Bundesamt für Sicherheit in der Informationstechnik

Mehr Cyber-Sicherheit für das Handwerk

Datum 11.07.2018

In Zusammenarbeit mit dem Kompetenzzentrum Digitales Handwerk (KDH) des Zentralverbands des Deutschen Handwerks (ZDH) und der Handwerkskammer Münster hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Vertreterinnen und Vertreter von Handwerkbetrieben und Handwerksorganisationen zu einem Cyber-Sicherheitstag der Allianz für Cyber-Sicherheit (ACS) nach Münster eingeladen. Unter dem Motto "Cyber-Risiken erkennen, Schutzmaßnahmen ergreifen" informierten sich am 11. Juli 2018 rund 110 Teilnehmerinnen und Teilnehmer über aktuelle Risiken und Lösungsansätze für Handwerksbetriebe im Bereich der IT-Sicherheit. Themen der Veranstaltung waren unter anderem die neue Datenschutzgrundverordnung und ihre Umsetzung, die Sicherheit von Unternehmens-Webseiten, IT-Sicherheit am Arbeitsplatz, Cyber-Versicherungen sowie praktikable Schutzmaßnahmen bei der Nutzung von Smartphones oder E-Mail.

"Immer mehr Handwerksbetriebe digitalisieren ihr Geschäft und setzen für mehr Effizienz und Effektivität vernetzte IT-Systeme ein. Dies trägt jedoch nur dann zu einem erfolgreichen Geschäftsbetrieb bei, wenn diese Systeme verlässlich funktionieren und gegen Cyber-Angriffe und andere IT-Sicherheitsvorfälle geschützt sind. Viel zu oft schon führte eine simple Ransomware-Infektion dazu, dass Handwerksbetriebe und andere KMU Insolvenz anmelden mussten. Viele haben die Notwendigkeit erkannt, sich vor Cyber-Risiken zu schützen, allerdings finden gerade kleinere Betriebe häufig nicht den Einstieg in die Umsetzung. Im Rahmen der Allianz für Cyber-Sicherheit sorgen wir dafür, dass sich dies ändert", erklärt BSI-Präsident Arne Schönbohm.

"Mit den Möglichkeiten der Digitalisierung steigern viele Handwerksbetriebe ihre Wettbewerbsfähigkeit. Umso wichtiger wird für sie Cyber-Sicherheit. Unsere Kooperation mit dem BSI hilft ihnen dabei. Dabei ist es unser gemeinsamer Anspruch, Betriebe aller Gewerke und Größen zu erreichen und gemeinsam passgenaue Lösungen zu entwickeln, die umittelbar weiterhelfen und die auch von Anwenderinnen und Anwendern mit wenig ausgeprägter IT-Expertise leicht umgesetzt werden können", erklärt ZDH-Präsident Hans Peter Wollseifer.

BSI und KDH stellten im Rahmen des Cyber-Sicherheitstags verschiedene Maßnahmen für mehr Cyber-Sicherheit vor, die Handwerksbetrieben unmittelbar weiterhelfen können. Unter anderem stehen unter https://www.handwerkdigital.de praxisorientierte Hinweise zur Umsetzung von Cyber-Sicherheitsmaßnahmen für Handwerksbetriebe zur Verfügung. Zudem haben das Kompetenzzentrum Digitales Handwerk des ZDH und die ACS ein Konzept zur Schulung von Multiplikatoren entwickelt. Ziel ist es, Ansprechpersonen in den Kammern und Verbänden zu unterstützen, auf regionaler Ebene Handwerksbetriebe zu Themen der Cyber-Sicherheit zu sensibilisieren und bei Bedarf auch Kontakt zu fachlichen Ansprechstellen zu vermitteln.

Im Rahmen des Cyber-Sicherheitstags wurde darüber hinaus das "IT-Grundschutz-Profil für Handwerkskammern" vorgestellt, das im Rahmen der Kooperation des ZDH mit dem BSI entstanden ist. Ein IT-Grundschutz-Profil ist ein Muster-Sicherheitskonzept, das als Schablone für Unternehmen mit vergleichbaren Rahmenbedingungen dient, beispielsweise in einer bestimmten Branche. Derzeit arbeiten Vertreter aus Handwerksorganisationen an weiteren branchenspezifischen Sicherheitskonzepten für Handwerksbetriebe. Bis November 2018 sind zwei Workshops für die Erstellung eines Musterprofils geplant, das im Anschluss an einzelnen Gewerke angepasst werden soll. Durch die IT-Grundschutz-Profile wird der IT-Grundschutz des BSI als bewährte Methode für Unternehmen aller Branchen und Größen nutzbar.

