Bundesamt für Sicherheit in der Informationstechnik

Partnerangebot: WhitepaperDSGVO: Prüfübersicht für SAP-Systeme“

Datum 16.08.2018

Wie lassen sich die Anforderungen der neuen DSGVO speziell in SAP-Systemen umsetzen? Das Whitepaper des ACS-Partners Werth IT gibt umfangreiche praktische Empfehlungen.

Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung der EU in Kraft. Bei Verstößen drohen Unternehmen empfindliche Geldbußen. Gerade in SAP-Systemen werden typischerweise große Mengen von personenbezogenen Daten verwaltet. Bei deren Verarbeitung sind laut DSGVO Integrität, Vertraulichkeit und Sicherheit durch das Anwenderunternehmen zu gewährleisten.

Wie Unternehmen die DSGVO-Konformität ihrer SAP-Systeme überprüfen und nachweisen können, erläutert ACS-Partner Werth IT in einem aktuellen Whitepaper.

Zum Download des Whitepapers gelangen Sie hier.

Veranstaltungshinweis: "7. IT-Sicherheitstag Mittelstand 2018. Die Fachkonferenz für Handwerk, Gewerbe und Verwaltung"

Datum 16.08.2018

Am 13.09.2018 lädt die Handwerkskammer Frankfurt (Oder) – Region Ostbrandenburg, mit Unterstützung der Allianz für Cyber-Sicherheit, zum 7. IT-Sicherheitstag Mittelstand an die Technische Hochschule Wildau ein.

Im Rahmen der ganztägigen Fachkonferenz werden vielfältige Aspekte rund um die Themen IT-Sicherheit und Datenschutz behandelt. Im Zentrum des Vormittagsprogramms steht eine Keynote von Daniel Domscheit-Berg zu den Zusammenhängen von Datenschutz, Datensicherheit und IT-Sicherheit. Am Nachmittag haben die Teilnehmerinnen und Teilnehmer der Konferenz die Möglichkeit, zwischen drei parallelen Vortragsreihen zu wählen.

In einer ersten Vortragsreihe erhalten Interessierte Hinweise zur Organisation von IT-Sicherheit. Dazu zählen technische und organisatorische Maßnahmen, aber auch Investitionen in die Weiterbildung der eigenen Beschäftigten. Auch die Allianz für Cyber-Sicherheit ist in diesem Strang mit einem Vortrag vertreten. Regionale IT-Anbieter zeigen in der zweiten Vortragsreihe Lösungen für sichere IT-Infrastrukturen – am Arbeitsplatz, im Produktionsanlagen oder in mobilen Szenarien. Die dritte Reihe schließlich vermittelt einen Überblick über die aktuelle Bedrohungslage und typische Angriffsszenarien sowie praxistaugliche Hinweise zu geeigneten Schutzmaßnahmen. Zum Abschluss der Veranstaltung werden im Live-Hacking typische IT-Angriffe anschaulich demonstriert.

Weitere Informationen und die Möglichkeit zur Online-Anmeldung finden Sie unter dem Link:

http://www.it-sicherheitstag-mittelstand.de

BSI und Land Berlin verstärken Zusammenarbeit beim Schutz Kritischer Infrastrukturen

Datum 13.08.2018

Einen engeren Austausch und eine verstärkte Zusammenarbeit in Fragen der Cyber-Sicherheit, insbesondere zum Schutz Kritischer Infrastrukturen, haben das Land Berlin und das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschlossen. Dazu unterzeichneten der Berliner Innensenator Andreas Geisel und BSI-Präsident Arne Schönbohm heute in Berlin eine entsprechende Absichtserklärung.

