[datensicherheit.de, 19.02.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt kleinen und mittleren Flughäfen ein „IT-Grundschutz-Profil“ zu Verfügung, welches demnach in Zusammenarbeit mit Experten für die zivile Luftfahrt in einem BSI-Arbeitskreis erstellt wurde: Es diene als Empfehlung und Handreichung, welche Betreibern von Flughäfen „eine wirkungsvolle Umsetzung eines IT-Sicherheitskonzepts ermöglicht“.

Abbildung: BSI

BSI stellt „IT-Grundschutz-Profil für kleine und mittlere Flughäfen“ zur Verfügung (s.u.)

BSI-Arbeitskreis hat als ersten Schritt einer Workshop-Reihe vorliegendes „IT-Grundschutz-Profil“ erarbeitet

Zur Erstellung gemeinsamer Mindestanforderungen im Sinne einer Erhöhung der Resilienz bei kleinen und mittleren Flughäfen habe der BSI-Arbeitskreis eine Workshop-Reihe veranstaltet, aus der in einem ersten Schritt das vorliegende „IT-Grundschutz-Profil“ hervorgegangen sei. Es enthalte Empfehlungen für eine Mindestabsicherung kleiner und mittlerer Flughäfen in der Bundesrepublik Deutschland.

An Flughäfen träfen unterschiedliche Unternehmen und Dienstleister aufeinander, welche eine Vielzahl von Infrastrukturen wie Hangar, Wartungseinrichtungen für Flugzeuge, Abfertigungsanlagen am Boden für Fracht, Luftverkehrskontrolle und auch Serviceeinrichtungen für Passagiere (Terminals, Restaurants, Geschäfte, Lounges und Sicherheitsdienste) betrieben.

„IT-Grundschutz-Profil“ des BSI als Anleitung zum strukturierten Erstellen eines IT-Sicherheitsprozesses

„Ohne eine performante IT-Infrastruktur sind moderne Flughäfen nicht betreibbar!“ Für alle sicherheitsrelevanten Prozesse, Systeme und Daten müssten dabei Verfügbarkeit, Integrität und Vertraulichkeit stets sichergestellt sein. Ein sicherer Umgang mit Informationen zwischen allen Unternehmen am Flughafen sei für die geordnete Passagier- und Frachtabwicklung essenziell. „Dies trifft sowohl für die Flugsicherheit (safety) als auch für die Luftsicherheit (security) zu.“

Das „IT-Grundschutz-Profil“ dient laut BSI als Anleitung zum strukturierten Erstellen eines IT-Sicherheitsprozesses. Es handele sich um ein Muster-Sicherheitskonzept, welches als Schablone für Unternehmen mit vergleichbaren Rahmenbedingungen dienen solle. „Die ersten Schritte, die nach dem IT-Grundschutz zu gehen sind, sind in diesem Muster pauschalisiert, so dass es allen interessierten Flughafenbetreibern möglich sein sollte, mit Hilfe des ,IT-Grundschutz-Profils’ die Standardabsicherung zu erreichen.“ Im Jahr 2025 solle ein „IT-Grundschutz-Baustein“ für Förderanlagen erarbeitet werden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 19.02.205
IT-Grundschutz-Profil für kleine und mittlere Flughäfen

[datensicherheit.de, 22.10.2023] Im Rahmen der IT-Sicherheits-Fachmesse „it-sa Expo&Congress 2023“ in Nürnberg hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach eigenen Angaben zwölf IT-Sicherheits-Zertifikate vergeben. Das BSI habe die Aufgabe, Zertifizierungen von IT-Produkten, -Komponenten und -Systemen durchzuführen. Die unabhängige Prüfung durch das BSI soll Vertraulichkeit, Authentizität und Verfügbarkeit transparent nachweisen.

Foto: BSI

v.l.n.r.: BSI-Präsidentin Claudia Plattner bei der Übergabe des Zertifikats an Dr. Stefan Hofschen (Vorsitzender der Geschäftsführung der Bundesdruckerei GmbH)

Zehn BSI-Zertifizierungen nach IT-Grundschutz

Mit dem IT-Grundschutz-Zertifikat des BSI könnten Unternehmen und Institutionen unter anderem belegen, „dass bei ihnen ein funktionierendes IT-Sicherheitsmanagement vorhanden ist und kontinuierlich weiterentwickelt wird“. Auf der „it-sa 2023“ habe das BSI mehrere IT-Grundschutz-Zertifikate vergeben:

So habe das Land Nordrhein-Westfalen für die zentrale Produktions- und Service-Stelle (ZPS) im Rechenzentrum der Finanzverwaltung ein IT-Grundschutz-Zertifikat des BSI erhalten. Diese Zertifizierung umfasse die IT-Infrastruktur mit den zentralen fachlichen Basisdiensten und -anwendungen der ZPS am Standort Düsseldorf.

