Bundesverwaltung und Betreiber Kritischer Infrastrukturen sollen Public-Cloud-Dienste problemlos nutzen können

[datensicherheit.de, 06.04.2024] Laut einer aktuellen Meldung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist das BSI dem GovTech Campus in Berlin beigetreten: „Dieser fördert die Kollaboration zwischen Verwaltung, Technologie-Szene, Unternehmen, Wissenschaft und Zivilgesellschaft.“ Im Verbund mit Projektpartnern arbeitet das BSI demnach dort in einem „Cloud“-Reallabor daran, „Public Cloud“-Dienste für die Bundesverwaltung und Betreiber Kritischer Infrastrukturen (KRITIS) sicher nutzbar zu machen.

Foto: BSI

V.l.n.r.: David Steinacker (GovTech Campus) und Thomas Caspers (BSI)

Cloud-Beauftragter der DRV Bund leitet gemeinsame Arbeiten im Reallabor

Dabei gehe es unter anderem darum, die „Public Clouds“ großer „Cloud“-Serviceanbieter aus Deutschland und Europa und der sogenannten Hyperscaler aus den USA systematisch so zu erweitern, dass auch sensible und als „Verschlusssachen“ eingestufte Daten sicher dort abgelegt und verarbeitet werden können.

Neben Technologieanbietern und deutschen Behörden wie dem BSI und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) nähmen auch Sozialversicherungsträger wie die Deutsche Rentenversicherung (DRV Bund) an diesem Projekt teil. „Als ,Cloud’-Beauftragter der DRV Bund leitet Harald Joos die gemeinsamen Arbeiten im Reallabor.“

Schutz bis zum Geheimhaltungsgrad VS NfD / EU RESTRICTED / NATO RESTRICTED in Public Clouds

„Cloud“-Plattformen böten technologiebedingt wesentlich weitreichendere Detektionsmöglichkeiten für Cyber-Risiken als andere Architekturen. Um die damit verbundenen Chancen adäquat zu adressieren, entwickele das BSI unter Anwendung von Angreifer- und Bedrohungsmodellen Empfehlungen zur wirksamen Nutzung dieser Möglichkeiten. „Transparente Sicherheitsbewertungen, Empfehlungen und Regulierungen für den Einsatz von ,Cloud’-Technologien in der Bundesverwaltung und Kritischen Infrastrukturen machen zudem die verbleibenden Risiken beherrschbar.“

Ziel sei es zunächst, Daten und Dokumente bis zum Geheimhaltungsgrad „VS NfD / EU RESTRICTED / NATO RESTRICTED“ in „Public Clouds“ angemessen schützen zu können. Im Reallabor des GovTech Campus würden „Cloud“-Technologien mehrerer Anbieter unter realen Bedingungen auf Herz und Nieren geprüft.

Cloud Computing als Rückgrat und Treiber der Digitalisierung

„,Cloud Computing’ ist Rückgrat und Treiber der Digitalisierung in allen Bereichen, und damit ist ,Cloud’-Sicherheit unentbehrlich für die Resilienz moderner Informationstechnik“, betont Thomas Caspers, Abteilungsleiter „Technik-Kompetenzzentren“ im BSI.

Um eine sichere „Cloud“-Nutzung zu ermöglichen, liefere das BSI technologisch führende und unmittelbar einsatzfähige Lösungsbeiträge für das gesamte „Cloud“-Betriebsspektrum. Caspers erläutert abschließend: „Dabei steht im Mittelpunkt unseres Interesses als Cyber-Sicherheitsbehörde, Digitale Souveränität und Kritische Infrastrukturen krisenfest und gleichzeitig zukunftsfähig zu machen.“

Weitere Informationen zum Thema:

GovTech Campus Deutschland
Technologien für die Zukunft von Staat und Verwaltung

[datensicherheit.de, 28.03.2024] Laut einer aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es jetzt auch das „T-Sicherheitskennzeichen des BSI“ für Videokonferenz-Dienste. Dieses soll demnach Privatanwendern Orientierung mit Blick auf die Sicherheitseigenschaften von IT-Produkten bieten, zur Etablierung eines Basis-Sicherheitsniveaus auf dem Verbrauchermarkt beitragen und alltägliche Sicherheitsrisiken für Verbraucher adressieren. „Anbieter, deren Videokonferenz-Dienste die Basisanforderungen der DIN SPEC 27008 erfüllen, können das neue Kennzeichen ab sofort beantragen.“

BSI: Cyber-Sicherheit auf einem Einstiegslevel ganz pragmatisch für den Alltag

Spätestens seit der „Corona-Pandemie“ seien Videokonferenzen auch aus dem Privatalltag nicht mehr wegzudenken: Freunde und Familienmitglieder blieben so über Orts- und Ländergrenzen in Kontakt – Treffen per Videokonferenz seien praktisch und schnell organisiert. „Oft ist für Verbraucherinnen und Verbraucher dabei jedoch nicht transparent, welche Sicherheitseigenschaften die Videokonferenzdienste haben. Mit dem neuen Standard DIN SPEC 27008, der dem IT-Sicherheitskennzeichen als Anforderungsprofil zugrunde liegt, haben Videokonferenz-Anbieter sich erstmals auf ein Basis-Sicherheitsniveau verständigt.“

„Das IT-Sicherheitskennzeichen schafft für Verbraucherinnen und Verbraucher Transparenz zu IT-Produkten und -Diensten, indem es deren Sicherheitseigenschaften auf einen Blick erkennbar macht“, erläutert BSI-Präsidentin Claudia Plattner. So werde Cyber-Sicherheit auf einem Einstiegslevel ganz pragmatisch für den Alltag gestaltet. Anbieter von Videokonferenz-Diensten für Privatnutzer könnten das Kennzeichen ab sofort beantragen und damit zeigen, „dass ihr Angebot grundlegende IT-Sicherheitsanforderungen erfüllt“. Zugleich versicherten sie zügige Updates für mögliche Schwachstellen. Die Einhaltung der Sicherheitsanforderungen werde über die gesamte Laufzeit des Kennzeichens geprüft.

