Bundesamt für Sicherheit in der Informationstechnik

Rückblick: 22. Cyber-Sicherheits-Tag - Mit Informationssicherheit und Datenschutz zum digitalen Erfolg, EU-DSGVO, NIS-Richtlinie & Co. in der Praxis

Datum 23.05.2018

Der 22. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit in Kooperation mit dem Handelsverband Deutschland (HDE) und der IHK Düsseldorf am 16. Mai 2018 in Düsseldorf stand ganz im Zeichen des Themenkomplexes Cyber-Sicherheit und Datenschutz.

Wir gingen der Frage nach, was EU-DSGVO, NIS-Richtlinie & Co. konkret für deutsche Unternehmen bedeutet – und wie ihre Umsetzung in der Praxis zur Erhöhung der Cyber-Sicherheit beitragen kann.

Die Veranstaltung richtete sich an Entscheiderinnen und Entscheider aus dem Management sowie Verantwortliche für IT-Systeme und IT-Sicherheit in kleinen, mittleren und großen Unternehmen. Angesprochen waren insbesondere Anbieter digitaler Dienste wie z.B. Online-Marktplätze und Online-Suchmaschinen sowie Online-Shops und Unternehmen, die mit großen Mengen personenbezogener Daten sicher umgehen müssen.

Informationen, Agenda und Impressionen finden Sie hier.

Spectre-NG: Weitere Sicherheitslücken in Prozessoren

Datum 18.05.2018

Bonn. Im Januar 2018 wurden unter den Bezeichnungen "Spectre" und "Meltdown" schwer zu behebende Sicherheitslücken in marktüblichen Prozessoren bekannt. IT-Sicherheitsforscher haben weitere Schwachstellen in diesen Prozessoren entdeckt, die auf vergleichbaren Mechanismen beruhen und ähnliche Auswirkungen haben können wie "Meltdown" und "Spectre". Diese neuen, mit "Spectre-Next-Generation (NG)" bezeichneten Schwachstellen führen nach Analysen des BSI dazu, dass Angreifer Speicherbereiche auslesen und dadurch Zugriff auf vertrauliche Informationen wie Passwörter, kryptografische Schlüssel oder andere kritische Daten erlangen können, die normalerweise vor solchen Zugriffen geschützt sein sollten. Derzeit sind außerhalb von Laborbedingungen keine Angriffe bekannt, die diese neu gefundenen Schwachstellen ausnutzen. Durch das Bekanntwerden von Detailinformationen besteht jedoch das Risiko, dass Täter entsprechende Angriffsmethoden entwickeln.

Hierzu erklärt BSI-Präsident Arne Schönbohm: "Vor dem Hintergrund der täglich fortschreitenden Digitalisierung erschüttern Vorfälle und Schwachstellen wie WannaCry, NotPetya, Efail und nun Spectre-NG die Grundfesten der weltweiten IT-Sicherheitsarchitekturen und heben die Gefährdungslage im Cyber-Raum auf eine neue Ebene. Spectre-NG macht erneut deutlich, dass wir die Cyber-Sicherheit in der Digitalisierung noch stärker betrachten müssen. Deutschland muss in dieser Frage eine Vorreiterrolle einnehmen. Dazu ist es erforderlich, dass die notwendigen Sicherheitsmaßnahmen durch unabhängige Stellen überprüft werden und dass Hersteller und Anbieter Melde- und Transparenzpflichten gegenüber der nationalen Cyber-Sicherheitsbehörde BSI erfüllen. Die Bundesregierung hat sich mit den Festlegungen des Koalitionsvertrages bereits geeignet positioniert, um den künftigen Herausforderungen gerecht zu werden. Diese Maßgaben müssen jetzt konsequent umgesetzt werden."

Grundlage möglicher Angriffe unter Ausnutzung der Spectre-, Meltdown- und Spectre-NG-Lücken ist die komplexe, leistungsoptimierende Architektur moderner Prozessoren. Bei dieser Art der Verarbeitung werden Befehle nicht linear ausgeführt, sondern vorhandene Kapazitäten möglichst vollständig ausgenutzt, um den Durchsatz an abgearbeiteten Befehlen zu erhöhen. Angreifer können sich diesen Umstand über eine Vielzahl von Angriffsvektoren zu Nutze machen, um auf eigentlich vor ihrem Zugriff geschützte Daten zuzugreifen.

