Bundesamt für Sicherheit in der Informationstechnik

Partnerbeitrag: Workshop zu alternativen Herangehensweisen an Fragen der Informationssicherheit

Datum 19.07.2017

Die Firma excepture bedient sich in ihrem Angebot der LEGO® SERIOUS PLAY®-Methode.

Information Security und Compliance Officer kämpfen häufig mit knappen Budgets, geringen Einflussmöglichkeiten und fehlendem fachlichen Austausch. Gleichzeitig werden die Cyber-Angreifer immer kreativer – insbesondere bei der Ausnutzung der „Schwachstelle Mensch“.
In diesem Zusammenhang gilt es, sich dem Thema Informationssicherheit auf kreative Weise zu nähern und effiziente Lösungen zu entwerfen, die das Interesse im Unternehmen wecken.

Eine mögliche Herangehensweise zeigt die Firma excepture mit ihrem Konzept-Workshop der Reihe Information Security Engineering INNOVATIV. Hier lernen die Teilnehmer eine Vorgehensweise kennen, mit der sie die gewohnten Analyse- und Diskussionsmuster vorübergehend verlassen und unter Einsatz der LEGO® SERIOUS PLAY®-Methode* (© 2017 by the LEGO Group) eine andere Perspektive auf eine konkrete Problemstellung der Informationssicherheit einnehmen. Sie entwickeln innerhalb eines fachlich angeleiteten Prozesses „mit ihren Händen“ Modelle zur Schärfung des Sicherheitsbewusstseins in ihrem Unternehmen und profitieren vom intensiven Austausch mit Fachkollegen.

Die Veranstaltung findet am 14. September in Bonn statt – für Teilnehmer der Allianz für Cyber-Sicherheit stehen zwei kostenlose Plätze zur Verfügung.

Weitere Informationen erhalten Sie über diesen Link.

* LEGO, SERIOUS PLAY, the Minifigure and the Brick and Knob configurations are trademarks of the LEGO Group, which does not sponsor, authorize or endorse this website.

Partnerbeitrag: Noch schnell kostenlose Plätze für Web Application Security Seminar sichern!

Datum 14.07.2017

Veranstalter sic[!]sec durchleuchtet insbesondere die OWASP Top 10 und geeignete Schutzmaßnahmen.

Die sic[!]sec GmbH unterstützt namhafte Firmen in den verschiedensten Branchen mit Dienstleistungen und Produkten im Bereich der Web Application Security.

Als Partner der Allianz für Cyber-Sicherheit hat das Unternehmen den Teilnehmern bereits mehrfach kostenlose Plätze für das erfolgreiche Seminar „Web Application Security – OWASP Top 10“ angeboten. Hier werden Sicherheits-Risiken in Webanwendungen veranschaulicht und entsprechende Schutzmaßnahmen anhand der OWASP Top 10 mit entsprechenden Querverweisen in den IT-Grundschutz-Baustein für Webanwendungen besprochen.

Für das eintägige Seminar am 25. Juli in Gröbenzell sind jetzt noch wenige Restplätze verfügbar. Nutzen Sie daher die Möglichkeit und registrieren Sie sich für die Veranstaltung.

Weitere Informationen finden Sie über diesen Link.

18. Cyber-Sicherheits-Tag - Jetzt anmelden!

Datum 13.07.2017

Sicherheit von SAP-Systemen im Fokus des 18. Cyber-Sicherheits-Tages am 14.09.2017 - Melden Sie sich jetzt an!

Der 18. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit findet am 14.09.2017 in der Kamener Stadthalle statt mit der Themensetzung "Sicherheit in SAP-Systemen"

In Unternehmen unterschiedlichster Größen und Branchen werden häufig Enterprise Ressource Planning (ERP)-Systeme zur Überwachung und Steuerung der zentralen Geschäftsprozesse genutzt. Von Buchhaltung bis Produktionssteuerung speichern und verarbeiten diese Lösungen Daten von zum Teil höchstem Stellenwert. Somit werden diese ERP-Systeme gleichzeitig attraktive Ziele für Cyber-Angreifer, die sensible Informationen abgreifen und Prozesse manipulieren können.

Alle Informationen zur Veranstaltung finden Sie hier.