BSI hat Entstehungsprozess der DIN SPEC 27008 begleitet

Die DIN SPEC 27008 sei in einem Zeitraum von 18 Monaten von einem Anbieterkonsortium entwickelt worden. Das BSI habe den Prozess begleitet und den Standard nun als geeignet für das IT-Sicherheitskennzeichen anerkannt. „Die DIN SPEC 27008 adressiert mögliche Risiken für die Informationssicherheit und Privatsphäre von Nutzerinnen und Nutzern und beinhaltet technische Vorgaben, wie diese Risiken minimiert werden können.“ Adressiert werden laut BSI die Aspekte Account-Schutz, ein angemessenes Update- und Schwachstellen-Management, zeitgemäße Authentisierungsmechanismen, ein sicherer Rechenzentrumsbetrieb und weitere Sicherheitsfunktionen wie aktuelle Verschlüsselungstechnologien sowie Transparenz und Kontrolle während der Videokonferenz darüber, wer auf welche Weise zugeschaltet ist.

So müssten die vorkonfigurierten Standardeinstellungen neuer Meetings beinhalten, „dass diese privat (nicht öffentlich) erstellt werden und über schwer zu erratende Zugangsdaten abgesichert werden müssen“. Sie müssten zudem mit einer Warteraum-Funktionalität ausgestattet sein, so dass Moderatoren neu beigetretenen Teilnehmern den Zugang zum Meeting nur manuell gewähren. Videokonferenz-Dienste müssten überdies ermöglichen, alle Teilnehmer der Konferenz anzeigen zu lassen – der Beitritt neuer Teilnehmer müsse per Audio oder Videosignal klar erkennbar gemacht werden. Auftretende Schwachstellen seien unverzüglich den Nutzern sowie dem BSI zu melden und sogleich zu beheben. „Die DIN SPEC 27008 fordert zudem eine Transportverschlüsselung nach Stand der Technik (aktuelle Transportverschlüsselung nach BSI-TR-02102).“

Diensteanbieter verpflichteten sich gegenüber dem BSI zur konstanten Aufrechterhaltung der Anforderungen der DIN SPEC 27008

Im Rahmen der Erteilung des IT-Sicherheitskennzeichen prüften Anbieter ihre Produkte vor der Antragsstellung zunächst selbst auf Konformität. Alternativ könnten Antragsteller auch auf Prüfstellen mit der entsprechenden Kompetenz zurückgreifen. Nur in Einzelfällen darf von als „optional“ gekennzeichneten Anforderungen des Standards abgewichen werden. Diese Abweichungen müssten im Rahmen des Antrags auf ein IT-Sicherheitskennzeichen begründet werden. Diensteanbieter verpflichteten sich zur konstanten Aufrechterhaltung der Anforderungen der DIN SPEC 27008.

Im Rahmen der Marktaufsicht prüfe das BSI die Videokonferenz-Dienste über die gesamte Laufzeit von vier Jahren anlasslos (z.B. durch Stichproben) und anlassbezogen (z.B. bei Bekanntwerden von Schwachstellen) auf die Einhaltung der Anforderungen. Dabei könne das BSI selbst technische Prüfungen durchführen oder Prüfungen durch Prüfstellen durchführen lassen. Das IT-Sicherheitskennzeichen für Videokonferenzdienste könnten Anbieter ab sofort auf der betreffenden BSI-Webseite (s.u.) und zeitnah auch volldigital über das „OZG-Portal“ des Bundes beantragen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
IT-Sicherheitskennzeichen / Das IT-Sicherheitskennzeichen für Hersteller

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen / BSI TR-02102-1

[datensicherheit.de, 27.03.2024] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) meldet die Veröffentlichung einer Handreichung zum Thema „5G-Campusnetze“: Der Mobilfunkstandard 5G sei eine Schüsseltechnologie, welche sich zum größten Infrastrukturvorhaben des kommenden Jahrzehnts entwickele und die Digitalisierung von Staat, Wirtschaft und Gesellschaft auf eine vollkommen neue Basis stelle. Um Daten zu schützen und die Verfügbarkeit sogenannter 5G-Campusnetze zu gewährleisten, müssten sich die Anwender selbst um deren Absicherung kümmern. Eine jetzt veröffentlichte TeleTrusT-Handreichung soll sich nun an alle interessierten Unternehmen, Institutionen und Organisationen richten, welche bereits 5G-Netze produktiv oder als Testkonzept betreiben. Konkret angesprochen werden solle die Ebene der IT-Administration und IT-Leitung.

Potenzialreiche 5G-Technik kann Digitalisierung deutlichen Schub geben

5G-Technik habe das Potenzial, der Digitalisierung in den kommenden Jahren einen deutlichen Schub zu geben. „Um dies erfolgreich zu realisieren, muss die IT-Sicherheit ausreichend berücksichtigt werden. Die Sicherheit von öffentlichen 5G-Netzen soll in Deutschland durch Regulierung erreicht werden. Die IT-Sicherheit privater 5G-Netze ist dagegen freiwillig und liegt in der Verantwortung der Betreiber.“ Betreiber sogenannter 5G-Campusnetze müssten nur eine Nutzungslizenz für die Frequenzen bei der Bundesnetzagentur beantragen – weitere Auflagen an die Auswahl der Technik und minimaler IT-Sicherheitsmaßnahmen gebe es dagegen nicht.

