Bundesamt für Sicherheit in der Informationstechnik

KRITIS: Branchenspezifischer Sicherheitsstandard aus dem Sektor IKT anerkannt

Datum 20.06.2018

Mit dem branchenspezifischen Sicherheitsstandard (B3S) für Rechenzentren, Serverfarmen und Content Delivery Netzwerke, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Eignung des ersten Sicherheitsstandards für den KRITIS-Sektor Informationstechnik und Telekommunikation (IKT) festgestellt. Der B3S "Branchenspezifischer Sicherheitsstandard zur IT-Sicherheit" gilt damit als geeignet, die Anforderungen gemäß § 8a Abs. 1 BSIG umzusetzen.

"Der branchenspezifische Sicherheitsstandard ermöglicht es Unternehmen der IT-Branche sich an einem IT-Sicherheitsniveau nach dem Stand der Technik zu orientieren. Das IT-Sicherheitsgesetz entfaltet hier seine Wirkung und trägt dazu bei, den Schutz Kritischer Infrastrukturen weiter zu erhöhen. Diese Erfolgsgeschichte muss die Grundlage sein, um das IT-Sicherheitsgesetz fortzuschreiben", so BSI-Präsident Arne Schönbohm.

KRITIS-Betreiber aus dem Sektor IKT, die gem. BSI-KritisV eine Anlage aus den Kategorien Rechenzentrum, Serverfarm oder Content Delivery Netzwerk betreiben, können nun die Anforderungen für IT-Sicherheit, die sich aus § 8a Absatz 1 BSI-Gesetz ergeben, anhand des B3S umsetzen. Auch Unternehmen aus der Branche Informationstechnik, die zwar eine Anlage aus den genannten Kategorien betreiben, aber nicht als Betreiber einer Kritischen Infrastruktur im Sinne des BSI-Gesetzes gelten, können den Standard umsetzen und somit das IT-Sicherheitsniveau des Unternehmens erhöhen. Der B3S wird damit auch außerhalb der gesetzlichen Verpflichtungen einen wichtigen Beitrag für die Erhöhung der IT-Sicherheit in der Branche Informationstechnik leisten.

Der B3S wurde gemeinschaftlich durch die im Branchenarbeitskreis Datacenter und Hosting des UP KRITIS vertretenen Unternehmen erstellt. Er verfolgt einen risikoorientierten Ansatz in Anlehnung an die ISO 27001 und ISO 22301, um die Heterogenität der Branche zu berücksichtigen. Nach Fertigstellung des B3S wurde dessen Eignung vom BSI in Zusammenarbeit mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) festgestellt.

BSI Pressemitteilung vom 20.06.2018

Cyber-Sicherheits-Initiativen im Dialog: Synergien nutzen, Kooperationen gestalten

Datum 14.06.2018

Engagiert für mehr Informationssicherheit in Deutschland

Bereits zum dritten Mal kamen auf Einladung des BSI Cyber-Sicherheits-Initiativen aus Deutschland zusammen. Gastgeber des Treffens war das Niedersächsische Ministerium für Inneres und Sport in Hannover. Stephan Manke, Staatssekretär und CIO, sprach das Grußwort.

Gruppenbild des Treffens der Cyber-Sicherheits-Initiativen am 13.06.2018 in Berlin Gruppenfoto der Anwesenden Quelle: BSI

Nachdem beim vorausgegangenen Treffen im Januar dieses Jahres eine Vertiefung der Kooperation für mehr Cyber-Sicherheit in Deutschland vereinbart worden war, präsentierten die Vertreterinnen und Vertreter der Initiativen nun die ersten Ergebnisse ihrer Zusammenarbeit, darunter die Durchführung gemeinsamer Veranstaltungen, die Bekanntmachung von Projekten anderer Initiativen in den eigenen Netzwerken, gemeinsame Öffentlichkeitsarbeit und vieles mehr. Einige der Initiativen engagieren sich darüber hinaus als Multiplikatoren der Allianz für Cyber-Sicherheit (ACS) des BSI. Diese erfolgreichen Kooperationen sollen weiter ausgebaut werden. So ist geplant, sich im Rahmen des European Cyber Security Month (ECSM) im Oktober 2018 mit verschiedenen Aktivitäten zu engagieren und diese gemeinsam über Social-Media-Kanäle bekannt zu machen.