Nutzen Sie die Gelegenheit und melden Sie sich jetzt an! Zur Online Registrierung gelangen Sie über diesen Link.

BSI warnt Unternehmen gezielt vor akutem Risiko durch CEO Fraud

Datum 10.07.2017

Mittels einer Betrugsmasche namens „CEO Fraud“ versuchen kriminelle Täter derzeit, Entscheidungsträger in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen.

Im Rahmen eines Ermittlungsverfahrens gegen die organisierte Kriminalität ist es den Behörden gelungen, in den Besitz einer Liste mit rund 5.000 potenziellen Zielpersonen zu gelangen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert die Betroffenen über die akute Gefährdung und weist auf die Risiken des CEO Fraud hin.

"CEO Fraud ist ein einträgliches Geschäftsmodell für die organisierte Kriminalität, auf das wir als nationale Cyber-Sicherheitsbehörde schon seit Jahren hinweisen. Auch in diesem akuten Fall sollten Betroffene in Unternehmen, die bereits eine gefälschte Mail erhalten und daraufhin ggf. Schritte zur Zahlung eingeleitet haben, diese Vorgänge wenn möglich stornieren und unverzüglich Anzeige bei der Polizei erstatten. Darüber hinaus sollten alle Mitarbeiterinnen und Mitarbeiter, die zu Zahlungsvorgängen berechtigt sind, auf diese kriminelle Methode hingewiesen und sensibilisiert werden, dass entsprechende Betrugsversuche in näherer Zukunft eingehen könnten," erklärt BSI-Präsident Arne Schönbohm.

Beim CEO Fraud werden vorrangig Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen adressiert, die berechtigt sind, Finanztransaktionen für das Unternehmen durchzuführen. Diese Mitarbeiter werden vermeintlich vom Vorstand, Geschäftsführer oder einer sonstigen Führungskraft des eigenen Unternehmens telefonisch oder per E-Mail angewiesen, eine größere Summe von einem Geschäftskonto auf ein fremdes Konto zu überweisen. Dabei wird das Opfer oft unter Zeitdruck gesetzt und zur Verschwiegenheit angewiesen, da es sich vorgeblich um ein geheimes oder vertrauliches Projekt handelt. Laut Bundeskriminalamt (BKA) sind durch CEO Fraud allein in den letzten Monaten Schäden in Millionenhöhe entstanden.

Die Kontaktdaten der Zielpersonen und der vorgetäuschten Absender werden häufig durch öffentlich verfügbare Informationen auf der Webseite des Unternehmens, in Online-Karriereportalen, in Sozialen Netzwerken, in Handelsregistereinträgen oder auch durch direkte Anrufe im Unternehmen gewonnen. Die Angreifer nutzen diese Informationen, um den Inhalt der E-Mail sowie den Stil der Kommunikation im Unternehmen glaubwürdig nachzuahmen und den Empfänger dazu zu verleiten, die Geldbeträge zu überweisen.

Handlungsempfehlungen des BSI:

  • Die öffentliche Angabe von Kontaktdaten des Unternehmens sollte sich auf allgemeine Kontaktadressen beschränken
  • Unternehmen sollten ihre Mitarbeiter für dieses und andere Risiken der Digitalisierung sensibilisieren und im sicheren Umgang mit Informationstechnik regelmäßig schulen
  • Bei ungewöhnlichen Zahlungsanweisungen sollten vor Veranlassung der Zahlung Kontrollmechanismen greifen
  • Verifizierung der Absenderadresse, Überprüfung der Plausibilität des Inhalts der E-Mail
  • Verifizierung der Zahlungsaufforderung durch Rückruf oder schriftliche Rückfrage beim vermeintlichen Auftraggeber
  • Information der Geschäftsleitung oder des Vorgesetzten

Mehr Informationen zum Thema CEO Fraud hat das BSI in seinen Lageberichten sowie das Bundeskriminalamt in einer Themenbroschüre zusammengefasst.

