Bundesamt für Sicherheit in der Informationstechnik

Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern

Datum 23.06.2017

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet derzeit professionelle Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern aus Wirtschaft und Verwaltung.

Bei dieser Angriffskampagne werden täuschend echt erscheinende Spearphishing-Mails an ausgewähltes Spitzenpersonal gesandt. Die Angreifer geben beispielsweise vor, Auffälligkeiten bei der Nutzung des Postfachs beobachtet zu haben oder neue Sicherheitsfunktionalitäten anbieten zu wollen. Der Nutzer wird aufgefordert, einen Link anzuklicken und auf der sich öffnenden Webseite sein Passwort anzugeben. Durch die Preisgabe des Passworts erhalten die Täter Zugriff auf das persönliche E-Mail-Postfach und dessen Inhalte. Die aktuell beobachtete Kampagne richtet sich gegen Yahoo- und Gmail-Konten. Die verwendete Angriffsinfrastruktur hat Ähnlichkeiten mit derjenigen, die bei den Angriffen und anschließenden Leaks gegen die Demokratische Partei in den USA und gegen die französische En Marche-Bewegung eingesetzt wurde.

Bereits 2016 konnte das BSI beobachten, dass Webseiten registriert wurden, die sich für Spearphishing-Angriffe gegen Kunden der deutschen Webmail-Dienstleister gmx.de und web.de eignen und die Ähnlichkeiten mit der aktuellen Angriffsinfrastruktur haben. Zwar sind diese Domains in der aktuellen Angriffskampagne noch nicht beobachtet worden, es zeigt aber, dass die Täter diese Mailprovider auch als möglichen Angriffsweg identifiziert haben.

Dazu erklärt BSI-Präsident Schönbohm: "Auch in den Regierungsnetzen hat das BSI bereits einen Angriff der aktuellen Kampagne abgewehrt. Grundsätzlich können wir solche Phishing-Mails mit einer sehr hohen Wahrscheinlichkeit detektieren. Private E-Mail-Postfächer allerdings sind außerhalb der Zuständigkeit des BSI. Auch die Parteien und Organisationen haben nur begrenzten Einfluss darauf. Dies macht private Postfächer für die Angreifer zu einem attraktiven Angriffsziel. Funktionsträger in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts abgesichert sind. Dies ist wichtiger Teil des digitalen Persönlichkeitsschutzes."

Das BSI hat im Rahmen seiner Beratungstätigkeiten zu Fragen der IT-Sicherheit vor dem Hintergrund der diesjährigen Bundestagswahl auch Parteien und parteinahe Stiftungen über diese Möglichkeit von Angriffen informiert und Maßnahmen zum digitalen Persönlichkeitsschutz empfohlen. Digitaler Persönlichkeitsschutz ist die Absicherung der Aktivitäten relevanter parlamentarischer und staatlicher Funktionsträger im digitalen Raum. Dazu gehören neben dem Schutz privater E-Mail-Postfächer auch Maßnahmen wie die Verifizierung von Twitter- und Facebook-Accounts. Das BSI berät zudem zur sicheren und ggf. anonymen Nutzung des Internets und der Sozialen Netzwerke, beispielsweise über Einstellungen bzgl. Privatsphäre und Sicherheit.

Die folgenden weiteren Maßnahmenempfehlungen schützen nicht nur gegen gezielte Spearphishing-Angriffe auf Spitzenpersonal, sondern sind auch sinnvoll gegen großflächige, weniger professionelle kriminelle Phishing-Angriffe:

  • Geschäftliche Inhalte sollten nicht über private Postfächer kommuniziert und bearbeitet werden.
  • Es ist sinnvoll, E-Mail-Kommunikation zu verschlüsseln.
  • Verwendung einer Zwei-Faktor-Authentifizierung, bei der das Einloggen nicht allein durch die Eingabe von Benutzername und Passwort erfolgt, sondern auch den Besitz eines Hardware-Tokens oder Smartphones erfordert. Manche Webmail-Dienstleister bieten diese Funktionalität bereits an.
  • Passwörter sollten grundsätzlich nicht auf Webseiten eingegeben werden, die aus Mails heraus verlinkt wurden. Sicherer ist die Eingabe eines Passwortes, wenn die Adresse der Webseite selbst im Browser eingegeben oder der Aufruf aus einem eigenen Lesezeichen heraus erfolgte.
  • Bei der Eingabe eines Passwortes sollte die Navigationszeile/Adresszeile des Browsers geprüft werden: Garantiert der Browser eine verschlüsselte Sitzung? Ist die Domain bekannt, also der Teil der Adresse zwischen „https://“ und erstem Schrägstrich?
  • Mails, die auf einen gezielten Angriff gegen die geschäftliche Funktion hindeuten, sollten nicht gelöscht, sondern dem IT-Personal der Organisation gezeigt werden.
  • Wenn das Passwort auf einer nicht-vertrauenswürdigen Seite eingegeben wurde, sollte es im Zweifelsfall auf der Original-Seite geändert werden.
  • Es ist sinnvoll, nach dem Einloggen in das Mail-Account zu prüfen, wann die letzte Aktivität erfolgte, falls der Anbieter dies anzeigt.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Partnerbeitrag: IT-Forensik in virtuellen Umgebungen

Datum 14.06.2017

Seminar von ML Consulting zeigt Lösungsansätze auf, um Daten in virtualisierten Szenarien umfassend zu sichern.

Geht es darum, forensische Analysen im Kontext virtueller Umgebungen durchzuführen, stoßen die Verantwortlichen immer wieder auf spezifische Probleme, die die Anwendung klassischer Methoden verhindern. Nun gilt es, geeignete Lösungsstrategien zu identifizieren, mithilfe derer negative Auswirkungen auf die Sicherung der Daten vermieden werden können.

Vom 10. bis zum 11. Juli bietet unser Partner ML Consulting den Teilnehmern der Allianz für Cyber-Sicherheit ein Seminar für IT-Forensiker an, das sich mit genau diesen Szenarien beschäftigt.
Nach einer theoretischen Einführung werden die angesprochenen Herausforderungen in praktischen Übungen dargestellt. Dabei werden Lösungsansätze entwickelt und deren Nutzen und Grenzen gezeigt. Die Teilnehmer lernen, Problemstellungen der IT-Forensik im Kontext virtueller Umgebungen zu erkennen und mit Hilfe geeigneter Lösungsstrategien negative Auswirkungen auf die Sicherung der Daten und die folgenden Untersuchungen zu verhindern.

Das Seminar wird für Teilnehmer der Allianz für Cyber-Sicherheit kostenlos angeboten. Weitere Informationen erhalten Sie über diesen Link.

17. Cyber-Sicherheits-Tag – Call for Presentations

Datum 02.06.2017

Beiträge gesucht. Der kommende Cyber-Sicherheits-Tag am 01. September wird sich mit dem Thema "Cyber-Sicherheit in der mobilen Kommunikation" befassen. Wir freuen uns über Ihre Einreichungen.

Am 01. September 2017 findet der 17. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit in Darmstadt statt. Mit freundlicher Unterstützung der IHK Darmstadt und dem IT FOR WORK e.V. laden wir an diesem Tag alle Teilnehmer der Allianz für Cyber-Sicherheit und weitere Interessierte ein, um spannende Vorträge zum Thema "Cyber-Sicherheit in der mobilen Kommunikation" zu hören und sich untereinander auszutauschen.

Call for Presentations

Beiträge gesucht

Alle Teilnehmer, Partner und Multiplikatoren der Allianz für Cyber-Sicherheit sowie externe Interessenten haben wie gewohnt die Möglichkeit, sich durch die Einreichung von Vorschlägen zu praxisorientierten Vorträgen, Erfahrungsberichten und Workshops aktiv an der Programmgestaltung zu beteiligen. Die Vorschläge sollen sich am Thema des Tages und der erwarteten Zielgruppe – kleine, mittlere Unternehmen und Behörden – orientieren.

Mögliche Themengebiete für Beiträge und Erfahrungsberichte sind beispielsweise:

  • Angriffspotential mobile Endgeräte
  • Hacking
  • Praxis zu BYOD (Bring your own Device) und MDM (Mobile Device Management)
  • Risiken von Apps / App-Vertrieb
  • Betrachtung der Betriebssysteme iOS und Android zur Updateproblematik
  • Mobile Forensik
  • ...

Gerne nehmen wir auch Vorschläge zu weiteren Teilbereichen entgegen, wobei sich das Thema des Tages weiterhin im Inhalt des Beitrags widerspiegeln muss.

