Bundesamt für Sicherheit in der Informationstechnik

BSI veröffentlicht Übersicht qualifizierter DDoS-Mitigation-Dienstleister

Datum 20.09.2018

Wenn die Unternehmens-Webseite nicht mehr erreichbar ist, interne Netzwerkdienste ausfallen oder kritische Geschäftsprozesse wegen Überlastung blockiert werden, ist oftmals ein sogenannter DDoS-Angriff die Ursache. Diese Distributed-Denial-of-Service-Angriffe werden von Cyber-Kriminellen genutzt, um ihre Opfer zu erpressen oder um gezielt Schaden anzurichten. Ein prominentes Beispiel unter vielen ist der Angriff auf den Internet-Infrastruktur-Dienstleister Dyn, der 2016 zum Ausfall von Online-Diensten wie Twitter, Netflix oder PayPal führte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun eine Reihe qualifizierter DDoS-Mitigation-Dienstleister identifiziert, die Unternehmen und Organisationen Schutz vor solchen Cyber-Angriffen bieten können.

"Unternehmen und Betreiber Kritischer Infrastrukturen, die auf eine zuverlässig funktionierende IT-Landschaft angewiesen sind, sollten sich nicht scheuen, auch externe Unterstützung anzunehmen. DDoS-Angriffe sind ein kraftvolles Mittel der Cyber-Kriminalität, gegen das es aber auch wirkungsvolle Schutzmechanismen gibt. Das BSI als die nationale Cyber-Sicherheitsbehörde stellt nun eine Übersicht an Dienstleistern zur Verfügung, die sorgfältig ausgewählte Kriterien erfüllen, um dieses Schutzziel erreichen zu können. Damit liefern wir der deutschen Wirtschaft unmittelbare und konkrete Orientierung, um ihr Schutzniveau weiter zu erhöhen", so BSI-Präsident Arne Schönbohm.

Basierend auf den ebenfalls veröffentlichten Auswahlkriterien für qualifizierte Dienstleister wurde ein wettbewerbsneutrales Verfahren entwickelt, durch das erste geeignete DDoS-Mitigation-Dienstleister identifiziert werden konnten. Anhand der nun veröffentlichten Liste geeigneter Dienstleister und der transparenten Gestaltung der Auswahlkriterien, werden Unternehmen in die Lage versetzt, geeignete Hilfe durch externe Experten anzufordern. Weiteren Interessenten steht das Verfahren jederzeit offen.

Ein vergleichbares Verfahren für APT-Response-Dienstleister wird derzeit im BSI umgesetzt.

Weitere Informationen finden sich auf der Webseite des BSI.

Daneben stehen Unternehmen jeder Größe auch der UP KRITIS und die Allianz für Cyber-Sicherheit offen. In den beiden Kooperationsplattformen finden Sie konkrete Hilfestellung durch das BSI, erfahrene Experten und Gleichgesinnte zum kurzfristigen und direkten Austausch.

BSI Pressemitteilung vom 20.09.2018

C5-Testat – Google-Cloud erfüllt BSI-Sicherheitsanforderungen

Datum 19.09.2018

Mit dem Anforderungskatalog Cloud Computing (Cloud Computing Compliance Controls CatalogueC5) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Standards in der Cloud-Branche gesetzt. Mit dem bislang umfangreichsten C5-Testat hat nun auch Google mit den Google-Cloud-Services G Suite und Google Cloud Platform an allen Standorten weltweit die Sicherheitsanforderungen des BSI erfüllt. Das C5-Testat wird durch unabhängige Wirtschaftsprüfer erteilt.

"Als nationale Cyber-Sicherheitsbehörde haben wir den C5-Anforderungskatalog entwickelt, um die Cloud-Sicherheit für Anbieter und Anwender transparent auf ein neues Niveau zu heben. Dass sich der BSI-C5-Katalog kurzfristig als neuer Sicherheitsstandard in der Branche etabliert hat, zeigt, dass die Bedeutung der Cyber-Sicherheit den Anbietern bewusst geworden ist. Der C5 hilft, die kritischen Prozesse dieses Geschäftsmodells abzusichern und damit die Daten der Anwender zu schützen. Hier wird deutlich, dass die Cyber-Sicherheit die Voraussetzung der Digitalisierung und damit auch des erfolgreichen Cloud-Computings ist", so BSI-Präsident Arne Schönbohm.