BSI Pressemitteilung vom 11.07.2018

Erstes Zertifikat nach modernisiertem IT-Grundschutz-Kompendium für Berliner Verwaltung

Datum 09.07.2018

Das IT-Dienstleistungszentrum Berlin (ITDZ) hat das erste Zertifikat auf Basis des neuen IT-Grundschutz-Kompendiums des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten. Neben dem sicheren Betrieb der Standard-Arbeitsplätze der Berliner Verwaltung und der Umsetzung des Informationssicherheitsmanagementsystem (ISMS) des ITDZ Berlin waren auch die IKT-Basisdienste Gegenstand der Untersuchung. Zu den Basisdiensten zählen auch die Netzwerktechnik zur verschlüsselten Kommunikation insbesondere über das Berliner Landesnetz, die Anbindung an Fremdnetze sowie die private Cloud-Infrastruktur, die Rechenzentren und Dienstgebäude des ITDZ Berlin. Das interne Fachverfahren LKG mit den notwendigen IT-Komponenten dient als Beispiel für eine Anwendung mit hohem Schutzbedarf.

Dazu erklärt BSI-Präsident Arne Schönbohm: "Cyber-Sicherheit ist die Grundlage für das Vertrauen in die Dienstleistungen von Staat und Wirtschaft. Gerade Kommunen verarbeiten viele sensible Daten Ihrer Bürger, für die sie daher eine besondere Verantwortung tragen. Das BSI bietet mit dem IT-Grundschutz ein hervorragendes Instrument für Kommunen und ihre Dienstleister, ihre Informationssicherheit auf einem hohen Niveau zu etablieren. Auch die Allianz für Cyber-Sicherheit ist eine gute Anlaufstelle und kann diesen Prozess mit vielen weiteren hilfreichen Maßnahmen unterstützen."

Das Zertifikat wurde nach der Umsetzung von Informationssicherheitsmaßnahmen aufgrund des BSI-Standards 200-2 "IT-Grundschutz-Methodik" und des IT-Grundschutz-Kompendium des BSI, Edition 2018 erteilt. Das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz bestätigt, dass der Informationsverbund des Dienstleistungsunternehmens durch die Anwendung des IT-Grundschutzes abgesichert wird. Der Informationsverbund beziehungsweise das Informationssicherheitsmanagementsystem erfüllt die Anforderungen nach ISO 27001. Zudem bestätigt das Zertifikat, dass die technischen und organisatorischen Anforderungen der IT-Grundschutz-Methodik erfolgreich umgesetzt wurden. Das IT-Grundschutz-Kompendium dient seit dem 1. Februar 2018 als Grundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz.

Als Einstieg für Kommunen in die Umsetzung des IT-Grundschutz haben die kommunalen Spitzenverbände zudem ein IT-Grundschutz-Profil für Kommunen veröffentlicht.

BSI Pressemitteilung vom 09.07.2018

BSI veröffentlicht Mindeststandard zur Mitnutzung externer Cloud-Dienste

Datum 05.07.2018

Der Einsatz von Cloud-Diensten ist wegen der Vielfalt an Anwendungsmöglichkeiten auch in der Bundesverwaltung längst Alltag. So greifen in Projekten oder Arbeitsgruppen IT-Anwender auf externe Clouds zu, die etwa von Partnerorganisationen betrieben oder eingekauft werden. Für die Behörde besteht dann im Gegensatz zur direkten Nutzung externer Cloud-Dienste kein Vertragsverhältnis zum Diensteanbieter, die Cloud wird mitgenutzt. Für Daten mit entsprechendem Schutzbedarf muss aber beim Einsatz einer Cloud-Lösung die Informationssicherheit eine zentrale Rolle spielen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher nun einen Mindeststandard zur Mitnutzung externer Cloud-Dienste veröffentlicht.

"Die Einforderung und Umsetzung von Sicherheitsanforderungen ist ein wichtiger Aspekt bei der Inanspruchnahme von Cloud-Diensten. Die Mitnutzung von Cloud-Angeboten, die durch Drittparteien zur Verfügung gestellt werden, war bislang nicht ausreichend geregelt. Mit dem nun vorgestellten Mindeststandard schließen wir diese Lücke und tragen damit ein gutes Stück zur Erhöhung des IT-Sicherheitsniveaus in der Bundesverwaltung bei", so BSI-Präsident Arne Schönbohm.

