[datensicherheit.de, 07.09.2021] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht in einer aktuellen Stellungnahme auf das „moderne Auto“ ein – dieses sei so stark digitalisiert wie nie zuvor. Die IT sorge dabei nicht nur für das passende „Entertainment“ während der Fahrt, sondern übernehme längst wichtige Funktionen zur Steuerung des Fahrzeugs: „Bremsen, Lenken, Einparken – in naher Zukunft werden Computer das Fahrzeug – auch mit Hilfe Künstlicher Intelligenz, für die das BSI in Saarbrücken ein eigenes Kompetenzzentrum eingerichtet hat – vermehrt eigenständig steuern.“ Durch die für neue Funktionen nötige Vernetzung vergrößere sich automatisch die Angriffsfläche für Cyber-Angriffe. In seinem am 7. September 2021 vorgestellten „Branchenlagebild Automotive“ fordert das BSI nach eigenen Angaben die Hersteller daher auf, „Cyber-Sicherheit frühzeitig im Entwicklungszyklus neuer Fahrzeugmodelle zu berücksichtigen“.

Abbildung: BSI

„Branchenlagebild Automotive“: 2021 waren bereits mehrere Automobilzulieferer von Ransomware-Vorfällen betroffen…

BSI-Branchenlagebild Automotive BSI betracht neben der IT im Auto auch die Cyber-Sicherheit der Lieferkette

„Computer sind das Hirn jedes modernen Fahrzeugs und übernehmen längst zentrale Steuerungsfunktionen. Wenn Autos mit anderen Autos oder mit der Straßeninfrastruktur vernetzt sind, müssen wir sichergehen können, dass wir beim Fahren vor Manipulationsversuchen Dritter geschützt sind. Cyber-Sicherheit wird dabei genauso wichtig wie funktionierende Bremsen“, sagt BSI-Präsident Arne Schönbohm und fordert daher: „Wir brauchen einen Crashtest für Cyber-Sicherheit!“
Das „Branchenlagebild Automotive“ des BSI betrachte deshalb neben der IT im Auto auch die Cyber-Sicherheit der Lieferkette im Herstellungsprozess. So könne unzureichend geprüfte oder manipulierte Hard- oder Software die Sicherheit des Autos einschränken, „wenn dies im Produktionsprozess nicht rechtzeitig erkannt wird“. Dabei stünden nicht nur die Herstellergrößen für Automobile weltweit im Fokus der Angreifenden, sondern auch deren Zulieferer. Dadurch könne es zu erheblichen Beeinträchtigungen der Lieferkette kommen. „Alleine im Jahr 2021 waren mehrere Automobilzulieferer von Ransomware-Vorfällen betroffen. Es kam zu massiven Unterbrechungen der Leistungserbringung.“

BSI kooperiert in Fragen der Cyber-Sicherheit mit dem Kraftfahrtbundesamt und dem Verband der Automobilindustrie

Schönbohm betont: „Ein Ransomware-Angriff ist immer auch eine Bedrohung für die Verfügbarkeit von kritischen Prozessen. Fällt ein Zulieferer aus, kann der gesamte Produktionsprozess zum Stillstand kommen. Dadurch können immense wirtschaftliche Schäden entstehen. Cyber-Sicherheit muss daher immer auch die gesamte Lieferkette umfassen!“
Um die Cyber-Sicherheit für den Wirtschafts- und Automobilstandort Deutschland zu erhöhen, arbeitet das BSI demnach in Fragen der Cyber-Sicherheit eng mit dem Kraftfahrtbundesamt und dem Verband der Automobilindustrie (VDA) zusammen. Mit neuen Regeln für die Bereiche Typ-Genehmigung und Marktüberwachung sollten beispielsweise das Thema Cyber-Sicherheit in der Fahrzeugentwicklung fest verankert und Risiken besser vorgebeugt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2021
BSI: Home-Office vergrößert Angriffsfläche für Cyber-Kriminelle

Bundesamt für Sicherheit in der Informationstechnik, 07.09.2021
Branchenlagebild Automotive

[datensicherheit.de, 05.07.2021] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, dass es nach einem Cyber-Angriff auf einen US-amerikanischen Software-Hersteller weltweit zu IT-Störungen gekommen sein soll: Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen seien Opfer von Verschlüsselungstrojanern, sogenannter Ransomware, geworden. Auch in Deutschland sind demnach IT-Dienstleister und weitere Unternehmen betroffen. „Nach aktuellem Kenntnisstand wurden mehrere Tausend IT-Geräte verschlüsselt.“

Beim aktuellen Angriff Ransomware über jedes Glied einer Software-Lieferkette ausgerollt

„Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abhängigkeiten dabei entstehen. Bei dem aktuellen Angriff wurde Ransomware über jedes Glied einer Software-Lieferkette ausgerollt“, berichtet BSI-Präsident Arne Schönbohm.
Dies zeige deutlich: Lieferketten müssten auch unter dem Aspekt der IT-Sicherheit in den Fokus rücken. Ransomware sei derzeit als eine der größten Bedrohungen für die IT von Unternehmen und Organisationen einzuschätzen. Schönbohm warnt: „Bei erfolgreichen Angriffen werden Dienstleistungen und Produktion häufig zum Stillstand gebracht. Die Schäden für Betroffene sind daher oftmals enorm.“

Von Ransomware-Angriff betroffene Unternehmen gebeten, sich an das BSI zu wenden!