Im C5-Katalog hat das BSI Anforderungen zusammengefasst, die Cloud-Anbieter unabhängig von Anwendungskontext erfüllen sollten, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste zu gewährleisten. Der C5-Katalog ist ein Standard, der prüfbare Anforderungen beinhaltet, aber nicht vorschreibt, durch welche Maßnahmen diese zu erfüllen sind. Der Anforderungskatalog steht auf der Webseite des BSI zum Download zur Verfügung.

BSI Pressemitteilung vom 18.09.2018

25. Cyber-Sicherheits-Tag - Call for Presentations

Datum 17.09.2018

Unter dem Motto „Cyber-Attacke, Datenverlust, Imageschaden – Tipps & Tricks für eine erfolgreiche Vorfallsbehandlung“ laden die Allianz für Cyber-Sicherheit (ACS) in Kooperation mit der CARMAO GmbH nach Limburg an der Lahn ein, um Unternehmen Wege aus der Krise aufzuzeigen und Handlungsoptionen zu diskutieren. Hierbei sollen nicht nur technische sondern auch organisatorische Maßnahmen – wie beispielsweise die Entwicklung einer offenen Fehlerkultur oder die Kommunikation mit Kunden – im Mittelpunkt stehen. Die Veranstaltung findet am 7. November 2018 in der Limburger Stadthalle statt. Angesprochen sind Unternehmen sämtlicher Branchen und Größen, die Know-how bei der Behandlung von IT-Vorfällen aufbauen oder vorhandene Pläne überprüfen möchten.

Beiträge gesucht

Wie bei Cyber-Sicherheits-Tagen üblich möchten wir interessierten Mitgliedern wieder die Möglichkeit geben, sich für einen der Vortragsslots zu bewerben. Expertinnen und Experten der Allianz für Cyber-Sicherheit sind herzlich eingeladen, sich an der Programmgestaltung zu beteiligen. Zielgruppe sind Anwenderinnen und Anwender, Verantwortliche für IT-Systeme und IT-Sicherheit sowie Entscheiderinnen und Entscheider aus dem Management.

Ziel ist es, das jeweilige Thema leicht verständlich darzustellen und Lösungshinweise bzw. Tipps für die praktische Umsetzung in den Unternehmen an die Hand zu geben. Dabei sollen insbesondere die Anforderungen von kleinen und mittleren Betrieben Berücksichtigung finden. Neben der Vorstellung konkreter Maßnahmen, die auch von Anwenderinnen und Anwendern mit wenig ausgeprägter IT-Expertise leicht umgesetzt werden können, freuen wir uns auch über die Präsentation von praktischen Tools aus dem Bereich Incident Response.

Mögliche Themengebiete für Beiträge sind beispielsweise:

  • Erfahrungsberichte aus konkreten Vorfällen
  • Notfallkonzepte
  • Krisenkommunikation
  • Verantwortlichkeiten & Krisenstäbe
  • Zusammenarbeit mit externen Dienstleistern
  • Übungsszenarien
  • und viele mehr...

Für diesen praxisorientierten Vortrag sind ca. 20 Minuten Redezeit und bis zu zehn Minuten Austausch vorgesehen. Der Workshop sollte einen kurzen Input zum Thema beinhalten und weitestgehend interaktiv gestaltet sein (ins. 60 Minuten).

Bitte senden Sie uns Ihre Vorschläge unter Nennung von Titel, kurzer inhaltlicher Zusammenfassung (max. 5 Sätze), Name und Funktion des/r Referent/in sowie Art des Beitrags (Vortrag bzw. Workshop) per E-Mail an unsere Geschäftsstelle: info(at)cyber-allianz.de
Kriterien für die Auswahl der Beiträge sind Aktualität, Praxisnähe sowie der Bezug zur Zielgruppe.

Wichtige Hinweise

Bitte beachten Sie, dass Einreichungen mit stark werblichem Charakter grundsätzlich nicht akzeptiert werden. Die sachdienliche Nennung von Produkten bzw. Dienstleistungen in angemessenem Umfang sowie eine kurze Vorstellung des eigenen Unternehmens sind zulässig.

Einreichungen mit Fokus auf die Zielgruppe Bürgerinnen und Bürger im privaten Umfeld oder Kleinstunternehmen können, entsprechend der Zielsetzung unserer Initiative, ebenfalls nicht berücksichtigt werden. Für diese Zielgruppen betreibt das BSI die Initiative „BSI für Bürger“.