Der nun durch das BSI auf der gesetzlichen Grundlage von § 8 Abs. 1 BSIG veröffentlichte Mindeststandard zur Mitnutzung externer Cloud-Dienste sorgt dafür, dass Entscheidungen im Vorfeld einer Mitnutzung externer Cloud-Dienste einen transparenten Ablauf haben und dadurch ein definiertes Mindestsicherheitsniveau erreicht wird. Gleichzeitig veröffentlicht das BSI umfangreiche Umsetzungshinweise, durch die IT-Verantwortliche, IT-Sicherheitsbeauftragte und IT-Betriebspersonal konkrete Informationen zur korrekten Interpretation und Umsetzung erhalten. Mit der Veröffentlichung setzt das BSI ein weiteres Signal zum Thema Sicherheitsanforderungen auf dem Cloud-Markt. Die im Mindeststandard enthaltenen Anforderungen können auch Behörden der Länder und Kommunen sowie Unternehmen als Leitfaden für die eigene Inanspruchnahme von Cloud-Angeboten dienen.

Beide Mindeststandards zu externen Cloud-Diensten, die Umsetzungshinweise und eine Erhebung zur Nutzung externer Cloud-Dienste in Bundesbehörden haben wir hier gebündelt zusammengestellt.

BSI Pressemitteilung vom 05.07.2018

Partnerangebot: Web Application Security – die neuen OWASP Top 10 2017

Datum 05.07.2018

Anhand der neuen OWASP Top 10 2017 demonstriert sic[!]sec in einem ganztägigen Seminar häufig beobachtete Schwachstellen in Webanwendungen und passende Gegenmaßnahmen.

In diesem ganztägigen Seminar am 24. Juli 2018 werden Sicherheitsrisiken in Webanwendungen anhand der OWASP Top 10 anschaulich dargestellt – mit entsprechenden Querverweisen auf den IT-Grundschutz-Baustein für Webanwendungen. Dabei werden selbstverständlich auch jeweils geeignete Schutzmaßnahmen vorgestellt. Das Seminar basiert auf den OWASP Top 10 2017, die vor Kurzem die Version 2013 abgelöst haben.

Die Veranstaltung wird für Teilnehmer der Allianz für Cyber-Sicherheit kostenfrei angeboten.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.

16. Deutscher IT-Sicherheitskongress: Call for Papers gestartet

Datum 28.06.2018

BSI ruft Unternehmen, Behörden, Forschungseinrichtungen und Studierende zur Teilnahme auf

Unter dem Motto "IT-Sicherheit als Voraussetzung für eine erfolgreiche Digitalisierung" findet vom 21. bis 23. Mai 2019 in Bonn der 16. Deutsche IT-Sicherheitskongress statt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft Unternehmen, Behörden, Forschungseinrichtungen und Studierende auf, sich mit aktuellen, kreativen und praxisnahen Beiträgen an der Gestaltung des Kongresses zu beteiligen. Einsendeschluss für die Beiträge ist der 31. August 2018.

Die Beiträge sollten sich beispielsweise mit einem der folgenden Themengebiete der IT-Sicherheit auseinandersetzen:

  • 5G-Technologie, Mobile Kommunikation
  • Automotive Security
  • Blockchain / Distributed-Ledger-Technologie
  • Cloud Computing Security
  • Cyber-Angriffe: Trends, Prävention, Detektion und Reaktion
  • Digitaler Verbraucherschutz
  • Digitalisierung der Verwaltung
  • Industrie 4.0, Industrial Control Systems (ICS)
  • Internet of Things (IoT)
  • Maschinelles Lernen, Künstliche Intelligenz (KI)
  • Post-Quantum-Kryptographie, Quantencomputer
  • Schutz Kritischer Infrastrukturen
  • Security by Design
  • Sichere Identitäten
  • Sicherheit im Zahlungsverkehr der Zukunft
  • Zertifizierung und Zulassung in der Digitalisierung

Auch zu anderen Themen der IT-Sicherheit können Autoren ihre Beiträge per E-Mail unter papers2019@bsi.bund.de einreichen. Die Vorschläge werden von einem hochkarätig besetzten Programmbeirat anonym begutachtet und bewertet. Die besten Einreichungen werden für den Kongress ausgewählt. Die Kriterien für die Vortragseinreichung stehen zusammen mit weiteren Informationen zum Kongress auf der Webseite des BSI unter https://www.bsi.bund.de/cfp2019 zur Verfügung.

