselt werden sollten. Eine entsprechende Empfehlung fehlt in dem IT-Grundschutz-Kompendium Edition 2020 des BSI.

Mit dem IT-Grundschutz-Kompendium veröffentlicht das BSI im Februar jeden Jahres seine wesentlichen Empfehlungen zum IT-Grundschutz. Der IT-Grundschutz soll Unternehmen eine Empfehlung zur Identifizierung und Umsetzung von Sicherheitsmaßnahmen in der Informationstechnik an die Hand geben. Bisher empfahl das BSI stets, in der Informationstechnik genutzte Passwörter in regelmäßigen Abständen zu ändern. Nur auf diese Weise sei die Entschlüsselung von Passwörtern zu verhindern und somit ein hinreichender Schutz der Systeme gewährleistet.

Von dieser Empfehlung ist das BSI nun abgerückt. Der Wechsel eines Passworts sei nur dann zwingend erforderlich, „wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht“ (IT-Grundschutz-Kompendium: ORP.4.A8 Regelung des Passwortgebrauchs). Die weiteren Vorgaben beschränken sich darauf, dass eine Mehrfachverwendung von Passwörtern zu unterbleiben hat, genutzte Passwörter geheimzuhalten (insbesondere ist eine schriftliche Fixierung nur für Notfälle erlaubt und dann eine sichere Aufbewahrung erforderlich) und nur hinreichend sichere, ausschließlich dem Nutzer bekannte Passwörter zu nutzen sind.

Unternehmensinterne Regelungen zum IT-Grundschutz können nun in Zukunft auch dann entsprechend dieser Maßgaben angepasst werden, wenn sie nach den Bestimmungen des BSI zertifiziert werden sollen. Aber auch ohne ein solches Zertifizierungsvorhaben empfiehlt sich die Änderung entsprechender Regelungen und die Sensibilisierung der Beschäftigten: Datenschützer weisen seit Jahren darauf hin, dass das regelmäßige Auswechseln von Passwörtern mehr Risiken als Nutzen birgt.

Emotet- Die gefährliche Schadsoftware

7. Dezember 2018

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Tagen häufig Meldungen von IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. Betroffene leiden unter Ausfällen der kompletten IT-Sicherheitsstruktur, die die Geschäftsprozesse erheblich einschränken und Schäden in Millionenhöhe nach sich ziehen.

Das BSI hat aus aktuellem Anlass neue umfassende Sicherheitsmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.

Mithilfe des sogenannten „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Die Schadsoftware liest Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Weiterhin verfügt Emotet über die Möglichkeit weitere Schadsoftware bei bereits infizierten Systemen nachzuladen. Dadurch haben Angreifer Zugriff auf Zugangsdaten und erhalten einen vollständigen Remotezugriff auf das System.

Insbesondere der Banking-Trojaner „Trickbot“ wurde zuletzt nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann.

Bericht zur Lage – Wenn das Haushaltsgerät zum Sicherheitsrisiko wird

10. November 2017

Das in einer immer stärker vernetzten Welt das Internet nicht nur neue Möglichkeiten bietet, sondern durchaus auch eine Gefahrenquelle darstellen kann, wird angesichts immer häufiger auftretender Cyberangriffe deutlich. Unter anderem um solchen Gefahren begegnen zu können, wurde in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegründet.

In Berlin wurde nun von Thomas de Maizière und Arne Schönbohm der alljährliche Bericht zur Lage der IT-Sicherheit vorgestellt. Bereiche, die nach dem Bericht etwa besonders gefährdet sind, sind die Bundesverwaltung, die Wirtschaft und die Gesellschaft. Im Bereich der Gesellschaft ist es mit 11 gemeldeten Vorfällen mit kritischem Störpotential im Sektor Energie und 3 im Sektor Wasser zu Vorfällen gekommen, die enorme Auswirkungen auf das Gemeinwesen haben können. Um auch weiterhin ein möglichst hohes Maß an Sicherheit gewährleisten zu können, soll nach Schönbohm das IT-Sicherheitsnetz noch weiter ausgebaut, ein eigenes nationales Verbindungswesen eingerichtet und eine Fokusgruppe Verschlüsselung gegründet werden. Eigene Landesämter für Informationssicherheit soll es hingegen nach de Maizière nicht geben.

Im IT-Lagebereicht 2017 wird auch explizit auf das Internet der Dinge und das daraus resultierende Gefahrenpotential eingegangen. Kennzeichnend für das Internet der Dinge ist es, dass etwa verschiedene Alltags- und Haushaltsgeräte über Schnittstellen mit dem Internet verbunden und somit untereinander kommunizieren oder von dem Nutzer ferngesteuert werden können. Mittlerweile gibt es nicht nur Lautsprecher mit Sprachsteuerung oder Staubsaugerroboter, sondern auch Türschlösser oder mit dem Internet verbundene Kühlschränke. Smarte Kühlschränke sind beispielsweise mit Kameras im Inneren ausgestattet, über die der Besitzer von unterwegs über eine App nachschauen kann, ob er noch genügend Lebensmittel vorrätig hat. Sollte der Nutzer einmal die Temperatur seines Kühlschranks anpassen wollen, so kann er dies auch bequem von unterwegs über die dazugehörige App erledigen.