Das Lagebild des BSI zu diesem Vorfall entwickele sich weiter dynamisch. „Als Cyber-Sicherheitsbehörde des Bundes steht das BSI ,24/7‘ mit seinen Partnerbehörden und betroffenen Unternehmen in Kontakt, auch das Nationale Cyber-Abwehrzentrum ist mit dem Vorfall befasst. Betroffene Unternehmen werden weiterhin gebeten, sich an das BSI zu wenden.“
Nach derzeitigen Stand seien in Deutschland mehrere IT-Dienstleister und Unternehmen betroffen. Das BSI gibt nach eigenen Angaben „keine Auskunft über die Betroffenen selbst“. Kritische Infrastrukturen oder die Bundesverwaltung seien nach derzeitiger Kenntnis des BSI nicht betroffen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Unternehmen: Einen Vorfall bewältigen, melden, sich informieren, vorbeugen

datensicherheit.de, 05.07.2021
Bitkom-Stellungnahme zum Ransomware-Angriff via Kaseya / Auf einen Schlag Hunderte Unternehmen mit Ransomware ins Visier genommen

[datensicherheit.de, 02.05.2021] Der Digitalverband Bitkom e.V. hat das neue, im April 2021 verabschiedete IT-Sicherheitsgesetz 2.0 der deutschen Bundesregierung kritisiert und sieht nach eigenen Angeben einen „fragwürdigem Mehrwert für die IT-Sicherheit“. In seiner Stellungnahme hält Rainer M. Richter, Geschäftsführer von IoT Inspector, dagegen: Dieses Gesetz sei lange überfällig und inkludiere endlich alle in IT-Netzwerken verwendeten Geräte.

IT-Sicherheitsgesetz 2.0 nimmt laut Bitkom Kollateralschäden in Kauf

In der Meldung „IT-Sicherheitsgesetz 2.0 nimmt Kollateralschäden in Kauf“ kritisiert der Bitkom: „Das IT-Sicherheitsgesetz 2.0 schafft eine Kombination aus technischer Zertifizierungsmaschinerie und politisch-regulatorischem Gutdünken mit fragwürdigem Mehrwert für die IT-Sicherheit. Rechts-, Planungs- und Investitionsunsicherheiten werden als Kollateralschäden in Kauf genommen, vor allem mit Blick auf den 5G-Netzausbau. Das wird der Zukunftsfähigkeit des Standorts schaden.“
Diese Position kann Richter nach eigenen Angaben nicht teilen: „Das Gesetz ist lange überfällig und inkludiert endlich alle Geräte, die in IT-Netzwerken verwendet werden – also auch die Millionen von IoT-Devices.“ Das jüngste Beispiel in den USA – dort seien Produkte von fünf bekannten Unternehmen und OEM-Herstellern aus Sicherheitsgründen ausdrücklich für den Einsatz in Behörden verboten worden – zeige, „wie wichtig eine Regulierung für solche Geräte ist“. Sein Team habe eine Unternehmenslösung entwickelt, die in wenigen Minuten sämtliche Schwachstellen in der Firmware eines IoT-Devices aufdecken könne. Für Hacker seien die smarten Helfer – vom Staubsaugerroboter über Router, von der Lichtsteueranlage bis zum Schließsystem oder Sicherheitskameras mit IP-Anschluss – ein Trojanisches Pferd, mit welchem ein Eindringen in gesicherte Netzwerke ohne weiteres möglich sei.

IoT Inspector betont dringende Bedeutung des IT-Sicherheitsgesetzes 2.0

Ebenfalls eine Sicherheitslücke in der Firmware eines Netzwerkgerätes des Herstellers Citrix hätten Hacker bei dem Angriff auf die Uniklinik Düsseldorf im September 2020 ausgenutzt. Es habe einen ganzen Monat gedauert, bis das Krankenhaus wieder seinen Regelbetrieb habe aufnehmen könnee. Richter kommentiert:
„Wer dann noch behauptet, dass eine gesetzliche Regulierung hier einen fragwürdigen Mehrwert bietet, hat offensichtlich die Zeichen der Zeit nicht erkannt, oder ist sich des enormen Risikos nicht bewusst.” Sein Unternehmen analysiere zu Recherchezwecken immer wieder IoT-Geräte aller Art und decke so regelmäßig Schwachstellen auf, welche von Hackern innerhalb kürzester Zeit in großem Stil missbraucht werden könnten.

IT-Sicherheitsgesetz 2.0 verpflichtet zur Absicherung Kritischer Infrastrukturen

Betreiber Kritischer Infrastrukturen (Kritis) seien ab dem 1. Januar 2022 verpflichtet, Systeme zur Angriffserkennung innerhalb ihrer IT-Struktur einzusetzen. Die gelte für bundesweit rund 90 Kliniken, welche mehr als 30.000 vollstationäre Patienten pro Jahr versorgten.
Die sogenannten Whitehat-Hacker von IoT Inspector begrüßten daher die neue Position des BSI: „Dieser Schritt ist richtig und konsequent, denn die Bedrohungslage durch Cyber-Kriminalität in Deutschland bleibt auf einem angespannt hohen Niveau“, habe auch Arne Schönbohm, Präsident des BSI (Bundesamt für Sicherheit in der Informationstechnik), gewarnt.

