Schlagwort: BSI

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Phishing mit Energiepauschale

9. September 2022

Das BSI warnt momentan auf seinem Twitter-Account vor Phishing-Mails, die dem Empfänger die Auszahlung der Energiepauschale versprechen. Diese Mails sollen Betreffe wie: „Jetzt Energiepauschale sichern!/ Wir überweisen die Energiepauschale /Bereit für Ihren Energiebonus?“ enthalten. In dem vom BSI veröffentlichten Beispiel sieht die Phishing-Mail aus, als wäre ihr Absender die Sparkasse. In dem Schreiben wird über die Auszahlung der Energiepauschale informiert. Dort steht u.a. folgendes geschrieben: „Um ihre Identät sowie den Anspruch auf eine Auszahlung feststellen zu können, benötigen wir eine Bestätigung Ihrer bereits angegebenen Daten […]. Gebe Sie noch heute Ihre aktuellen Daten auf unser Homepage an und erhalten Sie innerhalb der nächsten vier Wochen ihre Auszahlung der Energiepauschale[…]“.

Das BSI weist ausdrücklich darauf hin, dass unter keinen Umständen hier Daten angegeben werden sollen. Phishing-Mails sind E-Mails die vorgeben, von einem vertrauenswürdigen Absender zu stammen. Tatsächlich stecken hinter Phishing-E-Mails Kriminelle, die die Empfänger solcher E-Mails zur Weitergabe ihrer Daten, meist ihrer Zahlungsdaten verleiten wollen.

Um die immer professioneller werdenden Phishing-Mails von echten unterscheiden zu können, verweist das BSI auf seine Website. Dort wird erklärt, woran man Phishing-Mails gut erkennen kann. Es lohnt sich häufig auch, die E-Mails besonders sorgfältig zu lesen. So können u.a. Rechtschreibfehler wie in dieser Mail („Identät“) eine Phishing-Mail entlarven.

Krankenkassen müssen Video-Ident-Verfahren abschalten

12. August 2022

Den deutschen Krankenkassen ist die Identifikation ihrer Versicherten per Video-Ident-Verfahren durch die zuständige Gematik GmbH untersagt worden. Bei der Gesellschaft handelt es sich um einen Digitalisierungsdienstleister der deutschen Gesundheitsbranche. Nachdem der Chaos Computer Club (CCC) Sicherheitsmängel im Video-Ident-Verfahren festgestellt hatte, werden diese nun nicht mehr von deutschen Krankenkassen eingesetzt.

Angriff mit geringem Aufwand durchführbar

Mithilfe des Video-Ident-Verfahrens können sich Nutzer:innen ausweisen, indem sie ihre Ausweispapiere mit ihrer Smartphone- oder Computer-Kamera erfassen und zeitgleich ihr Gesicht zeigen. Bei einem Anruf in einem Video-Ident-Callcenter müssen die Anrufer:innen dann den Ausweis in der Hand halten, ihn bewegen und auf Anordnung auch bestimmte Stellen des Ausweises mit dem Finger abdecken. Anschließend werden die Daten von einer Software erfasst. Die Angaben werden dann durch die Support-Mitarbeiter:innen sowie von Algorithmen überprüft, sodass End-Kundinnen und Kunden ihre Identität beweisen können. Nach der Freigabe können sie sich dann beispielsweise auf einer Onlineplattform einloggen.

Der CCC stellte nun fest, dass genau dieses Vorgehen problematisch sei. Mit gefälschten Ausweispapieren und etwas Videobearbeitung ließen sich so Sicherheitsmerkmale fälschen. „Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen“, erläuterte der CCC. So könne man beispielsweise das biometrische Passbild eines Dokuments im Videobild in Echtzeit durch ein anderes digital ersetzen.  Der CCC konnte das Ident-Verfahren so überlisten und eine elektronische Patientenakte (ePA) für eine fremde Person anlegen. Die betroffene Person war eingeweiht und einverstanden. Anschließen konnte auf Diagnosen, Rezepte und Bescheinigungen zugegriffen werden.

Insgesamt konnten die Verfahren von sechs nationalen und internationalen Anbietern überlistet werden. Wie genau der CCC dabei vorgegangen ist, ist ausführlich dokumentiert und lässt sich auf der Webseite des CCC nachlesen.