Die „it-sa“-Gastgeberstadt Nürnberg habe das Zertifikat für die IT-Komponente „Netzübergang zum Verbindungsnetz des Bundes“ erhalten. Zu den Unternehmen, deren Produkte oder Dienstleistungen ebenfalls nach dem IT-Grundschutz des BSI zertifiziert wurden, zählten die sector27 GmbH, die noris network AG, die DATANET GmbH, die PwC Cyber Security Services GmbH, die Thüringer Netkom GmbH, die centron GmbH, die GEMINI DIRECT marketing solutions GmbH und die DB Schenker Deutschland AG.

Zwei BSI-Zertifizierungen nach Technischen Richtlinien

Neben der Zertifizierung im Hinblick auf IT-Sicherheitseigenschaften biete das BSI auch eine Zertifizierung nach Technischen Richtlinien (TR) an. Diese werde notwendig, „wenn über die Realisierung bestimmter Sicherheitseigenschaften hinaus die Erfüllung funktionaler Anforderungen für den Betrieb eines IT-Produktes oder -Systems gefordert ist“. In besonderem Maße gelte dies für IT-Produkte und -Systeme, „die für den Einsatz in sicherheitskritischen Bereichen der Bundesrepublik Deutschland vorgesehen sind“. Anforderungen an die elektronische Fälschungssicherheit, Betriebszuverlässigkeit oder Interoperabilität stehen dabei laut BSI „im Vordergrund“.

In diesem Zusammenhang habe die Bundesdruckerei GmbH eine Zertifizierung nach der Technischen Richtlinie BSI-TR 03105 für die im Auftrag des BMI entwickelte Komponente „Smart-eID Applet“ erhalten. Diese TR formuliere die Anforderungen an die Interoperabilität des elektronischen Personalausweises. Mit der BSI-Zertifizierung werde die Speicherung von Identitätsdaten auf dem Smartphone möglich. Nach der einmaligen Ableitung der Identitätsdaten von einem Personalausweis, elektronischen Aufenthaltstitel oder der eID-Karte für Unionsbürger könnten digitale Bürgerdienste, wie etwa KFZ-Zulassungen oder BAFöG-Anträge, über den Online-Identitätsnachweis mit der Ausweis.App bald genutzt werden, „ohne dass – wie bisher – zunächst das physische Dokument ausgelesen werden muss“.

Neben der Bundesdruckerei GmbH habe auch die Rhenus Docs to Data GmbH ein BSI-Zertifikat nach einer Technischen Richtlinie erhalten: „Die BSI-TR 03138 definiert die technischen Voraussetzungen für das sogenannte ersetzende Scannen.“ Bei der digitalen Erfassung von Papierbelegen sei die Aufbewahrung der Originale mit großem Aufwand verbunden. Beim ersetzenden Scannen werde das elektronische Abbild des Belegs aufbewahrt, so dass die papiernen Originale vernichtet werden könnten. Die Produktentwicklung nach der Technischen Richtlinie des BSI ermögliche eine zuverlässige, rechts- und IT-sichere technische Realisierung des ersetzenden Scannens.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03105 Conformity Tests for Official Electronic ID Documents

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03138 Ersetzendes Scannen (RESISCAN)

datensicherheit.de, 10.10.2023
BSI-Präsidentin: Deutschland sollte Cyber-Nation werden / Claudia Plattner fordert intensiven Austausch angesichts der hohen und immer komplexer werdenden Cyber-Bedrohungslage

[datensicherheit.de, 20.10.2023] Cyber-Angriffe auf Kommunen haben laut einer aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) jüngst wiederholt zu weitreichenden Folgen für die Betroffenen geführt: „Auch Bürgerinnen und Bürger sind mittelbar von den Folgen erfolgreicher Cyber-Angriffe auf Kommune betroffen, etwa durch fehlende staatliche Dienstleistungen.“ Das BSI bietet demnach Kommunen nun einen unkomplizierten und ressourcenschonenden Einstieg in den etablierten IT-Grundschutz des BSI.