BSI könnte auf Basis des IT-Sicherheitsgesetzes 2.0 Verbote aussprechen

In den USA für den Einsatz in Behörden und öffentlichen Netzen verboten, in den Niederlanden versehen mit gefährlichen Administratorrechten im Netz des Providers KPN und damit unter Spionageverdacht: Der chinesische Hersteller Huawei habe auch in Deutschland Komponenten für den Ausbau des mobilen 5G-Netzes bereitstellen sollen. Sofern das BSI auf der Basis des neuen IT-Sicherheitsgesetzes ein Verbot ausspricht, wäre dieses Risiko eliminiert, so Richter.
„Es muss klar werden, dass nicht nur Computer, Rechenzentren und Server ein Risiko sind, sondern jedes Device mit einem drahtgebundenen oder drahtlosen Netzwerkzugang. Jede Schwachstelle darin ist ein potentielles Einfallstor für Cyber-Kriminelle – neun von zehn IoT-Geräten haben nach unseren Stichproben Sicherheitslücken. Das muss dringend geändert werden“, fordert der Geschäftsführer von IoT Inspector.

Weitere Informationen zum Thema:

bitkom, 23.04.2021
IT-Sicherheitsgesetz 2.0 nimmt Kollateralschäden in Kauf / Bundestag vor Beschluss von IT-Sicherheitsgesetz 2.0 / Berg: „Rechts-, Planungs- und Investitionsunsicherheiten bleiben bestehen“

Süddeutsche Zeitung, 23.04.2021
Bundestag verabschiedet verschärftes IT-Sicherheitsgesetz

datensicherheit.de, 26.02.2021
IT-Sicherheitsgesetz 2.0: Politik muss laut eco Reißleine ziehen / Vertrauen in digitale Kommunikation darf nicht verspielt werden, fordert der Verband der Internetwirtschaft (eco)

[datensicherheit.de, 15.04.2021] Nach aktuellen Erkenntnissen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat die Home-Office-Situation in „Pandemiezeiten“ die Angriffsfläche für Cyber-Kriminelle vergrößert und nimmt demnach Einfluss auf die Informationssicherheit von Wirtschaftsunternehmen in Deutschland. Dies sei das Ergebnis einer repräsentativen Umfrage unter 1.000 Unternehmen und Betrieben, welche das BSI am 15. April 2021 vorgestellt habe.

Abbildung: BSI

BSI-Umfrage zur IT-Sicherheit im HOME-OFFICE…

Zentrale Erkenntnisse der BSI-Umfrage im Überblick:

• Durch „Corona“ habe sich das Angebot von Home-Office-Arbeitsplätzen mehr als verdoppelt. 58 Prozent der befragten Unternehmen wollten das Angebot auch nach der „Pandemie“ aufrechterhalten bzw. ausweiten.
• Die Unternehmen, welche Home-Office etablieren wollen, zögen Digitalisierungsprojekte vor.
• Zwei Drittel der Großunternehmen nähmen die „Pandemie“ als „Digitalisierungsturbo“ wahr.
• Angriffsfläche private IT: Nur 42 Prozent der Unternehmen nutzten ausschließlich eigene IT.
• Über 50 Prozent der Unternehmen investierten weniger als zehn Prozent der IT-Ausgaben in Cyber-Sicherheit. Das BSI empfiehlt, „bis 20 Prozent des IT-Budgets in Sicherheit zu investieren“.
• Je kleiner die Firma desto schwerwiegender die Folgen. Für Kleinst- und Kleinunternehmen mit weniger als 50 Mitarbeitern habe eine von vier Cyber-Attacken existenzbedrohende Folgen.
• Obwohl kostengünstig, würden einfache Sicherheitsmaßnahmen wie „Mobil Device Management“, Notfallübungen oder der Grundsatz „IT-Sicherheit ist Chefsache“ nicht genügend umgesetzt.

BSI-Präsident fordert, Digitalisierung und IT-Sicherheit als Einheit zu sehen

Arne Schönbohm, Präsident des BSI, kommentiert: „Home-Office ist gekommen, um zu bleiben. IT-Sicherheit ist jedoch noch zu wenig in Budgets, Abläufen und Köpfen der Unternehmen angekommen.“ Der „Digitalisierungsturbo Corona“ treibe IT-Projekte in den Unternehmen voran, was vorliegende Umfrage bestätigt habe.
„Als die Cyber-Sicherheitsbehörde des Bundes drängen wir darauf, dass Digitalisierung und IT-Sicherheit als eine Einheit gedacht und umgesetzt werden“, betont Schönbohm. Wer jetzt die Weichen für eine solide Informationssicherheit seiner Infrastruktur stellt, der sichere seine Zukunft – „in schweren ,Pandemiezeiten‘ und darüber hinaus“.

Bitkom-Präsident kommentiert aktuelle BSI-Umfrage

Während der „Pandemie“ seien allein in Deutschland zwölf Millionen Berufstätige ins Home-Office gewechselt. „Das ist keine Momentaufnahme, sondern bestimmt dauerhaft die neue Normalität“, meint Achim Berg, Präsident des Bitkom e.V., und warnt: „Beim für viele spontanen Wechsel ins Home-Office spielte IT-Sicherheit zu oft keine Rolle.“
Für mobiles Arbeiten bedürfe es einer richtigen Balance zwischen dem benutzerfreundlichen Zugriff auf Unternehmensdaten und dem Schutz der IT. Gefordert seien ein robustes und risikobasiertes IT-Sicherheitsmanagement, Mitarbeiterschulungen und gut durchdachte Notfallkonzepte. „Sicherheit ist kein einmaliges Projekt, Sicherheit ist ein kontinuierlicher Prozess“, hebt Berg hervor.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
IT-Sicherheit im Home-Office im Jahr 2020 / Unter besonderer Berücksichtigung der COVID-19-Pandemie

datensicherheit.de, 15.03.2021
Home-Office: IT-Security grundlegend zu überdenken / Für IT-Security-Verantwortliche fühlt sich abrupter Wechsel in vollständigen Remote-Betrieb wie Umzug in den Wilden Westen an

datensicherheit.de, 13.10.2020
Home-Office: Arbeitnehmer weltweit in neue Routinen gedrängt / Paolo Passeri erklärt, wie sich die Cyber-Sicherheit durch Corona und Home-Office verändert hat

datensicherheit.de, 01.10.2020
Corona und Home-Office: Zunahme an Cyber-Attacken um 154 Prozent / Großflächige Umstellung aufs Home-Office begünstigt Cyber-Angriffe

datensicherheit.de, 29.09.2020
KMU: Home-Office als Einfallstor für Cyber-Kriminelle / Malwarebytes-Bericht offenbart massive Sicherheitslücken durch Mitarbeiter im Home-Office