Risiko den Behörden bekannt

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte das Verfahren schon vor Jahren als heikel eingestuft. Durch die Corona-Pandemie wurde das Verfahren zuletzt immer häufiger genutzt. Laut einem Sprecher des BSI nehme man die Situation auch über die Anwendung bei den Krankenkassen hinaus sehr ernst. Das Verfahren werde „sehr sorgfältig“ geprüft. Diese Prüfung beziehe sich auch auf die Fortsetzung der Nutzung dieser Technologie.

In der Pressemitteilung des CCC warnt Martin Tschirsich, ein Sicherheitsforscher des CCC, vor der Nutzung. „Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Videoident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten“.

Welche Video-Ident-Anbieter dabei überlistet wurden, hat der CCC nicht veröffentlich. Stattdessen forderte man in einer Pressemitteilung, die Verfahren generell nicht mehr dort einzusetzen, wo ein hohes Schadenspotential bestehe. Darunter fiele beispielsweise der Zugriff auf intimste Gesundheitsdaten, so der CCC.

Alternative seit 10 Jahren vorhanden

Es sei besonders bitter, dass sichere ID-Methoden wie die elektronische Ausweisfunktion des Personalausweises nicht genutzt werden, erklärt der CCC. Diese ließe sich schon seit über zehn Jahren zur digitalen Identifizierung verwenden.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor ‚Spoofing‘

3. Juni 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit einer Meldung vom 02.06.2022 vor ‚Spoofing‘-Angriffen, die mit der Rufnummer des BSI erfolgen sollen. Verwendet werden dabei zum Beispiel die Nummern +49 228 9582 44 oder 0228 9582. Das BSI warnt eindringlich davor, Anrufenden persönliche Daten mitzuteilen oder Aufforderungen nachzukommen.

Das ‚Spoofing‘ ist, ähnlich wie das ‚Smishing‘ ein bekanntes Betrugskonzept. Der Begriff (auf deutsch übersetzt etwa: Manipulation, Verschleierung, Vortäuschung) umfasst Handlungen, bei denen sich Kriminelle am Telefon oder per E-Mail als jemand anders ausgeben, um so direkt oder indirekt an Daten der Angerufenen zu gelangen. Meist treten die Anrufer dabei als Vertreter oder Mitarbeiter einer Behörde, eines Unternehmens oder anderer seriöser Institutionen (z.B. Banken oder Vereine) auf. Die Angerufenen werden dann entweder im Gespräch selbst gebeten, gewisse Daten herauszugeben oder werden auf eine entsprechende Website verwiesen. Bei Mails sind häufig Trojaner und Viren im Anhang in Dokumenten versteckt. Meist sind die Angreifer auf die Herausgabe von Kontodaten oder Bargeld aus.

Perfide an der Betrugsmasche ist, dass bei solchen Anrufen meist eine falsche Rufnummer übermittelt und angezeigt wird (sog. Call-ID-Spoofing). So kann dann z.B. die Nummer einer Behörde den Angerufenen angezeigt werden, obwohl diese mit dem Anruf nichts zu tun hat. Dadurch soll zum einen der Eindruck von Seriösität und Vertrauen erweckt werden, zum anderen soll so die Identität der Anrufer verschleiert werden. Vorgekommen ist in der Vergangenheit z.B. schon, dass die 110 als Anrufer angezeigt wurde, obwohl dies eine reine Einwahlnummer ist und die Polizei von dieser Nummer aus niemanden anrufen kann. Bei Mails wird der Absender manipuliert, sodass es dem Empfänger scheint, als habe eine offizielle Stelle oder ein Bekannter ihn kontaktiert. Weitere Informationen zur Manipulation von Rufnummern sind auf der Website der Bundesnetzagentur zu finden.

Verhaltenstipps: Sollten Sie einen Anruf oder eine Mail bekommen, bei denen Sie sich nicht sicher sind, ob ein ‚Spoofing‘-Angriff vorliegt, sollten sie zunächst die Kommunikation einstellen, d.h. auflegen oder nicht mehr antworten, den Kontakt ggf. blockieren. Unbekannte Links oder Anhänge sollten sie niemals öffnen. Danach sollten Sie die Behörde, das Unternehmen oder die Institution, von der der Anruf/ die Mail angeblich ausging über einen offiziellen Weg kontaktieren und sich nach der Authentizität der Anfrage erkundigen. Geben Sie niemals persönliche Daten raus, bevor Sie bestätigt haben, dass es sich nicht um eine kriminelle Anfrage handelt!
Falls Sie in diesem konkreten Fall einen Anruf des angeblichen BSI bereits engegengenommen haben, sollten Sie das Service-Center des BSI mit der Rufnummer 0800 274 1000 kontaktieren.

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

8. April 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Verbraucherinnen und Verbraucher, Unternehmen und Behörden vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Demnach könne die Softwarefirma Cyber-Angriffe ausführen.

Nach Angaben des BSI könnte Kaspersky selbst offensive Operationen durchführen, oder aber auch gezwungen werden, Zielsysteme anzugreifen. Es sei auch nicht auszuschließen, dass ein russisches Unternehmen selbst ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werde.

„Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden“, erklärte das BSI.

Des Weiteren seien Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen in besonderem Maße gefährdet. Betroffene Unternehmen und andere Organisationen sollten nach den Empfehlungen des BSI den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Es wird empfohlen, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.

Weitere Informationen für Verbraucherinnen und Verbraucher, Unternehmen und Behörden veröffentlichte das BSI in einer eigens dafür angelegten Rubrik (FAQ).

Kaspersky wies die Darstellung zunächst zurück und ging rechtlich gegen die Entscheidung vor. Nachdem das Verwaltungsgericht Köln Anfang April den Antrag zurückgewiesen hatte, reichte die Kaspersky Labs GmbH Beschwerde beim nordrhein-westfälischen Oberverwaltungsgericht (OVG) ein.

Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft ‚Warnstufe Rot‘ für Software-Modul Log4j aus

14. Dezember 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rief am 11.12.2021 die ‚Warnstufe Rot‘ für das Java-Software-Modul Log4j aus. Dort wurde eine Sicherheitslücke entdeckt, die den Namen „Log4Shell“ trägt.

Das Software-Modul Log4j ist auf vielen Computern in der Java-Software zu finden. Es handelt sich um eine Protokollierungs-Bibliothek, sie protokolliert Ereignisse im Serverbetrieb. Dies dient beispielsweise einer Fehlersuche.

Die Sicherheitslücke hat zur Folge, dass es Angreifern möglich wird, ihren Softwarecode auf fremde Server zu spielen. Dies kann bereits durch das Eingeben spezieller Befehle in einen Chat mit dem Opfer möglich sein. Sodann können die Angreifer auf deren Servern Schadsoftware installieren und sogar das gesamte System übernehmen. So erhält der Angreifer Kontrolle über das System des Opfers und damit auch Zugriff auf die dort gespeicherten Daten. Besonders gefährdet sind laut BSI momentan Betreiber von Servern und Rechenzentren, aber auch Privatleute können dieses Software-Modul auf ihren Computern haben. Global könnten eventuell mehrere Milliarden Computer betroffen sein.

Welche Systeme und Produkte genau betroffen sind, ist zum jetzigen Zeitpunkt noch unklar. Momentan werden Massenscans durchgeführt, um angreifbare Systeme und bereits erfolgte Angriffe aufzuspüren. Aktuell wird davon ausgegangen, dass die Sicherheitslücke die Log4j- Versionen von 2.0 bis 2.14.1. betrifft.

Das BSI veröffentlicht auf seiner Homepage regelmäßig Updates zu der Entwicklung der Sicherheitslücke bei Log4j sowie Handlungsempfehlungen und Antworten auf die geläufigsten Fragen. Betroffene, die mithilfe dieser Sicherheitslücke angegriffen wurden, sind angehalten sich beim BSI zu melden. Teilweise bieten System-Hersteller erste Updates auf die aktuelle Version 2.15.0 von Log4j an, diese sollten umgehend installiert werden.

BSI Branchenlagebild: Datensicherheit in der Automobilindustrie

30. September 2021

Am 07.09.2021 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein Branchenlagebild Automotive. Eigenen Angaben zufolge arbeiten das BSI und der Verband der Automobilindustrie (VDA) in Fragen der Cyber-Sicherheit eng zusammen, um diesen für den Wirtschafts- und Automobilstandort Deutschland wichtigen Bereich der Digitalisierung sicher zu gestalten. Neben der Datensicherheit sollen auch die technischen und organisatorischen Maßnahmen stärker in den Fokus rücken. Darüber hinaus müsse auch der Datenschutz stärker berücksichtigt werden.

Ziel der Zusammenarbeit von BSI und VDA sei es, ein gemeinsames Verständnis zu den Teilgebieten der Cyber-Sicherheit in Fahrzeugen und der Informationssicherheit in der Automobilindustrie zu etablieren und daraus Handlungsbedarfe abzuleiten, zum Beispiel im Bereich der Standardisierung. In Zukunft könne man dann gemeinsam Handlungsempfehlungen für Politik und Automobilindustrie entwickeln.

Als beispielhafte Herausforderungen nennt das BSI ein Orts-Tracking von Verkehrsteilnehmern durch Dritte und das unerkannte Aufzeichnen von Personen über Kameras, die für das automatisierte Fahren erforderlich sei. Moderne Autos seien längst fahrende Hochleistungsrechner, die nicht mehr nur mit Kurbelwelle oder Elektromotor angetrieben, sondern in erheblichem Maße von digitaler Technik gesteuert würden.

„Wenn wir digitale Technologie nutzen wollen, um Autos autonom fahren zu lassen, die Verkehrssicherheit zu erhöhen, den Verkehrsfluss zu verbessern und den Energie- und Kraftstoffverbrauch zu reduzieren, dann darf diese Technologie nicht durch unbefugte Dritte manipulierbar sein“, so BSI-Präsident Arne Schönbohm.

Konkret sollen dabei Technologien wie die Fahrzeug-zu-Fahrzeug-Kommunikation und 5G das Autofahren sicherer und komfortabler machen. Durch die Digitalisierung ermögliche man auch neue Dienstleistungen und Funktionen im Fahrzeug. Damit mögliche Cyber-Angriffe keinen Einfluss auf die Fahrsicherheit hätten und geeignete Schutzmechanismen integriert werden könnten, müssten entsprechende Gefährdungen bereits frühzeitig im Entwicklungszyklus neuer Fahrzeugmodelle berücksichtigt werden.

Die Veröffentlichung der Publikation verdeutlicht, dass Hersteller, Zulieferer, Entwickler und andere Dienstleister der Automobilbranche durchaus in den Fokus des BSI gerückt sind.

Datenschutzmeldepflicht : Kritische Schwachstellen in Microsoft Exchange Servern

12. März 2021

Aufgrund von gezielten Angriffen durch Hacker auf verschiedene Versionen der Microsoft Exchange Server hat Microsoft wichtige Sicherheitsupdates zum Download bereitgestellt. Seit Ende Februar 2021 werden offene Flanken der Mail-Einrichtung Exchange Server angegriffen. Vier Lücken wurden dabei mit dem Bedrohungsgrad „äußerst kritisch“ eingestuft. Die Updates erfolgen außer der Reihe und die Angriffswelle dauert aktuell noch an.

Auch viele deutsche Unternehmen sind von den Attacken betroffen. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind zehntausende Exchange Server in Deutschland aktuell über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das BSI hat bereits begonnen, potentiell Betroffene zu informieren und empfiehlt allen Betreibern der Exchange Server, sofort die von Microsoft bereitgestellten Patches einzuspielen.

Betroffene Schwachstellen

Die Schwachstellen betreffen die Exchange Server der folgenden Versionen:

  • Exchange Server 2010 (RU 31 für Service Pack 3)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7)

Die betroffenen Sicherheitslücken werden als Teil einer Angriffskette ausgenutzt. Der anfängliche Angriff setzt die Fähigkeit voraus, eine nicht vertrauenswürdige Verbindung zum Exchange-Server herzustellen, weitere Teilbereiche des Angriffs können dagegen auch ausgeführt werden, wenn der Angreifer bereits Zugang hat oder auf anderem Wege Zugang erhält. Das bedeutet, dass Abhilfemaßnahmen wie das Einschränken von nicht vertrauenswürdigen Verbindungen, oder das Einrichten eines VPNs nur vor dem ersten Teil des Angriffs schützt. Das Patch ist somit die einzige Möglichkeit, den Angriff vollständig abzuschwächen.

Es sei denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren könne, so das BSI.  Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Aufgrund der öffentlichen Verfügbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivitäten sieht das BSI weiterhin ein sehr hohes Angriffsrisiko.

Die Sicherheitspatches sind über ein Windows Update verfügbar. Durch das Update werden die insgesamt 89 Sicherheitslücken geschlossen.

Chinesischer Bedrohungsakteur wohl verantwortlich

Nach den Informationen von Microsoft habe der in China ansässige und staatlich gelenkte Bedrohungsakteur „Hafnium“ die Fehler ausgenutzt, um sich Zugang zu E-Mails und zusätzlicher Malware zu verschaffen, die einen langfristigen Zugriff auf die Umgebungen der Opfer ermöglichen soll. Hafnium greife Organisationen in zahlreichen Branchen an, darunter Forscher von Infektionskrankheiten, Rechtsanwaltskanzleien, Hochschuleinrichtungen, Verteidigungsunternehmen, politische Denkfabriken und NGOs (Nichtregierungsorganisationen).

Datenschutzrechtliche Maßnahmen

Wer als Unternehmen, Organisation oder Behörde von einem Angriff auf personenbezogene Daten betroffen ist, muss einen solchen Vorfall nach der Datenschutz-Grundverordnung (DS-GVO) unter bestimmten Umständen der zuständigen Datenschutzaufsichtsbehörde, bei Kritischer Infrastruktur zusätzlich auch dem Bundesamt für Sicherheit in der Informationstechnik melden.

Auch nach erfolgreichem Einspielen der Patches sollte bedacht werden, dass betroffene Organisationen in der Zwischenzeit angreifbar waren. Nach Angaben des Bayrischen Landesamt für Datenschutzaufsicht (BayLDA) müssen die jeweiligen Unternehmen prüfen (und ihren Incident-Respone-Plan anwenden, sofern ein solcher vorhanden ist), inwieweit Unregelmäßigkeiten im Betrieb festzustellen seien. Des Weiteren müsse die Kompromittierung des Systems durch das Ausnutzen der Sicherheitslücke, gemäß Art. 33 DS-GVO von einem betroffenen Unternehmen auch gemeldet werden, da es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist. Unter bestimmten Voraussetzungen müssten dann auch die betroffenen Personen informiert werden. Nur wenn in der vorliegenden Konstellation atypischer Weise kein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen sollte, müsse keine Meldung erfolgen, so das BayLDA. Darüber hinaus seien jedoch die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens umfassend zu dokumentieren.

Bundesregierung legt Entwurf für IT-Sicherheitsgesetz 2.0 vor

26. Februar 2021

Im Jahre 2015 wurde das erste Sicherheitsgesetz verabschiedet (wir berichteten). Dieses soll reformiert werden, wozu schon seit 1,5 Jahren ein Gesetzgebungsverfahren läuft. Der aktuelle Gesetzesentwurf ist vom 25. Januar 2021. Damit soll Bedrohungen für die Cybersicherheit, die sich für Staat, Wirtschaft und Gesellschaft gleichermaßen ergeben, entgegengewirkt werden.

Änderungen betreffen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Gesetz über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung sowie das Zehnte Buch Sozialgesetzbuch (SGB X).

Im Mittelunkt steht die Stärkung der Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es soll zukünftig als nationale Cybersicherheitszertifizierungsbehörde im Sinne des EU Cybersecurity Acts (Verordnung EU/2019/881) fungieren sowie als allgemeine Stelle für Sicherheit in der Informationstechnik.

Der Aufgabenbereich soll insbesondere folgende Punkte umfassen:

  • Das BSI soll Befugnisse bekommen, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen mit Hilfe von Port-Scans aufzudecken sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots).
  • Das BSI soll zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes zwölf Monate lang Protokolldaten speichern. Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten.
  • Betreiber kritischer Netzwerkkomponenten müssen vor Inbetriebnahme ein komplexes Zulassungsverfahren durchlaufen und vom BSI zertifiziert werden. Netzbetreiber müssen garantieren, dass technische Komponenten vertrauenswürdig sind. Das BSI kann von Betreibern kritischer Infrastrukturen oder Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen.
  • Das BSI führt Produkt- oder Leistungszertifizierungen für die Bundesverwaltung durch. Im Rahmen der Zertifizierung haben betroffene Ministerien ein Mitspracherecht.
  • Der Verbraucherschutz soll mit einem „IT-Sicherheitskennzeichen“ für die IT-Sicherheit von Produkten verbessert werden. Es beinhaltet eine Erklärung des Herstellers, in welcher dieser das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts zusichert und eine Information des BSI über sicherheitsrelevante IT-Eigenschaften. Die Einhaltung dieser Vorgaben wird vom BSI in regelmäßigen Abständen überprüft.
  • Das BSI spricht Empfehlungen für Identifizierungs- und Authentisierungsverfahren aus und legt den Stand der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte fest.

Der aktuelle Entwurf ist noch nicht von Bundestag verabschiedet worden, so dass sich noch weitere Änderungen ergeben können. Wir halten Sie auf dem Laufenden!

Neue Sicherheitsanforderungen für Smartphones

9. März 2020

Das Bundesamt für Sicherheit in der Informationstechnik (im Folgenden: BSI) hat einen neuen Anforderungskatalog hinsichtlich Sicherheitskriterien für Smartphones veröffentlicht. Dadurch soll die Datensicherheit der Nutzer in der digitalen Welt verbessert werden.

Der BSI-Präsident Arne Schönbohm erklärte in der Pressemitteilung: „Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher wie möglich zu machen, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default.”

Der Sicherheitskatalog richtet sich an die Hersteller, Mobilfunkanbieter und Erstausrüster von Smartphones. Dort werden Kriterien beschrieben um Mobilfunkgeräte über spezielle Hardware-Eigenschaften zu schützen und die Software im Auslieferungs-Zustand bereits zu stärken.

Zusätzlich werden Voraussetzungen an die einheitliche Bereitstellung von Updates während der Gerätelaufzeit aufgestellt.

Der Katalog kann kostenlos auf der Seite des BSI heruntergeladen werden.

BSI empfiehlt nicht mehr den regelmäßigen Wechsel von Passwörtern

5. Februar 2020

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist von seiner bisherigen Empfehlung abgerückt, wonach Passwörter in regelmäßigen Abständen gewechselt werden sollten. Eine entsprechende Empfehlung fehlt in dem IT-Grundschutz-Kompendium Edition 2020 des BSI.

Mit dem IT-Grundschutz-Kompendium veröffentlicht das BSI im Februar jeden Jahres seine wesentlichen Empfehlungen zum IT-Grundschutz. Der IT-Grundschutz soll Unternehmen eine Empfehlung zur Identifizierung und Umsetzung von Sicherheitsmaßnahmen in der Informationstechnik an die Hand geben. Bisher empfahl das BSI stets, in der Informationstechnik genutzte Passwörter in regelmäßigen Abständen zu ändern. Nur auf diese Weise sei die Entschlüsselung von Passwörtern zu verhindern und somit ein hinreichender Schutz der Systeme gewährleistet.

Von dieser Empfehlung ist das BSI nun abgerückt. Der Wechsel eines Passworts sei nur dann zwingend erforderlich, „wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht“ (IT-Grundschutz-Kompendium: ORP.4.A8 Regelung des Passwortgebrauchs). Die weiteren Vorgaben beschränken sich darauf, dass eine Mehrfachverwendung von Passwörtern zu unterbleiben hat, genutzte Passwörter geheimzuhalten (insbesondere ist eine schriftliche Fixierung nur für Notfälle erlaubt und dann eine sichere Aufbewahrung erforderlich) und nur hinreichend sichere, ausschließlich dem Nutzer bekannte Passwörter zu nutzen sind.

Unternehmensinterne Regelungen zum IT-Grundschutz können nun in Zukunft auch dann entsprechend dieser Maßgaben angepasst werden, wenn sie nach den Bestimmungen des BSI zertifiziert werden sollen. Aber auch ohne ein solches Zertifizierungsvorhaben empfiehlt sich die Änderung entsprechender Regelungen und die Sensibilisierung der Beschäftigten: Datenschützer weisen seit Jahren darauf hin, dass das regelmäßige Auswechseln von Passwörtern mehr Risiken als Nutzen birgt.

1 2 3 4