Die Funkstellen, mit denen solche smarten Haushaltsgegenstände mit dem Internet verbunden sind, stellen oftmals jedoch eine Schwachstelle und ein Risikopotential dar. Mit gezielten Attacken auf die oftmals schlecht gesicherten Funkstellen dieser Haushaltshelfer können Angreifer die Steuerung übernehmen. Bei Geräten mit integrierten Kameras kann es so vorkommen, dass Angreifer unbemerkt Videoaufnahmen vom Inneren des eigenen Hauses anfertigen und so die Privat- und Intimsphäre der Besitzer ausspionieren. Darüber hinaus ist es auch möglich, über die Haushaltsgeräte in das Heimnetzwerk einzudringen oder verschiedene Geräte zu sogenannten Bot-Netzwerken zusammenzuschließen und mit diesen Webseiten im Internet lahmzulegen.

Gerade im Bereich des Internets der Dinge ist daher auch der Nutzer gefragt, sich etwa durch starke Verschlüsselungen, datenschutzbewusste Geräteeinstellungen und eine sorgfältige Produktauswahl möglichst gut gegen Angriffe auf seine Privatsphäre abzusichern.

Gesetz zur Umsetzung der NIS-Richtlinie in Kraft getreten

4. Juli 2017

Am 30.06.2017 ist das Gesetz zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) in Kraft getreten.

Damit werden u. a. die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert: Vor allem werden die Aufsichts- und Durchsetzungsbefugnisse des BSI über die Betreiber Kritischer Infrastrukturen ergänzend zum IT-Sicherheitsgesetz ausgeweitet. Außerdem wird mit der Richtlinie und ihren Umsetzungsgesetzen ein einheitlicher Rechtsrahmen für den Auf- und Ausbau nationaler Kapazitäten für die Cyber-Sicherheit geschaffen. Eine weiteres wichtiges Ziel, Mindestsicherheitsanforderungen an und Meldepflichten für Kritische Infrastrukturen zu kreieren, wurde ebenfalls erreicht.

Darüber hinaus trat zeitgleich die erste Verordnung zur Änderung der BSI-Kritisverordnung vom 03.05.2016 in Kraft. Druch sie werden die kritischen Infrastrukturen, bislang Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, um die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt.

BSI weist auf Gefährdung kritischer Infrastrukturen durch Cyber-Angriffe hin

20. Januar 2017

Nachdem NATO-Generalsekretär Jens Stoltenberg dieser Tage seine Besorgnis über das Ansteigen von Cyber-Angriffen auch auf kritische Infrastrukturen zum Ausdruck gebracht hat, bestätigt der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, diese Einschätzung auch aus nationaler Sicht.

Im Jahr 2016 habe es pro Monat durchschnittlich 500 bedrohliche Angriffe auf das Datennetz des Verteidigungsbündnisses gegeben, so Stoltenberg gegenüber der Welt. Dies sei ein Anstieg von 60 % und habe ein intensives Eingreifen seitens der Sicherheitsexperten notwendig gemacht. Anstrengungen, die Sicherheit in diesem Bereich zu verbessern, müssten noch intensiviert werden.

Ebenso sieht Schönbohm die mit diesem Anstieg verbundenen Herausforderungen beim Schutz Kritischer Infrastrukturen, wie beispielsweise im Gesundheitswesen oder im Energiesektor. Deutschland sei jedoch durch die Cyber-Sicherheitsstrategie der Bundesregierung und das IT-Sicherheitsgesetz sowie durch Einrichtungen wie den UP KRITIS (= öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen) hier seiner Meinung nach bereits sehr gut aufgestellt.

 

 

Kategorien: Allgemein · Hackerangriffe
Schlagwörter: ,

BSI veröffentlicht Technische Richtlinie zum Sicheren E-Mail-Transport

12. Dezember 2016

Vergangene Woche veröffentliche das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Richtlinie „Sicherer E-Mail-Transport“ (BSI TR-03108). Adressaten der Richtlinie sind E-Mail-Diensteanbieter und Betreiber eines E-Mail-Dienstes in seiner Organisation. Die Richtlinie enthält Anforderungen an die Sicherheit des E-Mail-Versands. Durch die Festlegung von Mindestsicherheitsstandards sollen diese vergleichbarer werden und sich außerdem bei den Diensteanbietern verbreiten.

Hintergrund ist, dass derzeit Verschlüsselungstechnologien von E-Mails nur von wenigen Endnutzern verwendet werden. Mit der nun veröffentlichten Richtlinie soll sich das ändern. Denn die Sicherheit des E-Mail-Transports wird dann erhöht, wenn die Diensteanbieter die Sicherheitsstandards der Richtlinie umsetzen. Die Sicherheitsstandards ergeben sich im Einzelnen aus der Richtlinie.

Die Umsetzung der Sicherheitsstandards können die Diensteanbieter durch ein Zertifikat nachweisen. Diensteanbieter erhalten das Zertifikat durch einen BSI-zertifizierten Auditor, der die Umsetzungen der  Anforderungen der Richtlinie überprüft.