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office / Wechsel vieler Mitarbeiter in das Home-Office zu Beginn der „Corona“-Kontaktbeschränkungen oft überhastet

datensicherheit.de, 21.08.2020
Mitarbeiter im Home-Office: Malwarebytes warnt vor massiven Sicherheitslücken / Malwarebytes veröffentlicht aktuellen Cyber-Sicherheitsberichts zu den Auswirkungen von „Covid-19“ auf die Unternehmenssicherheit

[datensicherheit.de, 04.02.2021] Der Einsatz Künstlicher Intelligenz (KI) eröffnet nach Ansicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) „neue Möglichkeiten und Anwendungen“ – und schon jetzt beeinflusse KI viele kritische Prozesse und Entscheidungen, zum Beispiel in der Wirtschaft oder im Gesundheitsbereich. Gleichzeitig seien auf KI basierende Systeme neuen Sicherheitsbedrohungen ausgesetzt, welche von etablierten IT-Sicherheitsstandards nicht abgedeckt würden. Mit dem neuen Kriterienkatalog für KI-basierte Cloud-Dienste (Artificial Intelligence Cloud Services Compliance Criteria Catalogue, AIC4) schafft das BSI nach eigenen Angaben nun „eine wichtige Grundlage, um die Sicherheit von KI-Systemen bewerten zu können“.

AIC4 definiert erstmals Basisniveau an Sicherheit für KI-basierte Dienste

Der AIC4 des BSI definiert demnach „erstmals ein Basisniveau an Sicherheit für KI-basierte Dienste, die in Cloud-Infrastrukturen entwickelt und betrieben werden“. Ein vergleichbarer einsetzbarer Prüfstandard für sichere KI-Systeme existiere derzeit nicht. Der AIC4 umfasse KI-spezifische Kriterien, welche eine unabhängige Prüfung der Sicherheit eines KI-Service über dessen gesamten Lebenszyklus hinweg ermöglichten.
Dieser Ansatz habe sich schon beim C5-Kriterienkatalog bewährt, mit dem das BSI einen weltweit anerkannten Standard der Cloud-Sicherheit gestaltet und etabliert habe. Mit dem AIC4 nehme das BSI eine führende Rolle bei der Absicherung von KI-Anwendungen ein und leiste einen wesentlichen Beitrag zur Gestaltung einer sicheren Digitalisierung „Made in Germany“.

2021 wird das BSI Stützpunkt mit fachlichem Schwerpunkt KI im Saarland ansiedeln

„Mit der zunehmenden Verbreitung Lernender Systeme stellt sich immer dringender die Frage nach ihrer Vertrauenswürdigkeit. Deshalb nehmen wir uns als Cyber-Sicherheitsbehörde des Bundes dieser Fragestellung an. Wir legen mit dem AIC4 erstmals eine konkrete Lösung vor, die über nachvollziehbare Kriterien die Informationssicherheit im Bereich der Künstlichen Intelligenz verbessert. Dies ist der erste Schritt, weitere Schritte werden folgen“, erläutert BSI-Präsident Arne Schönbohm.
Als Gestalter einer sicheren Digitalisierung in Deutschland befasse sich das BSI intensiv mit dem Thema KI. Schönbohm führt aus: „Wir unterstützen die Bundesregierung dabei, den technologisch und wirtschaftlich erfolgreichen sowie gesellschaftlich akzeptierten Einsatz von KI-Lösungen in Deutschland voranzutreiben.“ Noch in diesem Jahr, 2021, werde das BSI einen Stützpunkt mit dem fachlichen Schwerpunkt KI im Saarland ansiedeln. „Die bereits begonnene Arbeit, Kooperationen mit nationalen und internationalen Partnern zu schließen, werden wir weiter forcieren“, betont Schönbohm.

Informationssicherheit auch im KI-Bereich wesentliche Voraussetzung für Erfolg neuer Technologien und Anwendungen

Informationssicherheit sei auch im KI-Bereich eine wesentliche Voraussetzung für den Erfolg neuer Technologien und Anwendungen. Das BSI leiste Grundlagenforschung und entwickele bedarfsorientierte und praxisnahe Anforderungen, Prüfkriterien und -methoden, „um den Einsatz von KI zum Wohle der Allgemeinheit sicher zu gestalten“.
Bereits im November 2020 sei das BSI im Rahmen der vom Land Nordrhein-Westfalen geförderten Kompetenzplattform „KI.NRW“ eine strategische Kooperation mit Fraunhofer IAIS eingegangen, um die Entwicklung einer KI-Zertifizierung „Made in Germany“ voranzubringen. Ziel dieser Zusammenarbeit sei es, Prüfverfahren für die Zertifizierung von KI-Systemen zu entwickeln, welche als Basis für technische Standards und Normen dienen könnten. Bei der Weiterentwicklung der Prüfverfahren sollten Praxistauglichkeit und Marktfähigkeit in enger Abstimmung mit der Wirtschaft weiter verbessert werden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Künstliche Intelligenz – wir bringen Ihnen die Technologie näher

datensicherheit.de, 19.01.2021
Neuer BSI-Standard 200-4 mit zahlreichen Neuerungen

datensicherheit.de, 26.09.2018
eco: Künstliche Intelligenz „Made in Germany“ braucht Leitlinien / KI muss zur Kernkompetenz der deutschen Wirtschaft werden

datensicherheit.de, 06.02.2018
DsiN fordert Verbraucher über Künstliche Intelligenz im Alltag aufzuklären / Stellungnahme von Deutschland sicher im Netz zum „Safer Internet Day 2018“