Für Rückfragen von Betroffenen steht das BSI unter der Rufnummer 0800 – 2741000 zur Verfügung.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

17. Cyber-Sicherheits-Tag - Weitere Informationen

Datum 28.06.2017

Sicherheit mobiler Endgeräte im Fokus der Veranstaltung

Mobile Endgeräte sind aus der Geschäftswelt nicht mehr wegzudenken: Ob beim Telefonat von unterwegs, beim Abruf von Prozessdaten aus dem Home-Office oder beim Fernzugriff auf die Produktionssteuerung – überall haben neben dem Laptop auch Smartphone und Tablet Einzug erhalten. Aufgrund ihrer zentralen Bedeutung für Unternehmen und gleichzeitig umfangreicher Bedrohungsszenarien, z.B. durch Nutzung unbekannter HotSpots oder Verlust auf der Dienstreise, sind sie aber auch ein attraktives Ziel für Cyber-Angreifer.

Um Unternehmen Angriffsszenarien und Lösungswege aufzuzeigen, widmet die Allianz für Cyber-Sicherheit ihren 17. Cyber-Sicherheits-Tag dem Thema „Cyber-Sicherheit in der mobilen Kommunikation“. In Zusammenarbeit mit der IHK Darmstadt und dem IT FOR WORK e.V. sind alle Mitglieder und weitere Interessenten am 1. September 2017 herzlich eingeladen, sich in den Räumen der IHK Darmstadt zum Thema zu informieren. Neben spannenden Vorträgen und Workshops erwarten die Teilnehmer wie immer zahlreiche Möglichkeiten für Austausch und Networking.

+++ Update vom 26. Juli: +++

Aufgrund der großen Nachfrage wurde die Online-Registrierung geschlossen. Weitere Anmeldungen können leider nicht berücksichtigt werden. Wir bedanken uns für das große Interesse.

Weitere Informationen zur Veranstaltung

Erneut weltweite Cyber-Sicherheitsvorfälle durch Ransomware

Datum 28.06.2017

Auch deutsche Institutionen betroffen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet aktuell eine globale Cyber-Angriffswelle mit einer Verschlüsselungssoftware (Ransomware). Die Angriffswelle weist bezüglich Verbreitungsgrad und -geschwindigkeit Ähnlichkeiten zum Cyber-Sicherheitsvorfall "WannaCry" im Mai dieses Jahres auf. Betroffen sind weltweit Unternehmen und Institutionen, nach BSI-Erkenntnissen sind auch deutsche Unternehmen betroffen. Das BSI ruft Unternehmen und Institutionen in Deutschland auf, IT-Sicherheitsvorfälle beim BSI zu melden. Betroffene Unternehmen sollten nicht auf Lösegeldforderungen eingehen.

Das BSI nimmt derzeit technische Analysen vor und prüft den Sachverhalt, auch im Austausch mit nationalen und internationalen Partnern. Auch im Nationalen Cyber-Abwehrzentrum (Cyber-AZ) wird eine Bewertung der bislang bekannten Fakten vorgenommen. Das Cyber-AZ steht im ständigen Austausch mit den beteiligten Behörden.

BSI-Präsident Arne Schönbohm: "Nach ersten Erkenntnissen des BSI handelt es sich um eine Angriffswelle mit der Schadsoftware Petya, die unter anderem die gleiche Schwachstelle ausnutzt, die sich auch die Ransomware WannaCry zu Nutzen gemacht hatte. Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert. In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind. Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben."

Über die etablierten Kanäle von CERT-Bund, UP KRITIS und Allianz für Cyber-Sicherheit stellt das BSI Wirtschaft und Verwaltung Informationen und Handlungsempfehlungen zur Verfügung.

Downloadmöglichkeiten der Microsoft_Patches

Microsoft-Sicherheitsbulletin MS17-010 – Kritisch

Customer Guidance for WannaCrypt attacks

Informations-/Meldemöglichkeiten

Betroffene Unternehmen können sich unter meldestelle@bsi.bund.de an das BSI wenden.

+++ UPDATE +++

Inzwischen hat das BSI eine Aktualisierung zu dieser Pressemitteilung herausgegeben.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern

Datum 23.06.2017

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet derzeit professionelle Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern aus Wirtschaft und Verwaltung.