Aktuell würden 5G-Campusnetze unter anderem in der Logistik für die Steuerung von führerlosen Transportsystemen, für die Vernetzung von IoT-Geräten (Internet der Dinge {und Dienste} / Internet-of-Things) in der Gebäudeautomation oder beim Produktionsprozess im industriellen Umfeld zur Steuerung und Überwachung von Maschinen und Robotern in Echtzeit verwendet. Aber auch im medizinischen oder landwirtschaftlichen Bereich fänden 5G-Campusnetze bereits Anwendung.

5G-Campusnetze erfordern in der Regel komplexes IT-Sicherheitsmanagment

5G-Campusnetze seien in der Regel komplex in Bezug auf ihre Architektur und die große Anzahl unterstützter Gerätetypen (IoT-Geräte). Dies könne potenziell eine Reihe von Angriffsvektoren eröffnen. In 5G-Netzen komme verstärkt auch Virtualisierung zum Einsatz, welche Flexibilität und Effizienz ermögliche. „Aber dies bringt auch neue Sicherheitsrisiken durch Schwachstellen in Virtualisierungstechnologien mit sich, z.B. nicht wirksame Separierung von Gastsystemen.“ Die Hardwarekomponenten eines 5G-Campusnetzes benötigten darüber hinaus einen adäquaten Schutz vor physischen Zugriffen.

Zur Eindämmung potenzieller Bedrohungen müssten in 5G-Campusnetzen geeignete IT-Sicherheitsmaßnahmen umgesetzt werden. Dazu gehörten unter anderem starke Authentifizierungs- und Verschlüsselungsverfahren, regelmäßige Überwachung des Netzwerkverkehrs, Netzwerksegmentierung und regelmäßige Sicherheitsupdates. „Die jetzt publizierte TeleTrusT-Handreichung dient hierbei als Orientierungshilfe. Neben einem Überblick zu Betriebsmodellen, Einsatz- und Bedrohungsszenarien ist der TeleTrusT-Handreichung ein ergänzender Fragenkatalog beigefügt. Dieser listet wichtige Fragen auf, die beim Aufbau und Betrieb eines 5G-Campusnetzes gestellt werden sollten, um bei der Auswahl der Technologie, des Anbieters und des Betriebsmodells auch die IT-Sicherheit zu berücksichtigen.“

Hilfsmittel für Institutionen und Unternehmen, um IT-Sicherheit privater 5G-Netze zu gewährleisten

Die Publikation wurde demnach in der TeleTrusT-AG „Smart Grids / Industrial Security“ erarbeitet. Sebastian Fritsch (secuvera GmbH), Koordinator der Erarbeitung, erläutert: „Neue 5G-Netzbetreiber erhalten mit der Handreichung eine praktische Fragenliste, um mit Anbietern neben funktionalen Aspekten auch die IT-Sicherheit noch vor der Beschaffung zu diskutieren.“ Die Autorengruppe habe Workshops mit Anwendern und Anbietern von 5G-Campusnetzen durchgeführt und einen niederschwelligen Einstieg in das Thema erstellt. Diese Handreichung richte sich primär an die IT-Verantwortlichen und Administratoren in Organisationen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe das Projekt unterstützt. Uwe Hoppenz, BSI-Fachbereichsleiter SZ3 (Cyber-Sicherheit in mobilen Infrastrukturen und Chiptechnologie), kommentiert: „Die bereitgestellte Handreichung dient als Hilfsmittel für Institutionen und Unternehmen, um die IT-Sicherheit ihrer privaten 5G-Netze von der Planungs- bis hin zur Betriebsphase zu gewährleisten.“

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
5G-Campusnetze

[datensicherheit.de, 25.03.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweist in einer aktuellen Meldung auf die problematische Lage der Cyber-Sicherheit in Arztpraxen – BSI-Studien zeigen demnach „dringenden Handlungsbedarf“ auf.

Gesundheitswesen: Cyber-Angriffe nehmen zu

Cyber-Angriffe auf das Gesundheitswesen nehmen zu – medizinische Einrichtungen würden immer häufiger das Ziel von Hacker-Angriffen. „Ein zentraler IT-Knotenpunkt unseres Gesundheitswesens ist die Telematikinfrastruktur (TI). Sie ist das Kommunikationsnetzwerk im deutschen Gesundheitssystem, wird regelmäßig kontrolliert und orientiert sich an strengen Spezifikationen.“

Die Sicherheitslage der IT-Infrastruktur von Arztpraxen in Deutschland hingegen werde bisher kaum erfasst, „obwohl sie essenziell für die Verarbeitung sensibler Daten und direkt an die TI angeschlossen sind“. Darum habe das BSI mit zwei aktuellen Studien eine Datengrundlage geschaffen, mittels derer die IT-Sicherheit von Arztpraxen schnell und nachhaltig erhöht werden könne.

SiRiPrax-Studie: Umsetzungsgrad der Richtlinie und Verbesserungspotenziale hinsichtlich Cyber-Sicherheit

In einer deutschlandweiten Umfrage habe das BSI einen Einblick in die Umsetzung der IT-Sicherheitsrichtlinie gem. § 75b SGB V in ca. 1.600 Arztpraxen gewinnen können. Die Richtlinie adressiere Voraussetzungen für die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung und umfasse auch Anforderungen an die sichere Installation und Wartung der in der vertragsärztlichen Versorgung genutzten Komponenten und Dienste der TI. „Ziel der Befragung war es, den Umsetzungsgrad der Richtlinie zu erheben und Verbesserungspotenziale zu identifizieren.“

Lediglich ein Drittel der Befragten habe eine vollständige Umsetzung aller mit der Richtlinie vorgegebenen Schutzmaßnahmen angegeben. „Gleichzeitig ergab die Befragung, dass zehn Prozent der Arztpraxen bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen waren.“

Zusätzlich habe sich gezeigt, „dass bei der aktuellen Fassung der IT-Sicherheitsrichtlinie Optimierungsbedarf bezüglich Verständlichkeit und konkreter Hilfestellungen bei der Umsetzung bestehen“. Zudem sei festgestellt worden, dass der Einsatz eines Informationssicherheitsbeauftragten in Arztpraxen sich unmittelbar positiv auf die IT-Sicherheit auswirke.