Im Sommer 2017 startete das BSI den Dialogprozess mit den Cyber-Sicherheits-Initiativen in Deutschland. Eingeladen sind Netzwerke und Organisationen wie Verbände, Forschungseinrichtungen sowie auch Behörden, die sich übergreifend im Thema Cyber-Sicherheit für Unternehmen und/oder Bürgerinnen und Bürger engagieren. Ziel ist es, Synergien zu nutzen und das Bewusstsein für Cyber-Sicherheit in Deutschland sowie die Reichweite einzelner Sensibilisierungsmaßnahmen weiter zu erhöhen. Die Organisation und Gestaltung des Austauschs hat die Allianz für Cyber-Sicherheit des BSI übernommen.

Keine Digitalisierung ohne Cyber-Sicherheit: Das BSI auf der CeBIT 2018

Datum 12.06.2018

Hauptthema des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf der CeBIT 2018 ist die sichere Gestaltung der Digitalisierung. Dazu zeigt das BSI in Halle 12 am Stand D06 Lösungsansätze und Unterstützungsangebote für Staat, Wirtschaft und Gesellschaft.

Für Fragen zu den Angeboten des BSI für die Wirtschaft steht an allen Messetagen ein Ansprechpartner der Allianz für Cyber-Sicherheit am BSI-Stand zur Verfügung. Wir freuen uns auf Ihren Besuch.

Die Allianz für Cyber-Sicherheit auf der CeBIT: 12.-15.06.2018, Halle 12, Stand D06

BSI veröffentlicht Richtlinien für Sicherheitseinrichtungen von elektronischen Kassen

Datum 11.06.2018

Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht Technische Richtlinien für Sicherheitseinrichtungen von elektronischen Aufzeichnungssystemen. Die Richtlinien machen Vorgaben, wie Aufzeichnungen von elektronischen Kassen zur Steuerprüfung kryptographisch abgesichert werden.

Im Zuge der Digitalisierung kommen beim Verkauf von Waren und Dienstleistungen heutzutage in der Regel elektronische Kassensysteme zum Einsatz. Hierdurch hat sich das technische Umfeld des Besteuerungsverfahrens stark verändert. So sind nachträgliche Manipulationen an Aufzeichnungen elektronischer Kassen, wie zum Beispiel das Löschen ganzer Transaktionen, ohne entsprechende Schutzmaßnahmen nur mit sehr hohem Aufwand feststellbar.
Das „Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen“ geht gegen die Manipulationen an solchen Aufzeichnungen vor. Der zentrale technische Baustein zur Umsetzung des Gesetzes ist die Einführung einer technischen Sicherheitseinrichtung. Dem Gesetz folgend, legt das BSI die Anforderungen an diese technische Sicherheitseinrichtung fest.

Ab dem Jahr 2020 müssen elektronische Kassen über eine zertifizierte technische Sicherheitseinrichtung verfügen, die aus drei Bestandteilen besteht: einem Sicherheitsmodul zur Signaturerstellung, einem Speichermedium und einer einheitlichen digitalen Schnittstelle (API).
Nach dem Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen bezieht sich die Zertifizierungspflicht nicht auf die Kassen selber, sondern beschränkt sich auf die technische Sicherheitseinrichtung, mit der die Aufzeichnungen zu sichern sind.

Die Technischen Richtlinien richten sich in der Hauptsache an Kassenhersteller und Hersteller von Technischen Sicherheitseinrichtungen. Mit der Veröffentlichung der TR-03151, TR-03153 und TR-03116-5 können Hersteller von Sicherheitseinrichtungen diese nun konform zu den Vorgaben des BSI und damit dem Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen entwickeln und dem Markt zur Verfügung stellen.

Generelle Informationen zu dem Thema finden sich unter:
https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/Grundaufzeichnungen/grundaufzeichnungen_node.html

Links zu den einzelnen Richtlinien:

BSI TR-03153 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03153/index_htm.html

BSI TR-03151 Secure Element API (SE API)
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03151/index_htm.html

BSI TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung
Teil 5: Anwendungen der Secure Element API
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03116/index_htm.html

Link zum Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen
http://www.bundesfinanzministerium.de/Content/DE/Gesetzestexte/Gesetze_Verordnungen/2016-12-28-G-z-Schutz-v-Manipulationen-an-digitalen-Grundaufzeichnungen.html

BSI Pressemitteilung vom 08.06.2018

Vorfallsmeldungen als essenzieller Baustein beim Kampf gegen Cyber-Bedrohungen

Datum 07.06.2018

Der Aufwand lohnt sich: Fragen zum Prozedere beantworten die Zentralen Ansprechstellen Cybercrime für Wirtschaftsunternehmen (ZAC) und die Allianz für Cyber-Sicherheit – auch auf der CeBIT.

