Schlagwort: BSI

Bundesministerium des Inneren stellt Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen vor

17. Februar 2016

Nachdem im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (BSIG) geändert wurde, stellt das Bundesministerium des Inneren (BMI) den Entwurf einer Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) vor.

 
Im Rahmen der Änderungen des BSIG im vergangenen Sommer wurden unter anderem die §§ 8a ff. BSIG eingeführt. Diese Vorschriften verpflichten die Betreiber von Kritischen Infrastrukturen besondere Sicherheitsmaßnahmen zu treffen, um Mindestsicherheitsstandards für informationstechnische Systeme zu implementieren. Wer bisher eine kritische Infrastruktur betrieb, war nicht eindeutig geregelt. Das BMI hat zwischenzeitlich von seiner Verordnungsermächtigung Gebrauch gemacht und in einem ersten Korb der Verordnung teilweise bestimmt, welche Anlagen unter den Begriff „Kritische Infrastruktur“ zu subsumieren sind. Auf dieser Grundlage lässt sich ein erster Adressatenkreis des BSIG bestimmen.

 
In diesem ersten Korb werden Schwellenwerte für Anlagen und Dienstleistungen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung festgelegt. Hierbei ging der Verordnungsgeber in drei Schritten vor, wobei jeweils mit Vertretern der verschiedenen Branchen zusammengearbeitet wurde. In einem ersten Schritt wurde abgestimmt, welche Dienstleistungen eines Sektors als kritisch anzusehen sind. In einem zweiten Schritt wurden die Anlagenkategorien identifiziert, die zur Erbringung dieser Dienstleistung erforderlich sind. Schließlich werden in der BSI-KritisV Schwellenwerte für solche Anlagen und Teile von Anlagen festgelegt, die als hinreichend bedeutsame Anlagen zur Versorgung der Allgemeinheit als Kritische Infrastrukturen gelten.

 
Nach Schätzungen des BMI erfüllen circa 680 Anlagen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation und Ernährung die Schwellenwerte der BSI-KritisV. Im Frühjahr 2016 soll die BSI-KritisV in Kraft treten. Ab dem Zeitpunkt des Inkrafttretens haben die betroffenen Betreiber Kritischer Infrastrukturen 2 Jahre Zeit, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

 
Für die übrigen Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen sollen bis Ende 2016 Bestimmungen zur Definition Kritischer Infrastrukturen festgelegt werden.

Aktionswoche zur Prävention von Cyberkriminalität

9. November 2015

Mit einer speziellen Aufklärungswoche vom 09.11. bis zum 13.11. will das Bundeskriminalamt (BKA) zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die durch Cyberkriminalität drohenden Gefahren aufmerksam machen. Unter anderem sollen Fragen wie beispielsweise Wie kann man sich im Internet gegen den Diebstahl digitaler Identitäten schützen? Was tun gegen betrügerische Phishing-Mails? Wie gehe ich verantwortlich mit meinen Daten um? mit Hilfe allgemeiner Informationen, statistischem Material sowie erklärenden Podcasts zu den einzelnen Gefahrenquellen beantwortet werden.

Sowohl BSI als auch BKA geben in diesem Rahmen hilfreiche Vorsorgetipps, wie beispielsweise Checklisten zur Absicherung des PCs gegen Angriffe durch das Internet oder für den sicheren Umgang mit mobilen Geräten.

Deutschland beteiligt sich durch diese Aktionswoche an der Präventionskampagne „Operation Blackfin“ der britischen National Crime Agency (NCA), wie auch Europol und achte weitere Staaten.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

Elektronische Gesundheitskarte: Austausch aller Lesegeräte erwartet

9. Oktober 2015

Medienberichten zufolge rechnet die Industrie damit, ab Mitte 2016 sämtliche Kartenlesegeräte für die elektronische Gesundheitskarte austauschen zu müssen, wodurch Kosten von fast 100 Millionen Euro entstehen würden. Hintergrund seien Bedenken des Bundesamtes für Sicherheit in der Informationstechnik, wonach die bisherigen Kartenlesegeräte, mit denen Ärzte die Patientendaten ein- und auslesen können, nicht hinreichend vor dem Zugriff Unbefugter geschützt sind. Problematisch seien insbesondere die Gehäuse der knapp 400 Euro teuren Kartenlesegeräte. Die bislang verwendeten Plastikhüllen seien nicht in der Lage, Daten abzuschirmen und Hacker davon abzuhalten, in die Krankenakten von Patienten Einsicht zu nehmen. Die Lesegeräte waren erst 2011 mit der Auslieferung der bislang gültigen Gesundheitskarte eingeführt worden.