Da eine kurzfristige sicherheitstechnische Überarbeitung der verwundbaren Prozessoren in der Praxis nicht realistisch ist, muss mit diesen und ähnlichen künftigen Schwachstellen geeignet umgegangen werden: Nur mit Hilfe herstellerübergreifend abgestimmter Patches in Hardware und Software kann das mögliche Schadpotential so weit wie möglich minimiert werden. Ein Austausch von verwundbaren Prozessoren und betroffenen IT-Systemen ist erst langfristig durchführbar.

Handlungsempfehlungen des BSI

Als nationale Cyber-Sicherheitsbehörde hat das BSI Bundesverwaltung, Landesverwaltung, KRITIS-Betreiber und weitere nationale und internationale Partner über die eigenen Erkenntnisse informiert und erste Maßnahmen empfohlen. Aktuell ist keine vollständige Beseitigung der Schwachstellen möglich, das Risiko kann lediglich gemindert werden.

Das BSI fordert die Chip- und Hardwarehersteller auf, dafür zu sorgen, diese Schwachstellen im Zuge der Produktpflege zu beheben. Cloud- und Virtualisierungslösungsanbieter sind in der Verantwortung, unverzüglich zu prüfen, welche Auswirkungen die aufgedeckten Schwachstellen auf die IT-Sicherheitseigenschaften der bereitgestellten Produkte und Dienstleistungen haben. Gemeinsam mit den Herstellern der Systemkomponenten sollten festgestellte Schwachstellen schnellstmöglich minimiert werden. Die Kunden sollten über die getroffenen Maßnahmen und die verbleibenden Risiken informiert werden.

Für Endanwender besteht jenseits der raschen Installation der von den Herstellern bereitgestellten Software-Updates kein Handlungsbedarf.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Partnerangebot: Whitepaper „Schwerpunkte bei der Entwicklung sicherer Webanwendungen“

Datum 18.05.2018

14 praxisnahe Tipps zur Entwicklung sicherer Webanwendungen hat die Explicatis GmbH in einem aktuellen Whitepaper für Teilnehmer der Allianz für Cyber-Sicherheit zusammengestellt.

Webanwendungen sicher zu entwickeln, ist ein komplexes Projekt. Dabei sind unter anderem Aspekte der Sicherheit des Betriebs, des Zugriffs und der Daten zu berücksichtigen. In Schulungen und durch den Austausch unter Beschäftigten haben sich bei der Kölner Explicatis GmbH über die Jahre eine Reihe von Grundsatzregeln herauskristallisiert, die sich im Arbeitsalltag bewährt haben – darunter Basics für die Sicherung von Anwendungen gegen unberechtigte oder fehlerhafte Zugriffe, die Absicherung der Anwendungsdaten und die strukturelle Verhinderung von Angriffen.

Diese 14 Grundregeln zur Entwicklung sicherer Webanwendungen hat das Unternehmen in einem Whitepaper für Teilnehmer der Allianz für Cyber-Sicherheit zusammengestellt.

Zur Downloadseite gelangen Sie hier.

KRITIS: BSI erkennt Sicherheitsstandard für Lebensmittelhandel an

Datum 16.05.2018

Bonn/Düsseldorf. Betreiber Kritischer Infrastrukturen im Sektor Ernährung, die den Anforderungen des IT-Sicherheitsgesetzes unterliegen, müssen ihre Informationstechnologie seit dem 3. Mai 2018 nach dem Stand der Technik abgesichert haben. Mit dem branchenspezifischen Sicherheitsstandard (B3S) Lebensmittelhandel hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun den zweiten Sicherheitsstandard für eine KRITIS-Branche anerkannt. Im Rahmen des Cyber-Sicherheitstags der Allianz für Cyber-Sicherheit in Düsseldorf hat BSI-Präsident Arne Schönbohm den Bescheid zur Eignung des Standards an Vertreter des Lebensmittelhandels übergeben.