"Im Bereich der Cyber-Sicherheit ist Deutschland in den letzten Jahren ein gutes Stück vorangekommen. Wir haben wichtige Maßnahmen auf legislativer und operativer Ebene umgesetzt, um speziell die Kritischen Infrastrukturen besser zu schützen. Bislang gab es in Deutschland keine IT-Sicherheitsvorfälle, die eine Versorgung der Bevölkerung gefährdet hätten. Damit das so bleibt, dürfen wir als Gesellschaft nicht nachlassen, unsere Bemühungen um eine stabile und erfolgreiche Cyber-Abwehr angesichts einer dynamischen Gefährdungslage zu verstärken. Doppelstrukturen in Bund und Ländern sind dabei nicht zielführend, daher unterstützen wir als nationale Cyber-Sicherheitsbehörde die Länder und stellen ihnen unser Know-how und unsere Dienstleitungen zur Verfügung. Die zukünftig noch engere Zusammenarbeit mit dem Land Berlin ist daher ein wichtiger Schritt zur Sicherung eines starken Standorts Deutschland", betont BSI-Präsident Arne Schönbohm.

Innensenator Andreas Geisel sagt dazu: "Cyber-Kriminalität macht nicht halt an den Ländergrenzen. Eifersüchteleien zwischen den Ländern und dem Bund sind deshalb fehl am Platz. Wir müssen unsere Kräfte bündeln und uns eng vernetzen. Denn klar ist: Den Cyber-Raum schützen und widerstandsfähige Infrastrukturen stärken sind gesamtstaatliche Aufgaben. Mit dem BSI haben wir einen starken und kompetenten Partner an unserer Seite, um Herausforderungen zu meistern und in der Cyber-Abwehr weiterhin erfolgreich zu sein."

Mit der Absichtserklärung vereinbarten das BSI und die Berliner Senatsverwaltung für Inneres und Sport eine engere Zusammenarbeit unter anderem in den folgenden Bereichen:

  • Austausch zu Prozessen des IT-Krisenmanagements und der Prävention von Cyber-Angriffen
  • Stärkung der Resilienz bestehender IT-Lösungen des Landes Berlin, etwa durch Web-Checks oder Penetrationstests des BSI
  • Gegenseitige Hospitationen von Mitarbeiterinnen und Mitarbeitern aus dem Bereich Schutz Kritischer Infrastrukturen, um Kenntnisse und Erfahrungen zu erweitern und zu vertiefen
  • Beratung und Unterstützung des BSI beim Aufbau behördlicher Informationssicherheitsmanagementsysteme in Berlin
  • Kooperation im Bereich der strategischen IT-Implementierung, etwa durch Berücksichtigung des Bedarfs des Landes Berlin bei Rahmenverträgen für zugelassene Produkte des Bundes
  • Aus- und Fortbildung: Die Senatsverwaltung wird Qualifizierungsangebote des BSI für die Länder nutzen
  • Ausbau der Zusammenarbeit für mehr IT-Sicherheit in der Wirtschaft im Rahmen der Allianz für Cyber-Sicherheit (ACS). Als Multiplikator der ACS engagiert sich die Senatsverwaltung verstärkt im Bereich der Kommunikation und Information bezüglich der Ziele der Allianz für Cyber-Sicherheit. Geplant sind zum Beispiel gemeinsame Veranstaltungen und Informationskampagnen, von denen speziell kleine und mittelständische Unternehmen in Berlin profitieren.

Mehr Informationen zur Zusammenarbeit des BSI mit den Ländern sind abrufbar unter
https://www.bsi.bund.de/DE/Service/Kontakt/BSI_vor_Ort/bsi_vor_ort_node.html

Informationen und Teilnahmemöglichkeiten zur Allianz für Cyber-Sicherheit stehen unter
https://www.allianz-fuer-cybersicherheit.de zur Verfügung.

BSI Pressemitteilung vom 13.08.2018

Veranstaltungshinweis: „Handwerk – digital und sicher! Cyber-Sicherheit als Erfolgsfaktor für Handwerksbetriebe“

Datum 10.08.2018

Am 29.08.2018 richtet der Unternehmerverband Handwerk Rheinland-Pfalz e.V. in Kooperation mit der Allianz für Cyber-Sicherheit in Mainz eine Informationsveranstaltung für Handwerksbetriebe und –organisationen aus.