Da es sich um eine kostenfreie Veranstaltung handelt, können keine Honorarzahlungen sowie Reise- und Übernachtungskostenerstattungen geleistet werden.

Fristen

Einreichung des Vorschlags bis: 08. Oktober 2018
Benachrichtigung über die Annahme: 15. Oktober 2018
Einreichung der finalen Präsentation: 29. Oktober 2018

Nach Efail, Ransomware & CEO-Fraud: Sichere E-Mail-Kommunikation ist Dauerbrenner in Unternehmen

Datum 12.09.2018

24. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit widmete sich aktuellen Bedrohungen und möglichen Schutzmaßnahmen

Im beruflichen Kontext haben E-Mails die klassischen Kommunikationsmittel Telefon und Fax schon lange abgelöst. Auch moderne Messenger finden in deutschen Unternehmen noch lange nicht die gleiche Beachtung, wie sie der elektronischen Post zuteil wird. Dieser Umstand macht die E-Mail zu einem attraktiven Angriffsziel für Cyber-Kriminelle: Erst kürzlich wurde die sogenannte Efail-Schwachstelle bekannt, die verschlüsselte Mails für Unbefugte lesbar machte. Viele Unternehmen werden seit geraumer Zeit mit E-Mails angeblicher Bewerberinnen und Bewerber überhäuft, in deren Anhänge sich statt Lebenslauf und Motivationsschreiben verschiedene Schadsoftware-Varianten befinden.

Mit dem 24. Cyber-Sicherheits-Tag hatte die Allianz für Cyber-Sicherheit in Kooperation mit der secion GmbH und der Handelskammer Hamburg dieser Entwicklung daher Rechnung getragen und eine Veranstaltung zur Sicherheit von E-Mails ausgerichtet. Unter dem Motto "Lass dir nichts anhängen! – Sichere E-Mail-Kommunikation im Unternehmen" trafen sich am 11. September 2018 mehr als 180 Unternehmensvertreterinnen und -vertreter in Hamburg.

Experten aus verschiedenen Institutionen, unter anderem vom Bundesamt für Sicherheit in der Informationstechnik, referierten über die aktuellen Entwicklungen beim Umgang mit der elektronischen Post. Dabei standen sowohl gegenwärtige Angriffsmethoden und Sicherheitslücken als auch Schutzmaßnahmen – zum Beispiel durch Softwarelösungen oder die Sensibilisierung von Beschäftigten – im Fokus.

Der Rückblick zur Veranstaltung mit Vortragsfolien und Bildergalerie ist zu finden unter www.allianz-fuer-cybersicherheit.de/Teilnehmertag.

BSI Pressemitteilung vom 12.09.2018

Wirtschaftsschutz: Risiken erkennen – Schutzmaßnahmen umsetzen

Datum 04.09.2018

Der Wirtschaftsstandort Deutschland profitiert in besonderem Maße von Innovationen und Ideen, die in den Unternehmen entstehen. Informationen zu Know-how, Unternehmensstrategie oder Finanzdaten sind Basis für den Unternehmenserfolg, gleichermaßen aber auch lohnenswertes Ziel für Kriminelle. Diese Informationen zu schützen ist daher ein wichtiges Anliegen der Initiative Wirtschaftsschutz, an der das Bundesamt für Sicherheit in der Informationstechnik (BSI) maßgeblich beteiligt ist. Anlässlich der heutigen Wirtschaftsschutzkonferenz im Haus der Deutschen Wirtschaft in Berlin erklärt BSI-Präsident Arne Schönbohm:

"Staat und Wirtschaft haben das gemeinsame Ziel, den Schutz vor Cyber-Angriffen auf die deutsche Wirtschaft zu verbessern. Für einen erfolgreichen Standort Deutschland können wir diese Gemeinschaftsaufgabe nur durch vertrauensvolle und zielgerichtete Zusammenarbeit bewältigen. Das BSI als die nationale Cyber-Sicherheitsbehörde ist der erste Ansprechpartner für alle Unternehmen, die ihre digitalen Prozesse und ihre Unternehmensnetzwerke schützen wollen. Mit der Allianz für Cyber-Sicherheit und dem UP KRITIS haben sich die entsprechenden Angebote des BSI zu Erfolgsmodellen entwickelt. Auch im Rahmen der Initiative Wirtschaftsschutz bringen wir unser Cyber-Sicherheits-Know-how zum Nutzen der beteiligten Unternehmen und Organisationen ein und können so einen noch effektiveren Schutz gegen Cyber-Angriffe erzielen. Wir sind damit der Wegbereiter der Digitalisierung, denn diese wird ohne Informationssicherheit nicht erfolgreich funktionieren."