BSI-Präsident Arne Schönbohm (Mitte) bei der Übergabe des Bescheides zur Eignung des branchenspezifischen Sicherheitsstandards (B3S) Lebensmittelhandel in Düsseldorf. KRITIS: BSI erkennt Sicherheitsstandard für Lebensmittelhandel an Quelle: BSI

„Wir kommen in der Umsetzung des IT-Sicherheitsgesetzes gut voran. Als nationale Cyber-Sicherheitsbehörde arbeitet das BSI eng mit den KRITIS-Sektoren zusammen, um die Risiken der Digitalisierung einzudämmen. Der Lebensmittelhandel ist für die Versorgung der Bevölkerung von essentieller Bedeutung, Ausfälle aufgrund von Cyber-Angriffen können wir uns hier nicht leisten. Am branchenspezifischen Sicherheitsstandard können sich die Unternehmen orientieren und den Stand der Technik umsetzen“, erklärt BSI-Präsident Arne Schönbohm.

Der B3S Lebensmittelhandel enthält generische Rahmenanforderungen zur Umsetzung von IT-Sicherheitsmaßnahmen nach dem Stand der Technik, die sich unter anderem an ISO/IEC 27001 und ISO/IEC 27002 orientieren. Schon vor der Eignungsfeststellung des B3S gab es einen Austausch zwischen Betreibern und BSI, sodass der Standard bereits vorab zur Nachweiserbringung genutzt werden konnte. Der B3S Lebensmittelhandel wurde vom Branchenarbeitskreis Lebensmittelhandel des UP KRITIS erstellt und vom EHI Retail Institute zur Eignungsprüfung beim BSI eingereicht. In Zusammenarbeit mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat das BSI die Eignung des B3S festgestellt. Er bietet den Betreibern der KRITIS-Branche Lebensmittelhandel erhöhte Rechtssicherheit bei der Umsetzung der Anforderungen für IT-Sicherheit, die sich aus § 8a Abs. 1,3 BSI-Gesetz ergeben. Der B3S Lebensmittelhandel kann auch Unternehmen, die nicht den Anforderungen des IT-Sicherheitsgesetzes unterliegen, als Richtschnur für mehr IT-Sicherheit dienen und somit einen wichtigen Beitrag für die Erhöhung der IT-Sicherheit in der gesamten Lebensmittelbranche leisten.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Cyber-Sicherheitstag im Zeichen von Datenschutz und Informationssicherheit

Datum 16.05.2018

Bonn/Düsseldorf. In Zusammenarbeit mit der IHK Düsseldorf und dem Handelsverband Deutschland (HDE) richtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) heute den 22. Cyber-Sicherheitstag der Allianz für Cyber-Sicherheit (ACS) aus. Thema der Veranstaltung ist „Cyber-Sicherheit und Datenschutz“. In Vorträgen und Diskussionsrunden beleuchtet das BSI Themen wie die EU-Datenschutz-Grundverordnung (DSGVO), die Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) sowie deren Umsetzung in der Praxis.

„In der Digitalisierung ist die technische Informationssicherheit eine wesentliche Voraussetzung für wirksamen Datenschutz. Der Abfluss oder die Manipulation von Daten kann signifikante wirtschaftliche Schäden verursachen, das Image von Unternehmen beschädigen und auch rechtliche Konsequenzen nach sich ziehen. Unternehmen sind daher gefordert, sich mit EU-weiten Regulierungen wie der Datenschutz-Grundverordnung und der NIS-Richtlinie auseinanderzusetzen und dafür zu sorgen, dass die Informationssicherheit gewährleistet ist. Als nationale Cyber-Sicherheitsbehörde stellt das BSI mit dem IT-Grundschutz und im Rahmen der Allianz für Cyber-Sicherheit Informationen, Empfehlungen sowie Möglichkeiten des Erfahrungsaustausches zur Verfügung, die Unternehmen dabei eine wertvolle Unterstützung sind“, erklärt BSI-Präsident Arne Schönbohm.

Die Veranstaltung richtet sich an das Management sowie IT-Verantwortliche in kleinen, mittleren und großen Unternehmen. Angesprochen sind insbesondere Anbieter digitaler Dienste wie etwa Online-Marktplätze und Online-Suchmaschinen sowie Online-Shops und Unternehmen, die mit großen Mengen personenbezogener Daten sicher umgehen müssen. Mehr Informationen sind auf der Webseite zur Veranstaltung abrufbar.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Gründung ERFA-Kreis „Geheimschutz: IT-sicherheitstechnische Umsetzung in der Wirtschaft“ - jetzt anmelden!

