Schlagwort: Cybersicherheit

BSI Branchenlagebild: Datensicherheit in der Automobilindustrie

30. September 2021

Am 07.09.2021 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein Branchenlagebild Automotive. Eigenen Angaben zufolge arbeiten das BSI und der Verband der Automobilindustrie (VDA) in Fragen der Cyber-Sicherheit eng zusammen, um diesen für den Wirtschafts- und Automobilstandort Deutschland wichtigen Bereich der Digitalisierung sicher zu gestalten. Neben der Datensicherheit sollen auch die technischen und organisatorischen Maßnahmen stärker in den Fokus rücken. Darüber hinaus müsse auch der Datenschutz stärker berücksichtigt werden.

Ziel der Zusammenarbeit von BSI und VDA sei es, ein gemeinsames Verständnis zu den Teilgebieten der Cyber-Sicherheit in Fahrzeugen und der Informationssicherheit in der Automobilindustrie zu etablieren und daraus Handlungsbedarfe abzuleiten, zum Beispiel im Bereich der Standardisierung. In Zukunft könne man dann gemeinsam Handlungsempfehlungen für Politik und Automobilindustrie entwickeln.

Als beispielhafte Herausforderungen nennt das BSI ein Orts-Tracking von Verkehrsteilnehmern durch Dritte und das unerkannte Aufzeichnen von Personen über Kameras, die für das automatisierte Fahren erforderlich sei. Moderne Autos seien längst fahrende Hochleistungsrechner, die nicht mehr nur mit Kurbelwelle oder Elektromotor angetrieben, sondern in erheblichem Maße von digitaler Technik gesteuert würden.

„Wenn wir digitale Technologie nutzen wollen, um Autos autonom fahren zu lassen, die Verkehrssicherheit zu erhöhen, den Verkehrsfluss zu verbessern und den Energie- und Kraftstoffverbrauch zu reduzieren, dann darf diese Technologie nicht durch unbefugte Dritte manipulierbar sein“, so BSI-Präsident Arne Schönbohm.

Konkret sollen dabei Technologien wie die Fahrzeug-zu-Fahrzeug-Kommunikation und 5G das Autofahren sicherer und komfortabler machen. Durch die Digitalisierung ermögliche man auch neue Dienstleistungen und Funktionen im Fahrzeug. Damit mögliche Cyber-Angriffe keinen Einfluss auf die Fahrsicherheit hätten und geeignete Schutzmechanismen integriert werden könnten, müssten entsprechende Gefährdungen bereits frühzeitig im Entwicklungszyklus neuer Fahrzeugmodelle berücksichtigt werden.

Die Veröffentlichung der Publikation verdeutlicht, dass Hersteller, Zulieferer, Entwickler und andere Dienstleister der Automobilbranche durchaus in den Fokus des BSI gerückt sind.

Bundesregierung legt Entwurf für IT-Sicherheitsgesetz 2.0 vor

26. Februar 2021

Im Jahre 2015 wurde das erste Sicherheitsgesetz verabschiedet (wir berichteten). Dieses soll reformiert werden, wozu schon seit 1,5 Jahren ein Gesetzgebungsverfahren läuft. Der aktuelle Gesetzesentwurf ist vom 25. Januar 2021. Damit soll Bedrohungen für die Cybersicherheit, die sich für Staat, Wirtschaft und Gesellschaft gleichermaßen ergeben, entgegengewirkt werden.

Änderungen betreffen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Gesetz über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung sowie das Zehnte Buch Sozialgesetzbuch (SGB X).

Im Mittelunkt steht die Stärkung der Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es soll zukünftig als nationale Cybersicherheitszertifizierungsbehörde im Sinne des EU Cybersecurity Acts (Verordnung EU/2019/881) fungieren sowie als allgemeine Stelle für Sicherheit in der Informationstechnik.