Bei dieser Angriffskampagne werden täuschend echt erscheinende Spearphishing-Mails an ausgewähltes Spitzenpersonal gesandt. Die Angreifer geben beispielsweise vor, Auffälligkeiten bei der Nutzung des Postfachs beobachtet zu haben oder neue Sicherheitsfunktionalitäten anbieten zu wollen. Der Nutzer wird aufgefordert, einen Link anzuklicken und auf der sich öffnenden Webseite sein Passwort anzugeben. Durch die Preisgabe des Passworts erhalten die Täter Zugriff auf das persönliche E-Mail-Postfach und dessen Inhalte. Die aktuell beobachtete Kampagne richtet sich gegen Yahoo- und Gmail-Konten. Die verwendete Angriffsinfrastruktur hat Ähnlichkeiten mit derjenigen, die bei den Angriffen und anschließenden Leaks gegen die Demokratische Partei in den USA und gegen die französische En Marche-Bewegung eingesetzt wurde.

Bereits 2016 konnte das BSI beobachten, dass Webseiten registriert wurden, die sich für Spearphishing-Angriffe gegen Kunden der deutschen Webmail-Dienstleister gmx.de und web.de eignen und die Ähnlichkeiten mit der aktuellen Angriffsinfrastruktur haben. Zwar sind diese Domains in der aktuellen Angriffskampagne noch nicht beobachtet worden, es zeigt aber, dass die Täter diese Mailprovider auch als möglichen Angriffsweg identifiziert haben.

Dazu erklärt BSI-Präsident Schönbohm: "Auch in den Regierungsnetzen hat das BSI bereits einen Angriff der aktuellen Kampagne abgewehrt. Grundsätzlich können wir solche Phishing-Mails mit einer sehr hohen Wahrscheinlichkeit detektieren. Private E-Mail-Postfächer allerdings sind außerhalb der Zuständigkeit des BSI. Auch die Parteien und Organisationen haben nur begrenzten Einfluss darauf. Dies macht private Postfächer für die Angreifer zu einem attraktiven Angriffsziel. Funktionsträger in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts abgesichert sind. Dies ist wichtiger Teil des digitalen Persönlichkeitsschutzes."

Das BSI hat im Rahmen seiner Beratungstätigkeiten zu Fragen der IT-Sicherheit vor dem Hintergrund der diesjährigen Bundestagswahl auch Parteien und parteinahe Stiftungen über diese Möglichkeit von Angriffen informiert und Maßnahmen zum digitalen Persönlichkeitsschutz empfohlen. Digitaler Persönlichkeitsschutz ist die Absicherung der Aktivitäten relevanter parlamentarischer und staatlicher Funktionsträger im digitalen Raum. Dazu gehören neben dem Schutz privater E-Mail-Postfächer auch Maßnahmen wie die Verifizierung von Twitter- und Facebook-Accounts. Das BSI berät zudem zur sicheren und ggf. anonymen Nutzung des Internets und der Sozialen Netzwerke, beispielsweise über Einstellungen bzgl. Privatsphäre und Sicherheit.

Die folgenden weiteren Maßnahmenempfehlungen schützen nicht nur gegen gezielte Spearphishing-Angriffe auf Spitzenpersonal, sondern sind auch sinnvoll gegen großflächige, weniger professionelle kriminelle Phishing-Angriffe:

  • Geschäftliche Inhalte sollten nicht über private Postfächer kommuniziert und bearbeitet werden.
  • Es ist sinnvoll, E-Mail-Kommunikation zu verschlüsseln.
  • Verwendung einer Zwei-Faktor-Authentifizierung, bei der das Einloggen nicht allein durch die Eingabe von Benutzername und Passwort erfolgt, sondern auch den Besitz eines Hardware-Tokens oder Smartphones erfordert. Manche Webmail-Dienstleister bieten diese Funktionalität bereits an.
  • Passwörter sollten grundsätzlich nicht auf Webseiten eingegeben werden, die aus Mails heraus verlinkt wurden. Sicherer ist die Eingabe eines Passwortes, wenn die Adresse der Webseite selbst im Browser eingegeben oder der Aufruf aus einem eigenen Lesezeichen heraus erfolgte.
  • Bei der Eingabe eines Passwortes sollte die Navigationszeile/Adresszeile des Browsers geprüft werden: Garantiert der Browser eine verschlüsselte Sitzung? Ist die Domain bekannt, also der Teil der Adresse zwischen „https://“ und erstem Schrägstrich?
  • Mails, die auf einen gezielten Angriff gegen die geschäftliche Funktion hindeuten, sollten nicht gelöscht, sondern dem IT-Personal der Organisation gezeigt werden.
  • Wenn das Passwort auf einer nicht-vertrauenswürdigen Seite eingegeben wurde, sollte es im Zweifelsfall auf der Original-Seite geändert werden.
  • Es ist sinnvoll, nach dem Einloggen in das Mail-Account zu prüfen, wann die letzte Aktivität erfolgte, falls der Anbieter dies anzeigt.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Partnerbeitrag: IT-Forensik in virtuellen Umgebungen