Datum 15.05.2018

Kick-off-Meeting findet am 5. Juni 2018 in Taufkirchen bei München statt.

Unter dem Vernetzungsdruck der zunehmenden Digitalisierung aller Wirtschaftsbereiche steigen die Anforderungen an die Cyber-Sicherheit. Neue Technologien wie etwa Künstliche Intelligenz, Internet of Things oder Augmented Reality bieten enormes Wertschöpfungspotenzial, wenn Cyber-Sicherheit von Anfang an als integraler Bestandteil des digitalen Wandels berücksichtigt wird. Denn mit der Digitalisierung steigt auch die Angriffsfläche für Cyber-Attacken. Für Unternehmen, die den Geheimschutz staatlicher Verschlusssachen gewährleisten müssen, gelten deshalb besondere Bestimmungen.

Der ERFA-Kreis "Geheimschutz: IT-sicherheitstechnische Umsetzung in der Wirtschaft" adressiert die besonderen informationstechnischen Herausforderungen, die sich aus den Geheimschutzbestimmungen ergeben. Der Kreis richtet sich an Praktikerinnen und Praktiker (wie Entwickler, Anwender, Systembetreuer) und Verantwortliche/Beauftragte (wie Sicherheitsbevollmächtigte bzw. -verantwortliche, VS-IT-Beauftragte etc) in Unternehmen, die für die it-technische Umsetzung des Geheimschutzes in ihrem Unternehmen zuständig sind.

Am 5. Juni 2018 findet in diesem Zusammenhang das Kick-off-Meeting zum ERFA-Kreis in Taufkirchen bei München statt. Dieses dient dazu, den Austausch- und Diskussionsbedarf zum Thema "Geheimschutz: IT-sicherheitstechnische Umsetzung in der Wirtschaft" zu ermitteln sowie Strategien und Zielsetzungen für die künftige Arbeitsweise zu vereinbaren.

Weitere Informationen erhalten Sie über diesen Link.

Efail-Schwachstellen: E-Mail-Verschlüsselung richtig implementieren

Datum 14.05.2018

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) haben schwerwiegende Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber informiert.

Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.

"Sichere verschlüsselte E-Mail-Kommunikation bleibt ein wichtiges und geeignetes Mittel zur Erhöhung der Informationssicherheit. Die nun entdeckten Schwachstellen lassen sich zunächst durch Patches und insbesondere durch angepasstes Nutzerverhalten schließen. Dennoch wird langfristig eine Anpassung der OpenPGP- und S/MIME-Standards nötig sein. Das BSI als nationale Cyber-Sicherheitsbehörde hat dazu seine Unterstützung angeboten. Am Ziel, Deutschland zum Verschlüsselungsstandort Nummer 1 zu machen, halten wir ausdrücklich fest. Der Ausbau des BSI als nationale Cyber-Sicherheitsbehörde und zentrales Kompetenzzentrum für Informationssicherheit, wie ihn die Bundesregierung vorgesehen hat, ist Voraussetzung dafür, dass wir uns im Bereich der Verschlüsselung noch stärker einbringen können", so BSI-Präsident Arne Schönbohm.

Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.

Um E-Mailverschlüsselung weiterhin sicher einsetzen zu können, müssen Anwender folgende Punkte umsetzen:

  • Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von html-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind.
  • E-Mailserver und E-Mailclients müssen gegen unauthorisierte Zugriffsversuche abgesichert sein.
  • Auf www.bsi-fuer-buerger.de und www.allianz-fuer-cybersicherheit.de finden Privatanwender und Unternehmen ausführliche Informationen, wie sie E-Mailverschlüsselung weiterhin sicher nutzen können.