Die Initiative Wirtschaftsschutz bietet Unternehmen einen Rahmen, um partnerschaftlich den Schutz ihrer Unternehmenswerte zu erhöhen. Da durch die zunehmende Digitalisierung und Vernetzung wesentliche Bedrohungen dieser Werte auch aus dem Cyber-Raum herrühren, bringt das BSI als zentrales Kompetenzzentrum für Cyber-Sicherheit im Rahmen der Initiative Wirtschaftsschutz Know-how und Informationen im Themenfeld IT-Sicherheit ein.

Gruppenfoto auf der Wirtschaftsschutzkonferenz am 4.9.2018 in Berlin Auf der Wirtschaftsschutzkonferenz in Berlin: (v.l.) Gregor Lehnert (Bundesverband der Sicherheitswirtschaft), Volker Wagner (Allianz für Sicherheit in der Wirtschaft), Arne Schönbohm (BSI), Prof. Dieter Kempf (BDI), Prof. Günter Krings (BMI), Michael Kretschmer (BKA), Dr. Hans-Georg Maaßen (BfV), Werner Sczesny (BND) Quelle: BSI

BSI Pressemitteilung vom 04.09.2018

Partnerangebot: Anwendertag IT-Forensik 2018 in Darmstadt

Datum 31.08.2018

Das Fraunhofer-Institut für Sichere Informationstechnologie bietet kostenfreie Plätze für den diesjährigen Anwendertag IT-Forensik. Schwerpunktthema ist „Forensik und KI“.

Der Anwendertag IT-Forensik 2018 findet am 23. Oktober im Fraunhofer SIT in Darmstadt statt. Für Teilnehmer der Allianz für Cyber-Sicherheit stehen fünf kostenfreie Plätze zur Verfügung.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.

Cloud Computing: C5-Testat auch in Deutschland ein Erfolgsmodell

Datum 29.08.2018

Der C5-Anforderungskatalog Cloud Computing des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat sich in der Cloud-Branche als Sicherheitsstandard durchgesetzt. Mit SAP, der Deutschen Telekom sowie CANCOM Pironet haben Wirtschaftsprüfer gleich drei deutschen Anbietern das C5-Testat für deren jeweilige Cloud-Angebote erteilt.

Hierzu erklärt BSI-Präsident Arne Schönbohm: "Der C5-Anforderungskatalog ist zum Branchen-Standard für eine sichere Cloud geworden. Wir freuen uns, dass nun auch aus der deutschen IT-Industrie sichere Cloud-Angebote auf dem Markt vorhanden sind, die die Anforderungen des C5-Kataloges erfüllen. Das zeigt, dass wir in Deutschland über ausgeprägtes Know-how im Bereich der Informationssicherheit verfügen und neben den Weltkonzernen auch der Mittelstand sichere digitale Produkte anbieten kann. Diesen Weg müssen wir weiter beschreiten, um die Digitalisierung auch künftig sicher gestalten zu können."

Seit Ende Juli verfügt die Unternehmensanwendung SAP S/4HANA Cloud über das Testat nach dem Cloud Computing Compliance Controls Catalogue (C5). Auch die Dienste der Open Telekom Cloud haben das C5-Testat erreicht. Daneben wurden jetzt die Dienste Enterprise Hosting und Enterprise IaaS von CANCOM Pironet, einem Multi-Cloud-Anbieter aus dem deutschen Mittelstand, erfolgreich nach den C5-Vorgaben des BSI testiert.

Im C5-Katalog hat das BSI Anforderungen zusammengefasst, die Cloud-Anbieter unabhängig von Anwendungskontext erfüllen sollten, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste zu gewährleisten. Der C5-Katalog ist ein Standard, der prüfbare Anforderungen beinhaltet, aber nicht vorschreibt, durch welche Maßnahmen diese zu erfüllen sind. Der Anforderungskatalog steht auf der Webseite des BSI zum Download zur Verfügung.