Für Vorträge sind jeweils 25min (20min Vortrag + optional 5min Fragen), für Workshops jeweils 50min vorgesehen.

Einreichungen

Bitte senden Sie uns Ihre Vorschläge unter Nennung von Vortragstitel, kurzer inhaltlicher Zusammenfassung (max. 5 Sätze), Name und Funktion des/r Referent/in sowie Art der Einreichung per E-Mail an unsere Geschäftsstelle: info@cyber-allianz.de
Kriterien für die Auswahl der Beiträge sind inhaltliche Qualität, Aktualität, Praxisnähe sowie der Bezug zum Thema des 17. Cyber-Sicherheits-Tags.

Wichtige Hinweise:

Bitte beachten Sie, dass Einreichungen mit stark werblichem Charakter grundsätzlich nicht akzeptiert werden. Die sachdienliche Nennung von Produkten in angemessenem Umfang sowie eine kurze Vorstellung des eigenen Unternehmens sind zulässig.

Einreichungen mit Fokus auf die Zielgruppe der Bürger im privaten Umfeld oder Kleinstunternehmen können, entsprechend der Zielsetzung unserer Initiative, ebenfalls nicht berücksichtigt werden. Für diese Zielgruppen betreibt das BSI die Initiative BSI für Bürger.

Da es sich um eine kostenfreie Veranstaltung handelt, können Kosten der Referenten (Reise- und Übernachtungskosten) nicht erstattet werden.

Jeder Referent hat die Möglichkeit, sein Unternehmen mittels eines Roll-Ups für die Dauer der Veranstaltung auf einer Ausstellungsfläche zu präsentieren.

Fristen

Einreichung des Vorschlags bis: 21. Juni 2017
Benachrichtigung über die Annahme: 26. Juni 2017
Einreichung der finalen Präsentation: 28. Juli 2017

Weitere Informationen zur Veranstaltung und Anmeldemöglichkeiten

Die Agenda sowie die Anmeldemöglichkeiten zum 17. Cyber-Sicherheits-Tag finden Sie voraussichtlich ab Anfang Juli 2017 hier

BSI veröffentlicht Mindeststandard für Mobile Device Management

Datum 17.05.2017

Standard unterstützt bei Integration und Verwaltung von Mobilgeräten in IT-Infrastruktur einer Institution.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard nach §8 BSI-Gesetz (BSIG) für Mobile Device Management veröffentlicht. Mithilfe von Mobile Device Management (MDM) können Mobilgeräte wie Smartphones und Tablets in die IT-Infrastruktur einer Institution integriert und zentral verwaltet werden. Der Mindeststandard stellt Sicherheitsanforderungen an ein MDM, die von Behörden bereits bei Vergabeverfahren herangezogen werden können. Zudem wird auch ein sicherer Betrieb des MDM durch die Vorgabe von technischen und organisatorischen Maßnahmen geregelt. Mit der Umsetzung wird ein definiertes Mindestsicherheitsniveau erreicht, das nicht unterschritten werden sollte.

Arne Schönbohm, Präsident des BSI: "Mobilgeräte gehören heute zur Standardausstattung in Verwaltung und Wirtschaft, oftmals ist auch der Zugriff auf Unternehmensnetze per Smartphone möglich. Dies steigert die Arbeitseffizienz, birgt aber auch Risiken, insbesondere wenn die Geräte für dienstliche und private Zwecke genutzt werden können. Ein zentrales Management mittels MDM ist hier unabdingbar. Unser neuer Mindeststandard sorgt hier für ein klar definiertes Mindestniveau an Informationssicherheit, auch in der mobilen Welt."

Der von der nationalen Cyber-Sicherheitsbehörde BSI entwickelte Mindeststandard definiert ein Mindestsicherheitsniveau für Mobile Device Management, das durch die Stellen des Bundes eingesetzt wird. Gleichzeitig können die Sicherheitsanforderungen und Maßnahmen auch Behörden der Länder und Kommunen sowie Unternehmen als Leitfaden dienen. Der Mindeststandard für Mobile Device Management ist auf der Webseite des BSI abrufbar.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Das Übungszentrum Netzverteidigung geht in die nächste Runde - Jetzt anmelden!

