Bundesamt für Sicherheit in der Informationstechnik

Partnerangebot: Mehr Sicherheit beim Smartphone-Einsatz durch Device Management

Datum 22.06.2018

Welche Vorteile Mobile Device Management für den sicheren Einsatz mobiler Geräte im Unternehmen bietet, erfahren Teilnehmer in einem ganztägigen Workshop von ML Consulting.

Der Einsatz von mobilen Geräten im Unternehmen bringt eine Vielzahl von Risiken im Bezug auf die Informationssicherheit mit sich. IT-Sicherheits-Verantwortliche für diese Risiken zu sensibilisieren und zu vermitteln, warum Mobile Device Management ein wichtiges Thema in jeder Organisation darstellen sollte, ist das Ziel dieses Workshops des ACS-Partners ML Consulting Schulung, Service & Support GmbH.

Der erste Teil des Workshops widmet sich dem Thema WLAN-Verbindung von Smartphones. Insbesondere wird aufgezeigt, welche Schwachstellen existieren und wie man diesen entgegenwirken kann. Darüber hinaus wird demonstriert, wie einfach mobile Geräte Informationen über ihre Nutzer preisgeben und wie diese dazu gebracht werden können, sich mit einem vermeintlich bekannten Netzwerk zu verbinden.

Im zweiten Teil werden das Anwenderverhalten sowie die Probleme, die fremde Applikationen/Apps mit sich bringen, beleuchtet. Dabei wird insbesondere auf das Konzept der Berechtigungen von Applikationen eingegangen. Im Zuge dessen wird diskutiert und anschaulich demonstriert, wie die Schutzziele der Informationssicherheit durch den Einsatz von fremden Applikationen auf mobilen Geräten bedroht sind.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.

Cloud Computing: C5-Testat für IBM Cloud-Dienstleistung

Datum 21.06.2018

IBM hat für seinen Cloud-Dienst "IBM Cloud Infrastructure-as-a-Service" von Wirtschaftsprüfern ein Testat nach den Anforderungen des Cloud Computing Compliance Controls Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten. Das Testat erstreckt sich weltweit auf alle Rechenzentren von IBM, die diesen Dienst anbieten. Für Anwender, die diese Infrastruktur von IBM nutzen, um eigene Cloud-Dienste aufzubauen, ergibt sich daraus eine verbesserte Möglichkeit, ein C5-Testat für den eigenen Cloud-Dienst zu erhalten, da dafür in großen Teilen auf das C5-Testat von IBM verwiesen werden kann.

Hierzu erklärt BSI-Präsident Arne Schönbohm: "In Zeiten der Digitalisierung ist Cyber-Sicherheit eine globale Herausforderung, der wir uns auch als nationale Cyber-Sicherheitsbehörde stellen. Mit den bisherigen C5-Testaten für Amazon Web Services, Microsoft Azure, Alibaba und nun für IBM haben wir im IAAS-Bereich international eine sehr hohe Marktabdeckung erreicht. Mit dem C5-Katalog leistet das BSI somit weltweit einen wesentlichen Beitrag für mehr Sicherheit in der Cloud und damit für mehr Vertrauen in die Digitalisierung. Auch andere nationale und internationale Cloud-Anbieter sind aufgerufen, ihren Kunden auf Basis des C5-Katalogs des BSI einen testierbaren Mehrwert an IT-Sicherheit anzubieten."

Im C5-Anforderungskatalog hat das BSI Anforderungen zusammengefasst, die Cloud-Anbieter unabhängig von Anwendungskontext erfüllen sollten, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste zu gewährleisten. Der C5-Katalog ist ein Prüfstandard, der prüfbare Anforderungen beinhaltet, aber nicht vorschreibt, durch welche Maßnahmen diese zu erfüllen sind. Unter folgendem Link steht der "Anforderungskatalog Cloud Computing (C5)" zum Download zur Verfügung.

BSI Pressemitteilung vom 21.06.2018

Jetzt anmelden: 23. Cyber-Sicherheits-Tag

Datum 21.06.2018

"Cyber-Sicherheit für Handwerksbetriebe – Cyber-Risiken erkennen, Schutzmaßnahmen ergreifen" - So lautet das Motto des 23. Cyber-Sicherheits-Tag am 11. Juli 2018 in Münster.