Ergebnisse der Studie CyberPraxMed weisen auf schwerwiegende Sicherheitsmängel hin

Parallel sei in einer Auswahl von 16 Arztpraxen eine Umfrage mit dem Ziel durchgeführt worden, Cyber-Risikofaktoren und Angriffsmöglichkeiten qualitativ zu erfassen. „Dafür wurden die Netzwerkstruktur, bereits vorhandene Sicherheitsvorkehrungen und der ,Faktor Mensch’, also personelle Aspekte, in den Blick genommen.“ Die Auswahl der Arztpraxen sei nach den Kriterien des Fachgebiets, der Anzahl der und Mitarbeiter sowie der geographischen Lage erfolgt.

Im Rahmen dieses Projekts habe das BSI teils schwerwiegende Sicherheitsmängel – unzureichender Schutz vor Schadsoftware, mangelndes Patchmanagement und fehlende Back-ups – festgestellt. „So befand sich in allen untersuchten Praxen der Konnektor zur Anbindung an die TI im Parallelbetrieb zu einem gewöhnlichen Router und konnte dadurch seine Schutzwirkung nicht vollständig entfalten.“ Zudem seien in keiner der befragten Praxen sensible Patientendaten durch eine Festplattenverschlüsselung geschützt gewesen.

„Ziel des Projekts ist es, Artpraxen einen Projektbericht, der die gefundenen Schwachstellen zusammen mit einer Risikobewertung und Handlungsempfehlungen auflistet, zur Verfügung zu stellen.“ Darin enthalten sei eine Handreichung mit pragmatischen, schnell umsetzbaren Maßnahmen, deren Umsetzung Ärzten die Möglichkeit biete, ihre Praxen mit geringem Aufwand robuster gegen Cyber-Angriffe zu machen.

Viele Cyber-Sicherheitsmängel könnten schnell und ressourcenschonend behoben werden

BSI-Präsidentin Claudia Plattner kommentiert: „Die gute Nachricht ist: Viele der Sicherheitsmängel, die wir festgestellt haben, können schnell und ressourcenschonend behoben werden. Die Ergebnisse aus den Studien ermöglichen uns, die IT-Sicherheit in Arztpraxen durch pragmatischere Vorgaben gezielt zu verbessern und so die Digitalisierung des Gesundheitswesens weiter voranzutreiben. Damit uns das gelingt, brauchen wir einen festen Schulterschluss zwischen allen Akteuren.“

Gelegenheit zum direkten Austausch mit dem BSI zum Themenkomplex „Digital Health“ gebe es auf der Gesundheits-IT-Fachmesse „DMEA“ vom 9. bis 11. April 2024 in Berlin. Am Messestand 105b in Halle 06.2 sollen Interessierte die Möglichkeit haben, sich zu aktuellen BSI-Aktivitäten rund um die TI und vernetzte Medizinprodukte sowie die Cyber-Sicherheit in Arztpraxen und im Rettungswesen zu informieren.

Weitere Informationen zum Thema:

datensicherheit.de, 07.03.2023
Freie Ärzteschaft warnt vor schutzlosen persönlichsten Medizindaten / Freie Ärzteschaft befürchtet Begehrlichkeiten der Pharma-Forschung, Gesundheitspolitik oder -wirtschaft

datensicherheit.de, 05.05.2020]
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

datensicherheit.de, 28.08.2019
Awareness in Arztpraxen: Datenpannen vermeiden / Sensibilisierung ist unabdingbar, aber nur die eine Seite der Medaille

BSI möchte gemeinsam mit Partnern KMU dabei unterstützen, ihre Cyber-Resilienz zu erhöhen

[datensicherheit.de, 24.03.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) möchte nach eigenen Angaben gemeinsam mit Partnern kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihre Cyber-Resilienz zu erhöhen – hierfür sei der „CyberRisikoCheck“ entwickelt worden: „Er bietet KMU eine standardisierte, bedarfsgerechte Beratung durch IT-Dienstleister.“ Das BSI – als die Cyber-Sicherheitsbehörde des Bundes – habe nun erstmals mehr als 60 IT-Dienstleister für die Anwendung des neuen Verfahrens geschult.

Foto: BSI

CyberRisikoCheck: BSI hat erstmals mehr als 60 IT-Dienstleister für die Anwendung des neuen Verfahrens geschult

KMU-Bedrohungslage im CyberSpace besorgniserregend

Die Bedrohungslage im sogenannten „CyberSpace“ sei besorgniserregend: „Die Anzahl der Angriffe auf Wirtschaftsunternehmen steigt stetig an und kriminelle Attacken verursachen Rekordschäden.“

Auch KMU seien zunehmend von Cyber-Attacken betroffen. Dabei würden sie meist nicht zielgerichtet zum Opfer, sondern von großflächig und automatisiert durchgeführten Angriffen getroffen. Viele KMU würden daher gerne mehr für ihre IT-Sicherheit tun, wüssten aber oftmals nicht wie.