BSI Pressemitteilung vom 28.06.2018

Sicherheit von Industrieanlagen: BSI veröffentlicht Snort-Regeln für SIS-Netzwerke

Datum 26.06.2018

Zum besseren Schutz vor Cyber-Angriffen mit Schadsoftware wie "Triton/Trisis/HatMan" hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) sogenannte Snort-Regeln für das TriStation-Kommunikationsprotokoll der Firma Schneider Electric veröffentlicht. Das Protokoll kommt in Sicherheitssystemen für industrielle Anlagen (Safety Instrumented SystemsSIS) zum Einsatz, insbesondere auch in der Chemischen Industrie weltweit, und wird unter anderem zur Diagnose, Konfiguration und Programmierung von Safetycontrollern des Herstellers eingesetzt. Snort ist ein Intrusion-Detection-System zur Analyse von Netzwerkverkehr und zur Protokollierung von Datenpaketen in Echtzeit, das als freie Software erhältlich ist und mithilfe von Signaturen – sogenannten Snort-Regeln – erweitert werden kann. Die Anwendung der Snort-Regeln ist eine zusätzliche Möglichkeit zur Detektion von Cyber-Angriffen und ergänzt die weiterhin notwendigen IT-Sicherheitsmaßnahmen nach dem Stand der Technik.

Bei einem im Dezember 2017 bekannt gewordenen Cyber-Angriff mit Triton/Trisis/HatMan auf ein SIS einer Industrieanlage im Nahen Osten wurden für die Übertragung der Schadsoftware auf die Safetycontroller gültige TriStation-Befehle eingesetzt. Unter anderem an diesem Punkt setzen die vom BSI gemeinsam mit Partnern wie FireEye und NCCIC entwickelten Regeln an. So lösen gültige Pakete, die nicht von bzw. zu einer autorisierten Maschine oder in ungewöhnlich hoher Anzahl oder Frequenz gesendet werden, einen Alarm aus. Diese Alarme können an eine zentrale Stelle weitergeleitet und dort bearbeitet werden. Zudem wird der Versand gültiger Pakete, die wichtige Funktionen beeinflussen können, geloggt. Diese Logs können automatisch an ein Security Information and Event Management (SIEM) weitergeleitet werden, welches ebenfalls Zugriff auf das Change Management System des Unternehmens hat. Durch den Abgleich mit dem Change Management System kann auf der Ebene des SIEM entschieden werden, ob es sich um eine gültige, intendierte Aktion oder einen zu untersuchenden Vorfall handelt.

Weitere Informationen und Details zu den Snort-Regeln stehen auf der Webseite des BSI unter https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/ICS/Tools/RAPSN_SETS/RAPSN_SETS_node.html zur Verfügung. Die als RAPSN SETS (Recognizing Anomalies in Protocols of Safety Networks: Schneider Electric‘s TriStation) bezeichneten Regeln wurden unter der Mozilla Public License Version 2.0 veröffentlicht. Neben dem TriStation-Protokoll gibt es weitere Kommunikationsprotokolle, die in SIS-Netzwerken eingesetzt werden. Im Austausch mit der "Interessengemeinschaft Automatisierungstechnik der Prozessindustrie" (NAMUR) sowie der Fachcommunity prüft das BSI die Erstellung weiterer Snort-Regeln für andere Protokolle. Zudem erarbeitet das BSI derzeit im Rahmen des IT-Grundschutz einen Baustein zum Thema SIS. Dieser steht als Community Draft auf der BSI-Webseite zum Download und zur Kommentierung zur Verfügung.

BSI Pressemitteilung vom 26.06.2018

Handelsverband Deutschland und BSI vereinbaren langfristige Zusammenarbeit - HDE wird Multiplikator der Allianz für Cyber-Sicherheit.

Datum 25.06.2018

Durch die Erhöhung des Schutzniveaus vor Cyber-Angriffen im deutschen Einzelhandel die Verfügbarkeit von Handelswaren aller Art für die Verbraucherinnen und Verbraucher sicherzustellen – das ist das Ziel einer Vereinbarung, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Handelsverband Deutschland (HDE) getroffen haben. Ein entsprechendes Memorandum of Understanding haben BSI-Präsident Arne Schönbohm und HDE-Präsident Josef Sanktjohanser heute in Berlin unterzeichnet und damit die Grundlage für eine langfristig angelegte Kooperation gelegt. Zudem wird der HDE der Allianz für Cyber-Sicherheit (ACS), einer Initiative des BSI, beitreten und sich als Multiplikator der ACS in den branchenübergreifenden Dialogprozess zur Cyber-Sicherheit einbringen.