Coordinated Vulnerability Disclosure

Das BSI ist seit November 2017 durch das o.g. Forscherteam in den sogenannten Coordinated Vulnerability Disclosure-Prozess eingebunden worden. Dieser dient dazu, Herstellern die Möglichkeit zu geben, Patches für gefundene Schwachstellen zu entwickeln, bevor diese Schwachstellen öffentlich werden. Dies reduziert die Zeitspanne deutlich, in der Angreifer neue Schwachstellen ausnutzen können. Das BSI nimmt hierbei eine neutrale und unterstützende Rolle ein, die Hoheit über den Prozess liegt bei den Findern der Schwachstellen. Das BSI hat bereits im Vorfeld der Veröffentlichung der Efail-Schwachstellen seine nationalen und internationalen Partner, die Bundesverwaltung, die Bundesländer und zahlreiche KRITIS-Unternehmen vertraulich über geeignete Maßnahmen zum sicheren Einsatz der E-Mailverschlüsselung informiert.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Mehr Cyber-Sicherheit im Unternehmen: Tipps zu Windows 10 - Veranstaltungsreihe für kleine und mittlere Unternehmen

Datum 14.05.2018

Digitale Prozesse spielen zunehmend auch in kleinen Unternehmen eine zentrale Rolle, sei es bei Kommunikation, Buchhaltung, der Steuerung von Betriebsabläufen oder der Verwaltung von Kundendaten. Herzstück ist dabei nach wie vor häufig der klassische Arbeitsplatzrechner, der in der Regel direkt mit dem Internet verbunden ist. Auch Online-Dienste werden immer häufiger genutzt, manche Services wie z. B. die Umsatzsteuervoranmeldung sind sogar nur noch online verfügbar. Dabei gilt immer: ohne Cyber-Security kann Digitalisierung nicht gelingen.

Das BSI als nationale Cyber-Sicherheitsbehörde befasst sich mit der IT-Sicherheit aller marktüblichen Betriebssysteme. Viele sicherheitsrelevante Fragen, die an das BSI gerichtet werden, beziehen sich dabei auf Microsoft Windows, das in der Bürokommunikation am weitesten verbreitete Betriebssystem. Am 6. Juni 2018 startet das BSI daher die Veranstaltungsreihe "Mehr Cyber-Sicherheit im Unternehmen: Tipps zu Windows 10". Anwenderinnen und Anwender sowie IT-Fachkräfte aus kleinen und mittelständischen Unternehmen können sich dort über aktuelle Bedrohungen aus dem Cyber-Raum informieren, praktische Tipps zur Konfiguration, zur Update-Verwaltung oder zur Sicherung von Daten erhalten und erfahren, was es bei der Nutzung von Cloud-Diensten zu beachten gibt. Das Format bietet Teilnehmenden ausdrücklich Raum, Fragen rund um das Thema „Einsatzsicherheit von Windows 10“ an die Experten von BSI und Microsoft Deutschland zu stellen. Die Antworten sollen im Nachgang in Form von „Häufig gestellten Fragen“ (FAQ) aufbereitet und auf der Website der Allianz für Cyber-Sicherheit veröffentlicht werden.

Die Veranstaltungsreihe wird von der Allianz für Cyber-Sicherheit in Kooperation mit Microsoft Deutschland ausgerichtet. Gastgeber der ersten Veranstaltung am 6. Juni 2018 ist die IHK zu Köln. Weitere Termine sind für September und November 2018 sowie im ersten Halbjahr 2019 geplant.

Informationen zur Anmeldung für den 6. Juni 2018 finden Sie hier.

Netzwerkfähige Medizinprodukte besser schützen

Datum 09.05.2018

BSI veröffentlicht Cyber-Sicherheitsempfehlung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Cyber-Sicherheitsempfehlung zum Thema "Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte" veröffentlicht. Die praxisnahen und umsetzungsorientierten Empfehlungen richten sich insbesondere an Hersteller von Medizintechnik und unterstützen diese dabei, den Stand der Technik sowie vorhandene normative Vorgaben in ihren Produkten praktisch umzusetzen. Zudem dient das Papier auch dazu, die Hersteller für die bei der Vernetzung und Digitalisierung von Medizinprodukten entstehenden neuen Gefährdungen zu sensibilisieren. Die Cyber-Sicherheitsempfehlung des BSI ist gemeinsam mit dem Zentralverband Elektrotechnik- und Elektronikindustrie (ZVEI) sowie mit Unterstützung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) erstellt worden.

Hierzu erklärt BSI-Präsident Arne Schönbohm: "Cyber-Angriffe auf Einrichtungen des Gesundheitswesens sind ebenso wie Schwachstellen in vernetzten Medizinprodukten Teil der dynamischen Gefährdungslage, die uns in Zeiten der Digitalisierung täglich neu herausfordert. Unsere Empfehlungen unterstützen den Gesundheitssektor dabei, flankierend zu den regulatorischen Vorgaben ein angemessenes Cyber-Sicherheitsniveau nach dem Stand der Technik zu implementieren. Als nationale Cyber-Sicherheitsbehörde leisten wir so einen wichtigen Beitrag zu einem insgesamt höheren Schutzniveau gegen Cyber-Attacken auf Gesundheitseinrichtungen."