 

Praxistipp: Sichere Passwörter generieren und merken

14. September 2015

Die Anforderungen an ein sicheres Passwort sind hoch. Nach den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik ist ein Passwort „sicher“, wenn es

  • mindestens zwölf Zeichen lang ist,
  • aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) besteht,
  • nicht den Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten etc. beinhaltet,
  • nicht in Wörterbüchern vorkommt und
  • nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern besteht (z.B. „asdfgh“ oder „1234abcd“).

Damit das Passwort nicht in falsche Hände gerät, ist es zu vermeiden, dieses unverschlüsselt auf dem PC abzulegen oder auf dem berühmt berüchtigtem Notizzettel an den Bildschirm zu kleben. Wer sich Passwörter notieren will, sollte diese stattdessen auf Papier unter Verschluss halten bzw. auf dem Rechner in einer verschlüsselten Datei ablegen. Der Nachteil ist dann, dass man u. U. nicht stets auf das dokumentierte Passwort Zugriff hat. Der beste Weg – aber zugleich auch eine mehr oder minder große Herausforderung – ist daher, dass man sich das Passwort merkt.

Um sich ein Passwort gut zu merken, gibt es viele hilfreiche Tricks. Bewährt hat sich insbesondere die Methode, dass man sich einen mehr oder minder sinnvollen Satz ausdenkt und von jedem Wort nur den ersten Buchstaben (alternativ den zweiten, dritten etc.) inklusive Groß- und Kleinschreibung benutzt. Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. Beispiel: „Morgens bleibe ich nach dem Aufwachen noch mindestens vier Minuten im Bett und döse“. Nur die ersten Buchstaben: „MbindAnmvMiBud“. Das „i“ wird durch eine „1“ ersetzt, die Zahl wird nun nicht mehr ausgeschieben und das Sonderzeichen „&“ ersetzt das „und“: „Mb1ndAnm4M1B&d“.

Auch gibt es diverse Lernvideos, die helfen, Passwörter zu merken und zugleich aufführen, wie schnell triviale Passwörter, z. B. mittels eines Wörterbuchangriffs, geknackt werden können.

Werden die Passwörter nach den o. g. Kriterien generiert und außerdem – wie allgemein empfohlen – in regelmäßigen Zeitabständen geändert und stets nur für einen Zugang genutzt, macht man es Hackern deutlich schwerer und schützt seine vertraulichen Daten, z.B. seine E-Mails oder Nachrichten. Man vermeidet aber insbesondere auch, dass sich Unbefugte in eigene Accounts einloggen und die eigene Identität annehmen, z.B. um kostspielige Online-Käufe zu tätigen oder aber „nur“ unter dem eigenen Namen E-Mails versenden.

 

Hacker-Angriff auch in Deutschland denkbar

13. April 2015

Nach der Cyberattacke auf den französichen Fernsehsender TV5Monde am vergangenen Donnerstag warnen Datensicherheitsexperten in Deutschland vor Nachahmungstaten. Der momentane Schutz vor deratigen Angriffen reicht bei weitem nicht aus. So äußerte sich der Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Andreas Könen, in der ARD dahingehend, dass es Glück sei, dass in den deutschen Infrastrukturen bisher nicht mehr passiert ist. Der Sprecher des BSI, Mathias Gärnter, ist der Überzeugung, dass man mit dem immer bedeutsamer werdenden Einsatz  internetgestützter Technik auch im Bereich des Fernsehens eine immer größere Angriffsfläche für Attacken aus dem Bereich der Cyber-Kriminalität liefere.

Die Deutsche Welle, in ihrem Medienangebot nach vergleichbar mit dem französischen TV5Monde, gab auf Anfrage von Handelsblatt-Online an, zwar regelmäßig ihre Sicherheit zu überprüfen, gegen solch einen professionellen Hackerangriff wie nun in Frankreich geschehen jedoch nicht speziell abgesichert zu sein.

Schutzbedüftig sind neben Medienanstalten jedoch vor allem besonders kritische Infrastrukturenin wie Elektrizität, Finanzwesen, Mobilität, hier sollten besonders hohe Standards auf dem Gebiet der IT-Sicherheit gelten. So sieht es auch das von der Bundesregierung vorgelegte IT-Sicherheitsgesetz vor, dass am 20. März in erster Lesung beraten wurde. Dieses soll dann beispielsweise für Energieunternehmen eine Pflicht zur Meldung vorsehen, wenn und sobald sie Opfer einer Cyberattacke werden – derzeit gibt es eine solche Verpflichtung noch nicht.