Diese Richtlinie ist insofern begrüßenswert, als dass hierdurch die Verbreitung von höheren Sicherheitsstandards gefördert werden.

Sensible Daten auf Smartphones werden zu wenig geschützt

9. November 2016

Nach einer aktuellen Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nutzt rund jeder fünfte Smartphone-Besitzer (20,7 %) sein Gerät ohne jegliche Sicherheitsfunktion. Dies überrascht umso mehr vor dem Hintergrund, dass fast Dreiviertel der Nutzer (74,6 %) sensible Daten wie Bilder, Videos, Kontaktdaten, Passwörter und sogar Gesundheitsdaten (etwa in Form von sog. Fitness-Apps) auf ihren Smartphones oder Tablets ablegen.

Das Marktforschungsinstituts TNS Infratest GmbH hatte diese Umfrage Ende Oktober im Auftrag des BSI anlässlich der vierten Aktionswoche im European Cyber Security Month (ECSM) durchgeführt. Das BSI nutzte diese Aktionswoche, um über Risiken und Schutzmöglichkeiten für Smartphones aufzuklären und die Nutzer zu sensibilisieren. Wie das konkret aussehen kann, hat das BSI auf einer Service-Seite zusammengestellt. Wenigstens die einfachen Sicherheitsmaßnahmen sollten konsequent und regelmäßig umgesetzt werden, wie beispielsweise die regelmäßige Aktualisierung des Betriebssystems, das Sichern des Gerätes mit PIN, Wischmuster oder Fingerabdruck und die Deaktivierung von offenen Schnittstellen wie WLAN oder Bluetooth bei Nichtgebrauch.

Bedenkt man, dass auch in Unternehmen teilweise die Verwendung des persönlichen Smartphones für betriebliche Zwecke zugelassen ist („Bring your own device – BYOD“), hat dieses Umfrageergebnis auch eine Bedeutsamkeit für den Datenschutz im Unternehmen.

Kategorien: Allgemein · Mobile Business
Schlagwörter: , ,

„Cyber-Feuerwehr“ des BSI

16. Juni 2016

Wie heise online berichtet, will das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig eine „Cyber-Feuerwehr“ zur Unterstützung von IT-Unternehmen ins Leben rufen. Die Mannschaft wird wohl voraussichtlich 20 Personen stark sein und konkrete Hilfestellungen geben, damit die angegriffene IT-Infrastruktur möglichst zügig wieder in eine annehmbar stabile Lage kommt. Falls alles klappt, soll die „Cyber-Feuerwehr“ ab 2017 ihre Arbeit beginnen.

Hintergrund ist vermutlich unter anderem die seit Juli 2015 auf Grund des IT-Sicherheitsgesetzes bestehende Pflicht für Betreiber kritischer Infrastrukturen, schwere Angriffe auf ihre Computer-Systeme an das BSI zu melden. Viele Unternehmen scheuen sich jedoch davor, einen Angriff zu melden da sie um ihren Ruf fürchten oder Angst haben, interne Daten preiszugeben. Ziel der „Cyber-Feuerwehr“-Gründung sei es, Unternehmen zu unterstützen und ihnen Mut zu machen, bei einer Attacke um Hilfe zu bitten.

BDI Berlin: Umgang mit Datenträgern bei gemieteten IT-Geräten

18. April 2016

Im betrieblichen Alltag gehen mehr und mehr Unternehmen dazu über, allein wegen der hohen Anschaffungskosten IT-Geräte (z. B. Multifunktionsdrucker, Laptops, Festplatten) zu mieten oder zu leasen. Dabei gerät schnell in Vergessenheit, dass Geräte, die über einen nicht flüchtigen Langzeitspeicher wie Festplatten und sog. „Flashspeicher-Bausteine“ verfügen, beim bestimmungsgemäßen Gebrauch (z. B. Kopieren und Faxen) personenbezogene Daten erzeugen. Diese Daten werden für einen unbestimmten Zeitraum auf diesen Speichern abgelegt. Daher sollte bei der Rückgabe von geleasten oder gemieteten IT-Geräten darauf geachtet werden, dass nicht versehentlich personenbezogene Daten an den Leasinggeber oder Vermieter weitergegeben werden.

Dazu hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BDI Berlin) in ihrem jüngst vorgestellten 15. Tätigkeitsbericht Stellung bezogen. Neben dem expliziten Hinweis, dass gerade auch Multifunktionssysteme, die in das eigene Netzwerk integriert werden können und internetfähig sind, ähnliche Sicherheitsvorkehrungen benötigen wie PCs oder Server, appelliert sie, dass die einsetzende Stelle sicherstellt, dass bei der Rückgabe gemieteter/ geleaster IT-Geräte die in den Geräten enthaltenen Datenträger – sofern diese nicht hinreichend verschlüsselt sind, was regelmäßig ausreichend ist – datenschutzkonform gelöscht sind bzw. die Datenträger datenschutzkonform vernichtet werden. Die Löschung/ Vernichtung durch ein in Deutschland zertifiziertes Unternehmen sei dabei regelmäßig als datenschutzkonform einzustufen.

1 2 3