Hinweis für KMU zur Umsetzung bzw. Beauftragung konkreter Maßnahmen

Der „CyberRisikoCheck“ soll demnach einem Unternehmen eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus ermöglichen und aufzeigen, welche konkreten Maßnahmen ein Unternehmen umsetzen bzw. bei einem IT-Dienstleister beauftragen sollte.

64 IT-Sicherheitsdienstleister aus ganz Deutschland hätten sich nun für die Durchführung des „CyberRisikoChecks“ in Bonn schulen lassen. Die Teilnahme an der Schulung sei Voraussetzung für die Nutzung einer Software, „die das BSI IT-Dienstleistern für die Durchführung des ,CyberRisikoChecks’ zur Verfügung stellt“. Das BSI gewinne aus dem Verfahren anonymisierte Erhebungsdaten, welche zur Generierung eines Informationssicherheitslagebildes für KMU genutzt würden.

Grundstein für KMU-Cyber-Sicherheitslagebild gelegt

„Der ,CyberRisikoCheck’ ist ein echtes Win-Win-Win-Produkt – für die kleinen Unternehmen, für die IT-Dienstleister und für das BSI“, betont die BSI-Präsidentin, Claudia Plattner. Damit sei nun der Grundstein für ein KMU-Cyber-Sicherheitslagebild gelegt worden – „und das ist ein wichtiger Schritt auf dem Weg zur Cyber-Nation Deutschland“.

Plattner freut sich, dass schon jetzt mehr als 120 weitere IT-Dienstleister ihr Interesse an einer Durchführung es „CyberRisikoChecks“ bekundet hätten. Weitere Schulungstermine seien in Vorbereitung und würden zeitnah durch das BSI veröffentlicht.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
CyberRisikoCheck / Wirkungsvoller Schutz für kleine und Kleinstunternehmen nach DIN SPEC 27076

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2023 / Ransomware ist und bleibt die größte Bedrohung

[datensicherheit.de, 07.03.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Mindeststandard für Webbrowser nun auch auf solche für mobile Plattformen ausgedehnt. „Webbrowser dienen als zentrale Software, um sich im Internet zu bewegen. Dabei verarbeiten sie auch Daten aus nicht vertrauenswürdigen Quellen, die schädlichen Code enthalten. Rechner, Handys und Tablets können sich so unbemerkt infizieren.“ Gleichzeitig nähmen die Funktionen und Schnittstellen von Webbrowsern stetig zu. Damit böten sie auch eine zunehmende Angriffsfläche für Cyber-Kriminelle. Die dynamische Entwicklung von Software-Produkten, die fortschreitende mobile Nutzung und die zentrale Rolle von Webbrowsern mache daher die Berücksichtigung aktueller Sicherheitsanforderungen notwendig.

Mindeststandard für Webbrowser in der neuen Version 3.0 veröffentlicht

Das BSI hat nun dazu den Mindeststandard für Webbrowser in der neuen Version 3.0 veröffentlicht. Für die Cyber-Nation Deutschland sei es wichtig, Cyber-Sicherheit aktiv zu gestalten. „Darum legen wir mit dem Mindeststandard die Anforderungen fest, die Webbrowser erfüllen müssen, um in der Bundesverwaltung eingesetzt zu werden – jetzt auch mobil!“, erläutert BSI-Präsidentin Claudia Plattner. Mit ihren Standards formulierten sie unter Beteiligung Dritter den Stand der Technik übersichtlich, einheitlich, praxisrelevant, unterstützend und zielgruppengerecht. Sie könnten also auch außerhalb der Bundesverwaltung als Maßstab dienen. „Damit erhöhen wir automatisch die Cyber-Resilienz in Deutschland.“

Wesentlich erweitert gegenüber der Vorgängerversion habe sich der Anwendungsbereich: Die neue Version gelte erstmals auch für Webbrowser auf mobilen Plattformen („mobile Browser“) der Bundesverwaltung. Der Mindeststandard enthalte entsprechende Hinweise und Ergänzungen, welche die technischen Besonderheiten mobiler Betriebssysteme berücksichtigten. So seien die Anforderungen sowohl auf Arbeitsplatzrechnern als auch auf mobilen Plattformen anwendbar.

Grundsätzlich kann jeder Webbrowser zum Einsatz kommen, der den Mindeststandard erfüllt

Zusammen mit dem Mindeststandard habe das BSI auch die zugehörige Browser-Abgleichstabelle aktualisiert. Diese diene als Arbeitshilfe für Anwender in der Bundesverwaltung. Diese beschreibe für die dort am häufigsten eingesetzten Webbrowser die Umsetzung der Mindeststandard-Anforderungen. Grundsätzlich könne aber jeder Webbrowser zum Einsatz kommen – „mit dem der Mindeststandard erfüllt werden kann“.

Der erstmals 2017 nach § 8 Abs. 1 BSIG veröffentlichte Mindeststandard für sichere Webbrowser richtet sich laut BSI in erster Linie an IT-Verantwortliche, IT-Betriebspersonal und Informationssicherheitsbeauftragte der Bundesverwaltung. Er könne aber auch Ländern, Kommunen sowie der Wirtschaft und Verbrauchern als Orientierung dienen. Weitere Mindeststandards, etwa für die Nutzung externer „Cloud“-Dienste oder das Mobile-Device-Management, sind auf der BSI-Website veröffentlicht. Das BSI hat nach eigenen Angaben einen Newsletter eingerichtet, „der über alle neuen Entwicklungen im Bereich der Mindeststandards informiert“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Mindeststandard des BSI für Webbrowser

Bundesamt für Sicherheit in der Informationstechnik
Mindeststandards des BSI nach § 8 Abs. 1 Satz 1 BSIG

[datensicherheit.de, 01.03.2024] In einer aktuellen Meldung geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seine Kooperation mit dem Deutschen Feuerwehrverband (DFV) ein: „Die Sicherheit von Informationen und Kommunikationssystemen bildet das Rückgrat effektiver Notfallreaktionen und trägt dazu bei, die öffentliche Sicherheit zu gewährleisten.“ Mit der zunehmenden Integration digitaler Systeme in den Arbeitsalltag von Feuerwehren und Leitstellen steige jedoch auch die Gefahr von Cyber-Bedrohungen. Das BSI warnt: „Cyber-Kriminelle nutzen immer raffiniertere Methoden, um Schwachstellen auszunutzen und sensible Informationen zu kompromittieren.“ Es sei daher unerlässlich, „dass Feuerwehren und Leitstellen proaktiv Maßnahmen ergreifen, um ihre IT-Infrastrukturen und Prozesse zu schützen“. Dazu gehöre zum Beispiel die regelmäßige Aktualisierung von Software und Betriebssystemen, die Implementierung von Firewalls und Antiviren-Programmen sowie die Sensibilisierung der Mitarbeiter für Cyber-Gefahren.

Stärkung der Informationssicherheit bei Feuerwehren mit niedrigschwelligem Ansatz

Die Zusammenarbeit mit Experten auf dem Gebiet der Informationssicherheit sei ein weiterer Schlüssel zur Stärkung der digitalen Verteidigung. Durch Schulungen und Beratungen könnten die Verantwortlichen in Feuerwehren und Leitstellen ihr Wissen erweitern und praxisnahe Lösungen implementieren, um potenzielle Risiken zu minimieren. Hierzu habe sich die „Arbeitsgruppe IT-Sicherheit“ des DFV und das BSI zusammengeschlossen – „um einen effizienten Einstieg in die Informationssicherheit für Feuerwehren zu schaffen“.

Das BSI erläutert: „Um effizient die Informationssicherheit in den Feuerwehren zu etablieren, wird ein niedrigschwelliger Ansatz gewählt. Dieser basiert auf dem ,Weg in die Basis-Absicherung’ für Kommunalverwaltungen und wurde für die Feuerwehren modifiziert.“ Mittels Prüffragen, zusammengefasst in themenspezifischen Checklisten, wird demnach die Möglichkeit geschaffen, den Stand der Informationssicherheit in den Feuerwehren und Leitstellen mit wenig Aufwand zu erheben, umzusetzende Anforderungen zu identifizieren und entsprechende Maßnahmen einzuleiten.

Weitreichendr Folgen eines Cyber-Angriffs auf Feuerwehren und Leitstellen

Gemeinsames Ziel von DFV und BSI bleibe – unter Berücksichtigung einer risikobasierten ganzheitlichen Betrachtung der strategisch wichtigen Infrastruktur mit entsprechenden Prozessen – eine tiefgreifende Informationssicherheit auf hohem Niveau zu etablieren. Hierzu zählten beispielsweise auch die Leitstellen, für welche das entsprechende IT-Grundschutz-Profil angewendet werden solle.

Die Folgen eines Cyber-Angriffs auf Feuerwehren und Leitstellen könnten weitreichend sein – von der Beeinträchtigung der Einsatzbereitschaft bis hin zu weiteren Gefahren für die öffentliche Sicherheit. Daher rufen der DFV und das BSI gemeinsam dazu auf, „die Informationssicherheit als integralen Bestandteil der Gesamtsicherheitsstrategie zu betrachten und entsprechende Maßnahmen zu ergreifen“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
IT-Grundschutz / Hilfsmittel von Anwendern

Bundesamt für Sicherheit in der Informationstechnik
Weg in die Basis-Absicherung (WiBA)

[datensicherheit.de, 02.11.2023] Laut einem aktuellen Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist die Lage der Cyber-Sicherheit in Deutschland „angespannt bis kritisch“, teilweise sogar „besorgniserregend“. Die Mehrheit der deutschen Unternehmen verschweige indes IT-Sicherheitsvorfälle – die Angst vor Reputationsschäden sei zu groß. In seiner Stellungnahme fordert der TÜV-Verband, das Bewusstsein für Cyber-Angriffe mittels Transparenz zu schärfen und den „Cyber Resilience Act“ voranzutreiben.

Bedrohung durch Cyber-Angriffe in Deutschland so hoch wie nie zuvor

Der aktuelle BSI-Lagebericht mache deutlich: „Die Bedrohung durch Cyber-Angriffe in Deutschland ist so hoch wie nie zuvor.“ Der TÜV-Verband fordert daher nach eigenen Angaben seit Jahren „eine Nachschärfung der gesetzlichen Vorgaben“, um die Cyber-Sicherheit des Staates, der Unternehmen und Organisationen sowie Verbraucher zu gewährleisten.

„Angesichts der hohen Bedrohungslage sind auch strenge gesetzliche Vorgaben für die Cyber-Sicherheit notwendig“, betont Marc Fliehe, Fachbereichsleiter für „Digitalisierung und Bildung“ beim TÜV-Verband. Dazu gehöre zum Beispiel der „Cyber Resilience Act“, welcher Standards für vernetzte Produkte schaffe, um die Widerstandsfähigkeit von Systemen gegen Cyber-Angriffe zu stärken. „Hier kommt es jetzt auf eine zügige Umsetzung an“, so Fliehe. Gesetzliche Vorgaben und Regulierungen würden zudem helfen, die Geschäftsleitungen für dieses Thema zu sensibilisieren.

Die meisten Unternehmen verschweigen Cyber-Attacken

Cyber-Angriffe seien eine allgegenwärtige Gefahr. Laut BSI-Lagebericht stellen Ransomware-Angriffe dabei die größte Bedrohung dar. Dies zeigten auch aktuelle Ereignisse wie der Angriff der Ransomware-Gruppe „Lockbit“ auf den US-Flugzeughersteller Boeing oder die Attacke auf die Hotelkette MotelOne. Die Folgen solcher Cyber-Angriffe reichten von finanziellen Verlusten und Reputationsschäden über die Beeinträchtigung der Arbeitsproduktivität von Mitarbeitern bis hin zum Ausfall von Diensten für Kunden oder der Veröffentlichung personenbezogener Daten.

„82 Prozent der deutschen Unternehmen, die in den vergangenen zwölf Monaten einen IT-Sicherheitsvorfall zu verzeichnen hatten, hielten diesen geheim.“ Das habe eine repräsentative Ipsos-Studie im Auftrag des TÜV-Verbands ergeben, „bei der rund 500 Unternehmen befragt wurden“. Nur 15 Prozent der Unternehmen hätten die Öffentlichkeit über den Vorfall informiert; vier Prozent davon, weil sie gesetzlich dazu verpflichtet seien. Dies sei zum Beispiel der Fall, wenn personenbezogene Daten abfließen. Fast drei Viertel der befragten Unternehmen hätten angegeben, dass sie es vermieden, einen Cyber-Sicherheitsvorfall öffentlich zu machen, weil sie einen Reputationsschaden befürchteten (74%). „Und das, obwohl 83 Prozent der Meinung sind, dass mehr Unternehmen Cyber-Sicherheitsvorfälle öffentlich machen sollten, um das Risikobewusstsein zu schärfen.“

Transparenz kann helfen, Bewusstsein für Cyber-Angriffe zu schärfen

Den meisten Unternehmen fehle es an Transparenz, wenn sie Opfer eines Cyber-Angriffs geworden sind. Dabei könne Transparenz sogar zur Cyber-Sicherheit beitragen. Das Publikmachen solcher Angriffe zeige anderen Betroffenen, „dass Cyber-Attacken ein weit verbreitetes Phänomen sind“.

Fliehe führt aus: „Täter und Opfer werden in der Wahrnehmung oft vertauscht“ –„auch, wenn ein Unternehmen ein hohes Maß an Sicherheitsvorkehrungen trifft, kann es Opfer eines Cyber-Angriffs werden“. Transparenz könne hier ein Umdenken bewirken. Unternehmen sollten eine aktive Informationspolitik betreiben und nicht zum Spielball von Hackern werden – Fliehe unterstreicht: „Wir brauchen eine Kultur, in der auch der öffentliche Umgang mit Cyber-Sicherheitsvorfällen selbstverständlich ist!“

Cyber-Sicherheit sollte eine Priorität für das Management sein

Cyber-Sicherheit sei nicht nur ein Thema für die IT-Abteilung eines Unternehmens, sondern sollte auch eine Priorität für das Management sein. Unternehmen sollten in moderne Hard- und Software investieren und sich gegebenenfalls von externen Experten beraten lassen. Auch Praxistests würden immer wichtiger, um Schwachstellen aufzudecken und in Notfallübungen den Ernstfall zu proben. Laut Fliehe ist es wichtig, alle Mitarbeiter gezielt zu schulen und zum Beispiel für Phishing-Angriffe zu sensibilisieren.

Neben der Prävention von Cyber-Angriffen sei es wichtig, Angriffe zu erkennen, schnellstmöglich zu reagieren und die IT-Systeme nach einem Sicherheitsvorfall wiederherzustellen. Um einen Angriff so schnell wie möglich abzuwehren, müsse bereits im Vorfeld klar sein, welche Maßnahmen in welcher Reihenfolge ergriffen werden müssen. „Hacker greifen auch gerne an Feiertagen an“, verdeutlicht Fliehe, „deshalb müssen Reaktionszeiten, Erreichbarkeiten und Kommunikationsabläufe vorher festgelegt werden“. Um hier routiniert agieren zu können, sollten Unternehmen den Ernstfall vorher geprobt haben.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2023

BSI-Zertifizierung soll Weg zur IT-Sicherheit erleichtern

[datensicherheit.de, 22.10.2023] Im Rahmen der IT-Sicherheits-Fachmesse „it-sa Expo&Congress 2023“ in Nürnberg hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach eigenen Angaben zwölf IT-Sicherheits-Zertifikate vergeben. Das BSI habe die Aufgabe, Zertifizierungen von IT-Produkten, -Komponenten und -Systemen durchzuführen. Die unabhängige Prüfung durch das BSI soll Vertraulichkeit, Authentizität und Verfügbarkeit transparent nachweisen.

Foto: BSI

v.l.n.r.: BSI-Präsidentin Claudia Plattner bei der Übergabe des Zertifikats an Dr. Stefan Hofschen (Vorsitzender der Geschäftsführung der Bundesdruckerei GmbH)

Zehn BSI-Zertifizierungen nach IT-Grundschutz

Mit dem IT-Grundschutz-Zertifikat des BSI könnten Unternehmen und Institutionen unter anderem belegen, „dass bei ihnen ein funktionierendes IT-Sicherheitsmanagement vorhanden ist und kontinuierlich weiterentwickelt wird“. Auf der „it-sa 2023“ habe das BSI mehrere IT-Grundschutz-Zertifikate vergeben:

So habe das Land Nordrhein-Westfalen für die zentrale Produktions- und Service-Stelle (ZPS) im Rechenzentrum der Finanzverwaltung ein IT-Grundschutz-Zertifikat des BSI erhalten. Diese Zertifizierung umfasse die IT-Infrastruktur mit den zentralen fachlichen Basisdiensten und -anwendungen der ZPS am Standort Düsseldorf.

Die „it-sa“-Gastgeberstadt Nürnberg habe das Zertifikat für die IT-Komponente „Netzübergang zum Verbindungsnetz des Bundes“ erhalten. Zu den Unternehmen, deren Produkte oder Dienstleistungen ebenfalls nach dem IT-Grundschutz des BSI zertifiziert wurden, zählten die sector27 GmbH, die noris network AG, die DATANET GmbH, die PwC Cyber Security Services GmbH, die Thüringer Netkom GmbH, die centron GmbH, die GEMINI DIRECT marketing solutions GmbH und die DB Schenker Deutschland AG.

Zwei BSI-Zertifizierungen nach Technischen Richtlinien

Neben der Zertifizierung im Hinblick auf IT-Sicherheitseigenschaften biete das BSI auch eine Zertifizierung nach Technischen Richtlinien (TR) an. Diese werde notwendig, „wenn über die Realisierung bestimmter Sicherheitseigenschaften hinaus die Erfüllung funktionaler Anforderungen für den Betrieb eines IT-Produktes oder -Systems gefordert ist“. In besonderem Maße gelte dies für IT-Produkte und -Systeme, „die für den Einsatz in sicherheitskritischen Bereichen der Bundesrepublik Deutschland vorgesehen sind“. Anforderungen an die elektronische Fälschungssicherheit, Betriebszuverlässigkeit oder Interoperabilität stehen dabei laut BSI „im Vordergrund“.

In diesem Zusammenhang habe die Bundesdruckerei GmbH eine Zertifizierung nach der Technischen Richtlinie BSI-TR 03105 für die im Auftrag des BMI entwickelte Komponente „Smart-eID Applet“ erhalten. Diese TR formuliere die Anforderungen an die Interoperabilität des elektronischen Personalausweises. Mit der BSI-Zertifizierung werde die Speicherung von Identitätsdaten auf dem Smartphone möglich. Nach der einmaligen Ableitung der Identitätsdaten von einem Personalausweis, elektronischen Aufenthaltstitel oder der eID-Karte für Unionsbürger könnten digitale Bürgerdienste, wie etwa KFZ-Zulassungen oder BAFöG-Anträge, über den Online-Identitätsnachweis mit der Ausweis.App bald genutzt werden, „ohne dass – wie bisher – zunächst das physische Dokument ausgelesen werden muss“.

Neben der Bundesdruckerei GmbH habe auch die Rhenus Docs to Data GmbH ein BSI-Zertifikat nach einer Technischen Richtlinie erhalten: „Die BSI-TR 03138 definiert die technischen Voraussetzungen für das sogenannte ersetzende Scannen.“ Bei der digitalen Erfassung von Papierbelegen sei die Aufbewahrung der Originale mit großem Aufwand verbunden. Beim ersetzenden Scannen werde das elektronische Abbild des Belegs aufbewahrt, so dass die papiernen Originale vernichtet werden könnten. Die Produktentwicklung nach der Technischen Richtlinie des BSI ermögliche eine zuverlässige, rechts- und IT-sichere technische Realisierung des ersetzenden Scannens.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03105 Conformity Tests for Official Electronic ID Documents

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03138 Ersetzendes Scannen (RESISCAN)

datensicherheit.de, 10.10.2023
BSI-Präsidentin: Deutschland sollte Cyber-Nation werden / Claudia Plattner fordert intensiven Austausch angesichts der hohen und immer komplexer werdenden Cyber-Bedrohungslage

BSI bietet ersten wesentlichen Schritt in Richtung systematischer Informationssicherheit

[datensicherheit.de, 20.10.2023] Cyber-Angriffe auf Kommunen haben laut einer aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) jüngst wiederholt zu weitreichenden Folgen für die Betroffenen geführt: „Auch Bürgerinnen und Bürger sind mittelbar von den Folgen erfolgreicher Cyber-Angriffe auf Kommune betroffen, etwa durch fehlende staatliche Dienstleistungen.“ Das BSI bietet demnach Kommunen nun einen unkomplizierten und ressourcenschonenden Einstieg in den etablierten IT-Grundschutz des BSI.

Abbildung: BSI

WiBA: Weg in die Basis-Absicherung

Kommunen können mit BSI-Checklisten mittels Prüffragen und zugehörigen Hilfsmittel dringlichste Maßnahmen selbst identifizieren und umsetzen

Mit dem „Weg in die Basis-Absicherung“ (WiBA) könnten Kommunen anhand von Checklisten mit einfachen Prüffragen und zugehörigen Hilfsmittel die dringlichsten Maßnahmen selbst identifizieren und umsetzen. So könne ein erster, aber wesentlicher Schritt in Richtung systematischer Informationssicherheit erfolgen.

BSI-Checklisten für fundamental Sicherheitsanforderungen relevanter Bereiche der Informationssicherheit

Die Checklisten deckten fundamentale Sicherheitsanforderungen für relevante Bereiche der Informationssicherheit ab, welche bei der Absicherung vorrangig betrachtet und tatsächlich umgesetzt werden müssten. Dazu gehörten technisch orientierte Checklisten wie beispielsweise Serversysteme oder Backups, aber auch organisatorisch orientierte wie Vorbereitung für IT-Sicherheitsvorfälle.

BSI möchte Hürde zur Umsetzung anerkannter Standards der Informationssicherheit senken

Ziel des WiBA sei es, die Hürde zur Umsetzung von anerkannten Standards der Informationssicherheit, insbesondere des IT-Grundschutzes, zu verringern. Mit dem neuen Einstiegslevel könnten Kommunen ein Schutzniveau aufbauen, welches sie im Anschluss nahtlos zum IT Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ weiterentwickeln könnten.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Weg in die Basis-Absicherung (WiBA)