Der offene Austausch zu Cyber-Bedrohungen zwischen allen Akteuren ist eine zentrale Maßnahme, um die Widerstandsfähigkeit vor Angriffen zu verbessern: Nur wenn möglichst alle aktuellen Methoden der Täter bekannt sind, können Warnmeldungen verteilt und Sicherheitsmaßnahmen umgesetzt werden. Ohne dieses wertvolle Wissen in den Organisationen können Angreifer mit ihren Angriffswerkzeugen beliebig fortfahren und ein Ziel nach dem anderen kompromittieren.

Sowohl vonseiten der Ermittlungsbehörden als auch aus Sicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Anlaufstelle zur Bewertung der aktuellen Cyber-Sicherheitslage rufen wir daher alle Opfer von Cyber-Angriffen nachdrücklich dazu auf, die beobachteten Vorfälle sowohl an die ZACs der Kriminalämter als auch über die Meldestelle der Allianz für Cyber-Sicherheit an das BSI zu berichten. Der Aufwand lohnt sich!

Bei Fragen zum Prozedere stehen sowohl vonseiten der ZACs als auch von der Allianz für Cyber-Sicherheit Ansprechpartner auf der CeBIT in Hannover bereit. Informationen zu den ZACs finden Sie auf dem Stand des Bundeskriminalamts (Halle 12, Stand D36), Vertreter der Allianz für Cyber-Sicherheit auf dem Stand des BSI (Halle 12, Stand D06).

Wir freuen uns über Ihren Besuch!

Partnerangebot: Konzept-Workshop „Information Security Engineering INNOVATIV

Datum 07.06.2018

Dieser interaktive Workshop des ACS-Partners excepture am 25.09.2018 ermöglicht es KMUs, sich komplexen Fragen der Informationssicherheit auf kreative Weise zu nähern.

Information Security und Compliance Officer werden oft als Bremser oder gar Verhinderer gesehen. Sie kämpfen mit knappen Budgets, geringen Einflussmöglichkeiten und fehlendem fachlichen Austausch. Agiles team-orientiertes Denken wird in der Informationssicherheit noch kaum als Option gesehen.

In diesem Workshop des Bonner Beratungsunternehmens excepture lernen Teilnehmer eine Vorgehensweise kennen, mit der sie die gewohnten Analyse- und Diskussionsmuster vorübergehend verlassen und unter Einsatz der LEGO® SERIOUS PLAY®-Methode (© 2018 by the LEGO Group) eine andere Perspektive auf eine konkrete Problemstellung der Informationssicherheit einnehmen können.

Der ganztägige Workshop in kleinem Kreis richtet sich an Information Security Officer in kleinen und mittleren Unternehmen. Es wird ein kostenfreier Platz für Teilnehmer der Allianz für Cyber-Sicherheit angeboten.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.


Partnerangebot: Whitepaper zu PSD2 und DSGVO

Datum 05.06.2018

Ein Whitepaper von Bluecarat gibt einen Überblick über die Anforderungen im Rahmen der Europäischen Zahlungsdienste-Richtlinie (PSD2) – unter spezieller Berücksichtigung der EU-DSGVO.

Welche gesetzlichen und regulatorischen Anforderungen gilt es im Rahmen der Europäischen Zahlungsdienste-Richtlinie (Payment Service Directive, PSD2) und der neuen Datenschutz-Grundverordnung (EU-DSGVO) zu beachten? Und wo gibt es Überschneidungen zwischen diesen Regulierungen, aus denen sich mögliche Synergien bei der Umsetzung ergeben?

Zur Downloadseite gelangen Sie hier.