Datum 10.05.2017

Innerhalb von fünf Tagen lernen die Teilnehmer häufige Schwachstellen kennen und können deren Ausnutzung in praktischen Übungen nachvollziehen.

Das Übungszentrum Netzverteidigung zählt zu den beliebtesten Schulungsangeboten von Bundesamt für Sicherheit in der Informationstechnik (BSI) und Allianz für Cyber-Sicherheit.

In fünf Tagen durchlaufen die Teilnehmer Module zu Sicherheitslücken verschiedener IT-Komponenten und Anwendungen. Hierzu zählen bspw. Netzwerke, Webanwendungen oder auch ICS-Komponenten. Jedes dieser Module behandelt zunächst häufige Schwachstellen in der Theorie, bevor in anschließenden, praktischen Übungen deren Ausnutzung und Schließung durchleuchtet wird. Am letzten Tag der Veranstaltung werden die Teilnehmer dann in zwei Gruppen aufgeteilt, die das erworbene Wissen in einem fiktiven Szenario als Angreifer und Verteidiger eines IT-Netzes gegeneinander anwenden müssen.
Mit dem so vermittelten Know-how werden die Teilnehmer in die Lage versetzt, Schwachstellen in der IT ihrer eigenen Institution zu erkennen und Schutzmaßnahmen zu ergreifen.

Nun wurde eine neue Ausgabe der Veranstaltung bestätigt. Diese wird vom

19. bis zum 23. Juni in Bonn

stattfinden. Bis zum 21. Mai haben Interessenten die Möglichkeit, sich für einen der kostenlosen Plätze zu bewerben. Nutzen Sie also jetzt die Chance und senden Sie uns Ihre Bewerbung!

Weitere Informationen erhalten Sie über diesen Link.

Ergebnisse der Cyber-Sicherheits-Umfrage 2016 veröffentlicht

Datum 08.05.2017

Bewusstsein für Cyber-Bedrohungen in den Unternehmen steigt – verstärktes Monitoring erhöht Erkennungsrate bei Cyber-Angriffen.

Die Cyber-Sicherheits-Umfrage der Allianz für Cyber-Sicherheit wird jährlich vom Bundesamt für Sicherheit in der Informationstechnik in Kooperation mit verschiedenen namhaften Verbänden durchgeführt.

Auch im Jahr 2016 wurden erneut zahlreiche deutsche Unternehmen verschiedener Branchen und Größen zu unterschiedlichen Aspekten der Cyber-Sicherheit befragt. Aus den Ergebnissen geht u.a. hervor, dass sowohl der Anteil erfolgreicher als auch abgewehrter Cyber-Angriffe zunimmt. Dementsprechend wird die Grauzone von unentdeckten Attacken auf Unternehmen immer kleiner.

Dies spricht einerseits für ein verbessertes Bewusstsein für Cyber-Bedrohungen bzw. verstärktes Monitoring in den Institutionen und zum anderen für die Verbesserung der Detektionsmechanismen.

Weitere Ergebnisse der Umfrage stehen ab sofort zum Download bereit.

Partnerbeitrag: IT-Seminar für Betreiber und Dienstleister von Arztpraxen

Datum 04.05.2017

valvisio informiert zu Datenschutz- und IT-Sicherheitsaspekten in der Branche.

Die EU-Datenschutzgrundverordnung steht vor der Tür und sieht drastische Änderungen vor: höhere Strafen, umfangreichere Dokumentationsvorschriften sowie neue Einwilligungstatbestände und Betroffenenrechte.

Den daraus resultierenden Konsequenzen für Arztpraxen widmet sich die valvisio consulting GmbH in einer Veranstaltung am 6. Juli 2017 in Nürnberg. Neben den Grundlagen der EU-Datenschutzgrundverordnung stehen außerdem Einblicke in das "neue" BDSG sowie die Themen "Datenschutz" und "IT-Sicherheit" auf der Tagesordnung. Ziel ist es, dass die Teilnehmer die notwendigen Maßnahmen erfolgreich in ihrer Praxis umsetzen können, um neben drohenden Bußgeldern auch Haftungsrisiken zu minimieren.

Für Teilnehmer der Allianz für Cyber-Sicherheit stehen zwei kostenlose Plätze zur Verfügung.

Weitere Informationen erhalten Sie über diesen Link.