In Impulsvorträgen erhalten Interessierte Informationen zu aktuellen Cyber-Risiken sowie Lösungshinweise bzw. Tipps für die praktische Umsetzung von Cyber-Sicherheit, die auch von Anwenderinnen und Anwendern mit wenig ausgeprägter IT-Expertise leicht umgesetzt werden können.

Beispiele für Live-Hacking-Demonstration gesucht

In der Live-Hacking-Demonstration soll anhand von Beispielen aus dem Plenum gezeigt werden, wie wenig Zeit notwendig ist, um die größten Schwachstellen einer Website zu identifizieren. Wer an der Veranstaltung teilnehmen möchte und an einer kostenlosen Schwachstellen-Analyse der Unternehmens-Website interessiert ist, kann dies bei der Anmeldung mitteilen. Aus allen Einsendungen wählen die Veranstalter Teilnehmerinnen bzw. Teilnehmer aus, die in die Demonstrationen mit eingebunden werden. Entscheidend ist der Eingang der Anmeldung.

Weitere Informationen finden Sie hier.


IT-Grundschutz: Neuer Online-Kurs veröffentlicht

Datum 08.08.2018

Ein neues Online-Angebot für den modernisierten IT-Grundschutz erleichtert Anwendern den Einstieg in die Umsetzung der IT-Grundschutz-Methodik. Basierend auf dem IT-Grundschutz-Kompendium und den BSI-Standards 200-1,-2 und -3 führt die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte und veröffentlichte Web-Schulung die Anwender in unterschiedlichen Lektionen durch die IT-Grundschutz-Vorgehensweise.

"Der IT-Grundschutz ist Fundament und Werkzeug zugleich, wenn es um systematische Informationssicherheit für Unternehmen, Behörden und Organisationen geht. Mit unseren neuem Online-Angebot machen wir den modernisierten IT-Grundschutz noch zugänglicher. So können auch kleinere Unternehmen ohne ausgewiesenes Fachpersonal ihr eigenes IT-Sicherheitsniveau noch einfacher steigern. Damit gibt es keine Ausreden mehr, wenn es um die Absicherung der eigenen IT-Infrastruktur geht", so BSI-Vizepräsident Dr. Gerhard Schabhüser.

Im Fokus der Lerneinheiten steht die praktische Anwendung des IT-Grundschutzes und seiner Komponenten. Die Sicherheitskonzeption rückt dabei die Strukturanalyse der Geschäftsprozesse in den Mittelpunkt. Ausgehend von dieser Analyse über die Modellierung der IT-Sicherheitsmaßnahmen bis hin zur Umsetzungsplanung werden Anwender detailliert durch den Prozess geleitet. Mit Testfragen am Ende jeder Lektion lässt sich zudem unmittelbar der individuelle Kenntnisstand überprüfen. Der Online-Kurs richtet sich an Anwender aus Wirtschaft und Verwaltung, ist aber auch für Studierende und weitere Interessenten geeignet. Besonders Anwender aus kleinen und mittelgroßen Unternehmen sind angesprochen, den Kurs für Sicherheitsbetrachtungen in ihrer Institution zu nutzen.

Zum Online-Kurs IT-Grundschutz

Zur Übersichtsseite IT-Grundschutz

BSI Pressemitteilung vom 08.08.2018

Workshop zum Thema Incident Response im Rahmen der D•A•CH Security

Datum 06.08.2018

Die Veranstaltung findet am 4. und 5. September in Gelsenkirchen statt. Auch in diesem Jahr ist die Allianz für Cyber-Sicherheit wieder vor Ort.

Die D•A•CH Security hat sich zum Ziel gesetzt, eine interdisziplinäre Übersicht zum aktuellen Stand der IT-Sicherheit in Industrie, Dienstleistung, Verwaltung und Wissenschaft in Deutschland, Österreich und der Schweiz zu geben. Insbesondere sollen Aspekte aus den Bereichen Forschung und Entwicklung, Lehre, Aus- und Weiterbildung vorgestellt, relevante Anwendungen aufgezeigt sowie neue Technologien und daraus resultierende Produktentwicklungen konzeptionell dargestellt werden.