IT-Grundschutz-Profil für Kommunen veröffentlicht

Datum 29.05.2018

Die kommunalen Spitzenverbände Deutscher Landkreistag, Deutscher Städte- und Gemeindebund und Deutscher Städtetag haben in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ein IT-Grundschutzprofil für Kommunen veröffentlicht. Das Profil dient als Schablone für IT-Verantwortliche in Kommunalverwaltungen, die den IT-Grundschutz zur Erhöhung der Informationssicherheit einsetzen wollen.

"Der IT-Grundschutz des BSI ist das Standardwerk schlechthin, wenn es um systematische Informationssicherheit für Unternehmen, Behörden und Organisationen geht. Die IT-Grundschutz-Profile bieten einen guten Einstieg in dieses Erfolgsmodell. Auch kleinere Kommunen oder Unternehmen haben damit die Möglichkeit, ihr Niveau der Informationssicherheit schnell deutlich zu erhöhen. Im Hinblick auf anstehende Digitalisierungsprojekte der Kommunen ist die Sicherheit der Daten ein wesentlicher Erfolgsfaktor. Als nationale Cyber-Sicherheitsbehörde stehen wir Ländern und Kommunen beratend zur Seite", so BSI-Präsident Arne Schönbohm.

IT-Grundschutz-Profile sind Muster-Sicherheitskonzepte für Institutionen mit vergleichbaren Rahmenbedingungen. Das erstellte IT-Grundschutz-Profil basiert auf der Vorgehensweise der Basis-Absicherung nach dem BSI-Standard 200-2 und definiert die Mindestsicherheitsmaßnahmen, die in einer Kommunalverwaltung umzusetzen sind. Das IT-Grundschutz-Profil erleichtert den Einstieg in die Informationssicherheit und hilft dabei, das Sicherheitsniveau anzuheben.

Das BSI ruft Unternehmen, Verbände, Kammern und Behörden zur Erstellung eigener Profile auf und bietet dazu auch fachliche Unterstützung an (https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/news_IT-Grundschutz_21022018.html). Wie ein solches Profil aufgebaut werden sollte, ist in der „Anleitung zur Erstellung eines IT-Grundschutz-Profils“ beschrieben, die bisher als Strukturbeschreibung (Community Draft) veröffentlicht ist.

BSI Pressemitteilung vom 29.05.2018

23. Cyber-Sicherheits-Tag - Call for Presentations

Datum 24.05.2018

Am 11. Juli 2018 findet der 23. Cyber-Sicherheits-Tag in Kooperation mit dem Zentralverband des Deutschen Handwerks (ZDH) und der Handwerkskammer Münster unter dem Motto „Cyber-Sicherheit in Handwerksbetrieben - Cyber-Risiken erkennen, Schutz-Maßnahmen ergreifen“ statt.

Beiträge gesucht

Expertinnen und Experten der Allianz für Cyber-Sicherheit sind herzlich eingeladen, sich an der Programmgestaltung zu beteiligen. Zielgruppe sind Anwenderinnen und Anwender, Verantwortliche für IT-Systeme und IT-Sicherheit sowie Entscheiderinnen und Entscheider aus dem Management in kleinen und mittleren Handwerksbetrieben sowie Vertreterinnen und Vertreter aus Handwerkskammern und -organisationen.

Für den Nachmittag sind insgesamt zehn Impulsvorträge zu Themen der Cyber-Sicherheit geplant, die für die Zielgruppe Handwerksbetriebe von besonderer Bedeutung sind. Ein Live-Hacking um 13:30 Uhr soll den ca. 150 erwarteten Teilnehmenden mögliche Cyber-Risiken veranschaulichen. Daran schließen sich alle 30 Minuten jeweils drei parallel stattfindende Vortragsslots an. Für diese praxisorientierten Impulse sind max. 20 Minuten Redezeit und fünf bis zehn Minuten Austausch vorgesehen.

Ziel ist es, das jeweilige Thema leicht verständlich darzustellen und Lösungshinweise bzw. Tipps für die praktische Umsetzung in den Handwerksunternehmen an die Hand zu geben. Dabei sollen die Bedarfe insbesondere von kleinen Betrieben Berücksichtigung finden. Neben der Vorstellung von Schutzmaßnahmen, die auch von Anwenderinnen und Anwendern mit wenig ausgeprägter IT-Expertise leicht umgesetzt werden können, freuen wir uns auch über die Präsentation von praktischen Tools aus dem Bereich IT-Sicherheit z. B. zum Selbstcheck.