Krankenhäuser, die gemäß BSI-Gesetz als Kritische Infrastruktur eingestuft wurden, sind verpflichtet, dem BSI bis spätestens Juni 2019 nachzuweisen, dass sie IT-Sicherheitsmaßnahmen nach dem Stand der Technik erfolgreich implementiert haben. Der zunehmende Einsatz netzwerkfähiger Medizinprodukte ist dabei ein zentraler Aspekt. Da es sich bei der Medizintechnik um einen sehr heterogenen Produktbereich handelt, enthält die Cyber-Sicherheitsempfehlung eine Reihe von cyber-sicherheitsrelevanten Fragen zu einzelnen Bereichen, die es dem Hersteller ermöglichen, die für sein Produkt notwendigen Handlungsanweisungen zu generieren und umzusetzen.

Die Cyber-Sicherheitsempfehlung "Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte" steht unter diesem Link zum Download zur Verfügung. Zudem wird die Empfehlung auch im Rahmen des Deutschen Röntgenkongresses in Leipzig am 9. Mai 2018 vorgestellt.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Umsetzung NIS-Richtlinie abgeschlossen - neue Pflichten für Anbieter digitaler Dienste

Datum 07.05.2018

Das Bundesamt für Sicherheit in der Informationstechnik informiert per Pressemitteilung zu den neuen Anforderungen.

Im Zuge der Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) müssen Anbieter von Suchmaschinen, Cloud-Computing-Diensten und Online-Marktplätzen mit Sitz in Deutschland ab 10. Mai 2018 IT-Sicherheitsvorfälle mit erheblichen Auswirkungen auf den betriebenen Dienst an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Gleichzeitig gelten dann europaweit einheitliche Mindestanforderungen an die IT-Sicherheit digitaler Dienste [http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32018R0151], die von den Anbietern umzusetzen und gegenüber den zuständigen nationalen Behörden nachzuweisen sind. In Deutschland ist dies das BSI als die nationale Cyber-Sicherheitsbehörde. Damit werden die notwendigen Befugnisse des BSI zur Erhöhung der IT-Sicherheit bei Anbietern digitaler Dienste im Rahmen der NIS-Richtlinie komplettiert.

Dazu erklärt Arne Schönbohm, BSI-Präsident: "Mit der NIS-Richtlinie hat die EU einen einheitlichen Rechtsrahmen zur Stärkung der IT-Sicherheit bei Betreibern Kritischer Infrastrukturen und Anbietern digitaler Dienste geschaffen. Durch das schon 2015 in Kraft getretene IT-Sicherheitsgesetz nimmt Deutschland eine Vorreiterrolle beim Schutz Kritischer Infrastrukturen ein. Als nationale Cyber-Sicherheitsbehörde wendet das BSI diese Regelungen bereits erfolgreich an und wird auch in Zukunft in guter und vertrauensvoller Zusammenarbeit mit unseren Partnern in Staat und Wirtschaft dafür sorgen, dass das IT-Sicherheitsniveau bei Kritischen Infrastrukturen und digitalen Diensten in Deutschland weiter steigt."

Die Frist zur Umsetzung der NIS-Richtlinie durch die EU-Mitgliedsstaaten endet am 10.Mai 2018. Bis dahin müssen die Mitgliedsstaaten Rechtsvorschriften zur Regulierung von Betreibern Kritischer Infrastrukturen und Anbietern digitaler Dienste einführen. Deutschland ist dieser Verpflichtung bereits im Juni 2017 mit einem entsprechenden Umsetzungsgesetz umfassend nachgekommen. Dabei wurde auch der Schutz Kritischer Infrastrukturen in Deutschland durch neue, ergänzend zum IT-Sicherheitsgesetz eingeführte Aufsichts- und Durchsetzungsbefugnisse des BSI gestärkt.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Hier geht es zum Archiv

Hier geht es zum Archiv der Meldungen der Allianz für Cyber-Sicherheit

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK