Bundesamt für Sicherheit in der Informationstechnik

BSI veröffentlicht Mindeststandard für Mobile Device Management

Datum 17.05.2017

Standard unterstützt bei Integration und Verwaltung von Mobilgeräten in IT-Infrastruktur einer Institution.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard nach §8 BSI-Gesetz (BSIG) für Mobile Device Management veröffentlicht. Mithilfe von Mobile Device Management (MDM) können Mobilgeräte wie Smartphones und Tablets in die IT-Infrastruktur einer Institution integriert und zentral verwaltet werden. Der Mindeststandard stellt Sicherheitsanforderungen an ein MDM, die von Behörden bereits bei Vergabeverfahren herangezogen werden können. Zudem wird auch ein sicherer Betrieb des MDM durch die Vorgabe von technischen und organisatorischen Maßnahmen geregelt. Mit der Umsetzung wird ein definiertes Mindestsicherheitsniveau erreicht, das nicht unterschritten werden sollte.

Arne Schönbohm, Präsident des BSI: "Mobilgeräte gehören heute zur Standardausstattung in Verwaltung und Wirtschaft, oftmals ist auch der Zugriff auf Unternehmensnetze per Smartphone möglich. Dies steigert die Arbeitseffizienz, birgt aber auch Risiken, insbesondere wenn die Geräte für dienstliche und private Zwecke genutzt werden können. Ein zentrales Management mittels MDM ist hier unabdingbar. Unser neuer Mindeststandard sorgt hier für ein klar definiertes Mindestniveau an Informationssicherheit, auch in der mobilen Welt."

Der von der nationalen Cyber-Sicherheitsbehörde BSI entwickelte Mindeststandard definiert ein Mindestsicherheitsniveau für Mobile Device Management, das durch die Stellen des Bundes eingesetzt wird. Gleichzeitig können die Sicherheitsanforderungen und Maßnahmen auch Behörden der Länder und Kommunen sowie Unternehmen als Leitfaden dienen. Der Mindeststandard für Mobile Device Management ist auf der Webseite des BSI abrufbar.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Das Übungszentrum Netzverteidigung geht in die nächste Runde - Jetzt anmelden!

Datum 10.05.2017

Innerhalb von fünf Tagen lernen die Teilnehmer häufige Schwachstellen kennen und können deren Ausnutzung in praktischen Übungen nachvollziehen.

Das Übungszentrum Netzverteidigung zählt zu den beliebtesten Schulungsangeboten von Bundesamt für Sicherheit in der Informationstechnik (BSI) und Allianz für Cyber-Sicherheit.

In fünf Tagen durchlaufen die Teilnehmer Module zu Sicherheitslücken verschiedener IT-Komponenten und Anwendungen. Hierzu zählen bspw. Netzwerke, Webanwendungen oder auch ICS-Komponenten. Jedes dieser Module behandelt zunächst häufige Schwachstellen in der Theorie, bevor in anschließenden, praktischen Übungen deren Ausnutzung und Schließung durchleuchtet wird. Am letzten Tag der Veranstaltung werden die Teilnehmer dann in zwei Gruppen aufgeteilt, die das erworbene Wissen in einem fiktiven Szenario als Angreifer und Verteidiger eines IT-Netzes gegeneinander anwenden müssen.
Mit dem so vermittelten Know-how werden die Teilnehmer in die Lage versetzt, Schwachstellen in der IT ihrer eigenen Institution zu erkennen und Schutzmaßnahmen zu ergreifen.

Nun wurde eine neue Ausgabe der Veranstaltung bestätigt. Diese wird vom

19. bis zum 23. Juni in Bonn

stattfinden. Bis zum 21. Mai haben Interessenten die Möglichkeit, sich für einen der kostenlosen Plätze zu bewerben. Nutzen Sie also jetzt die Chance und senden Sie uns Ihre Bewerbung!

Weitere Informationen erhalten Sie über diesen Link.

Ergebnisse der Cyber-Sicherheits-Umfrage 2016 veröffentlicht

Datum 08.05.2017

Bewusstsein für Cyber-Bedrohungen in den Unternehmen steigt – verstärktes Monitoring erhöht Erkennungsrate bei Cyber-Angriffen.

Die Cyber-Sicherheits-Umfrage der Allianz für Cyber-Sicherheit wird jährlich vom Bundesamt für Sicherheit in der Informationstechnik in Kooperation mit verschiedenen namhaften Verbänden durchgeführt.

Auch im Jahr 2016 wurden erneut zahlreiche deutsche Unternehmen verschiedener Branchen und Größen zu unterschiedlichen Aspekten der Cyber-Sicherheit befragt. Aus den Ergebnissen geht u.a. hervor, dass sowohl der Anteil erfolgreicher als auch abgewehrter Cyber-Angriffe zunimmt. Dementsprechend wird die Grauzone von unentdeckten Attacken auf Unternehmen immer kleiner.

Dies spricht einerseits für ein verbessertes Bewusstsein für Cyber-Bedrohungen bzw. verstärktes Monitoring in den Institutionen und zum anderen für die Verbesserung der Detektionsmechanismen.