Handelsverband Deutschland und BSI vereinbaren langfristige Zusammenarbeit HDE-Präsident Josef Sanktjohanser (l.) und BSI-Präsident Arne Schönbohm (r.) bei der Unterzeichnung des Memorandums of Understanding Quelle: HDE/Santiago Engelhardt

"Die aktuelle Gefährdungslage ist geprägt von einer neuen Qualität von Cyber-Angriffen und IT-Sicherheitsvorfällen, die die Grundfesten der Informationssicherheit erschüttern. Nicht zuletzt wegen seines bereits sehr hohen Digitalisierungsgrades ist auch der Einzelhandel einem erhöhten Risiko ausgesetzt, das sich in unterbrochenen Lieferketten und Umsatzeinbußen niederschlägt, etwa aufgrund von nicht erreichbaren Webseiten oder gefälschten Rechnungen. Als nationale Cyber-Sicherheitsbehörde haben wir ein Interesse daran, gemeinsam mit dem Handelsverband Deutschland die IT-Sicherheit im Einzelhandel zu verbessern und den digitalen Wandel in dieser wichtigen Branche erfolgreich zu gestalten. Die Zusammenarbeit mit dem HDE ist daher ein starkes Signal an den Handel, aber auch an die Verbraucherinnen und Verbraucher, für ein Stück mehr Versorgungssicherheit in Deutschland," erklärt BSI-Präsident Arne Schönbohm.

HDE-Präsident Josef Sanktjohanser erklärt: "Mit der Digitalisierung wandelt sich der Handel zur Technologiebranche. Cyber-Sicherheit ist deshalb für unsere Unternehmen ein absolutes Muss. Die IT-Systeme von Shops und Lieferketten müssen gut geschützt sein und gleichzeitig den optimalen Kundenservice mit maximaler Effizienz bieten. Gerade kleinere mittelständische Unternehmen tun sich aber oft noch schwer, die notwendige Expertise aufzubauen. Deshalb soll die gemeinsame Initiative mit dem BSI die Unternehmer sensibilisieren und praktikable Wege aufzeigen. Kein Händler kann es sich mehr leisten, bei Cybersicherheit nicht optimal aufgestellt zu sein."

Im Rahmen der Zusammenarbeit wird das BSI gemeinsam mit dem HDE den Verbandsmitgliedern vielfältige Angebote zur Verfügung stellen, mit denen die Unternehmen ihr Verständnis für Cyber-Risiken verbessern und Maßnahmen zur Steigerung der Widerstandsfähigkeit gegen Cyber-Angriffe umsetzen können. Der Maßnahmenplan für die kommenden Monate sieht unter anderem Aktivitäten zur Sensibilisierung von Handelsunternehmen sowie Serviceangebote für die Landes-, Regional- und Bundesfachverbände vor. Branchenspezifische Empfehlungen für konkrete Umsetzungsmaßnahmen sollen es insbesondere auch den kleinen und mittelständischen Handelsunternehmen erleichtern, die Informationssicherheit im Betrieb Schritt für Schritt zu erhöhen. Um ein detaillierteres Bild der IT-Sicherheitslage im Einzelhandel zu erhalten, bringt sich der HDE mit seinen Mitgliedsunternehmen zudem verstärkt in die "Cyber-Sicherheits-Umfrage" ein, die das BSI im Rahmen der ACS durchführt.

BSI Pressemitteilung vom 25.06.2018

Partnerangebot: Webinar zu E-Mail-Verschlüsselung und Efail

Datum 25.06.2018

Was sollten Unternehmen über die kürzlich aufgedeckten Schwachstellen in der Verschlüsselung von E-Mails wissen? Dieser Frage geht ein Webinar von secion am 28. Juni nach.