[datensicherheit.de, 19.11.2020] Rechtzeitig zu Beginn des Weihnachtsgeschäftes 2020 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach eigenen Angaben die Sicherheitsaspekte verschiedener Zahlungsdienste im sogenannten E-Commerce betrachtet. Die Ergebnisse sind demnach in der neuen Broschüre „Sicher zahlen im E-Commerce“ zusammengefasst worden, welche sich insbesondere an Verbraucher richtet und erklären soll, welche unterschiedlichen IT-Sicherheitsrisiken die jeweiligen Bezahlverfahren im Internet für die Anwender haben.

Abbildung: BSI

Neue BSI-Broschüre „Sicher zahlen im E-Commerce“ verfügbar

BSI-Präsident warnt vor IT-Sicherheitsrisiken beim Online-Shopping

„Die Aktionstage ,Black Friday‘ und ,Cyber Monday‘ stehen bevor, an denen das Online-Shopping im Weihnachtsgeschäft besonders beliebt ist. Gerade beim Online-Shopping lauern IT-Sicherheitsrisiken, gegen die man sich wappnen sollte, damit es zu Weihnachten kein böses Erwachen gibt. Als Cyber-Sicherheitsbehörde des Bundes gestaltet das BSI die sichere Digitalisierung in Deutschland. Das heißt auch, Verbraucherinnen und Verbraucher mit dem notwendigen Wissen und Handlungsempfehlungen auszustatten, damit sie sich sicher und selbstbestimmt in der digitalen Welt bewegen können“, so BSI-Präsident Arne Schönbohm. Die neue Broschüre des BSI möge Online-Kunden dabei helfen, „Gefahren selbstbestimmt abzuwägen und die passende Zahlungsmethode für sich zu finden“.

BSI betrachtet Vielzahl verschiedener Zahlungsdienste

Für Bezahlvorgänge im Internet gebe es eine Vielzahl verschiedener Zahlungsdienste. Dazu zählten Kreditkartenlösungen und Lastschriftverfahren aber auch Zahlungskonten oder Anwendungen, welche Kunden zu einer Bank-Webseite weiterleiteten. Die Zahlungen würden dabei nicht mehr ausschließlich an einem PC oder in klassischer Weise an einem stationären „Point of Sale“ (POS) durchgeführt, sondern vermehrt mit mobilen Geräten wie Smartphones oder Tablets.

BSI möchte Verbrauchern Orientierung bei der Auswahl eines Bezahlverfahrens geben

Gerade wenn es um IT-Sicherheitsaspekte geht, seien Vor- und Nachteile der einzelnen Verfahren nicht immer leicht nachvollziehbar. Mit der neuen Broschüre „Sicher zahlen im E-Commerce“ gebe das BSI Verbrauchern daher Orientierung bei der Auswahl eines Bezahlverfahrens, „das ihren individuellen Sicherheitsansprüchen am besten entspricht“. Die Broschüre kann laut BSI von der BSI-Webseite „Publikationen“ kostenlos heruntergeladen oder dort auch als Print-Exemplar bestellt werden. Auf der BSI-Webseite „Digitale Gesellschaft“ bietet das BSI weitere Informationen für Verbraucher rund um das Thema Online-Shopping.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Publikationen / Sicher zahlen im E-Commerce

Bundesamt für Sicherheit in der Informationstechnik
Digitale Gesellschaft / Online Shopping

datensicherheit.de, 15.11.2020
Black Friday: Warnung an Schnäppchenjäger vor erhöhtem Cyber-Risiko / Der am 27. November 2020 startende diesjährige „Black Friday“ erfreut sich bei Deutschen wachsender Beliebtheit – auch bei Cyber-Kriminellen

datensicherheit.de, 21.11.2019
Black Friday: Tipps für sicheres Online-Shopping / Andreas Volkert, Sicherheitsexperte bei McAfee, rät, Vertrauenswürdigkeit der Anbieter und Angebote kritisch zu prüfen

datensicherheit.de, 19.11.2018
Online-Shopping: Sicher einkaufen am Black Friday und Cyber Monday / Empfehlungen des BSI

[datensicherheit.de, 09.10.2020] Anlässlich des „3. Roundtables“ des Bundesministeriums des Innern, für Bau und Heimat und des Bundesministeriums der Justiz und für Verbraucherschutz zur IT-Sicherheit für Verbraucher haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Deutschland sicher im Netz e.V. (DsiN) am 9. Oktober 2020 die „Cyberfibel“ vorgestellt.

Abbildung: DsiN e.V.