Datum 14.06.2017

Seminar von ML Consulting zeigt Lösungsansätze auf, um Daten in virtualisierten Szenarien umfassend zu sichern.

Geht es darum, forensische Analysen im Kontext virtueller Umgebungen durchzuführen, stoßen die Verantwortlichen immer wieder auf spezifische Probleme, die die Anwendung klassischer Methoden verhindern. Nun gilt es, geeignete Lösungsstrategien zu identifizieren, mithilfe derer negative Auswirkungen auf die Sicherung der Daten vermieden werden können.

Vom 10. bis zum 11. Juli bietet unser Partner ML Consulting den Teilnehmern der Allianz für Cyber-Sicherheit ein Seminar für IT-Forensiker an, das sich mit genau diesen Szenarien beschäftigt.
Nach einer theoretischen Einführung werden die angesprochenen Herausforderungen in praktischen Übungen dargestellt. Dabei werden Lösungsansätze entwickelt und deren Nutzen und Grenzen gezeigt. Die Teilnehmer lernen, Problemstellungen der IT-Forensik im Kontext virtueller Umgebungen zu erkennen und mit Hilfe geeigneter Lösungsstrategien negative Auswirkungen auf die Sicherung der Daten und die folgenden Untersuchungen zu verhindern.

Das Seminar wird für Teilnehmer der Allianz für Cyber-Sicherheit kostenlos angeboten. Weitere Informationen erhalten Sie über diesen Link.

17. Cyber-Sicherheits-Tag – Call for Presentations

Datum 02.06.2017

Beiträge gesucht. Der kommende Cyber-Sicherheits-Tag am 01. September wird sich mit dem Thema "Cyber-Sicherheit in der mobilen Kommunikation" befassen. Wir freuen uns über Ihre Einreichungen.

Am 01. September 2017 findet der 17. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit in Darmstadt statt. Mit freundlicher Unterstützung der IHK Darmstadt und dem IT FOR WORK e.V. laden wir an diesem Tag alle Teilnehmer der Allianz für Cyber-Sicherheit und weitere Interessierte ein, um spannende Vorträge zum Thema "Cyber-Sicherheit in der mobilen Kommunikation" zu hören und sich untereinander auszutauschen.

Call for Presentations

Beiträge gesucht

Alle Teilnehmer, Partner und Multiplikatoren der Allianz für Cyber-Sicherheit sowie externe Interessenten haben wie gewohnt die Möglichkeit, sich durch die Einreichung von Vorschlägen zu praxisorientierten Vorträgen, Erfahrungsberichten und Workshops aktiv an der Programmgestaltung zu beteiligen. Die Vorschläge sollen sich am Thema des Tages und der erwarteten Zielgruppe – kleine, mittlere Unternehmen und Behörden – orientieren.

Mögliche Themengebiete für Beiträge und Erfahrungsberichte sind beispielsweise:

  • Angriffspotential mobile Endgeräte
  • Hacking
  • Praxis zu BYOD (Bring your own Device) und MDM (Mobile Device Management)
  • Risiken von Apps / App-Vertrieb
  • Betrachtung der Betriebssysteme iOS und Android zur Updateproblematik
  • Mobile Forensik
  • ...

Gerne nehmen wir auch Vorschläge zu weiteren Teilbereichen entgegen, wobei sich das Thema des Tages weiterhin im Inhalt des Beitrags widerspiegeln muss.