Seit ihrer Veröffentlichung im Mai 2018 sorgen die unter dem Namen Efail bekannten Schwachstellen für Diskussionen unter Experten und Verunsicherung bei Anwendern. Ist die aufgedeckte Schwäche in der Verschlüsselung von E-Mails so gravierend, wie es manche Medienberichte suggerieren, welche Schutzmaßnahmen kann man heute schon ergreifen – und heißt das, dass man auf Verschlüsselung mit PGP und S/MIME jetzt besser ganz verzichten sollte? Diese und weitere Aspekte rund um das Thema Efail beleuchtet das 30-minütige Webinar „Efail: Wie ernst ist die Lage wirklich?“ der secion GmbH für Teilnehmer der Allianz für Cyber-Sicherheit.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.

Partnerangebot: Mehr Sicherheit beim Smartphone-Einsatz durch Device Management

Datum 22.06.2018

Welche Vorteile Mobile Device Management für den sicheren Einsatz mobiler Geräte im Unternehmen bietet, erfahren Teilnehmer in einem ganztägigen Workshop von ML Consulting.

Der Einsatz von mobilen Geräten im Unternehmen bringt eine Vielzahl von Risiken im Bezug auf die Informationssicherheit mit sich. IT-Sicherheits-Verantwortliche für diese Risiken zu sensibilisieren und zu vermitteln, warum Mobile Device Management ein wichtiges Thema in jeder Organisation darstellen sollte, ist das Ziel dieses Workshops des ACS-Partners ML Consulting Schulung, Service & Support GmbH.

Der erste Teil des Workshops widmet sich dem Thema WLAN-Verbindung von Smartphones. Insbesondere wird aufgezeigt, welche Schwachstellen existieren und wie man diesen entgegenwirken kann. Darüber hinaus wird demonstriert, wie einfach mobile Geräte Informationen über ihre Nutzer preisgeben und wie diese dazu gebracht werden können, sich mit einem vermeintlich bekannten Netzwerk zu verbinden.

Im zweiten Teil werden das Anwenderverhalten sowie die Probleme, die fremde Applikationen/Apps mit sich bringen, beleuchtet. Dabei wird insbesondere auf das Konzept der Berechtigungen von Applikationen eingegangen. Im Zuge dessen wird diskutiert und anschaulich demonstriert, wie die Schutzziele der Informationssicherheit durch den Einsatz von fremden Applikationen auf mobilen Geräten bedroht sind.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.

Cloud Computing: C5-Testat für IBM Cloud-Dienstleistung

Datum 21.06.2018

IBM hat für seinen Cloud-Dienst "IBM Cloud Infrastructure-as-a-Service" von Wirtschaftsprüfern ein Testat nach den Anforderungen des Cloud Computing Compliance Controls Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten. Das Testat erstreckt sich weltweit auf alle Rechenzentren von IBM, die diesen Dienst anbieten. Für Anwender, die diese Infrastruktur von IBM nutzen, um eigene Cloud-Dienste aufzubauen, ergibt sich daraus eine verbesserte Möglichkeit, ein C5-Testat für den eigenen Cloud-Dienst zu erhalten, da dafür in großen Teilen auf das C5-Testat von IBM verwiesen werden kann.

Hierzu erklärt BSI-Präsident Arne Schönbohm: "In Zeiten der Digitalisierung ist Cyber-Sicherheit eine globale Herausforderung, der wir uns auch als nationale Cyber-Sicherheitsbehörde stellen. Mit den bisherigen C5-Testaten für Amazon Web Services, Microsoft Azure, Alibaba und nun für IBM haben wir im IAAS-Bereich international eine sehr hohe Marktabdeckung erreicht. Mit dem C5-Katalog leistet das BSI somit weltweit einen wesentlichen Beitrag für mehr Sicherheit in der Cloud und damit für mehr Vertrauen in die Digitalisierung. Auch andere nationale und internationale Cloud-Anbieter sind aufgerufen, ihren Kunden auf Basis des C5-Katalogs des BSI einen testierbaren Mehrwert an IT-Sicherheit anzubieten."

Im C5-Anforderungskatalog hat das BSI Anforderungen zusammengefasst, die Cloud-Anbieter unabhängig von Anwendungskontext erfüllen sollten, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste zu gewährleisten. Der C5-Katalog ist ein Prüfstandard, der prüfbare Anforderungen beinhaltet, aber nicht vorschreibt, durch welche Maßnahmen diese zu erfüllen sind. Unter folgendem Link steht der "Anforderungskatalog Cloud Computing (C5)" zum Download zur Verfügung.

BSI Pressemitteilung vom 21.06.2018

Hier geht es zum Archiv

Hier geht es zum Archiv der Meldungen der Allianz für Cyber-Sicherheit