Bundesamt für Sicherheit in der Informationstechnik

IT-Grundschutzprofil für Reedereien veröffentlicht

Datum 18.12.2018

Im Rahmen seines Engagements in der Allianz für Cyber-Sicherheit, einer Initiative des BSI, hat der Verein Hanseatischer Transportversicherer (VHT) in Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Prozess initiiert, der es Reedereien erleichtert, ein IT-Sicherheitskonzept aufzustellen und an ihre individuellen Rahmenbedingungen anzupassen. Den Einstieg ermöglicht das neue "IT-Grundschutzprofil für Reedereien - Mindestabsicherung für den Landbetrieb". IT-Grundschutzprofile sind Muster-Sicherheitskonzepte, die als Schablone für Institutionen mit vergleichbaren Rahmenbedingungen dienen. Mit dem IT-Grundschutzprofil lässt sich die Informationssicherheit in der eigenen Institution effektiv und effizient erhöhen.

Hierzu erklärt BSI-Präsident Arne Schönbohm: "Cyber-Angriffe wie NotPetya 2017, bei denen unter anderem eine längst bekannte und vom Hersteller gepatchte Schwachstelle ausgenutzt wurde, haben eindrucksvoll gezeigt, dass es auch in der Logistik-Branche Nachholbedarf bei der Absicherung der IT-Systeme gibt. Durch die Umsetzung eines IT-Sicherheitsmanagements auf Basis des neuen IT-Grundschutzprofils hätten viele der damals berichteten Schäden verhindert werden können. Mit den IT-Grundschutzprofilen und Umsetzungsempfehlungen leisten wir als nationale Cyber-Sicherheitsbehörde gemeinsam mit den Branchen und Verbänden einen konkreten Beitrag zu mehr Cyber-Sicherheit in der Digitalisierung. Die Maßnahmen umzusetzen, sollte angesichts möglicher Risiken von Produktionsausfall bis Datenverlust im Eigeninteresse der Unternehmen sein."

Das IT-Grundschutzprofil für Reedereien listet anhand von zwei als relevant betrachteten Geschäftsprozessen die Anwendungen, IT-Systeme und Räumlichkeiten auf, die es zu schützen gilt. Es beinhaltet überdies eine Zuordnung der dazu passenden IT-Grundschutz-Bausteine mit Anforderungen und Umsetzungshinweisen sowie Empfehlungen zur Umsetzungsreihenfolge. Zentrale Hilfestellungen für die Umsetzung im Betrieb bieten eine "Landkarte" als Entscheidungsgrundlage für die Unternehmensleitung und Umsetzungsfahrplan für IT-Fachleute sowie Empfehlungen für die gezielte Nutzung der umfassenden Anforderungs- und Umsetzungshinweise aus dem IT-Grundschutz des BSI. Das IT-Grundschutz-Profil für Reedereien steht auf der Webseite zum Download zur Verfügung. Eine englische Fassung des Profils ist für Januar geplant.

Die Informationssicherheit an Bord eines von einer Reederei verwalteten Schiffes wird in dem neuen IT-Grundschutzprofil nicht berücksichtigt, sondern wird in einem "IT-Grundschutzprofil für Reedereien – Schiff" separat betrachtet. Den Prozess zur kooperativen Erstellung dieses Grundschutzprofils wird das BSI im Januar 2019 starten.

BSI Pressemitteilung vom 18.12.2018

Partnerangebot steep GmbH – „Escape the Container

Datum 17.12.2018

Einen „Escape Room“ der besonderen Art bietet die Bonner steep GmbH. Teilnehmer der Allianz für Cyber-Sicherheit können ihr Know-how in Sachen Cyber-Sicherheit kostenfrei auf die Probe stellen.

Informationssicherheit zum Anfassen: Die Bonner steep GmbH hat eine besondere Schulungsmaßnahme für die Informationssicherheit entwickelt – „Escape the Container“. Angelehnt an die bekannten „Escape-Rooms“ haben die IT-Sicherheitsexperten des Unternehmens ein Szenario kreiert, bei dem die Teilnehmer ihr Bewusstsein für IT-Sicherheit interaktiv schärfen können.