Cyberfibel – als Online- und Druckwerk verfügbar

Cyberfibel richtet sich an Wissensvermittler und Bildungseinrichtungen

Das umfangreiche Nachschlagewerk richtet sich laut DsiN an Wissensvermittler und Bildungseinrichtungen: Diesen stehe nun erstmalig ein Gesamtangebot zur Verfügung, das auf über 200 Seiten auf aktuelle Fragestellungen im digitalen Alltag mit konkreten Erklärungen, Hintergründen, Übungen, Handlungsempfehlungen und weiterführenden Links eingehe.
Durch regelmäßige Erweiterungen sollen auch künftige Entwicklungen und veränderte Sicherheitsanforderungen berücksichtigt werden. Die „Cyberfibel“ ist demnach als gedrucktes Handbuch sowie online verfügbar.

Cyberfibel soll helfen, Regeln des Digitalen Raums zu verstehen

„Genauso wie wir in der Schule mit der Fibel lesen lernen, müssen wir uns auch mit den Regeln des Digitalen Raums befassen. Unser Ziel im Rahmen des Digitalen Verbraucherschutzes ist es, durch Informationsangebote, technische Anforderungen und Standards Rahmenbedingungen zu schaffen, um ein sicheres und selbstbestimmtes Handeln von Verbraucherinnen und Verbrauchern in der digitalen Welt zu ermöglichen“, erläutert BSI-Präsident Arne Schönbohm.
Mit der „Cyberfibel“ werde ihren Partnern in der Wissensvermittlung ein praxisorientiertes, stets aktuelles Handwerkszeug an die Hand gegeben, welches diese in ihrer täglichen Arbeit mit den Bürgern sofort einsetzen könnten.

Cyberfibel als wichtige Orientierung in der Aufklärungsarbeit

Dr. Markus Richter, Staatssekretär und „CIO“ des Bundes, ergänzt: „Wir alle nutzen täglich eine Vielzahl digitaler Angebote, die uns das Leben erleichtern. Viele Verbraucherinnen und Verbraucher wünschen sich dabei mehr Anleitung und Hilfestellung, damit sie digitale Dienste und Geräte sicher einsetzen können.“
Ziel des Bundesinnenministeriums sei es, Menschen in jeder Lebenslage zur Teilhabe an der Digitalisierung zu befähigen. Mit der „Cyberfibel“ schafften BSI und DsiN dafür eine wichtige Orientierung in der Aufklärungsarbeit.

Cyberfibel – eine Initiative des Deutschland Dialogs für digitale Aufklärung

Entstanden sei die „Cyberfibel“ auf Initiative des „Deutschland Dialogs für digitale Aufklärung“, dem Akteure aus der Wirtschaft, Zivilgesellschaft und Verwaltung angehörten. „Wir verstehen die ,Cyberfibel‘ als lebendiges Werk, das auf neue Anforderungen im digitalen Alltag eingeht. Damit schaffen wir die Orientierungshilfe, welche dringend erforderlich ist, um digitale Verbraucheraufklärung auf einem einheitlichen Niveau zu entwickeln“, sagt DsiN-Geschäftsführer Dr. Michael Littger.
Man werde aktiv darin unterstützen, „dass sie möglichst viele Wissensvermittler erreicht“. Für die Mitglieder im „Deutschland Dialog“ werde ihre gemeinsame Weiterentwicklung im Fokus stehen.

Cyberfibel ab sofort als Online-Version und als gedrucktes Werk

„Die ,Cyberfibel‘ ist ein wichtiges Instrument für die digitale Verbraucheraufklärung. Unser Ziel ist es, dass viele Menschen von den Inhalten profitieren, indem sie die darin enthaltenen Informationen für einen sicheren digitalen Umgang in Schule, Beruf und Privatleben nutzen“, betont Verbraucherschutzstaatssekretär Prof. Dr. Christian Kastrop.
Die „Cyberfibel“ steht laut DsiN sofort als Online-Version und als gedrucktes Werk zur Verfügung: Sie kann online über das Bestellformular angefordert werden – pro Besteller könne ein gedrucktes Exemplar kostenfrei bezogen werden.

Weitere Informationen zum Thema:

CYBERfibel
Ein Projekt von BSI und DsiN / Die Cyberfibel

datensicherheit.de, 05.10.2020
DsiN-Praxisreport Mittelstand 2020 erschienen

[datensicherheit.de, 28.09.2020] Laut einer aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) war jeder Vierte (25%) in Deutschland bereits Opfer von Kriminalität im Internet. Dies habe das „Digitalbarometer 2020“ des BSI und der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK) ergeben. Rund zwei Drittel der Betroffenen hätten dabei einen Schaden erlitten: Ein Drittel (32%) der Geschädigten einen realen finanziellen Schaden – die höchste angegebene Schadenssumme habe bei 50.000 Euro gelegen. Viel schwerer wiege aber oftmals der emotionale Schaden, z.B. in Folge von Cyber-Mobbing (25%), oder durch Verlust wichtiger Daten oder durch den Aufwand für das Wiederherstellen der Daten (jeweils 23%).