In den vergangenen Jahren war die Allianz für Cyber-Sicherheit hier ebenfalls regelmäßig mit eigenen Workshops vor Ort – so auch 2018. In der Westfälischen Hochschule Gelsenkirchen bietet die Initiative am zweiten Veranstaltungstag einen Workshop zum Thema „Incident Response“ an. Nach einem kurzen Einführungsvortrag werden die Teilnehmer den effizienten Umgang mit IT-Sicherheitsvorfällen diskutieren und Maßnahmen erarbeiten.

Alle Interessenten sind herzlich eingeladen, am Workshop und natürlich auch an den zahlreichen anderen interessanten Vorträgen im Rahmen der D•A•CH Security teilzunehmen.

Die Möglichkeit zur Anmeldung sowie weitere Informationen finden Sie unter:

https://www.syssec.at/de/veranstaltungen/dachsecurity2018

Fokus-Thema: Social Engineering

Datum 02.08.2018

Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Der Angreifer täuscht sein Opfer dabei über seine Identität und seine kriminellen Absichten, um es dazu zu verleiten, im guten Glauben für das Unternehmen schädliche Handlungen auszuführen – etwa vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln oder Schadsoftware auf einem Computer im Firmennetzwerk zu installieren.

In unserem aktuellen Fokus-Thema finden Sie Hintergrundinformationen zu den Risiken durch Social Engineering für Unternehmen sowie praktische Tipps zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern.

Zum Fokus-Thema „Social Engineering

Partnerangebot: Seminar „IT Security Fundamentals: ISO 27001 und ITSec

Datum 31.07.2018

mITSM vermittelt Teilnehmern der Allianz für Cyber-Sicherheit Grundlagen von Informationssicherheit, Penetration Testing und IT-Forensik anschaulich und mit Praxisbezug.

Das ganztägigen Seminar „IT Security Fundamentals“ unseres Partners mITSMMunich Institute for IT Service Management findet am 07.09.2018 und an drei weiteren Terminen im vierten Quartal 2018 in München statt. Das Seminar ist auf maximal 15 Teilnehmer ausgelegt und wird für Teilnehmer der Allianz für Cyber-Sicherheit kostenfrei angeboten.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.

Cyber-Sicherheit: Der Mensch als Schlüsselfaktor

Datum 26.07.2018

Jeder sechste Mitarbeiter würde auf eine gefälschte E-Mail der Chefetage antworten und sensible Unternehmensinformationen preisgeben. Das hat eine Befragung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ergeben. Informationen über Zuständigkeiten im Unternehmen, zur Zusammensetzung von Abteilungen, internen Prozessen oder Organisationsstrukturen, die über das sogenannte Social Engineering gewonnen werden, sind für Cyber-Kriminelle wertvolle Grundlage zur Vorbereitung von gezielten Angriffen auf das Unternehmen.

"Mit den richtigen Informationen können Cyber-Angreifer erheblichen Schaden anrichten, etwa durch CEO-Fraud. Dabei werden E-Mails der Chefetage fingiert, in denen dazu befugte Mitarbeiter angewiesen werden, dringliche Überweisungen hoher Geldsummen zu tätigen. Wenn der Angreifer weiß, wen er anschreiben muss und wie die Prozesse im Haus ablaufen, kann er erheblichen Druck ausüben. Die Masche funktioniert, es geht dabei um Millionensummen! Auch deswegen ist die Zahl derjenigen, die sensible Informationen preisgeben, viel zu hoch", so BSI-Vizepräsident Dr. Gerhard Schabhüser.

Mit Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft und Vertrauen ausgenutzt, um Mitarbeiterinnen und Mitarbeiter geschickt zu manipulieren. Der Angreifer verleitet das Opfer beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren. Die Sensibilisierung der Angestellten für diese Art der Betrugsversuche sollte daher eine wichtige Rolle spielen und fest zum Weiterbildungskonzept eines Unternehmens gehören.