Abbildung: BSI

WiBA: Weg in die Basis-Absicherung

Kommunen können mit BSI-Checklisten mittels Prüffragen und zugehörigen Hilfsmittel dringlichste Maßnahmen selbst identifizieren und umsetzen

Mit dem „Weg in die Basis-Absicherung“ (WiBA) könnten Kommunen anhand von Checklisten mit einfachen Prüffragen und zugehörigen Hilfsmittel die dringlichsten Maßnahmen selbst identifizieren und umsetzen. So könne ein erster, aber wesentlicher Schritt in Richtung systematischer Informationssicherheit erfolgen.

BSI-Checklisten für fundamental Sicherheitsanforderungen relevanter Bereiche der Informationssicherheit

Die Checklisten deckten fundamentale Sicherheitsanforderungen für relevante Bereiche der Informationssicherheit ab, welche bei der Absicherung vorrangig betrachtet und tatsächlich umgesetzt werden müssten. Dazu gehörten technisch orientierte Checklisten wie beispielsweise Serversysteme oder Backups, aber auch organisatorisch orientierte wie Vorbereitung für IT-Sicherheitsvorfälle.

BSI möchte Hürde zur Umsetzung anerkannter Standards der Informationssicherheit senken

Ziel des WiBA sei es, die Hürde zur Umsetzung von anerkannten Standards der Informationssicherheit, insbesondere des IT-Grundschutzes, zu verringern. Mit dem neuen Einstiegslevel könnten Kommunen ein Schutzniveau aufbauen, welches sie im Anschluss nahtlos zum IT Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ weiterentwickeln könnten.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Weg in die Basis-Absicherung (WiBA)

[datensicherheit.de, 06.09.2020] Der berühmt-berüchtigte „Faktor Mensch“ – über diesen erfolgen laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) z.B. Phishing, „CEO-Fraud“ und andere Versuche von Cyber-Kriminellen, im großen Stil an Daten einzelner oder von Firmen zu gelangen. Aus diesem Grund soll der erste „IT-Grundschutztag 2020“ des BSI den Menschen – ob im Home-Office oder im Büro – in den Mittelpunkt stellen. Bedingt durch „Corona“ werde diese Veranstaltung virtuell durchgeführt. Die Vorträge werden demnach live über „Vimeo“ gestreamt – den Link via E-Mail hierzu gebe es nach der Anmeldung.

Abbildung: BSI

„IT-Grundschutztag“ am 10.09.2020 – dem Faktor Mensch gewidmet

Angriffsrisiko senken – Sicherheit für Menschen maximieren

Gemeinsam mit der BREDEX GmbH zeigt das BSI nach eigenen Angaben am 10. September 2020 auf, „welche Lösungsansätze der IT-Grundschutz beinhaltet, um die Risiken durch Cyber-Angriffe zu reduzieren und die Sicherheit der Mitarbeiterinnen und Mitarbeiter, nicht Opfer eines solchen Betrugsversuches zu werden, zu maximieren“.

Menschen machen Fehler…

„Menschen machen Fehler, das ist ganz normal. Diese Fehler sollten aber nicht dazu führen, dass Schaden für das Unternehmen entsteht, etwa durch Datenabfluss, Know-how-Diebstahl oder unautorisierte Geldtransfers. Der ,Faktor Mensch‘ ist deswegen ein wesentlicher Bestandteil jedes nachhaltigen Sicherheitskonzepts“, betont Arne Schönbohm, Präsident des BSI.

BSI-Ansatz: Aus potenziellem Risikofaktor Mensch einen Sicherheitsfaktor machen!

Viele Unternehmen sagten, „dass sie mehr wissen möchten, wie sie sich davor schützen können, durch Unachtsamkeit oder immer besser konstruiertes Phishing Opfer von Straftaten zu werden“. Schönbohm erklärt den BSI-Ansatz: Aus dem potenziellen „Risikofaktor Mensch“ gelte es einen „Sicherheitsfaktor“ zu machen. Dabei komme es auch darauf an, auf die Bedürfnisse der Unternehmen und Betriebe je nach Größe einzugehen. „Der BSI-Dauerschlager IT-Grundschutz bietet hierfür diverse Handlungsmöglichkeiten“, so der BSI-Präsident.

IT-Grundschutztag 2020 zum Faktor Mensch

Die Teilnahme an dieser Online-Veranstaltung ist nach Angaben der Veranstalter kostenlos, eine Anmeldung indes erforderlich.

Themen (ohne Gewähr): u.a.

• die Tricks und Techniken eines „Social-Engineers“,
• die unterschätzte Gefahr durch Innentäter,
• die Risikoreduktion durch Cyber-Versicherungen,
• die Prävention eines Blackouts durch den BSI-Standard 100-4.