IT-Sicherheits-Experten und -Expertinnen präsentieren Themen der Cyber-Sicherheit, die für die Zielgruppe Handwerksbetriebe von besonderer Bedeutung sind. Interessierte sind herzlich eingeladen.

Die Veranstaltung findet in Kooperation mit dem Zentralverband des Deutschen Handwerks und der Handwerkskammer Münster statt.

Informationen und Anmeldung hier.

KRITIS: Branchenspezifischer Sicherheitsstandard aus dem Sektor IKT anerkannt

Datum 20.06.2018

Mit dem branchenspezifischen Sicherheitsstandard (B3S) für Rechenzentren, Serverfarmen und Content Delivery Netzwerke, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Eignung des ersten Sicherheitsstandards für den KRITIS-Sektor Informationstechnik und Telekommunikation (IKT) festgestellt. Der B3S "Branchenspezifischer Sicherheitsstandard zur IT-Sicherheit" gilt damit als geeignet, die Anforderungen gemäß § 8a Abs. 1 BSIG umzusetzen.

"Der branchenspezifische Sicherheitsstandard ermöglicht es Unternehmen der IT-Branche sich an einem IT-Sicherheitsniveau nach dem Stand der Technik zu orientieren. Das IT-Sicherheitsgesetz entfaltet hier seine Wirkung und trägt dazu bei, den Schutz Kritischer Infrastrukturen weiter zu erhöhen. Diese Erfolgsgeschichte muss die Grundlage sein, um das IT-Sicherheitsgesetz fortzuschreiben", so BSI-Präsident Arne Schönbohm.

KRITIS-Betreiber aus dem Sektor IKT, die gem. BSI-KritisV eine Anlage aus den Kategorien Rechenzentrum, Serverfarm oder Content Delivery Netzwerk betreiben, können nun die Anforderungen für IT-Sicherheit, die sich aus § 8a Absatz 1 BSI-Gesetz ergeben, anhand des B3S umsetzen. Auch Unternehmen aus der Branche Informationstechnik, die zwar eine Anlage aus den genannten Kategorien betreiben, aber nicht als Betreiber einer Kritischen Infrastruktur im Sinne des BSI-Gesetzes gelten, können den Standard umsetzen und somit das IT-Sicherheitsniveau des Unternehmens erhöhen. Der B3S wird damit auch außerhalb der gesetzlichen Verpflichtungen einen wichtigen Beitrag für die Erhöhung der IT-Sicherheit in der Branche Informationstechnik leisten.

Der B3S wurde gemeinschaftlich durch die im Branchenarbeitskreis Datacenter und Hosting des UP KRITIS vertretenen Unternehmen erstellt. Er verfolgt einen risikoorientierten Ansatz in Anlehnung an die ISO 27001 und ISO 22301, um die Heterogenität der Branche zu berücksichtigen. Nach Fertigstellung des B3S wurde dessen Eignung vom BSI in Zusammenarbeit mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) festgestellt.

BSI Pressemitteilung vom 20.06.2018

Cyber-Sicherheits-Initiativen im Dialog: Synergien nutzen, Kooperationen gestalten

Datum 14.06.2018

Engagiert für mehr Informationssicherheit in Deutschland

Bereits zum dritten Mal kamen auf Einladung des BSI Cyber-Sicherheits-Initiativen aus Deutschland zusammen. Gastgeber des Treffens war das Niedersächsische Ministerium für Inneres und Sport in Hannover. Stephan Manke, Staatssekretär und CIO, sprach das Grußwort.

Gruppenbild des Treffens der Cyber-Sicherheits-Initiativen am 13.06.2018 in Berlin Gruppenfoto der Anwesenden Quelle: BSI

Nachdem beim vorausgegangenen Treffen im Januar dieses Jahres eine Vertiefung der Kooperation für mehr Cyber-Sicherheit in Deutschland vereinbart worden war, präsentierten die Vertreterinnen und Vertreter der Initiativen nun die ersten Ergebnisse ihrer Zusammenarbeit, darunter die Durchführung gemeinsamer Veranstaltungen, die Bekanntmachung von Projekten anderer Initiativen in den eigenen Netzwerken, gemeinsame Öffentlichkeitsarbeit und vieles mehr. Einige der Initiativen engagieren sich darüber hinaus als Multiplikatoren der Allianz für Cyber-Sicherheit (ACS) des BSI. Diese erfolgreichen Kooperationen sollen weiter ausgebaut werden. So ist geplant, sich im Rahmen des European Cyber Security Month (ECSM) im Oktober 2018 mit verschiedenen Aktivitäten zu engagieren und diese gemeinsam über Social-Media-Kanäle bekannt zu machen.