Sensibilisierungsmaßnahmen weiter dringend benötigt

Mehr als die Hälfte der befragten Arbeitnehmerinnen und Arbeitnehmer hören sich selbst aktiv zum Thema IT-Sicherheit am Arbeitsplatz (58 Prozent) um. Gleichzeitig gaben fast 42 Prozent der Befragten an, nicht selbst aktiv zu werden. Rund 18 Prozent der Befragten verlassen sich darauf, dass der Arbeitgeber das Firmennetzwerk ausreichend absichert und dass sie selbst keine zusätzlichen Maßnahmen ergreifen müssen. Weitere 13 Prozent gehen davon aus, dass das Unternehmen sie darauf hinweist, wenn Sicherheitsmaßnahmen ergriffen werden sollten. Die übrigen Befragten informieren sich gar nicht und erhalten auch keine Informationen seitens des Arbeitgebers (10 Prozent).

Auf dem Informationsportal "BSI für Bürger" finden auch Arbeitnehmerinnen und Arbeitnehmer viele praktische Tipps und Empfehlungen zur "IT-Sicherheit am Arbeitsplatz" sowie zum Thema "Social Engineering". Darüber hinaus erklären in der zweiten Folge der neuen Podcast-Reihe „Ins Internet – mit Sicherheit!“ zwei BSI-Experten der Allianz für Cyber-Sicherheit, warum IT-Sicherheit am Arbeitsplatz wichtig ist und was Arbeitnehmer und Arbeitnehmerinnen selbst dazu beitragen können. Unternehmen selbst können Teilnehmer der Allianz für Cyber-Sicherheit werden und von den vielfältigen Angeboten der BSI-Kooperationsplattform profitieren.

Quelle Umfrage: Die Online-Umfrage wurde im Auftrag des BSI durch EARSandEYES GmbH im Befragungszeitraum vom 06. bis 11. Juni 2018 durchgeführt (n=666).

Zum Podcast mit dem Thema "IT-Sicherheit am Arbeitsplatz":

Ein Mann schaut in einem Büro auf sein Tablet

BSI Pressemitteilung vom 26.07.2018

24. Cyber-Sicherheits-Tag - Jetzt anmelden!

Datum 25.07.2018

Im Unternehmen dienen E-Mails zur Interaktion mit Kunden und Lieferanten sowie zum Austausch von mitunter vertraulichen Informationen zwischen Kollegen, externen Auftragnehmern und freien Mitarbeitern. Diese herausragende Bedeutung macht E-Mails und die zur E-Mail-Infrastruktur gehörenden Komponenten gleichzeitig zu attraktiven Zielen für Cyber-Kriminelle: Die Kompromittierung von E-Mail-Servern erlaubt es den Tätern, in großem Umfang sensible Daten aus Unternehmen abzugreifen. Gefälschte Absender-Identitäten erhöhen die Chancen, dass Schadsoftware-Anhänge geöffnet werden oder CEO-Frauds zum Erfolg führen. Daher überrascht es nicht, dass E-Mail nach wie vor eines der Haupteinfallstore für Cyber-Angriffe auf Unternehmen darstellt.

Aus diesem Anlass widmet die Allianz für Cyber-Sicherheit ihren 24. Cyber-Sicherheits-Tag ganz dem Thema "Lass Dir nichts anhängen! - Sichere E-Mail-Kommunikation im Unternehmen". Dieser wird in Kooperation mit dem Partner der Allianz für Cyber-Sicherheit, der secion GmbH, am 11. September in den Räumlichkeiten der Handelskammer Hamburg, Multiplikator der Allianz für Cyber-Sicherheit, stattfinden.

Hier finden Sie ergänzende Informationen sowie die Möglichkeit sich online anzumelden.

Hier geht es zum Archiv

Hier geht es zum Archiv der Meldungen der Allianz für Cyber-Sicherheit