Programm und Anmeldung:

Bundesamt für Sicherheit in der Informationstechnik
Veranstaltungen / 1. IT-Grundschutz-Tag 2020

BREDEX
Online IT-Grundschutztag

datensicherheit.de, 10.07.2020
ECSM: BSI koordiniert deutschlandweite Maßnahmen

[datensicherheit.de, 30.09.2019] Trotz aller Vorsicht und Maßnahmen im Kontext eines IT-Sicherheits-Konzeptes gegen Cyber-Attacken könne es dennoch zum „digitalen Gau“ kommen, wenn Cyber-Kriminelle in Unternehmensnetzwerke eindringen, warnt Reiner Matthiessen, Geschäftsführer der m2solutions EDV-Service GmbH, und betont: „Wir empfehlen zusätzlich Cyber-Versicherungen, die aus unterschiedlichen Maßnahmen-Paketen bestehen und individuell auf die Begebenheiten einer Unternehmens-IT passen.“ Eine Cyber-Versicherung könne die finanziellen Folgen eines Hacker-Angriffs mindern, doch nur 36 Prozent der befragten Unternehmen für die „Cyber-Studie 2019“ würden den Umfang einer solchen Versicherung kennen. „Hier herrscht noch Aufklärungsbedarf“, sagt Matthiessen.

Erkenntnisse aus der aktuellen „Cyber-Studie 2019“

Für einen Großteil der deutschen Unternehmen habe das Thema Cyber-Risikomanagement deutlich an Bedeutung gewonnen: 94 Prozent sehen demnach Cyber-Risiken als „relevant“ an. 86 Prozent fänden die Möglichkeit, Cyber-Risiken in eine eigene Versicherungspolice zu transferieren, „sinnvoll“.

Dokumentation und fortwährende Umsetzung der IT-Security-Maßnahmen

Dabei bestehen laut Matthiessen nach wie vor Unsicherheiten, was die Abgrenzung zu bestehenden Maßnahmen im IT-Schutz angeht: Denn es müsse die Risikoeinschätzung, aber auch eine quantitative Bewertung von Schadensszenarien als Vorleistung eigenständig übernommen werden, um eine Cyber-Versicherung in Anspruch zu nehmen. „Die Dokumentation und fortwährende Umsetzung der IT-Security-Maßnahmen sorgfältig und gewissenhaft abzudecken, ist für ein Unternehmen alleine fast nicht darstellbar und benötigt Unterstützung eines Systemhauses“, so sein Rat.

IT-Mindeststandards wie das regelmäßige Updaten der Software

Für kleine und mittlere Unternehmen (KMU) gebe es je nach Versicherung unterschiedliche Bedingungen, „die vorab erfüllt werden müssen, damit eine Versicherung abgeschlossen werden kann“. Dabei handele es sich in der Regel um IT-Mindeststandards wie das regelmäßige Updaten der Software, damit keine Sicherheitslücke entsteht, oder die Mitarbeitersensibilisierung.

Mitwirkungs- und Sorgfaltspflichten laufend erfüllen

Die bereits vorab getätigten IT-Maßnahmen würden durch eine Risikoeinschätzung identifiziert und nach ihrer Wirkung beurteilt, „damit der Versicherungsschutz passgenau ist und alles Notwendige abdeckt – die Mitwirkungs- und Sorgfaltspflichten müssen laufend erfüllt werden, damit der Versicherungsschutz aufrecht erhalten bleibt“.

Kombination aus umfassendem IT-Grundschutz und Cyber-Versicherung sinnvoll

Eine Cyber-Versicherung bewahre Unternehmen vor dem Schicksal, eigene große Summen nach einem Cyber-Angriff zu investieren. „Sie besteht in der Regel aus einer Kombination einer Haftpflichtversicherung, einer Betriebsausfallversicherung und einer Datenversicherung für Dritt- und Eigenschäden in Form von Vermögensschäden.“ Zugleich biete eine Cyber-Police wichtige Serviceleistungen. Die helfen laut Matthiessen vor allem KMU, denen das entsprechende Know-how oft fehlt. Sein Fazit: „Die Kombination aus einem umfassenden IT-Grundschutz und einer Cyber-Versicherung ist eine sinnvolle Lösung.“

Weitere Informationen zum Thema:

m2GUARD
DAS LEISTET EINE CYBERVERSICHERUNG

datensicherheit.de, 02.09.2019
Cyber-Risiko: KMU schützen sich nicht ausreichend

[datensicherheit.de, 09.07.2018] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 9. Juli 2018 gemeldet, dass das IT-Dienstleistungszentrum Berlin (ITDZ) das erste Zertifikat auf Basis des neuen IT-Grundschutz-Kompendiums des BSI erhalten hat. Neben dem sicheren Betrieb der Standard-Arbeitsplätze der Berliner Verwaltung und der Umsetzung des Informationssicherheitsmanagementsystem (ISMS) des ITDZ Berlin seien auch die IKT-Basisdienste Gegenstand der Untersuchung gewesen.

Beispiel für eine Anwendung mit hohem Schutzbedarf

Zu den Basisdiensten zählten auch die Netzwerktechnik zur verschlüsselten Kommunikation insbesondere über das Berliner Landesnetz, die Anbindung an Fremdnetze sowie die private Cloud-Infrastruktur, die Rechenzentren und Dienstgebäude des ITDZ Berlin. Das interne Fachverfahren LKG mit den notwendigen IT-Komponenten diene als Beispiel für eine Anwendung mit hohem Schutzbedarf.

Cyber-Sicherheit als Grundlage für Vertrauen

„Cyber-Sicherheit ist die Grundlage für das Vertrauen in die Dienstleistungen von Staat und Wirtschaft. Gerade Kommunen verarbeiten viele sensible Daten ihrer Bürger, für die sie daher eine besondere Verantwortung tragen. Das BSI bietet mit dem IT-Grundschutz ein hervorragendes Instrument für Kommunen und ihre Dienstleister, ihre Informationssicherheit auf einem hohen Niveau zu etablieren“, so BSI-Präsident Arne Schönbohm.
Auch die Allianz für Cyber-Sicherheit sei eine „gute Anlaufstelle“ und könne diesen Prozess mit vielen weiteren hilfreichen Maßnahmen unterstützen.

„ISO 27001“-Zertifikat auf Basis von „IT-Grundschutz“

Das Zertifikat sei nach der Umsetzung von Informationssicherheitsmaßnahmen aufgrund des BSI-Standards 200-2 „IT-Grundschutz-Methodik“ und des IT-Grundschutz-Kompendiums des BSI, Edition 2018, erteilt worden. Dieses „ISO 27001“-Zertifikat auf der Basis von „IT-Grundschutz“ bestätige, dass der Informationsverbund des Dienstleistungsunternehmens durch die Anwendung des IT-Grundschutzes abgesichert werde.
Der Informationsverbund beziehungsweise das Informationssicherheitsmanagementsystem erfülle die Anforderungen nach ISO 27001. Zudem bestätige das Zertifikat die erfolgreiche Umsetzung der technischen und organisatorischen Anforderungen der IT-Grundschutz-Methodik. Das IT-Grundschutz-Kompendium diene seit dem 1. Februar 2018 als Grundlage für Zertifizierungen nach ISO 27001 auf Basis von „IT-Grundschutz“.
Als Einstieg für Kommunen in die Umsetzung des IT-Grundschutz hätten die kommunalen Spitzenverbände zudem ein IT-Grundschutz-Profil für Kommunen veröffentlicht.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 17.05.2018
IT-Grundschutz-Profil: Basis-Absicherung Kommunalverwaltung

datensicherheit.de, 11.10.2017
BSI: IT-Grundschutz-Modernisierung erfolgreich abgeschlossen

datensicherheit.de, 12.07.2011
Sicherheitskonzepte nach IT-Grundschutz für Behörden: BSI zertifiziert weiteren IT-Sicherheitsdienstleister

[datensicherheit.de, 17.05.2017] Anlässlich des „15. Deutschen IT-Sicherheitskongresses“ hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach eigenen Angaben den neuen Leitfaden zur IT-Grundschutz-Vorgehensweise „Basis-Absicherung“ vorgestellt.

In drei Schritten zur Informationssicherheit

Der „Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit“ richtet sich laut BSI an kleine und mittlere Unternehmen (KMU) sowie kleinere Behörden und soll einen kompakten und übersichtlichen Einstieg zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) liefern. Der Leitfaden basiere auf dem BSI-Standard 200-2 zur IT-Grundschutz-Methodik und erläutere elementare Schritte zur Überprüfung und Steigerung des Informationssicherheitsniveaus.

Für ein Mindestmaß an Informationssicherheit

„Der neue Leitfaden ist der ideale Einstieg für Institutionen, die sich mit grundlegenden Fragen der Informationssicherheit befassen wollen. Unser Anspruch als nationale Cyber-Sicherheitsbehörde ist es, erfolgreich Informationssicherheit zu gestalten. Dazu gehört auch, die Anwender in Staat, Wirtschaft und Gesellschaft nicht allein zu lassen, sondern ihnen praktikable Handlungsempfehlungen zur Verfügung zu stellen“, erläutert BSI-Präsident Arne Schönbohm. Mit diesen könnten sie ein „Mindestmaß an Informationssicherheit auf Basis des modernisierten IT-Grundschutzes über alle Geschäftsprozesse und Fachverfahren hinweg“ umsetzen.

Anwender zur Mitwirkung aufgerufen!

Der neue Leitfaden steht als „Community Draft“ zum Download auf der Website des BSI zur Verfügung. Anwender sind vom BSI aufgerufen, per E-Mail unter grundschutz [at] bsi [dot] bund [dot] de Anregungen und Hinweise zu diesem Leitfaden abzugeben. Diese sollen dann in dessen Weiterentwicklung einfließen.

Modernisierter IT-Grundschutz

Seit seiner Einführung im Jahr 1994 werde der IT-Grundschutz des BSI permanent weiterentwickelt und gelte mittlerweile als Referenzwerk für Informationssicherheit in Deutschland. Die Vorgehensweisen nach „IT-Grundschutz“ böten zusammen mit dem „IT-Grundschutz-Kompendium“ eine systematische Methodik zur Erarbeitung von Sicherheitskonzepten und praxiserprobten Sicherheitsmaßnahmen, die in zahlreichen Behörden und Unternehmen seit vielen Jahren erfolgreich eingesetzt würden.
Derzeit unterziehe das BSI den IT-Grundschutz einer Modernisierung, insbesondere in Bezug auf Vorgehensweisen, auf eine Neuausrichtung der IT-Grundschutz-Profile sowie auf eine Verschlankung der Bausteine, was insgesamt eine „Beschleunigung der Umsetzung von praxisnahen IT-Sicherheitsmaßnahmen“ ermöglichen soll.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
BSI-Standards – Methoden, Verfahren und Prozesse zur Informationssicherheit / BSI-Standard 200-1 zu Managementsystemen für Informationssicherheit

datensicherheit.de, 20.09.2016
photokina 2016: BSI informiert über Sicherheitsmaßnahmen für Kameras

[datensicherheit.de, 23.07.2013] In einer aktuellen Stellungnahme weist die softScheck GmbH aus Sankt Augustin darauf hin, dass seit über zehn Jahren das gesamte Internet nicht nur weltweit vollständig überwacht werde, alle Kommunikationsvorgänge würden protokolliert, aufgezeichnet, ausgewertet, nicht nur bei personenbezogenen Daten (Datenschutz), sondern es werde intensiv Wirtschaftsspionage betrieben – und das nicht nur von einem Staat, sondern von allen (!) Industriestaaten und von Staaten, die Wirtschaftsspionage bezahlen können. „PRISM“, „StellarWind“, „EvilOlive“, „Tempora“, „ECHELON“ etc. seien also nur Kürzel für Wirtschaftsspionage, und es gebe weitere Spionageprogramme.
Die aktuelle Diskussion um die internationale Telefon- und Internetüberwachung führe uns einmal mehr vor Augen, wozu Informationstechnik (IT) ganz legal eingesetzt wird – sicherheitsbewusste Unternehmen hätten bereits reagiert und erhöhten ihr IT-Sicherheitsniveau, den Widerstandswert ihrer Sicherheitssysteme, um sich stärker gegen Abhören (Spionage) und Manipulation ihrer Daten und Prozesssteuerungen (Sabotage) zu schützen. Basis für Sicherheitsmaßnahmen sei in jedem Fall der Grundschutz nach BSI bzw. die internationale Normenfamilie ISO 27000 – aber auch nur die Basis.

Die softScheck GmbH benennt die nach ihrer Ansicht wichtigsten zehn zusätzlichen Sicherheitsmaßnahmen:

1. Datensparsamkeit
   Nur unverzichtbar notwendige Daten dürfen in IT-Systemen und Netzwerken gespeichert und übertragen werden. Die wertvollsten Daten gehören auf stand-alone Systeme – ohne Anschluss an das Internet.
2. Anschlüsse an das Internet einschränken
   Ausschließlich hoch abgesicherte Computer und Netze dürfen an andere interne und externe Netze oder gar an das Internet angeschlossen werden.
3. Soziale Netzwerke
   Besonders stark von Nachrichtendiensten überwacht werden Soziale Netzwerke, weil darin (fast) alle Informationen über die Teilnehmer erhältlich sind, bis hin zu Fotos von unterschiedlichen Ereignissen. Es muss im Unternehmen geprüft werden, ob die Nutzung für den Geschäftserfolg wirklich notwendig ist.
4. Suchmaschinen
   Auch wenn der gesamte Internetverkehr überwacht wird, können in vielen Fällen anonymisierende Suchmaschinen wie die deutsche Suchmaschine „Metager2“, „ixquick“, „Scroogle“, „StartPage“ oder die US-Suchmaschine „DuckDuckGo“ ausreichen, um ein Abhören der Interessengebiete zu erschweren. Zumindest sollte die Individualisierungsfunktion der jeweils benutzten Suchmaschine abgeschaltet werden.
5. Verschlüsselung
   Auch wenn wohl alle modernen Verschlüsselungsverfahren geknackt werden, sollte zur Erhöhung des Sicherheitsniveaus jede Kommunikation über das Internet verschlüsselt werden. Beachtenswert ist die Qualität der Verschlüsselungsprogramme – lange Schlüssel, die nach jeder Nachricht gewechselt werden. Gerade im Kryptobereich muss vor der Entscheidung für ein Produkt eine detaillierte Funktionsprüfung durchgeführt werden.
6. Zugriffskontrolle, Identity Management
   Berechtigte dürfen nur die geringstmöglichen Zugriffsrechte erhalten. Das Management der Zugriffsberechtigungen selbst bedarf eines hohen Sicherheitsniveaus. Alle Zugriffe auf wertvolle Daten müssen protokolliert und sorgfältig ausgewertet werden.
7. Qualität von Sicherheitsprogrammen
   Die wichtigsten Programme – insbesondere die Sicherheitsprogramme – müssen auf Hintertüren (covert functions) und Sicherheitslücken – vor allem auf bislang nicht veröffentlichte Sicherheitslücken (Zero-Day-Vulnerabilities) – überprüft werden und die identifizierten Sicherheitslücken müssen auch behoben (gepatcht) werden. Anderenfalls sind die IT-Systeme „offen wie ein Scheunentor“ für Nachrichtendienste und Spionage-treibende Mitbewerber. Diese Angriffstechnik „Ausnutzung bisher unveröffentlichter Sicherheitslücken“ beherrschen – neben dem klassischen Abhören – Sicherheitsbehörden auch von Drittstaaten sowie größere kriminelle Organisationen.
8. Software-Entwicklung
   Sicherheit beginnt im Software-Entwicklungsprozess beim Entwurf der Software mit Untersuchung des Security Designs auf fehlende Sicherheitsmaßnahmen: „Threat Modeling“. Die Implementierung muss mit „Static Source Code Analysis“ und dann mit „Penetration Testing“ überprüft werden. Den unverzichtbaren Abschluss der Software-Entwicklung bildet „Dynamic Analysis – Fuzzing“: Es werden in das zu untersuchende Programm erfahrungsgemäß erfolgreiche Angriffsdaten eingespeist; wenn das Zielprogramm anomal reagiert, wird diese Programmstelle von Experten untersucht. Die Methoden klingen einfach – sind aber nur durch den Einsatz vieler Tools (weltweit werden über 300 angeboten) wirkungsvoll, kostengünstig und schnell!
9. Outsourcing
   Unter Sicherheitsaspekten muss jede Auslagerung von Daten aus dem Unternehmen ständig und umfassend technisch kontrolliert werden:
   • Wer hat welche Zugriffsberechtigungen (Mitarbeiter des Dienstleisters? Wie können Zugriffe Unberechtigter erschwert werden?)
   • Kann die Sicherheitsqualität der Maßnahmen von den Unternehmens-eigenen Mitarbeitern eprüft und bewertet werden?
10. Falsche Empfehlungen
    • Nationale Internetdienste
      In Europa oder besser Deutschland angesiedelte Internetdienste nutzen: Dies verbessert nur die rechtliche Situation wegen des höheren Datenschutzniveaus, ergibt aber keinerlei höheres technisches Sicherheitsniveau.
    • Clouds
      Zwar können Daten verschlüsselt übertragen und gespeichert werden – allerdings müssen sie zur Verarbeitung unverzichtbar entschlüsselt werden. Es muss sorgfältig überprüft werden, welche Sicherheitsmaßnahmen zur Erreichung der Verfügbarkeit, der Vertraulichkeit und der Integrität implementiert sind und vor allem muss die Implementierungsqualität in public und hybrid Clouds geprüft werden!
    • ByoD – Bring your own Device
      Bis 2017 sollen Mitarbeiter in mehr als der Hälfte aller Unternehmen ihre eigenen mobilen Geräte mitbringen. Die mit ByoD verbundenen Bedrohungen u.a. durch Zero-Day-Vulnerabilities und covert Functions (nicht-dokumentierte Funktionen) in Apps werden mit unabsehbaren Folgen völlig unterschätzt.

Weitere Inforationen zum Thema:

softScheck GmbH
Kostengünstige Identifizierung von Sicherheitslücken

[datensicherheit.de, 16.10.2011] IT-Sicherheit funktioniert im Unternehmen nur, wenn die dafür Verantwortlichen Rückendeckung durch das Top-Management bekommen. Eine weltweite Umfrage von KASPERSKY lab habe nun aber ergeben, dass vor allem das Interesse von Spitzenkräften, die keine fachlichen IT-Aufgaben haben, am Thema IT-Sicherheit zu wünschen übrig lasse:
63 Prozent der Befragten seien demnach der Meinung, dass ihr Top-Management mehr Interesse an IT-Sicherheit zeigen müsste – in Deutschland sei die Situation mit 56 Prozent etwas besser. Auch, dass IT-Sicherheit noch längst nicht in allen Unternehmen angekommen sei, zeigt diese aktuelle Umfrage. So sei in 30 Prozent der Unternehmen noch nicht einmal der grundlegende Malware-Schutz komplett eingerichtet. Dies bedeute in der Praxis, dass die Firmen zwar oft Virenscanner nutzten, aber entweder fehlten wichtige Module wie „Anti-Spyware“ oder es seien nicht alle Computer mit Malware-Schutz ausgestattet. Beispielsweise schützten viele Unternehmen zwar ihre „Windows“-Desktops, während die „Macs“ in der Graphikabteilung oder die eingesetzten Smartphones dagegen ohne Schutz seien. Daher sollten Führungskräfte mehr IT-Sicherheitsbewusstsein zeigen und klare Regeln setzen.
Die Umfrage wurde in Kooperation mit dem globalen Marktforschungsinstitut B2B International durchgeführt. Insgesamt seien 1.300 IT-Verantwortliche aus Deutschland, den USA, Brasilien, Großbritannien, Frankreich, Spanien, Italien, Russland, China, Japan und Indien befragt worden. Alle Befragten hätten Einfluss auf die IT-Sicherheitspolitik ihres Unternehmens und beschäftigten sich professionell mit IT-Sicherheitsbelangen sowie allgemeinen Geschäftsprozessen (zum Beispiel Finanzen und „Human Resources“). Die Umfrage sei nicht repräsentativ.
KASPERSKY lab erklärt in einem aktuellen Artikel „Unternehmen vernachlässigen Grundschutz“, was man beim Grundschutz des Firmennetzwerks beachten sollte und wie man darauf weitere Sicherheitsfunktionen aufbaut – dieser steht zum Download bereit.

Weitere Informationen zum Thema:

KASPERSKY lab
Unternehmen vernachlässigen Grundschutz

[datensicherheit.de, 15.10.2010] Auf der it-sa 2010 werden am 21. Oktober 2010 die Ergebnisse der Studie „IT-Sicherheitsstandards und IT-Compliance“ präsentiert:
Dargestellt wird, wie IT-Sicherheitsstandards, darunter der IT-Grundschutz, in Unternehmen eingesetzt werden, welche Vorteile daraus entstehen und welche Wünsche von Seiten der Anwender vorliegen. Die Befragung, initiert von der Zeitschrift „Informationsdienst IT-Grundschutz“, wurde in Zusammenarbeit mit ibi research und dem BSI durchgeführt.

© SecuMedia Verlags GmbH

Präsentation der Studie IT-Sicherheitsstandards und IT-Compliance
am Donnerstag, dem 21. Oktober 2010, 12.45-13.45 Uhr in Halle 12, Forum „Rot“

Als Experten stehen zur Beantwortung von Fragen Dr. Stefan Kronschnabl, ibi research GmbH, Elmar Török, Chefredakteur „Informationsdienst IT-Grundschutz“, und Matthias Keßler, Bereichsleiter E-Government der secunet Security Networks AG zur Verfügung.

Weitere Informationen zum Thema:

datensicherheit.de, 11.10.2010
datensicherheit.de ist Medienpartner der it-sa 2010 in Nürnberg / Interessierte Besucher herzlich zu einem Gespräch auf dem Messestand eingeladen

it-sa
Die IT-Security-Messe it-sa 2010