Die Teilnehmer schlüpfen dabei in die Rolle eines Eindringlings und verschaffen sich Zutritt, Zugang und Zugriff auf sensible Informationen. Das Szenario wird in Gruppen von drei bis maximal vier Personen in einem für diesen Zweck entwickelten Container durchgespielt und dauert circa eine Stunde.

Aufgrund der positiven Resonanz werden im Januar und Februar 2019 weitere Termine für die interaktive Übung angeboten.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie Details zum Angebot hier.

BSI und KDH machen Handwerk fit in Sachen Cyber-Sicherheit

Datum 12.12.2018

Fit für die Digitalisierung - so lautete das Motto der Roadshow "Cyber-Sicherheit im Handwerk" mit der die Allianz für Cyber-Sicherheit (ACS) des Bundesamts für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Kompetenzzentrum Digitales Handwerk (KDH) im November und Dezember 2018 durch verschiedene Städte in Deutschland tourte.

Mehr als 1.000 Beraterinnen und Berater aus Handwerksorganisationen unterstützen Handwerksbetriebe in Fragen rund um die digitale Transformation. Denn wie viele andere Bereiche der Wirtschaft ist auch das Handwerk von einer immer stärkeren Digitalisierung geprägt: Ehemals analoge Geschäftsprozesse werden am Computer und mobil vor Ort abgewickelt, zuvor händisch gesteuerte Werkzeuge lassen sich heute über Spezialprogramme bedienen. Damit einhergehend werden auch Handwerksunternehmen zu einem begehrten Ziel von Hackerangriffen, Schadsoftware, Phishing und anderen Cyberrisiken.

Im Rahmen ihrer Kooperation haben das BSI und der Zentralverband des Deutschen Handwerks (ZDH) ein Schulungskonzept für Multiplikatoren entwickelt und an verschiedenen Standorten in Deutschland erprobt. Ziel ist es, Ansprechpersonen in den Kammern und Verbänden Informationen an die Hand zu geben, damit sie die Handwerksunternehmen in den Regionen für das Thema "Cyber-Sicherheit" sensibilisieren und in Bedarfsfällen zu Ansprechstellen (beispielsweise IT-Sicherheitsbotschaftern) lotsen können. Auf diese Weise sollen Handwerksbetriebe darin unterstützt werden, Cyber-Risiken zu erkennen und geeignete Schutzmaßnahmen kennenzulernen. Im Frühjahr 2019 soll aus den Erfahrungen im Austausch mit den Teilnehmerinnen und Teilnehmern der Roadshow ein Beratungsleitfaden erarbeitet und allen Beraterinnen und Beratern im Handwerk zur Verfügung gestellt werden.

Informationen zu weiteren Aktivitäten im Rahmen der BSI-ZDH-Kooperation:
Mehr Cyber-Sicherheit für das Handwerk - Umfangreiches Angebot der Allianz für Cyber-Sicherheit

BSI News vom 12.12.2018

Mehr Cyber-Sicherheit im Unternehmen: Tipps zu Windows 10 - Veranstaltungsreihe für kleine und mittlere Unternehmen

Datum 10.12.2018

Digitale Prozesse spielen zunehmend auch in kleinen Unternehmen eine zentrale Rolle, sei es bei Kommunikation, Buchhaltung, der Steuerung von Betriebsabläufen oder der Verwaltung von Kundendaten. Herzstück ist dabei nach wie vor häufig der klassische Arbeitsplatzrechner, der in der Regel direkt mit dem Internet verbunden ist. Auch Online-Dienste werden immer häufiger genutzt, manche Services wie z. B. die Umsatzsteuervoranmeldung sind sogar nur noch online verfügbar. Dabei gilt immer: ohne Cyber-Security kann Digitalisierung nicht gelingen.

Das BSI als nationale Cyber-Sicherheitsbehörde befasst sich mit der IT-Sicherheit aller marktüblichen Betriebssysteme. Viele sicherheitsrelevante Fragen, die an das BSI gerichtet werden, beziehen sich dabei auf Microsoft Windows, das in der Bürokommunikation am weitesten verbreitete Betriebssystem. Am 17. Januar 2019 führt das BSI daher die Veranstaltungsreihe "Mehr Cyber-Sicherheit im Unternehmen: "Tipps zu Windows 10" fort. Anwenderinnen und Anwender sowie IT-Fachkräfte aus kleinen und mittelständischen Unternehmen können sich dort über aktuelle Bedrohungen aus dem Cyber-Raum informieren, praktische Tipps zur Konfiguration, zur Update-Verwaltung oder zur Sicherung von Daten erhalten und erfahren, was es bei der Nutzung von Cloud-Diensten zu beachten gibt. Das Format bietet Teilnehmenden ausdrücklich Raum, Fragen rund um das Thema „Einsatzsicherheit von Windows 10“ an die Experten von BSI und Microsoft Deutschland zu stellen.

Die Veranstaltungsreihe wird von der Allianz für Cyber-Sicherheit in Kooperation mit Microsoft Deutschland ausgerichtet. Gastgeber der Veranstaltung am 17. Januar 2019 ist die Handwerkskammer für München und Oberbayern.

Informationen zur Anmeldung für den 17. Januar 2019 finden Sie hier.

Partnerangebot: Seminar „IT Security Fundamentals: ISO 27001 und ITSec

Datum 06.12.2018

mITSM vermittelt Teilnehmern der Allianz für Cyber-Sicherheit Grundlagen von Informationssicherheit, Penetration Testing und IT-Forensik anschaulich und mit Praxisbezug.

Das ganztägigen Seminar „IT Security Fundamentals“ unseres Partners mITSMMunich Institute for IT Service Management findet am 18.01.2019 und an vier weiteren Terminen im ersten Halbjahr 2019 in München statt. Das Seminar ist auf maximal 15 Teilnehmer ausgelegt und wird für Teilnehmer der Allianz für Cyber-Sicherheit kostenfrei angeboten.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.

Gefährliche Schadsoftware – BSI warnt vor Emotet und empfiehlt Schutzmaßnahmen

Datum 05.12.2018

Gefälschte E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten - Schadsoftware, die ganze Unternehmensnetzwerke lahm legt: Emotet gilt als eine der gefährlichsten Bedrohungen durch Schadsoftware weltweit und verursacht auch durch das Nachladen weiterer Schadprogramme aktuell hohe Schäden auch in Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen eine auffällige Häufung an Meldungen zu schwerwiegenden IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit Emotet stehen. In Einzelfällen ist es bei den Betroffenen durch Ausfälle der kompletten IT-Infrastruktur zu Einschränkungen kritischer Geschäftsprozesse gekommen, die Schäden in Millionenhöhe nach sich ziehen. Daneben sind dem BSI weitere Fälle mit weniger schwerem Verlauf gemeldet worden, bei denen Malware-Analysten des BSI Emotet-Infektionen nachweisen konnten. Emotet wird derzeit weiterhin über groß angelegte Spam-Kampagnen verteilt und stellt daher eine akute Bedrohung für Unternehmen, Behörden und Privatanwender dar. Das BSI hat im Rahmen seines gesetzlichen Auftrags KRITIS-Betreiber, staatliche Einrichtungen in Bund und Ländern sowie Teilnehmer der Allianz für Cyber-Sicherheit heute erneut vor Emotet gewarnt und effektive umfassende Schutzmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.

Dazu erklärt BSI-Präsident Arne Schönbohm: "Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden. Schon im aktuellen Lagebericht des BSI haben wir von einer neuen Qualität der Gefährdung gesprochen und sehen uns durch Emotet darin bestätigt. Wir fordern deswegen Unternehmen und Organisationen auf, ihre IT-Infrastruktur und insbesondere ihre kritischen Geschäftsprozesse vor dieser Art der Bedrohung zu schützen und ihre IT-Sicherheitsmaßnahmen angemessen auszubauen. Durch geeignete Prävention kann man das Risiko einer Infektion mit Emotet erheblich mindern. Mit der bewährten Standardvorgehensweise IT-Grundschutz und der Kooperationsplattform Allianz für Cyber-Sicherheit bietet das BSI als die nationale Cyber-Sicherheitsbehörde Mittel und Unterstützung, um dieses Ziel zu erreichen."

