Schlagwort: BSI

BSI: Cyber-Sicherheit für Kinder und Jugendliche

2. Februar 2023

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte einen kurzen Videoclip, in dem es die Sicherheit von Kindern und Jugendlichen im Netz thematisierte. Konkret beantworteten Michaela Hansert (BSI-Expertin) und Martin Bregenzer (EU-Initatiove klicksafe) Fragen zum Umgang mit Apps und zur Prävention von Cybermobbing.

Hilfreiche Tipps

In dem Kurzclip betonten die Experten, dass Kinder mittlerweile schon früh Kontakt zu Online-Anwendungen und Apps haben. Häufig verfügten Kindern schon von einem jungen Alter an über ein Handy oder anderes mobiles Gerät. Daher sollten Erziehungsberechtigte Sorge dafür tragen, die Geräte der Kinder und vor allem Apps sicher einzurichten.

Beispielsweise ließen sich In-App-Käufe durch die Einrichtung eines Passworts verhindern. Soweit der Pin dem Kind unbekannt bliebe, könne es für die Freischaltung einer Funktion in der App kein Geld ausgeben. Zusätzlich sei daran zu denken, dass für Streaming-Dienste und andere Anwendungen die Möglichkeit bestehe, Kinderprofile anzulegen. Über diese ließe sich beispielsweise die Bildschirmzeit kontrollieren und beschränken. Weitere Hinweise zu technischen Voreinstellungen und Beschränkungen von Geräten können Interessierte über Medien Kindersicher erfahren.

Anschließend sprachen die Experten über die Probleme und Fragestellungen, die mit dem Thema Cybermobbing einhergehen. Dazu bekräftigten sie die Bedeutung von präventiven Maßnahmen. Die Accounts der Kinder in sozialen Medien sollten so eingestellt sein, dass Mobbing erschwert werde. Insbesondere der Zugriff auf Bilder der Kinder und Jugendlichen solle eingeschränkt werden. Andernfalls sei es möglich, dass Dritte die Bilder zweckentfremden und unberechtigterweise verwenden. Außerdem sollten Erziehungsberechtigte sicherstellen, dass ihre Kinder sichere Passwörter gebrauchen. Ansonsten sei es möglich, dass für Dritte das Passwort zu leicht zu erraten sei. In der Folge könnten sich beispielsweise Klassenkameraden leicht in Accounts einhacken.

Darüber hinaus sei eine gute Kommunikation zwischen Kindern und den Erziehungsberechtigten für einen sicheren Umgang mit mobilen Geräten förderlich. Konkret warnten die Experten davor, mobile Geräte dem Kind zu Strafzwecken zu entziehen. Im Falle vom Cybermobbing sei es insoweit möglich, dass sich Kinder ihren Eltern nicht mehr anvertrauten. Grund sei die Befürchtung, das Handy nicht mehr nutzen zu dürfen. Andererseits sollten Erziehungsberechtigte ihre Kinder auch über die Rechte anderer Personen im Internet aufklären. Insbesondere darüber, dass keine Bilder fremder Personen im Internet veröffentlicht werden dürfen.

BSI stellt aktuellen Lagebericht vor

26. Oktober 2022

Gestern veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Lagebericht zur IT-Sicherheit in Deutschland für den Zeitraum Juni 2021 bis Mai 2022. Daraus geht hervor, dass die Bedrohung im Cyberraum so hoch wie nie sei. Als Grund für diese hohe Bedrohung machte das BSI zwei Faktoren aus. Einerseits stellten Cybercrime, insbesondere durch „Ransomware“ eine Gefahr dar. Andererseits sei die Cybersicherheit durch Hacker- und Sabotage-Angriffe im Zusammenhang mit dem Ukrainekrieg bedroht.

Bedrohung durch „Ransomware“

In dem Bericht befasste sich das BSI und die zuständige Ministerin des Innern und für Heimat, Nancy Faeser zunächst mit der sog. „Ransomware“. Insbesondere Unternehmen seien Opfer dieser Art von Hackerangriff.

„Ransomware“ ist eine Schadsoftware, mit der Hacker lokale oder vernetzte Daten oder Systeme verschlüsseln. Diese Verschlüsselung verhindere für den Nutzer den Zugang zu seinen Daten. Ziel des Angriffs können entweder einzelne Dateien, wie Bild- oder Videodateien oder umfangreiche Dateisätze, wie ganze Datenbanken oder Serversysteme sein. Um die Verschlüsselung aufzuheben, bedarf es eines bestimmten Tools. Die Hacker drohen den betroffenen Personen damit, das Entschlüsselungstool zu vernichten. Außerdem verlangen sie Lösegeld, verbunden mit der Aussicht das Entschlüsselungstool auszuhändigen. Darüber hinaus könne es vorkommen, dass die Hacker zusätzlich damit drohen, erlangte Dateien zu veröffentlich. Das BSI stellte fest, dass die Kombination aus Lösegeld- und Schweigegelderpressung der Regelfall sei.

Um sich vor „Ramsomware“-Angriffe zu schützen, sei es erforderlich, dass Unternehmen die Nutzung ihrer Systeme durch unbefugte Personen erschweren. Dafür können sie eine Mehrfaktor-Authentisierung, ein Virtuelles Privates Netz (VPN) und strenge Passwortvorgaben einsetzen.

Cyberkriminalität im Zusammenhang mit dem Ukrainekrieg

Das BSI identifizierte als weitere große Bedrohung für die Cybersicherheit in Deutschland vielfältige Aktivitäten im Zusammenhang mit dem Ukrainekrieg. Dabei sei es zu einer Vielzahl an verschiedenen Hackerangriffen gekommen.

Zu Beginn des Krieges setzten Hacker gegen die Ukraine sog. „Wiper“ ein. Diese Softwareprogramme sorgen dafür, dass Daten gelöscht werden. So haben Hacker, beispielsweise die Daten von ukrainischen Banken gelöscht. Auch seien Soziale-Medien das Ziel von Hackerangriffen. In Deutschland haben Hacker pro-russische Kommentare verfasst. Besonders aufgefallen sei die pro-russische Hacker-Gruppe „Killnet“. Sie habe sog. „Distributed Denial of Servies-Angriffe” (DDoS-Angriffe) auf Ziele in Ländern der EU durchgeführt. Unter diesen „DDos”-Angriffen seien „Überlastungsangriffe auf Internetdienste“ zu verstehen.

Zu Hackerangriffen im Zusammenhang mit dem Ukrainekrieg zählte das BSI auch Angriffe des Hacker-Kollektivs „Anonymous“. Es habe Unternehmen außerhalb Russlands angegriffen, die geschäftliche Beziehungen zu Russland pflegten.

Fazit

Laut BSI sei „eine Erhöhung der Resilienz gegenüber Cyber-Angriffen (…)“ die Hauptaufgabe aller betroffenen Stellen aus Staat, Wirtschaft und Gesellschaft.

Für die Vorstellung des Lageberichts war ursprünglich ein früherer Termin vorgesehen. Dieser wurde aber wegen der Freistellung des BSI-Präsidenten Arne Schönbohm verschoben (wir berichteten).

Innenministerin beruft BSI-Chef Schönbohm ab

21. Oktober 2022

Die Bundesinnenministerin Nancy Faser hat den Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm abberufen. Am 18. Oktober 2022 stellte Faser den Chef des BSI zunächst frei. Die Freistellung erfolgte, nachdem verschiedene Vorwürfe gegen den Präsidenten des BSI aufkamen. Demnach soll Schönbohm einem Verein nahestehen, der (auch nach eigenen Angaben) Kontakte zum russischen Geheimdienst unterhalten soll.

Fragwürdige Kontakte

Ausgelöst wurden die Vorwürfe durch eine am 07. Oktober 2022 ausgestrahlte Folge des ZDF-Magazins „Royale“. In dieser präsentierte der TV-Satiriker Jan Böhmermann die Ergebnisse einer Recherche-Zusammenarbeit der ZDF-Produktion und des Recherchenetzwerks „Policy Network Analytics“.

Diesen Recherchen zufolge soll Schönbohm, bevor er Präsident des BSI wurde, 2012 den „Cyber-Sicherheitsrat e.V.“ (mit-) gegründet haben. Der private Verein berät nach eigenen Angaben Unternehmen und Politik im Bereich Cyber-Sicherheit. Der Name Cyber-Sicherheitsrat Deutschland ist fast identisch mit dem Cyber-Sicherheitsrat des Bundesinnenministerium. In einem Schreiben des für Cybersicherheit zuständigen Ministerialdirigenten des Innenministeriums vom 27. Mai 2015 an die Chefs von 5 Sicherheitsbehörden des Bundes wurde daran erinnert, eine Abgrenzung zu dem Verein sicherzustellen. Jegliche Unterstützung, beispielsweise durch die Unterstützung von Veranstaltungen, habe zu unterbleiben. Mitglied dieses Vereins sei u.a. die in Berlin ansässige „Protelion GmbH“. Protelion selbst stelle Software zum Schutz vor Cyberangriffen her. Die Protelion GmbH sei allerdings erst seit August 2022 unter ihrem jetzigen Firmennamen bekannt. Zuvor trug das Unternehmen den Namen „Infotecs“. Die Infotecs GmbH sei eine Tochtergesellschaft des russischen Cybersicherheits-Unternehmens „O.A.O Infotecs“. Ein ehemaliger Mitarbeiter des sowjetischen Nachrichtendienstes KGB habe den russischen Mutterkonzern gegründet. Darüber hinaus habe Infotecs bereits mit russischen Regierungsstellen zusammengearbeitet. Folglich sollen russische Stellen die Sicherheitssysteme von Infotecs für ihre Zwecke verwendet haben. Diese biete die Firma ebenso auf dem deutschen Markt als Mittel zur Abwehr von Cyberangriffen an.  

Außerdem berichtete das ZDF-Magazin Royal über weitere vermeintliche Verbindungen des Cyber-Sicherheitsrates e.V.“ zu Russland. Gegenstand dieser Verbindungen sei ein jetziges Präsidiums-Mitglied des Cyber-Sicherheitsrates e.V., Hans-Wilhelm Dünn. Diesem wurden in der Vergangenheit fragwürdige Kontakte zu russischen Stellen vorgeworfen.

Aufgrund dieser Verbindungen habe Schönbohm es den Mitarbeitern des BSI untersagt, bei Veranstaltungen des Cyber-Sicherheitsrates e.V. aufzutreten. Er selbst habe allerdings bei dem zehn-jährigen Jubiläum des Vereins eine Rede gehalten. Dem „Spiegel“ zufolge, segnete das Bundesinnenministerium dieses Vorgehen ab.

Fazit

Im Ergebnis steht im Zentrum der Kritik an Schönbohm seine vermeintlich fehlende Distanz zu Russland, obwohl die Bundesrepublik bereits mehrfach das Ziel russischer Cyberangriffe war. Das Innenministerium sagte dazu, dass Schönbohm „das notwendige Vertrauen der Öffentlichkeit in die Neutralität und Unparteilichkeit der Amtsführung (…) nachhaltig beschädigt“ habe.

Derweil bat Schönbohm darum, ein Disziplinarverfahren einzuleiten. Das Innenministerium strenge ein solches bislang allerdings nicht an.

Wir möchten an dieser Stelle darauf hinweisen, dass die Nutzung russischer Systeme aktuell mit einem erheblichen Risiko verbunden ist.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Phishing mit Energiepauschale

9. September 2022

Das BSI warnt momentan auf seinem Twitter-Account vor Phishing-Mails, die dem Empfänger die Auszahlung der Energiepauschale versprechen. Diese Mails sollen Betreffe wie: “Jetzt Energiepauschale sichern!/ Wir überweisen die Energiepauschale /Bereit für Ihren Energiebonus?” enthalten. In dem vom BSI veröffentlichten Beispiel sieht die Phishing-Mail aus, als wäre ihr Absender die Sparkasse. In dem Schreiben wird über die Auszahlung der Energiepauschale informiert. Dort steht u.a. folgendes geschrieben: “Um ihre Identät sowie den Anspruch auf eine Auszahlung feststellen zu können, benötigen wir eine Bestätigung Ihrer bereits angegebenen Daten […]. Gebe Sie noch heute Ihre aktuellen Daten auf unser Homepage an und erhalten Sie innerhalb der nächsten vier Wochen ihre Auszahlung der Energiepauschale[…]”.

Das BSI weist ausdrücklich darauf hin, dass unter keinen Umständen hier Daten angegeben werden sollen. Phishing-Mails sind E-Mails die vorgeben, von einem vertrauenswürdigen Absender zu stammen. Tatsächlich stecken hinter Phishing-E-Mails Kriminelle, die die Empfänger solcher E-Mails zur Weitergabe ihrer Daten, meist ihrer Zahlungsdaten verleiten wollen.

Um die immer professioneller werdenden Phishing-Mails von echten unterscheiden zu können, verweist das BSI auf seine Website. Dort wird erklärt, woran man Phishing-Mails gut erkennen kann. Es lohnt sich häufig auch, die E-Mails besonders sorgfältig zu lesen. So können u.a. Rechtschreibfehler wie in dieser Mail (“Identät”) eine Phishing-Mail entlarven.

Krankenkassen müssen Video-Ident-Verfahren abschalten

12. August 2022

Den deutschen Krankenkassen ist die Identifikation ihrer Versicherten per Video-Ident-Verfahren durch die zuständige Gematik GmbH untersagt worden. Bei der Gesellschaft handelt es sich um einen Digitalisierungsdienstleister der deutschen Gesundheitsbranche. Nachdem der Chaos Computer Club (CCC) Sicherheitsmängel im Video-Ident-Verfahren festgestellt hatte, werden diese nun nicht mehr von deutschen Krankenkassen eingesetzt.

Angriff mit geringem Aufwand durchführbar

Mithilfe des Video-Ident-Verfahrens können sich Nutzer:innen ausweisen, indem sie ihre Ausweispapiere mit ihrer Smartphone- oder Computer-Kamera erfassen und zeitgleich ihr Gesicht zeigen. Bei einem Anruf in einem Video-Ident-Callcenter müssen die Anrufer:innen dann den Ausweis in der Hand halten, ihn bewegen und auf Anordnung auch bestimmte Stellen des Ausweises mit dem Finger abdecken. Anschließend werden die Daten von einer Software erfasst. Die Angaben werden dann durch die Support-Mitarbeiter:innen sowie von Algorithmen überprüft, sodass End-Kundinnen und Kunden ihre Identität beweisen können. Nach der Freigabe können sie sich dann beispielsweise auf einer Onlineplattform einloggen.

Der CCC stellte nun fest, dass genau dieses Vorgehen problematisch sei. Mit gefälschten Ausweispapieren und etwas Videobearbeitung ließen sich so Sicherheitsmerkmale fälschen. “Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen”, erläuterte der CCC. So könne man beispielsweise das biometrische Passbild eines Dokuments im Videobild in Echtzeit durch ein anderes digital ersetzen.  Der CCC konnte das Ident-Verfahren so überlisten und eine elektronische Patientenakte (ePA) für eine fremde Person anlegen. Die betroffene Person war eingeweiht und einverstanden. Anschließen konnte auf Diagnosen, Rezepte und Bescheinigungen zugegriffen werden.

Insgesamt konnten die Verfahren von sechs nationalen und internationalen Anbietern überlistet werden. Wie genau der CCC dabei vorgegangen ist, ist ausführlich dokumentiert und lässt sich auf der Webseite des CCC nachlesen.

Risiko den Behörden bekannt

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte das Verfahren schon vor Jahren als heikel eingestuft. Durch die Corona-Pandemie wurde das Verfahren zuletzt immer häufiger genutzt. Laut einem Sprecher des BSI nehme man die Situation auch über die Anwendung bei den Krankenkassen hinaus sehr ernst. Das Verfahren werde “sehr sorgfältig” geprüft. Diese Prüfung beziehe sich auch auf die Fortsetzung der Nutzung dieser Technologie.

In der Pressemitteilung des CCC warnt Martin Tschirsich, ein Sicherheitsforscher des CCC, vor der Nutzung. “Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Videoident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten”.

Welche Video-Ident-Anbieter dabei überlistet wurden, hat der CCC nicht veröffentlich. Stattdessen forderte man in einer Pressemitteilung, die Verfahren generell nicht mehr dort einzusetzen, wo ein hohes Schadenspotential bestehe. Darunter fiele beispielsweise der Zugriff auf intimste Gesundheitsdaten, so der CCC.

Alternative seit 10 Jahren vorhanden

Es sei besonders bitter, dass sichere ID-Methoden wie die elektronische Ausweisfunktion des Personalausweises nicht genutzt werden, erklärt der CCC. Diese ließe sich schon seit über zehn Jahren zur digitalen Identifizierung verwenden.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor ‘Spoofing’

3. Juni 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit einer Meldung vom 02.06.2022 vor ‘Spoofing’-Angriffen, die mit der Rufnummer des BSI erfolgen sollen. Verwendet werden dabei zum Beispiel die Nummern +49 228 9582 44 oder 0228 9582. Das BSI warnt eindringlich davor, Anrufenden persönliche Daten mitzuteilen oder Aufforderungen nachzukommen.

Das ‘Spoofing’ ist, ähnlich wie das ‘Smishing’ ein bekanntes Betrugskonzept. Der Begriff (auf deutsch übersetzt etwa: Manipulation, Verschleierung, Vortäuschung) umfasst Handlungen, bei denen sich Kriminelle am Telefon oder per E-Mail als jemand anders ausgeben, um so direkt oder indirekt an Daten der Angerufenen zu gelangen. Meist treten die Anrufer dabei als Vertreter oder Mitarbeiter einer Behörde, eines Unternehmens oder anderer seriöser Institutionen (z.B. Banken oder Vereine) auf. Die Angerufenen werden dann entweder im Gespräch selbst gebeten, gewisse Daten herauszugeben oder werden auf eine entsprechende Website verwiesen. Bei Mails sind häufig Trojaner und Viren im Anhang in Dokumenten versteckt. Meist sind die Angreifer auf die Herausgabe von Kontodaten oder Bargeld aus.

Perfide an der Betrugsmasche ist, dass bei solchen Anrufen meist eine falsche Rufnummer übermittelt und angezeigt wird (sog. Call-ID-Spoofing). So kann dann z.B. die Nummer einer Behörde den Angerufenen angezeigt werden, obwohl diese mit dem Anruf nichts zu tun hat. Dadurch soll zum einen der Eindruck von Seriösität und Vertrauen erweckt werden, zum anderen soll so die Identität der Anrufer verschleiert werden. Vorgekommen ist in der Vergangenheit z.B. schon, dass die 110 als Anrufer angezeigt wurde, obwohl dies eine reine Einwahlnummer ist und die Polizei von dieser Nummer aus niemanden anrufen kann. Bei Mails wird der Absender manipuliert, sodass es dem Empfänger scheint, als habe eine offizielle Stelle oder ein Bekannter ihn kontaktiert. Weitere Informationen zur Manipulation von Rufnummern sind auf der Website der Bundesnetzagentur zu finden.

Verhaltenstipps: Sollten Sie einen Anruf oder eine Mail bekommen, bei denen Sie sich nicht sicher sind, ob ein ‘Spoofing’-Angriff vorliegt, sollten sie zunächst die Kommunikation einstellen, d.h. auflegen oder nicht mehr antworten, den Kontakt ggf. blockieren. Unbekannte Links oder Anhänge sollten sie niemals öffnen. Danach sollten Sie die Behörde, das Unternehmen oder die Institution, von der der Anruf/ die Mail angeblich ausging über einen offiziellen Weg kontaktieren und sich nach der Authentizität der Anfrage erkundigen. Geben Sie niemals persönliche Daten raus, bevor Sie bestätigt haben, dass es sich nicht um eine kriminelle Anfrage handelt!
Falls Sie in diesem konkreten Fall einen Anruf des angeblichen BSI bereits engegengenommen haben, sollten Sie das Service-Center des BSI mit der Rufnummer 0800 274 1000 kontaktieren.

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

8. April 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Verbraucherinnen und Verbraucher, Unternehmen und Behörden vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Demnach könne die Softwarefirma Cyber-Angriffe ausführen.

Nach Angaben des BSI könnte Kaspersky selbst offensive Operationen durchführen, oder aber auch gezwungen werden, Zielsysteme anzugreifen. Es sei auch nicht auszuschließen, dass ein russisches Unternehmen selbst ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werde.

“Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden”, erklärte das BSI.

Des Weiteren seien Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen in besonderem Maße gefährdet. Betroffene Unternehmen und andere Organisationen sollten nach den Empfehlungen des BSI den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Es wird empfohlen, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.

Weitere Informationen für Verbraucherinnen und Verbraucher, Unternehmen und Behörden veröffentlichte das BSI in einer eigens dafür angelegten Rubrik (FAQ).

Kaspersky wies die Darstellung zunächst zurück und ging rechtlich gegen die Entscheidung vor. Nachdem das Verwaltungsgericht Köln Anfang April den Antrag zurückgewiesen hatte, reichte die Kaspersky Labs GmbH Beschwerde beim nordrhein-westfälischen Oberverwaltungsgericht (OVG) ein.

Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft ‘Warnstufe Rot’ für Software-Modul Log4j aus

14. Dezember 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rief am 11.12.2021 die ‘Warnstufe Rot’ für das Java-Software-Modul Log4j aus. Dort wurde eine Sicherheitslücke entdeckt, die den Namen “Log4Shell” trägt.

Das Software-Modul Log4j ist auf vielen Computern in der Java-Software zu finden. Es handelt sich um eine Protokollierungs-Bibliothek, sie protokolliert Ereignisse im Serverbetrieb. Dies dient beispielsweise einer Fehlersuche.

Die Sicherheitslücke hat zur Folge, dass es Angreifern möglich wird, ihren Softwarecode auf fremde Server zu spielen. Dies kann bereits durch das Eingeben spezieller Befehle in einen Chat mit dem Opfer möglich sein. Sodann können die Angreifer auf deren Servern Schadsoftware installieren und sogar das gesamte System übernehmen. So erhält der Angreifer Kontrolle über das System des Opfers und damit auch Zugriff auf die dort gespeicherten Daten. Besonders gefährdet sind laut BSI momentan Betreiber von Servern und Rechenzentren, aber auch Privatleute können dieses Software-Modul auf ihren Computern haben. Global könnten eventuell mehrere Milliarden Computer betroffen sein.

Welche Systeme und Produkte genau betroffen sind, ist zum jetzigen Zeitpunkt noch unklar. Momentan werden Massenscans durchgeführt, um angreifbare Systeme und bereits erfolgte Angriffe aufzuspüren. Aktuell wird davon ausgegangen, dass die Sicherheitslücke die Log4j- Versionen von 2.0 bis 2.14.1. betrifft.

Das BSI veröffentlicht auf seiner Homepage regelmäßig Updates zu der Entwicklung der Sicherheitslücke bei Log4j sowie Handlungsempfehlungen und Antworten auf die geläufigsten Fragen. Betroffene, die mithilfe dieser Sicherheitslücke angegriffen wurden, sind angehalten sich beim BSI zu melden. Teilweise bieten System-Hersteller erste Updates auf die aktuelle Version 2.15.0 von Log4j an, diese sollten umgehend installiert werden.

BSI Branchenlagebild: Datensicherheit in der Automobilindustrie

30. September 2021

Am 07.09.2021 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein Branchenlagebild Automotive. Eigenen Angaben zufolge arbeiten das BSI und der Verband der Automobilindustrie (VDA) in Fragen der Cyber-Sicherheit eng zusammen, um diesen für den Wirtschafts- und Automobilstandort Deutschland wichtigen Bereich der Digitalisierung sicher zu gestalten. Neben der Datensicherheit sollen auch die technischen und organisatorischen Maßnahmen stärker in den Fokus rücken. Darüber hinaus müsse auch der Datenschutz stärker berücksichtigt werden.

Ziel der Zusammenarbeit von BSI und VDA sei es, ein gemeinsames Verständnis zu den Teilgebieten der Cyber-Sicherheit in Fahrzeugen und der Informationssicherheit in der Automobilindustrie zu etablieren und daraus Handlungsbedarfe abzuleiten, zum Beispiel im Bereich der Standardisierung. In Zukunft könne man dann gemeinsam Handlungsempfehlungen für Politik und Automobilindustrie entwickeln.

Als beispielhafte Herausforderungen nennt das BSI ein Orts-Tracking von Verkehrsteilnehmern durch Dritte und das unerkannte Aufzeichnen von Personen über Kameras, die für das automatisierte Fahren erforderlich sei. Moderne Autos seien längst fahrende Hochleistungsrechner, die nicht mehr nur mit Kurbelwelle oder Elektromotor angetrieben, sondern in erheblichem Maße von digitaler Technik gesteuert würden.

„Wenn wir digitale Technologie nutzen wollen, um Autos autonom fahren zu lassen, die Verkehrssicherheit zu erhöhen, den Verkehrsfluss zu verbessern und den Energie- und Kraftstoffverbrauch zu reduzieren, dann darf diese Technologie nicht durch unbefugte Dritte manipulierbar sein”, so BSI-Präsident Arne Schönbohm.

Konkret sollen dabei Technologien wie die Fahrzeug-zu-Fahrzeug-Kommunikation und 5G das Autofahren sicherer und komfortabler machen. Durch die Digitalisierung ermögliche man auch neue Dienstleistungen und Funktionen im Fahrzeug. Damit mögliche Cyber-Angriffe keinen Einfluss auf die Fahrsicherheit hätten und geeignete Schutzmechanismen integriert werden könnten, müssten entsprechende Gefährdungen bereits frühzeitig im Entwicklungszyklus neuer Fahrzeugmodelle berücksichtigt werden.

Die Veröffentlichung der Publikation verdeutlicht, dass Hersteller, Zulieferer, Entwickler und andere Dienstleister der Automobilbranche durchaus in den Fokus des BSI gerückt sind.

Datenschutzmeldepflicht : Kritische Schwachstellen in Microsoft Exchange Servern

12. März 2021

Aufgrund von gezielten Angriffen durch Hacker auf verschiedene Versionen der Microsoft Exchange Server hat Microsoft wichtige Sicherheitsupdates zum Download bereitgestellt. Seit Ende Februar 2021 werden offene Flanken der Mail-Einrichtung Exchange Server angegriffen. Vier Lücken wurden dabei mit dem Bedrohungsgrad „äußerst kritisch“ eingestuft. Die Updates erfolgen außer der Reihe und die Angriffswelle dauert aktuell noch an.

Auch viele deutsche Unternehmen sind von den Attacken betroffen. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind zehntausende Exchange Server in Deutschland aktuell über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das BSI hat bereits begonnen, potentiell Betroffene zu informieren und empfiehlt allen Betreibern der Exchange Server, sofort die von Microsoft bereitgestellten Patches einzuspielen.

Betroffene Schwachstellen

Die Schwachstellen betreffen die Exchange Server der folgenden Versionen:

  • Exchange Server 2010 (RU 31 für Service Pack 3)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7)

Die betroffenen Sicherheitslücken werden als Teil einer Angriffskette ausgenutzt. Der anfängliche Angriff setzt die Fähigkeit voraus, eine nicht vertrauenswürdige Verbindung zum Exchange-Server herzustellen, weitere Teilbereiche des Angriffs können dagegen auch ausgeführt werden, wenn der Angreifer bereits Zugang hat oder auf anderem Wege Zugang erhält. Das bedeutet, dass Abhilfemaßnahmen wie das Einschränken von nicht vertrauenswürdigen Verbindungen, oder das Einrichten eines VPNs nur vor dem ersten Teil des Angriffs schützt. Das Patch ist somit die einzige Möglichkeit, den Angriff vollständig abzuschwächen.

Es sei denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren könne, so das BSI.  Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Aufgrund der öffentlichen Verfügbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivitäten sieht das BSI weiterhin ein sehr hohes Angriffsrisiko.

Die Sicherheitspatches sind über ein Windows Update verfügbar. Durch das Update werden die insgesamt 89 Sicherheitslücken geschlossen.

Chinesischer Bedrohungsakteur wohl verantwortlich

Nach den Informationen von Microsoft habe der in China ansässige und staatlich gelenkte Bedrohungsakteur “Hafnium” die Fehler ausgenutzt, um sich Zugang zu E-Mails und zusätzlicher Malware zu verschaffen, die einen langfristigen Zugriff auf die Umgebungen der Opfer ermöglichen soll. Hafnium greife Organisationen in zahlreichen Branchen an, darunter Forscher von Infektionskrankheiten, Rechtsanwaltskanzleien, Hochschuleinrichtungen, Verteidigungsunternehmen, politische Denkfabriken und NGOs (Nichtregierungsorganisationen).

Datenschutzrechtliche Maßnahmen

Wer als Unternehmen, Organisation oder Behörde von einem Angriff auf personenbezogene Daten betroffen ist, muss einen solchen Vorfall nach der Datenschutz-Grundverordnung (DS-GVO) unter bestimmten Umständen der zuständigen Datenschutzaufsichtsbehörde, bei Kritischer Infrastruktur zusätzlich auch dem Bundesamt für Sicherheit in der Informationstechnik melden.

Auch nach erfolgreichem Einspielen der Patches sollte bedacht werden, dass betroffene Organisationen in der Zwischenzeit angreifbar waren. Nach Angaben des Bayrischen Landesamt für Datenschutzaufsicht (BayLDA) müssen die jeweiligen Unternehmen prüfen (und ihren Incident-Respone-Plan anwenden, sofern ein solcher vorhanden ist), inwieweit Unregelmäßigkeiten im Betrieb festzustellen seien. Des Weiteren müsse die Kompromittierung des Systems durch das Ausnutzen der Sicherheitslücke, gemäß Art. 33 DS-GVO von einem betroffenen Unternehmen auch gemeldet werden, da es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist. Unter bestimmten Voraussetzungen müssten dann auch die betroffenen Personen informiert werden. Nur wenn in der vorliegenden Konstellation atypischer Weise kein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen sollte, müsse keine Meldung erfolgen, so das BayLDA. Darüber hinaus seien jedoch die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens umfassend zu dokumentieren.

Pages:  1 2 3 4
1 2 3 4