Im Sommer 2017 startete das BSI den Dialogprozess mit den Cyber-Sicherheits-Initiativen in Deutschland. Eingeladen sind Netzwerke und Organisationen wie Verbände, Forschungseinrichtungen sowie auch Behörden, die sich übergreifend im Thema Cyber-Sicherheit für Unternehmen und/oder Bürgerinnen und Bürger engagieren. Ziel ist es, Synergien zu nutzen und das Bewusstsein für Cyber-Sicherheit in Deutschland sowie die Reichweite einzelner Sensibilisierungsmaßnahmen weiter zu erhöhen. Die Organisation und Gestaltung des Austauschs hat die Allianz für Cyber-Sicherheit des BSI übernommen.

Keine Digitalisierung ohne Cyber-Sicherheit: Das BSI auf der CeBIT 2018

Datum 12.06.2018

Hauptthema des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf der CeBIT 2018 ist die sichere Gestaltung der Digitalisierung. Dazu zeigt das BSI in Halle 12 am Stand D06 Lösungsansätze und Unterstützungsangebote für Staat, Wirtschaft und Gesellschaft.

Für Fragen zu den Angeboten des BSI für die Wirtschaft steht an allen Messetagen ein Ansprechpartner der Allianz für Cyber-Sicherheit am BSI-Stand zur Verfügung. Wir freuen uns auf Ihren Besuch.

Die Allianz für Cyber-Sicherheit auf der CeBIT: 12.-15.06.2018, Halle 12, Stand D06

BSI veröffentlicht Richtlinien für Sicherheitseinrichtungen von elektronischen Kassen

Datum 11.06.2018

Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht Technische Richtlinien für Sicherheitseinrichtungen von elektronischen Aufzeichnungssystemen. Die Richtlinien machen Vorgaben, wie Aufzeichnungen von elektronischen Kassen zur Steuerprüfung kryptographisch abgesichert werden.

Im Zuge der Digitalisierung kommen beim Verkauf von Waren und Dienstleistungen heutzutage in der Regel elektronische Kassensysteme zum Einsatz. Hierdurch hat sich das technische Umfeld des Besteuerungsverfahrens stark verändert. So sind nachträgliche Manipulationen an Aufzeichnungen elektronischer Kassen, wie zum Beispiel das Löschen ganzer Transaktionen, ohne entsprechende Schutzmaßnahmen nur mit sehr hohem Aufwand feststellbar.
Das „Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen“ geht gegen die Manipulationen an solchen Aufzeichnungen vor. Der zentrale technische Baustein zur Umsetzung des Gesetzes ist die Einführung einer technischen Sicherheitseinrichtung. Dem Gesetz folgend, legt das BSI die Anforderungen an diese technische Sicherheitseinrichtung fest.

Ab dem Jahr 2020 müssen elektronische Kassen über eine zertifizierte technische Sicherheitseinrichtung verfügen, die aus drei Bestandteilen besteht: einem Sicherheitsmodul zur Signaturerstellung, einem Speichermedium und einer einheitlichen digitalen Schnittstelle (API).
Nach dem Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen bezieht sich die Zertifizierungspflicht nicht auf die Kassen selber, sondern beschränkt sich auf die technische Sicherheitseinrichtung, mit der die Aufzeichnungen zu sichern sind.

Die Technischen Richtlinien richten sich in der Hauptsache an Kassenhersteller und Hersteller von Technischen Sicherheitseinrichtungen. Mit der Veröffentlichung der TR-03151, TR-03153 und TR-03116-5 können Hersteller von Sicherheitseinrichtungen diese nun konform zu den Vorgaben des BSI und damit dem Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen entwickeln und dem Markt zur Verfügung stellen.