Durch das sogenannte "Outlook-Harvesting" ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Dazu liest die Schadsoftware Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms in nachfolgenden Spam-Kampagnen, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen. Das BSI rechnet daher künftig mit einer weiteren Zunahme an gut gemachten, automatisierten Social-Engineering-Angriffen dieser Art, die für die Empfänger kaum noch als solche zu identifizieren sind. Diese Methode eignet sich ebenfalls zum Einsatz von hochspezialisierten Spear-Phishing-Angriffen auf besonders hochwertige Ziele.

Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Diese Schadprogramme ermöglichen den Angreifern etwa das Auslesen von Zugangsdaten und vollständigen Remote-Zugriff auf das System. Zuletzt wurde insbesondere der Banking-Trojaner "Trickbot" nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann. Je nach Netzwerkkonfiguration ist es dabei zu Ausfällen kompletter Unternehmensnetzwerke gekommen. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben. Einmal infizierte Systeme sind daher grundsätzlich als vollständig kompromittiert zu betrachten und müssen neu aufgesetzt werden. In mehreren dem BSI bekannten Fällen hatte dies Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke vollständig neu aufgebaut werden mussten.

BSI Pressemitteilung vom 05.12.2018

Partnerangebot: Workshop „Sichere Softwareentwicklung“

Datum 27.11.2018

Erfahren Sie in einem ganztägigen Training der atsec information security GmbH, welche vielfältigen Aspekte im Entwicklungsprozess zu berücksichtigen sind, um ein sicheres Produkt zu erhalten.

Da IT-Systeme und -Produkte immer komplexeren Sicherheitsrisiken ausgesetzt sind, stehen Entwickler in der Pflicht, die von ihnen entwickelte Software gegen diese Risiken abzusichern. Dabei ist es nicht damit getan, einige Sicherheitsfunktionen zu schreiben oder ein paar Regeln zur sicheren Programmierung zu befolgen. Wichtiger sind die Kenntnis und das Verständnis für die Sicherheitsanforderungen an das Gesamtpaket: Entwicklungs- und Wartungsprozesse, die die Integrität des Codes gewährleisten und deren Abnahmeprozeduren die Sicherheitseigenschaften des entwickelten Produktes explizit feststellen; die Formulierung der Sicherheitseigenschaften des Produkts und ihre Verfeinerung durch Architektur, Design und Implementierung bis hin zur Durchführung der richtigen Tests.

In diesem ganztägigen Training am 26.03.2019 erhalten Sie einen Überblick über all diese Aspekte. Der Workshop wird für Teilnehmer der Allianz für Cyber-Sicherheit kostenfrei angeboten. Es stehen bis zu 20 Plätze zur Verfügung.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich kostenfrei für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.

Partnerangebot: Workshop „Forensik und Internetkriminalität“

Datum 22.11.2018

Aktuelle Entwicklungen im Bereich Forensik und Malware-Analyse stehen im Fokus eines Workshops des CAST e.V., den 3 Teilnehmer der Allianz für Cyber-Sicherheit kostenfrei besuchen können.

Der Workshop "Forensik und Internetkriminalität" trägt aktuellen Trends und Entwicklungen dieser Themengebiete Rechnung. Die Referenten beleuchten in ihren Vorträgen aktuelle Entwicklungen zur Malware-Analyse sowie zu gezielten Angriffen. Auch juristische Aspekte werden im Kontext von Datenanalyse zur Verdachtsbegründung und Beweisführung im Strafverfahren beleuchtet.

Für Teilnehmer der Allianz für Cyber-Sicherheit stehen 3 kostenfreie Plätze zur Verfügung.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich kostenfrei für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.

26. Cyber-Sicherheits-Tag - Jetzt anmelden!

Datum 21.11.2018

„Jetzt durchstarten! Erste Schritte für mehr Cyber-Sicherheit“ - so lautet das Motto des 26. Cyber-Sicherheits-Tags am 31. Januar 2019 in Essen. Die Veranstaltung findet in Kooperation mit der IHK Essen statt. Ein ganz besonderer Fokus liegt an diesem Tag auf Praxis und Interaktion: In Workshops und im Gespräch mit Expertinnen und Experten erfahren Teilnehmerinnen und Teilnehmer aus Unternehmen, wie sie ganz konkret Cyber-Sicherheit im Betrieb Schritt für Schritt umsetzen können.