Digitalbarometer 2020: Jeder Zehnte ohne Schutzmaßnahmen im Internet

„Die Ergebnisse von 2020 zeigen, wer Sicherheitsempfehlungen direkt umsetzt, wird seltener Opfer einer Straftat im Internet. Das zeigt uns, dass wir hier auf dem richtigen Weg sind und weiter auf Prävention setzen müssen, denn jedes Opfer ist eines zu viel“, betont Dr. Stefanie Hinz, Vorsitzende der PProPK. Positiv sei, dass sich 35 Prozent der Betroffenen nach einer Straftat an die Polizei gewandt hätten. Laut „Digitalbarometer 2019“ seien es nur 31 Prozent der Befragten gewesen.
„Jeder Zehnte gibt an, sich ohne Schutzmaßnahmen im Internet zu bewegen. Das ist wie Autofahren ohne Anschnallen oder Bahn fahren ohne Maske. Andere sichern sich bereits ab, vernachlässigen aber effiziente Maßnahmen wie automatische Updates. Laut Umfrage nutzt diese Option bewusst nur jeder Vierte, obwohl diese Maßnahme am besten und schnellsten Sicherheitslücken schließen kann“, so BSI-Präsident Arne Schönbohm. Gemeinsam mit der ProPK hätten sie nach dem ersten „Digitalbarometer“ ihre Selbsthilfe-Anleitungen erweitert. Die Ergebnisse aus dem Jahr 2020 zeigten jedoch deutlich: „Wir müssen mehr Orientierung geben, was priorisiert und im Zusammenspiel genutzt werden muss, um einen digitalen Basisschutz zu ermöglichen“, betont Schönbohm.

Sicherheitsempfehlungen und Fokus-Fragen im Digitalbarometer 2020

Die Ergebnisse von 2020 zeigten, wer Sicherheitsempfehlungen direkt umsetzt, werde seltener Opfer von Kriminalität im Internet. So gäben Befragte, die bisher gar nicht oder nur einmalig Opfer geworden seien, häufiger an, die Empfehlungen direkt umzusetzen (40%). Hingegen setzten Menschen, die mehrfach Opfer gewesen seien, Sicherheitsempfehlungen in 31 Prozent der Fälle erst im Problemfall um – selbst wenn sie diese schon vorab gekannt hätten.
Die meisten Betroffenen (36%) hätten sich nach einer Straftat selbstständig geholfen, 35 Prozent eine Anzeige gestellt. Nur wenige hätten nicht gewusst, welche Maßnahmen sie ergreifen sollten (5%). In diesem Jahr, 2020, sei das „Digitalbarometer“ zudem um ein besonderes Fokus-Thema erweitert worden – den Umgang mit problematischen Inhalten im Internet, konkret: die Verbreitung von Kinderpornographie und Hasskommentaren.

Erkenntnisse aus dem Digitalbarometer 2020 führen zu bundesweiter Aufklärungskampagne für Jugendliche

Die mangelnden Handlungskompetenzen bei einem Teil der Bevölkerung sowie die steigenden Fälle von leichtfertiger Verbreitung von Kinderpornographie durch Jugendliche hätten die ProPK veranlasst, diese Problematik in einer bundesweiten Aufklärungskampagne darzustellen:
Junge Menschen sollten in den Sozialen Medien darauf aufmerksam gemacht werden, dass in Chats auch Kinderpornographie kursiere und leichtfertig verbreitet werde –- ohne dass den Versendern bewusst sei, dass sie sich dadurch strafbar machten. Zudem würden Informationen zum Melden von Kinderpornographie über alle Zielgruppen hinweg vermittelt. Die Kampagne starte im Oktober 2020.

Digitalbarometer-Befragung wird seit 2019 durchgeführt

Das BSI und die ProPK kooperieren nach eigenen Angaben, um Bürger umfassend über Schutzmöglichkeiten und Risiken im Internet aufzuklären. Eine Grundlage dieser Arbeit ist demnach das „Digitalbarometer“ – eine gemeinsame, repräsentative Online-Befragung.
Das Ziel der Erhebung zum „Digitalbarometer“ sei es, den aktuellen Kenntnisstand der Bevölkerung zum Thema IT-Sicherheit und Cyber-Kriminalität zu untersuchen. Die Befragung werde seit 2019 durchgeführt und solle es nunmehr jährlich ermöglichen, Trends und Bedarf im Bereich der Internetkriminalität gegenüber Verbrauchern zu ermitteln. Das „Digitalbarometer 2020“ sei vom 9. und 10. März sowie vom 26. März bis 8. April 2020 erhoben worden – insgesamt seien 2.000 Personen ab 14 Jahren befragt worden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 28.09.2020
Digitalbarometer 2020: Bürgerbefragung zur Cyber-Sicherheit

datensicherheit.de, 24.09.2020
BSI und EASA vereinbaren strategische Zusammenarbeit

[datensicherheit.de, 24.09.2020] „Moderne Flugzeuge sind digital vernetzte, fliegende Hochleistungsrechner“, so das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner aktuellen Meldung. Für einen reibungslosen Flug müsse daher neben der klassischen Flugsicherheit auch die Cyber-Sicherheit betrachtet werden.

Memorandum of Cooperation vom BSI-Präsidenten und vom EASA-Generaldirektor in Bonn unterzeichnet

Erklärtes gemeinsames Ziel des BSI und der Agentur der Europäischen Union für Flugsicherheit (EASA, European Union Aviation Safety Agency) sei es, die Cyber-Sicherheit in der internationalen Luftfahrt nachhaltig zu steigern.
Dazu haben demnach die beiden Aufsichtsbehörden nun eine strategische Zusammenarbeit vereinbart: Ein entsprechendes Abkommen (Memorandum of Cooperation, MoC) unterzeichneten laut BSI BSI-Präsident Arne Schönbohm und EASA-Generaldirektor Patrick Ky am 24. September 2020 in Bonn.