BSI: Sichere Nutzung von Cloud-Diensten

13. Oktober 2014

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Veröffentlichung einer Publikation zur Nutzung von Cloud-Diensten bekannt gegeben. Die Publikation „Sichere Nutzung von Cloud-Diensten“ stelle eine Schritt-für-Schritt-Anleitung dar, die strategische Überlegungen über den Einsatz der Cloud und die Datenmigration ebenso behandelt wie die Auswahl des passenden Anbieters. Zudem würden Vertragsdetails behandelt, die mit Blick auf eine sichere Nutzung notwendig sind. Die Publikation richte sich an IT-Entscheider und das Management von Behörden und Unternehmen, die Cloud-Dienste nutzen möchten und dabei Antworten auf sicherheitsrelevante Fragen benötigen.

 

Kategorien: Allgemein
Schlagwörter: ,

BSI: Sicher online – auch im Urlaub

20. August 2014

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat – vor dem Hintergrund, dass mobile, internetfähige Geräte besonders im Urlaub zu unverzichtbaren Begleitern geworden sind – Sicherheitstipps zum Umgang mit Smartphons und Tablets im Urlaub veröffentlicht und warnt vor einem zu sorglosen Umgang. 

Insbesondere bei der Nutzung mobiler Netzwerke sei ratsam, die WLAN-Funktion der internetfähigen Geräte nur bei Gebrauch zu aktivieren und die Firewall-Einstellungen auf ein hohes Sicherheitsniveau anzupassen. Sollte der Hotspot über eine schwache Verschlüsselung (z.B. ein kurzes Passwort) oder gar keine Sicherheitseinstellungen verfügen, sollte er erst gar nicht genutzt werden. Online-Banking oder -Einkäufe sollten bestenfalls gänzlich vermieden werden. Sofern ein Kontozugriff ausnahmsweise erfolgt, sollten die Internet-Adressen immer manuell eingegeben und auf eine verschlüsselte Datenübertragung geachtet werden.

Weitere Details und Tipps zur IT-Sicherheit bei Reisen hält das BSI auf seiner Website vor.

Kategorien: Allgemein
Schlagwörter: , , ,

BSI: Warnung vor Sicherheitslücke in Apple iTunes

21. Mai 2014

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Sicherheitslücke in iTunes, durch die lokale Angreifer durch eine Rechteveränderung beim Benutzer-Ordner sämtliche anderen Benutzerkonten auf dem jeweiligen Mac einsehen und modifizieren können. Das Sicherheitsrisiko bestehe bei iTunes bis zu Version 11.2 in Verbindung mit Mac OS X ab 10.6.8. Den Anwendern wird ein Update auf die aktuellste iTunes Version 11.2.1 empfohlen.

Kategorien: Allgemein
Schlagwörter: , , ,

Cyber-Sicherheits-Tag 2014

19. Mai 2014

Am 7. Mai 2014 hat in Dortmund der 2. IT-Sicherheits-Tag 2014 der Allianz für Cyber-Sicherheit stattgefunden, welcher von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit der ACD Security GmbH und der HOB GmbH ausgerichtet wurde. Rund 120 Besucher konnten sich im Rahmen der Veranstaltung unter dem Motto „Schwachstellen gibt es überall – absichern müssen Sie!“ über den Umgang mit Schwachstellen in Software und Systemen und aktuelle Entwicklungen in diesem Bereich informieren. IT-Sicherheitsexperten und IT-Anwender tauschten sich in zahlreichen Vorträgen und offenen Diskussionsrunden über aktuelle Entwicklungen aus, wobei die Folien der Vorträge auf der Webseite zur Veranstaltung zum Download bereitstehen. Der nächste Cyber-Sicherheits-Tag rund um das Thema „Awareness“ findet am 22.09.2014 in Berlin statt.

Kategorien: Allgemein
Schlagwörter: ,

BSI: Warnung vor Phishing-Mails

22. April 2014

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Online-Kriminellen, die derzeit Phishing-Mails, deren Absender angeblich das BSI ist, versenden. In diesen Phishing-Mails mit gefälschter Absenderangabe sollen dem Empfängern Rechtsverstöße vorgeworfen werden. Um „anwaltliche Schritte“ zu vermeiden, soll der Empfänger ein Formular herunterladen und ausfüllen. Das BSI weist deutlichst darauf hin, dass derartige oder ähnlich lautende E-Mails nicht vom BSI stammen. Empfängern dieser E-Mails werde empfohlen, den Anweisungen im Text nicht zu folgen, der E-Mail nicht zu antworten und diese zu löschen. Empfänger, die das erwähnte Formular bereits heruntergeladen haben, sollten nach Empfehlung des BSI ihren Computer mit einem aktuellen Virenscanner überprüfen.

Kategorien: Allgemein
Schlagwörter: ,