Internet Service Provider stellen Gefährdungsmatrix für das Jahr 2016 vor

Datum 12.04.2017

Dokument nennt konkrete Gefährdungen, Eintrittswahrscheinlichkeiten, Schadenshöhen und Risikobewertungen für die Internetinfrastruktur.

Der Expertenkreis Internetbetreiber befasst sich mit der aktuellen Gefährdungslage der kritischen Internetinfrastruktur. So findet zwischen den ISPs 1&1, Deutsche Telekom, Strato, Telefonica, Unitymedia und Vodafone sowie dem Bundesamt für Sicherheit in der Informationstechnik ein enger Austausch statt, in dem aktuelle Risiken sowie geeignete Gegenmaßnahmen diskutiert werden.

Eines der Arbeitsergebnisse besteht in der Erstellung einer Gefährdungsmatrix für aktuelle Bedrohungen, die in regelmäßigen Abständen aktualisiert und auf den Internetseiten der Allianz für Cyber-Sicherheit veröffentlicht wird. Diese stellt die Sicht der beteiligten Partner auf die derzeitige Gefährdungslage dar.

Das Dokument richtet sich an vergleichbare IT-Dienstleister mit ähnlichem Fokus.

Für das vergangene Jahr steht die Gefährdungsmatrix ab sofort zum Download zur Verfügung.

Partnerbeitrag: genua-Schulung zeigt die Methoden der Hacker

Datum 07.04.2017

Im Workshop genulab schlüpfen die Teilnehmer für drei Tage in die Rolle eines Cyber-Angreifers.

Administratoren und Sicherheitsverantwortliche sind u.a. damit beauftragt, adäquate Schutzmaßnahmen für die IT-Infrastruktur ihrer Organisation zu planen, umzusetzen und zu überprüfen. Hierbei handeln sie in der Regel aus einem defensiven Blickwinkel, indem sie z.B. gängige Sicherheitsempfehlungen umsetzen.

Um einen umfassenden Schutz zu erreichen, kann es sich jedoch lohnen, die Maßnahmen aus der Sicht eines Angreifers zu durchleuchten. Hieraus eröffnen sich wohlmöglich Sicherheitslücken, die zuvor noch unbekannt waren.

An dieser Stelle setzt der IT-Security Workshop genulab von genua an. Innerhalb von 3 Tagen erhalten die Teilnehmer Einblicke in die verschiedenen Vorgehensweisen der Täter, sodass sie anschließend in der Lage sind, die Auswirkungen möglicher Angriffsszenarien auf die eigene IT zu überprüfen.

Die Schulung findet an verschiedenen Terminen in Kirchheim bei München statt. Für Mitglieder der Allianz für Cyber-Sicherheit stehen kostenlose Plätze zur Verfügung.

Weitere Informationen zur Veranstaltung ab dem 27. Juni erhalten Sie über diesen Link.

Klicken Sie hier, um Details zur Schulung ab dem 5. Dezember zu erfahren.

Partnerbeitrag: Kostenlose Web Application Security Scans

Datum 04.04.2017

Die SRC GmbH bietet in diesem Jahr bis zu fünf Prüfungen von Web Applikationen an.

Webanwendungen sind einer Vielzahl von Bedrohungen ausgesetzt – wie z.B. Manipulationen, Datenabflüssen oder vollständigen Kompromittierungen, die als Ausgangspunkt für weitere Angriffe auf interne Infrastrukturen dienen.

Aus diesem Grund wird den Betreibern empfohlen, mit regelmäßigen Security Scans Fehler in der Architektur und der Konfiguration der untersuchten Webanwendung zu identifizieren.

Fünf dieser Web Application Security Scans bietet die SRC Security Research & Consulting GmbH den Teilnehmern der Allianz für Cyber-Sicherheit kostenlos an. Im Gegensatz zu vielen vollautomatisierten Scans wird SRC auch eine Prüfung von Seiten vornehmen, die beispielsweise erst nach der Registrierung oder der Anmeldung von Benutzern auf der Webanwendung sichtbar sind. Hierdurch lassen sich Schwachstellen aufdecken, die bei vollautomatisierten Scans ohne Berücksichtigung von Authentifizierungsprozessen unbeachtet bleiben.

Weitere Informationen erhalten Sie über diesen Link.

Hier geht es zum Archiv

Hier geht es zum Archiv der Meldungen der Allianz für Cyber-Sicherheit