Weitere Ergebnisse der Umfrage stehen ab sofort zum Download bereit.

Partnerbeitrag: IT-Seminar für Betreiber und Dienstleister von Arztpraxen

Datum 04.05.2017

valvisio informiert zu Datenschutz- und IT-Sicherheitsaspekten in der Branche.

Die EU-Datenschutzgrundverordnung steht vor der Tür und sieht drastische Änderungen vor: höhere Strafen, umfangreichere Dokumentationsvorschriften sowie neue Einwilligungstatbestände und Betroffenenrechte.

Den daraus resultierenden Konsequenzen für Arztpraxen widmet sich die valvisio consulting GmbH in einer Veranstaltung am 6. Juli 2017 in Nürnberg. Neben den Grundlagen der EU-Datenschutzgrundverordnung stehen außerdem Einblicke in das "neue" BDSG sowie die Themen "Datenschutz" und "IT-Sicherheit" auf der Tagesordnung. Ziel ist es, dass die Teilnehmer die notwendigen Maßnahmen erfolgreich in ihrer Praxis umsetzen können, um neben drohenden Bußgeldern auch Haftungsrisiken zu minimieren.

Für Teilnehmer der Allianz für Cyber-Sicherheit stehen zwei kostenlose Plätze zur Verfügung.

Weitere Informationen erhalten Sie über diesen Link.

Internet Service Provider stellen Gefährdungsmatrix für das Jahr 2016 vor

Datum 12.04.2017

Dokument nennt konkrete Gefährdungen, Eintrittswahrscheinlichkeiten, Schadenshöhen und Risikobewertungen für die Internetinfrastruktur.

Der Expertenkreis Internetbetreiber befasst sich mit der aktuellen Gefährdungslage der kritischen Internetinfrastruktur. So findet zwischen den ISPs 1&1, Deutsche Telekom, Strato, Telefonica, Unitymedia und Vodafone sowie dem Bundesamt für Sicherheit in der Informationstechnik ein enger Austausch statt, in dem aktuelle Risiken sowie geeignete Gegenmaßnahmen diskutiert werden.

Eines der Arbeitsergebnisse besteht in der Erstellung einer Gefährdungsmatrix für aktuelle Bedrohungen, die in regelmäßigen Abständen aktualisiert und auf den Internetseiten der Allianz für Cyber-Sicherheit veröffentlicht wird. Diese stellt die Sicht der beteiligten Partner auf die derzeitige Gefährdungslage dar.

Das Dokument richtet sich an vergleichbare IT-Dienstleister mit ähnlichem Fokus.

Für das vergangene Jahr steht die Gefährdungsmatrix ab sofort zum Download zur Verfügung.

Partnerbeitrag: genua-Schulung zeigt die Methoden der Hacker

Datum 07.04.2017

Im Workshop genulab schlüpfen die Teilnehmer für drei Tage in die Rolle eines Cyber-Angreifers.

Administratoren und Sicherheitsverantwortliche sind u.a. damit beauftragt, adäquate Schutzmaßnahmen für die IT-Infrastruktur ihrer Organisation zu planen, umzusetzen und zu überprüfen. Hierbei handeln sie in der Regel aus einem defensiven Blickwinkel, indem sie z.B. gängige Sicherheitsempfehlungen umsetzen.

Um einen umfassenden Schutz zu erreichen, kann es sich jedoch lohnen, die Maßnahmen aus der Sicht eines Angreifers zu durchleuchten. Hieraus eröffnen sich wohlmöglich Sicherheitslücken, die zuvor noch unbekannt waren.

An dieser Stelle setzt der IT-Security Workshop genulab von genua an. Innerhalb von 3 Tagen erhalten die Teilnehmer Einblicke in die verschiedenen Vorgehensweisen der Täter, sodass sie anschließend in der Lage sind, die Auswirkungen möglicher Angriffsszenarien auf die eigene IT zu überprüfen.

Die Schulung findet an verschiedenen Terminen in Kirchheim bei München statt. Für Mitglieder der Allianz für Cyber-Sicherheit stehen kostenlose Plätze zur Verfügung.

Weitere Informationen zur Veranstaltung ab dem 27. Juni erhalten Sie über diesen Link.

Klicken Sie hier, um Details zur Schulung ab dem 5. Dezember zu erfahren.

Partnerbeitrag: Kostenlose Web Application Security Scans

Datum 04.04.2017

Die SRC GmbH bietet in diesem Jahr bis zu fünf Prüfungen von Web Applikationen an.

Webanwendungen sind einer Vielzahl von Bedrohungen ausgesetzt – wie z.B. Manipulationen, Datenabflüssen oder vollständigen Kompromittierungen, die als Ausgangspunkt für weitere Angriffe auf interne Infrastrukturen dienen.

Aus diesem Grund wird den Betreibern empfohlen, mit regelmäßigen Security Scans Fehler in der Architektur und der Konfiguration der untersuchten Webanwendung zu identifizieren.