Für Vorträge sind jeweils 25min (20min Vortrag + optional 5min Fragen), für Workshops jeweils 50min vorgesehen.

Einreichungen

Bitte senden Sie uns Ihre Vorschläge unter Nennung von Vortragstitel, kurzer inhaltlicher Zusammenfassung (max. 5 Sätze), Name und Funktion des/r Referent/in sowie Art der Einreichung per E-Mail an unsere Geschäftsstelle: info@cyber-allianz.de
Kriterien für die Auswahl der Beiträge sind inhaltliche Qualität, Aktualität, Praxisnähe sowie der Bezug zum Thema des 17. Cyber-Sicherheits-Tags.

Wichtige Hinweise:

Bitte beachten Sie, dass Einreichungen mit stark werblichem Charakter grundsätzlich nicht akzeptiert werden. Die sachdienliche Nennung von Produkten in angemessenem Umfang sowie eine kurze Vorstellung des eigenen Unternehmens sind zulässig.

Einreichungen mit Fokus auf die Zielgruppe der Bürger im privaten Umfeld oder Kleinstunternehmen können, entsprechend der Zielsetzung unserer Initiative, ebenfalls nicht berücksichtigt werden. Für diese Zielgruppen betreibt das BSI die Initiative BSI für Bürger.

Da es sich um eine kostenfreie Veranstaltung handelt, können Kosten der Referenten (Reise- und Übernachtungskosten) nicht erstattet werden.

Jeder Referent hat die Möglichkeit, sein Unternehmen mittels eines Roll-Ups für die Dauer der Veranstaltung auf einer Ausstellungsfläche zu präsentieren.

Fristen

Einreichung des Vorschlags bis: 21. Juni 2017
Benachrichtigung über die Annahme: 26. Juni 2017
Einreichung der finalen Präsentation: 28. Juli 2017

Weitere Informationen zur Veranstaltung und Anmeldemöglichkeiten

Die Agenda sowie die Anmeldemöglichkeiten zum 17. Cyber-Sicherheits-Tag finden Sie voraussichtlich ab Anfang Juli 2017 hier

BSI veröffentlicht Mindeststandard für Mobile Device Management

Datum 17.05.2017

Standard unterstützt bei Integration und Verwaltung von Mobilgeräten in IT-Infrastruktur einer Institution.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard nach §8 BSI-Gesetz (BSIG) für Mobile Device Management veröffentlicht. Mithilfe von Mobile Device Management (MDM) können Mobilgeräte wie Smartphones und Tablets in die IT-Infrastruktur einer Institution integriert und zentral verwaltet werden. Der Mindeststandard stellt Sicherheitsanforderungen an ein MDM, die von Behörden bereits bei Vergabeverfahren herangezogen werden können. Zudem wird auch ein sicherer Betrieb des MDM durch die Vorgabe von technischen und organisatorischen Maßnahmen geregelt. Mit der Umsetzung wird ein definiertes Mindestsicherheitsniveau erreicht, das nicht unterschritten werden sollte.

Arne Schönbohm, Präsident des BSI: "Mobilgeräte gehören heute zur Standardausstattung in Verwaltung und Wirtschaft, oftmals ist auch der Zugriff auf Unternehmensnetze per Smartphone möglich. Dies steigert die Arbeitseffizienz, birgt aber auch Risiken, insbesondere wenn die Geräte für dienstliche und private Zwecke genutzt werden können. Ein zentrales Management mittels MDM ist hier unabdingbar. Unser neuer Mindeststandard sorgt hier für ein klar definiertes Mindestniveau an Informationssicherheit, auch in der mobilen Welt."

Der von der nationalen Cyber-Sicherheitsbehörde BSI entwickelte Mindeststandard definiert ein Mindestsicherheitsniveau für Mobile Device Management, das durch die Stellen des Bundes eingesetzt wird. Gleichzeitig können die Sicherheitsanforderungen und Maßnahmen auch Behörden der Länder und Kommunen sowie Unternehmen als Leitfaden dienen. Der Mindeststandard für Mobile Device Management ist auf der Webseite des BSI abrufbar.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Hier geht es zum Archiv

Hier geht es zum Archiv der Meldungen der Allianz für Cyber-Sicherheit