Der Aufgabenbereich soll insbesondere folgende Punkte umfassen:

  • Das BSI soll Befugnisse bekommen, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen mit Hilfe von Port-Scans aufzudecken sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots).
  • Das BSI soll zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes zwölf Monate lang Protokolldaten speichern. Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten.
  • Betreiber kritischer Netzwerkkomponenten müssen vor Inbetriebnahme ein komplexes Zulassungsverfahren durchlaufen und vom BSI zertifiziert werden. Netzbetreiber müssen garantieren, dass technische Komponenten vertrauenswürdig sind. Das BSI kann von Betreibern kritischer Infrastrukturen oder Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen.
  • Das BSI führt Produkt- oder Leistungszertifizierungen für die Bundesverwaltung durch. Im Rahmen der Zertifizierung haben betroffene Ministerien ein Mitspracherecht.
  • Der Verbraucherschutz soll mit einem „IT-Sicherheitskennzeichen“ für die IT-Sicherheit von Produkten verbessert werden. Es beinhaltet eine Erklärung des Herstellers, in welcher dieser das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts zusichert und eine Information des BSI über sicherheitsrelevante IT-Eigenschaften. Die Einhaltung dieser Vorgaben wird vom BSI in regelmäßigen Abständen überprüft.
  • Das BSI spricht Empfehlungen für Identifizierungs- und Authentisierungsverfahren aus und legt den Stand der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte fest.

Der aktuelle Entwurf ist noch nicht von Bundestag verabschiedet worden, so dass sich noch weitere Änderungen ergeben können. Wir halten Sie auf dem Laufenden!

Gesetz zur Umsetzung der NIS-Richtlinie in Kraft getreten

4. Juli 2017

Am 30.06.2017 ist das Gesetz zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) in Kraft getreten.

Damit werden u. a. die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert: Vor allem werden die Aufsichts- und Durchsetzungsbefugnisse des BSI über die Betreiber Kritischer Infrastrukturen ergänzend zum IT-Sicherheitsgesetz ausgeweitet. Außerdem wird mit der Richtlinie und ihren Umsetzungsgesetzen ein einheitlicher Rechtsrahmen für den Auf- und Ausbau nationaler Kapazitäten für die Cyber-Sicherheit geschaffen. Eine weiteres wichtiges Ziel, Mindestsicherheitsanforderungen an und Meldepflichten für Kritische Infrastrukturen zu kreieren, wurde ebenfalls erreicht.

Darüber hinaus trat zeitgleich die erste Verordnung zur Änderung der BSI-Kritisverordnung vom 03.05.2016 in Kraft. Druch sie werden die kritischen Infrastrukturen, bislang Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, um die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt.

Konferenz zur IT-Sicherheitsforschung

14. Februar 2017

Heute startet in Berlin die dreitägige „Nationale Konferenz zur IT-Sicherheitsforschung“, die vom Bundesministerium für Bildung und Forschung organisiert wird. Das Programm sieht einerseits eine öffentliche Ausstellung von Projekten und Forschungsexponaten durch IT-Sicherheitsexperten vor, andererseits werden, zum Teil auch interaktiv, auch Fragen der Besucherinnen und Besucher beantwortet.

Eines der Kernthemen wird sicher das aktuelle Positionspapier zur Cyber-Sicherheit in Deutschland sein, das die drei Kompetenzzentren für IT-Sicherheitsforschung – CISPA in Saarbrücken, CRISP in Darmstadt und KASTEL in Karlsruhe – erarbeitet haben und welches am ersten Tag vorgestellt wird.

Darüber hinaus wird der russische Sicherheitsexperte Eugene Kaspersky zu den Keynote-Speakern der Konferenz gehören. In einem Interview mit der Zeitschrift „c’t – Magazin für Computer Technik“ äußerte er sich bereits recht provizierend. Datenschutz, so meint er, sei „wahrscheinlich nur noch in einem entlegenen sibirischen Dorf oder auf einer weit entfernten pazifischen Insel möglich“, ohne Internet und Sicherheitskameras. Die Diskussion darf mit Spannung erwartet werden.