Fünf dieser Web Application Security Scans bietet die SRC Security Research & Consulting GmbH den Teilnehmern der Allianz für Cyber-Sicherheit kostenlos an. Im Gegensatz zu vielen vollautomatisierten Scans wird SRC auch eine Prüfung von Seiten vornehmen, die beispielsweise erst nach der Registrierung oder der Anmeldung von Benutzern auf der Webanwendung sichtbar sind. Hierdurch lassen sich Schwachstellen aufdecken, die bei vollautomatisierten Scans ohne Berücksichtigung von Authentifizierungsprozessen unbeachtet bleiben.

Weitere Informationen erhalten Sie über diesen Link.

Partnerbeitrag: Hardware mit Open Source Code betreiben

Datum 03.04.2017

Webinar der Thomas-Krenn.AG zeigt Möglichkeiten von OpenPOWER auf

Linux und andere Open Source Software bieten aus Sicherheitsperspektive einen bedeutenden Vorteil: der Quellcode ist öffentlich einsehbar und kann auch selbst kompiliert werden. Die Gefahr von bewusst eingebrachten Backdoors ist damit im Vergleich zu ausschließlich in Binärform vorliegender Software deutlich geringer.

Bislang konnte man Open Source Code fast ausschließlich im Softwarebereich einsetzen. Zwei Projekte bieten nun die Chance, auch weite Teile der Hardware mit Open Source Code zu betreiben: OpenPOWER und OpenBMC. Damit ist es erstmals möglich, vom ersten CPU-Befehl zur Initialisierung des ersten CPU-Cores (noch lange bevor DRAM, Firmware-Management oder PCIe funktioniert) bis hin zum Betrieb der gewünschten Anwendung (beispielsweise einer Open Source Datenbank wie PostgreSQL oder MariaDB) ausschließlich Open Source Code auszuführen.

In Anbetracht dieser neuen Möglichkeiten bietet Werner Fischer von der Thomas-Krenn.AG ein kostenloses Webinar an, das den Aufbau der OpenPOWER Architektur erklärt. Er zeigt wie die Firmware offen entwickelt wird, wie man diese selbst kompiliert und anschließend auf dem eigenen Server einspielt. Das Webinar findet am 25. April statt.

Weitere Informationen erhalten Sie über diesen Link.

Partnerbeitrag: BearingPoint informiert zu Herausforderungen und Vereinbarkeit von IoT und Datenschutz

Datum 31.03.2017

Ziel des Webinars ist die Darstellung der Implikationen der EU-Datenschutzgrundverordnung auf IoT-Szenarien.

Über das Internet of Things (IoT) wird viel gesprochen. IoT soll sowohl bei der Erleichterung des Lebens im privaten Wohnumfeld (Smart Home), der Services der Stadtverwaltungen (Smart City), als auch im mobilen Leben (z.B. Connected Car) helfen. Nicht nur der Nutzen spielt eine entscheidende Rolle bei der Entwicklung von Services und Geschäftsmodellen im IoT-Umfeld, auch der Datenschutz ist hier wichtig insbesondere wenn 2018 die EU-Datenschutzgrundverordnung in Anwendung kommt.

Als Partner der Allianz für Cyber-Sicherheit bietet die Firma BearingPoint den Teilnehmern ein kostenloses Webinar an, das das Spannungsfeld zwischen diesen beiden Themenbereichen durchleuchtet. Neben einer Einführung in die Themen „Internet of Things“ und „EU-DSGVO“ werden anhand eines Anwendungsfalls die daraus resultierenden Herausforderungen aufgezeigt und Fragestellungen untersucht.

Das Webinar wird am 31. Mai über Skype angeboten. Weitere Informationen erhalten Sie über diesen Link.

Partnerbeitrag: Erste Hilfe im Schadensfall

Datum 28.03.2017

Seminar von Antago beschäftigt sich mit dem korrekten Verhalten bei Cyber-Angriffen.

Trotz der ständigen Bedrohung durch Cyber-Angriffe sind viele Unternehmen nur unzureichend auf den Ernstfall vorbereitet. Kommt es dann zu der Situation, dass schnell gehandelt werden muss, fehlt es an internem Know-how zur Schadensminimierung und Aufklärung. Auch auf externe Sachverständige kann in der Regel nur mit Verzögerung zurückgegriffen werden, weil diese erst gefunden und rechtliche Rahmenbedingungen abgesteckt werden müssen.

Um Unternehmen wertvolle Tipps zum Verhalten bei Cyber-Angriffen zu geben, bietet die Antago GmbH den Teilnehmern der Allianz für Cyber-Sicherheit daher das Seminar „Incident Handling - Erste Hilfe im Schadensfall“ an. Die Veranstaltung dient zur Vorbereitung auf den Ernstfall und zeigt den Teilnehmern Wege auf, wie sie einem Schadensfall mit Ruhe und Sachverstand begegnen können, wer die Ansprechpartner sind und wie Ermittler bestmöglich bei der Arbeit unterstützt werden können.

Das Seminar wird sowohl am 13. Juli als auch am 7. September angeboten und findet in Heppenheim statt.

Weitere Informationen erhalten Sie über diesen Link.

Hier geht es zum Archiv

Hier geht es zum Archiv der Meldungen der Allianz für Cyber-Sicherheit