Generelle Informationen zu dem Thema finden sich unter:
https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/Grundaufzeichnungen/grundaufzeichnungen_node.html

Links zu den einzelnen Richtlinien:

BSI TR-03153 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03153/index_htm.html

BSI TR-03151 Secure Element API (SE API)
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03151/index_htm.html

BSI TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung
Teil 5: Anwendungen der Secure Element API
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03116/index_htm.html

Link zum Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen
http://www.bundesfinanzministerium.de/Content/DE/Gesetzestexte/Gesetze_Verordnungen/2016-12-28-G-z-Schutz-v-Manipulationen-an-digitalen-Grundaufzeichnungen.html

BSI Pressemitteilung vom 08.06.2018

Vorfallsmeldungen als essenzieller Baustein beim Kampf gegen Cyber-Bedrohungen

Datum 07.06.2018

Der Aufwand lohnt sich: Fragen zum Prozedere beantworten die Zentralen Ansprechstellen Cybercrime für Wirtschaftsunternehmen (ZAC) und die Allianz für Cyber-Sicherheit – auch auf der CeBIT.

Der offene Austausch zu Cyber-Bedrohungen zwischen allen Akteuren ist eine zentrale Maßnahme, um die Widerstandsfähigkeit vor Angriffen zu verbessern: Nur wenn möglichst alle aktuellen Methoden der Täter bekannt sind, können Warnmeldungen verteilt und Sicherheitsmaßnahmen umgesetzt werden. Ohne dieses wertvolle Wissen in den Organisationen können Angreifer mit ihren Angriffswerkzeugen beliebig fortfahren und ein Ziel nach dem anderen kompromittieren.

Sowohl vonseiten der Ermittlungsbehörden als auch aus Sicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Anlaufstelle zur Bewertung der aktuellen Cyber-Sicherheitslage rufen wir daher alle Opfer von Cyber-Angriffen nachdrücklich dazu auf, die beobachteten Vorfälle sowohl an die ZACs der Kriminalämter als auch über die Meldestelle der Allianz für Cyber-Sicherheit an das BSI zu berichten. Der Aufwand lohnt sich!

Bei Fragen zum Prozedere stehen sowohl vonseiten der ZACs als auch von der Allianz für Cyber-Sicherheit Ansprechpartner auf der CeBIT in Hannover bereit. Informationen zu den ZACs finden Sie auf dem Stand des Bundeskriminalamts (Halle 12, Stand D36), Vertreter der Allianz für Cyber-Sicherheit auf dem Stand des BSI (Halle 12, Stand D06).

Wir freuen uns über Ihren Besuch!

Partnerangebot: Konzept-Workshop „Information Security Engineering INNOVATIV

Datum 07.06.2018

Dieser interaktive Workshop des ACS-Partners excepture am 25.09.2018 ermöglicht es KMUs, sich komplexen Fragen der Informationssicherheit auf kreative Weise zu nähern.

Information Security und Compliance Officer werden oft als Bremser oder gar Verhinderer gesehen. Sie kämpfen mit knappen Budgets, geringen Einflussmöglichkeiten und fehlendem fachlichen Austausch. Agiles team-orientiertes Denken wird in der Informationssicherheit noch kaum als Option gesehen.

In diesem Workshop des Bonner Beratungsunternehmens excepture lernen Teilnehmer eine Vorgehensweise kennen, mit der sie die gewohnten Analyse- und Diskussionsmuster vorübergehend verlassen und unter Einsatz der LEGO® SERIOUS PLAY®-Methode (© 2018 by the LEGO Group) eine andere Perspektive auf eine konkrete Problemstellung der Informationssicherheit einnehmen können.

Der ganztägige Workshop in kleinem Kreis richtet sich an Information Security Officer in kleinen und mittleren Unternehmen. Es wird ein kostenfreier Platz für Teilnehmer der Allianz für Cyber-Sicherheit angeboten.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.


Partnerangebot: Whitepaper zu PSD2 und DSGVO

Datum 05.06.2018

Ein Whitepaper von Bluecarat gibt einen Überblick über die Anforderungen im Rahmen der Europäischen Zahlungsdienste-Richtlinie (PSD2) – unter spezieller Berücksichtigung der EU-DSGVO.

Welche gesetzlichen und regulatorischen Anforderungen gilt es im Rahmen der Europäischen Zahlungsdienste-Richtlinie (Payment Service Directive, PSD2) und der neuen Datenschutz-Grundverordnung (EU-DSGVO) zu beachten? Und wo gibt es Überschneidungen zwischen diesen Regulierungen, aus denen sich mögliche Synergien bei der Umsetzung ergeben?

Zur Downloadseite gelangen Sie hier.

Hier geht es zum Archiv

Hier geht es zum Archiv der Meldungen der Allianz für Cyber-Sicherheit