Hier finden Sie ergänzende Informationen sowie die Möglichkeit sich online anzumelden.

BSI untersucht Sicherheitseigenschaften von Windows 10

Datum 20.11.2018

Das Betriebssystem Windows 10 sendet umfangreiche System- und Nutzungsinformationen an Microsoft. Eine Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows ist technisch zwar möglich, für Anwender aber nur schwer umzusetzen. Das ist das Ergebnis einer Untersuchung der zentralen Telemetriekomponente von Windows 10, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt hat. Die Untersuchung der Telemetriekomponente ist Teil einer umfangreichen Sicherheitsanalyse, in der das BSI sicherheitskritische Funktionen des Betriebssystems untersucht. Ziel ist es, die Sicherheit und Restrisiken für eine Nutzung von Windows 10 bewerten zu können, Rahmenbedingungen für einen sicheren Einsatz des Betriebssystems zu identifizieren sowie praktisch nutzbare Empfehlungen für eine Härtung und den sicheren Einsatz von Windows 10 zu erstellen. Informationen zur Studie sowie die ersten Teilergebnisse sind auf der Webseite des BSI abrufbar.

"Als nationale Cyber-Sicherheitsbehörde ist es Aufgabe des BSI, Anwender in Staat, Wirtschaft und Gesellschaft dabei zu unterstützen, IT-Produkte und Software sicher einsetzen zu können. Mehr als ein Drittel der Computernutzer weltweit setzt Windows 10 ein, Tendenz steigend. Daher prüfen wir das Betriebssystem auf Herz und Nieren und leiten daraus im Sinne eines digitalen Verbraucherschutzes konkrete Empfehlungen ab, mit denen die Digitalisierung ein Stück sicherer wird", erklärt Arne Schönbohm, Präsident des BSI.

Den Analysen zufolge hat die in Windows 10 "ab Werk" eingebaute Telemetriekomponente umfassende Möglichkeiten, auf System- und Nutzungsinformationen zuzugreifen und diese an den Hersteller zu versenden. Obwohl die Nutzer unterschiedliche Telemetrielevel einstellen können, ordnet der Telemetriedienst die vorhandenen Telemetriequellen diesen Leveln im laufenden Betrieb dynamisch zu. Hierfür lädt der Dienst mehrmals pro Stunde Konfigurationsdaten nach. Eine Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows ist technisch zwar möglich, für den einfachen Anwender allerdings nur schwer umzusetzen. Zudem haben auf dem Rechner installierte Anwendungen wie der Internet Explorer und Microsoft Office die Möglichkeit, auch ohne den zentralen Telemetriedienst des Betriebssystems Telemetriedaten zu erfassen und an den Hersteller zu versenden.

Weitere Ergebnisse aus anderen Teilbereichen der Studie wird das BSI sukzessive veröffentlichen. Die Analysen umfassen unter anderem Komponenten wie das Trusted Platform Module (TPM), VBS/DeviceGuard, die Windows Powershell, die "Application Compatibility Infrastructure", das Treibermanagement und den PatchGuard. Auf Basis der Analysen erstellt das BSI praktisch nutzbare Empfehlungen für Protokollierung und Härtung der jeweiligen Komponenten.

Die Studie wird im Auftrag des BSI durchgeführt von der ERNW GmbH aus Heidelberg. Untersuchungsgegenstand ist Windows 10 Enterprise LTSC 1607 64bit in deutscher Sprache, die zu Beginn der Untersuchung verfügbare LTSC-Version (Long-Term Servicing Channel). Vor Abschluss der Studie werden die Analyseergebnisse mit der dann aktuellen LTSC-Version abgeglichen. Die Analyseergebnisse sind in englischer Sprache mit deutschen Zusammenfassungen verfasst. Die Empfehlungen zur Protokollierung und Härtung des Betriebssystems sind in deutscher Sprache verfasst und richten sich in erster Linie an Behörden in Bund und Ländern sowie an Unternehmen. Aber auch technisch versierte Bürgerinnen und Bürger können die Empfehlungen umsetzen - abhängig von der eingesetzten Windows 10 Version.

BSI Pressemitteilung vom 20.11.2018

Hier geht es zum Archiv

Hier geht es zum Archiv der Meldungen der Allianz für Cyber-Sicherheit