Mögliche Themengebiete für Beiträge sind beispielsweise:

  • Live-Hacking
  • DSGVO erfolgreich meistern
  • Sichere E-Mail-Kommunikation/Verschlüsselung für KMU
  • Awareness-Maßnahmen für Beschäftigte (geeignet auch für kleine Unternehmen)
  • IT-Sicherheit am Arbeitsplatz - Social Engineering
  • IT-Sicherheit für mobiles Arbeiten im Handwerk (z. B. sicherer Fernzugriff)
  • Bring your own Device/Mobile Device Management
  • Sichere Telekommunikationsanlagen
  • Passwortmanagement
  • Datensicherung
  • Sichere Netzwerkarchitektur

Bitte senden Sie uns Ihre Vorschläge unter Nennung von Vortragstitel, kurzer inhaltlicher Zusammenfassung (max. 5 Sätze), Name und Funktion des/r Referent/in sowie Art der Einreichung per E-Mail an unsere Geschäftsstelle: info@cyber-allianz.de

Kriterien für die Auswahl der Beiträge sind Aktualität, Praxisnähe sowie der Bezug zur Zielgruppe Handwerksbetriebe.

Wichtige Hinweise

Bitte beachten Sie, dass Einreichungen mit stark werblichem Charakter grundsätzlich nicht akzeptiert werden. Die sachdienliche Nennung von Produkten bzw. Dienstleistungen in angemessenem Umfang sowie eine kurze Vorstellung des eigenen Unternehmens sind zulässig.

Einreichungen mit Fokus auf die Zielgruppe Bürgerinnen und Bürger im privaten Umfeld oder Kleinstunternehmen können, entsprechend der Zielsetzung unserer Initiative, ebenfalls nicht berücksichtigt werden. Für diese Zielgruppen betreibt das BSI die Initiative „BSI für Bürger“.

Da es sich um eine kostenfreie Veranstaltung handelt, können keine Honorarzahlungen sowie Reise- und Übernachtungskostenerstattungen geleistet werden.

Veranstaltungsort:
Handwerkskammer Bildungszentrum
Echelmeyerstraße 1-2
48163 Münster

Fristen

Einreichung des Vorschlags bis: 15. Juni 2018
Benachrichtigung über die Annahme: 22. Juni 2018
Einreichung der finalen Präsentation: 4. Juli 2018

Weitere Informationen zur Veranstaltung und Anmeldemöglichkeiten

Die Agenda sowie die Anmeldemöglichkeiten zum 23. Cyber-Sicherheits-Tag finden Sie voraussichtlich ab Anfang Juni 2018 unter: https://www.allianz-fuer-cybersicherheit.de/Teilnehmertag. Zudem erhalten Sie dort Einblicke in vergangene Veranstaltungen.

Partnerangebot: Whitepaper „Datenschutz und Informationssicherheit in Druckinfrastrukturen“

Datum 23.05.2018

Wie sich Informationssicherheit und Datenschutz in Druckinfrastrukturen umsetzen lassen, erläutert dieser Leitfaden der mc² management consulting GmbH.

Drucker, Multifunktionsgeräte, Scanner, Faxgeräte und die dazu gehörigen Softwarekomponenten sind ein wichtiger Teil der betrieblichen Informationsverarbeitung und kommen nach wie vor in vielen Geschäftsprozessen zum Einsatz. Während der Fokus von Datenschutz und Informationssicherheit meist auf digitalen Daten und der IT-Infrastruktur liegt, müssen jedoch auch Papierdokumente und die darin enthaltenen Informationen genauso wie ihren digitalen Gegenstücken behandelt und geschützt werden. Um die Verfügbarkeit und Integrität der Dokumenteninfrastruktur sicherzustellen, müssen Geräte und Softwarekomponenten daher durch Härtung gegen bekannte Angriffs- und Störungsszenarien wirksam geschützt werden.

Als Partner der Allianz für Cyber-Sicherheit bietet die mc² management consulting GmbH ein Whitepaper an, das als Leitfaden zur Erarbeitung von Datenschutz und Informationssicherheit in diesem Zusammenhang genutzt werden kann.

Zur Downloadseite gelangen Sie hier.

Hier geht es zum Archiv

Hier geht es zum Archiv der Meldungen der Allianz für Cyber-Sicherheit