BSI Pressemitteilung vom 29.08.2018


BSI erteilt Common Criteria Zertifikat für DERMALOG Fingerabdruckscanner

Datum 23.08.2018


BSI-Präsident Arne Schönbohm hat am 22. August in Hamburg ein Common Criteria Zertifikat für die Fälschungserkennung der Fingerabdruckscanner F1 und ZF1 an Günther Mull, Geschäftsführer der DERMALOG Identification Systems GmbH, übergeben.


Die Evaluierung wurde auf der Basis eines BSI-Schutzprofils durch die vom BSI anerkannte CC-Prüfstelle TÜV Informationstechnik GmbH durchgeführt. DERMALOG ist
damit die erste deutsche Firma, die ein CC-Zertifikat des BSI in dieser Produktklasse erreicht hat. Durch die erfolgreiche Zertifizierung haben die beiden Scanner gezeigt,
dass sie zuverlässig in der Lage sind, gefälschte Fingerabdrücke zu erkennen.


Die Scanner haben ebenfalls ein Zertifikat nach der Technischen Richtline TR-3121 (TR-Biometrie) des BSI, welches die geforderte Qualität der Fingerabdruck-Bildaufnahmen
für die Verwendung in Ausweisdokumenten bestätigt. Die Geräte sind bis heute großflächig im Bereich der deutschen Pass- und Ausweisbehörden für den Rolloutprozess von ePass und Personalausweis im Einsatz.

Partnerangebot: WhitepaperDSGVO: Prüfübersicht für SAP-Systeme“

Datum 16.08.2018

Wie lassen sich die Anforderungen der neuen DSGVO speziell in SAP-Systemen umsetzen? Das Whitepaper des ACS-Partners Werth IT gibt umfangreiche praktische Empfehlungen.

Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung der EU in Kraft. Bei Verstößen drohen Unternehmen empfindliche Geldbußen. Gerade in SAP-Systemen werden typischerweise große Mengen von personenbezogenen Daten verwaltet. Bei deren Verarbeitung sind laut DSGVO Integrität, Vertraulichkeit und Sicherheit durch das Anwenderunternehmen zu gewährleisten.

Wie Unternehmen die DSGVO-Konformität ihrer SAP-Systeme überprüfen und nachweisen können, erläutert ACS-Partner Werth IT in einem aktuellen Whitepaper.

Zum Download des Whitepapers gelangen Sie hier.

Veranstaltungshinweis: "7. IT-Sicherheitstag Mittelstand 2018. Die Fachkonferenz für Handwerk, Gewerbe und Verwaltung"

Datum 16.08.2018

Am 13.09.2018 lädt die Handwerkskammer Frankfurt (Oder) – Region Ostbrandenburg, mit Unterstützung der Allianz für Cyber-Sicherheit, zum 7. IT-Sicherheitstag Mittelstand an die Technische Hochschule Wildau ein.

Im Rahmen der ganztägigen Fachkonferenz werden vielfältige Aspekte rund um die Themen IT-Sicherheit und Datenschutz behandelt. Im Zentrum des Vormittagsprogramms steht eine Keynote von Daniel Domscheit-Berg zu den Zusammenhängen von Datenschutz, Datensicherheit und IT-Sicherheit. Am Nachmittag haben die Teilnehmerinnen und Teilnehmer der Konferenz die Möglichkeit, zwischen drei parallelen Vortragsreihen zu wählen.

In einer ersten Vortragsreihe erhalten Interessierte Hinweise zur Organisation von IT-Sicherheit. Dazu zählen technische und organisatorische Maßnahmen, aber auch Investitionen in die Weiterbildung der eigenen Beschäftigten. Auch die Allianz für Cyber-Sicherheit ist in diesem Strang mit einem Vortrag vertreten. Regionale IT-Anbieter zeigen in der zweiten Vortragsreihe Lösungen für sichere IT-Infrastrukturen – am Arbeitsplatz, im Produktionsanlagen oder in mobilen Szenarien. Die dritte Reihe schließlich vermittelt einen Überblick über die aktuelle Bedrohungslage und typische Angriffsszenarien sowie praxistaugliche Hinweise zu geeigneten Schutzmaßnahmen. Zum Abschluss der Veranstaltung werden im Live-Hacking typische IT-Angriffe anschaulich demonstriert.

Weitere Informationen und die Möglichkeit zur Online-Anmeldung finden Sie unter dem Link:

http://www.it-sicherheitstag-mittelstand.de

Hier geht es zum Archiv

Hier geht es zum Archiv der Meldungen der Allianz für Cyber-Sicherheit