BSI-Präsident: Schirm der Cyber-Sicherheit aufspannen, der Luftfahrzeuge, Hersteller und Airlines ebenso umfasst wie Flughäfen und Flugsicherung

Schönbohm: „Fliegen wird gemeinhin als sicherste Art der Fortbewegung angesehen. Angesichts der auch in der Luftfahrt zunehmenden Digitalisierung und Vernetzung ist die Cyber-Sicherheit ein wesentlicher Faktor dafür, dass dies weiterhin so bleibt.“
In der Luftfahrt könne man nur dann erfolgreich digital durchstarten, wenn die Informationssicherheit von Anfang an mitfliege. Die Aufgaben des BSI und der EASA ergänzten sich hierzu optimal. „Daher bauen wir unsere strategische Zusammenarbeit aus. Gemeinsam können wir einen Schirm der Cyber-Sicherheit aufspannen, der Luftfahrzeuge, Hersteller und Airlines ebenso umfasst wie Flughäfen und Flugsicherung“, erläutert der BSI-Präsident.

Ky zuversichtlich, dass Zusammenarbeit mit dem BSI gemeinsames Bewusstsein für Bedrohungen der Cyber-Sicherheit verbessert

„Wir freuen uns über das Abkommen mit einer solch renommierten Behörde und die Unterstützung im Zeitalter der digitalen Luftfahrt“, so der EASA-Generaldirektor.
Cyber-Sicherheit sei ein wesentlicher Faktor, um Flugsicherheit zu gewährleisten, betont Ky. „Wir sind zuversichtlich, dass diese Zusammenarbeit unser gemeinsames Bewusstsein für die Bedrohungen der Cyber-Sicherheit und die ,Best Practices‘, damit umzugehen, verbessern wird.“

BSI und EASA vereinbaren u.a. Austausch relevanter Informationen zu IT-Sicherheitsvorfällen

In diesem Abkommen vereinbarten BSI und EASA unter anderem den Austausch von relevanten Informationen zu IT-Sicherheitsvorfällen und Bedrohungslagen sowie auch die Zusammenarbeit bei der Bewältigung von Cyber-Angriffen und IT-Sicherheitsvorfällen im Rahmen der jeweiligen Zuständigkeiten.
Im Rahmen dieser Zusammenarbeit sollten zudem mögliche Konflikte zwischen den europäischen und nationalen Regularien identifiziert und konsistente Lösungen gefunden werden, so dass Organisationen in allen Bereichen der Luftfahrt die Cyber-Sicherheit effektiv und nachhaltig steigern könnten.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2020
ECSM: BSI koordiniert deutschlandweite Maßnahmen

[datensicherheit.de, 06.09.2020] Der berühmt-berüchtigte „Faktor Mensch“ – über diesen erfolgen laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) z.B. Phishing, „CEO-Fraud“ und andere Versuche von Cyber-Kriminellen, im großen Stil an Daten einzelner oder von Firmen zu gelangen. Aus diesem Grund soll der erste „IT-Grundschutztag 2020“ des BSI den Menschen – ob im Home-Office oder im Büro – in den Mittelpunkt stellen. Bedingt durch „Corona“ werde diese Veranstaltung virtuell durchgeführt. Die Vorträge werden demnach live über „Vimeo“ gestreamt – den Link via E-Mail hierzu gebe es nach der Anmeldung.

Abbildung: BSI

„IT-Grundschutztag“ am 10.09.2020 – dem Faktor Mensch gewidmet

Angriffsrisiko senken – Sicherheit für Menschen maximieren

Gemeinsam mit der BREDEX GmbH zeigt das BSI nach eigenen Angaben am 10. September 2020 auf, „welche Lösungsansätze der IT-Grundschutz beinhaltet, um die Risiken durch Cyber-Angriffe zu reduzieren und die Sicherheit der Mitarbeiterinnen und Mitarbeiter, nicht Opfer eines solchen Betrugsversuches zu werden, zu maximieren“.

Menschen machen Fehler…

„Menschen machen Fehler, das ist ganz normal. Diese Fehler sollten aber nicht dazu führen, dass Schaden für das Unternehmen entsteht, etwa durch Datenabfluss, Know-how-Diebstahl oder unautorisierte Geldtransfers. Der ,Faktor Mensch‘ ist deswegen ein wesentlicher Bestandteil jedes nachhaltigen Sicherheitskonzepts“, betont Arne Schönbohm, Präsident des BSI.

BSI-Ansatz: Aus potenziellem Risikofaktor Mensch einen Sicherheitsfaktor machen!

Viele Unternehmen sagten, „dass sie mehr wissen möchten, wie sie sich davor schützen können, durch Unachtsamkeit oder immer besser konstruiertes Phishing Opfer von Straftaten zu werden“. Schönbohm erklärt den BSI-Ansatz: Aus dem potenziellen „Risikofaktor Mensch“ gelte es einen „Sicherheitsfaktor“ zu machen. Dabei komme es auch darauf an, auf die Bedürfnisse der Unternehmen und Betriebe je nach Größe einzugehen. „Der BSI-Dauerschlager IT-Grundschutz bietet hierfür diverse Handlungsmöglichkeiten“, so der BSI-Präsident.

IT-Grundschutztag 2020 zum Faktor Mensch

Die Teilnahme an dieser Online-Veranstaltung ist nach Angaben der Veranstalter kostenlos, eine Anmeldung indes erforderlich.

Themen (ohne Gewähr): u.a.

• die Tricks und Techniken eines „Social-Engineers“,
• die unterschätzte Gefahr durch Innentäter,
• die Risikoreduktion durch Cyber-Versicherungen,
• die Prävention eines Blackouts durch den BSI-Standard 100-4.

Programm und Anmeldung:

Bundesamt für Sicherheit in der Informationstechnik
Veranstaltungen / 1. IT-Grundschutz-Tag 2020

BREDEX
Online IT-Grundschutztag

datensicherheit.de, 10.07.2020
ECSM: BSI koordiniert deutschlandweite Maßnahmen