Bundesamt für Sicherheit in der Informationstechnik

BSI und KDH machen Handwerk fit in Sachen Cyber-Sicherheit

Datum 12.12.2018

Fit für die Digitalisierung - so lautete das Motto der Roadshow "Cyber-Sicherheit im Handwerk" mit der die Allianz für Cyber-Sicherheit (ACS) des Bundesamts für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Kompetenzzentrum Digitales Handwerk (KDH) im November und Dezember 2018 durch verschiedene Städte in Deutschland tourte.

Mehr als 1.000 Beraterinnen und Berater aus Handwerksorganisationen unterstützen Handwerksbetriebe in Fragen rund um die digitale Transformation. Denn wie viele andere Bereiche der Wirtschaft ist auch das Handwerk von einer immer stärkeren Digitalisierung geprägt: Ehemals analoge Geschäftsprozesse werden am Computer und mobil vor Ort abgewickelt, zuvor händisch gesteuerte Werkzeuge lassen sich heute über Spezialprogramme bedienen. Damit einhergehend werden auch Handwerksunternehmen zu einem begehrten Ziel von Hackerangriffen, Schadsoftware, Phishing und anderen Cyberrisiken.

Im Rahmen ihrer Kooperation haben das BSI und der Zentralverband des Deutschen Handwerks (ZDH) ein Schulungskonzept für Multiplikatoren entwickelt und an verschiedenen Standorten in Deutschland erprobt. Ziel ist es, Ansprechpersonen in den Kammern und Verbänden Informationen an die Hand zu geben, damit sie die Handwerksunternehmen in den Regionen für das Thema "Cyber-Sicherheit" sensibilisieren und in Bedarfsfällen zu Ansprechstellen (beispielsweise IT-Sicherheitsbotschaftern) lotsen können. Auf diese Weise sollen Handwerksbetriebe darin unterstützt werden, Cyber-Risiken zu erkennen und geeignete Schutzmaßnahmen kennenzulernen. Im Frühjahr 2019 soll aus den Erfahrungen im Austausch mit den Teilnehmerinnen und Teilnehmern der Roadshow ein Beratungsleitfaden erarbeitet und allen Beraterinnen und Beratern im Handwerk zur Verfügung gestellt werden.

Informationen zu weiteren Aktivitäten im Rahmen der BSI-ZDH-Kooperation:
Mehr Cyber-Sicherheit für das Handwerk - Umfangreiches Angebot der Allianz für Cyber-Sicherheit

BSI News vom 12.12.2018

Mehr Cyber-Sicherheit im Unternehmen: Tipps zu Windows 10 - Veranstaltungsreihe für kleine und mittlere Unternehmen

Datum 10.12.2018

Digitale Prozesse spielen zunehmend auch in kleinen Unternehmen eine zentrale Rolle, sei es bei Kommunikation, Buchhaltung, der Steuerung von Betriebsabläufen oder der Verwaltung von Kundendaten. Herzstück ist dabei nach wie vor häufig der klassische Arbeitsplatzrechner, der in der Regel direkt mit dem Internet verbunden ist. Auch Online-Dienste werden immer häufiger genutzt, manche Services wie z. B. die Umsatzsteuervoranmeldung sind sogar nur noch online verfügbar. Dabei gilt immer: ohne Cyber-Security kann Digitalisierung nicht gelingen.

Das BSI als nationale Cyber-Sicherheitsbehörde befasst sich mit der IT-Sicherheit aller marktüblichen Betriebssysteme. Viele sicherheitsrelevante Fragen, die an das BSI gerichtet werden, beziehen sich dabei auf Microsoft Windows, das in der Bürokommunikation am weitesten verbreitete Betriebssystem. Am 17. Januar 2019 führt das BSI daher die Veranstaltungsreihe "Mehr Cyber-Sicherheit im Unternehmen: "Tipps zu Windows 10" fort. Anwenderinnen und Anwender sowie IT-Fachkräfte aus kleinen und mittelständischen Unternehmen können sich dort über aktuelle Bedrohungen aus dem Cyber-Raum informieren, praktische Tipps zur Konfiguration, zur Update-Verwaltung oder zur Sicherung von Daten erhalten und erfahren, was es bei der Nutzung von Cloud-Diensten zu beachten gibt. Das Format bietet Teilnehmenden ausdrücklich Raum, Fragen rund um das Thema „Einsatzsicherheit von Windows 10“ an die Experten von BSI und Microsoft Deutschland zu stellen.

Die Veranstaltungsreihe wird von der Allianz für Cyber-Sicherheit in Kooperation mit Microsoft Deutschland ausgerichtet. Gastgeber der Veranstaltung am 17. Januar 2019 ist die Handwerkskammer für München und Oberbayern.

Informationen zur Anmeldung für den 17. Januar 2019 finden Sie hier.

Partnerangebot: Seminar „IT Security Fundamentals: ISO 27001 und ITSec

Datum 06.12.2018

mITSM vermittelt Teilnehmern der Allianz für Cyber-Sicherheit Grundlagen von Informationssicherheit, Penetration Testing und IT-Forensik anschaulich und mit Praxisbezug.

Das ganztägigen Seminar „IT Security Fundamentals“ unseres Partners mITSMMunich Institute for IT Service Management findet am 18.01.2019 und an vier weiteren Terminen im ersten Halbjahr 2019 in München statt. Das Seminar ist auf maximal 15 Teilnehmer ausgelegt und wird für Teilnehmer der Allianz für Cyber-Sicherheit kostenfrei angeboten.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.

Gefährliche Schadsoftware – BSI warnt vor Emotet und empfiehlt Schutzmaßnahmen

Datum 05.12.2018

Gefälschte E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten - Schadsoftware, die ganze Unternehmensnetzwerke lahm legt: Emotet gilt als eine der gefährlichsten Bedrohungen durch Schadsoftware weltweit und verursacht auch durch das Nachladen weiterer Schadprogramme aktuell hohe Schäden auch in Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen eine auffällige Häufung an Meldungen zu schwerwiegenden IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit Emotet stehen. In Einzelfällen ist es bei den Betroffenen durch Ausfälle der kompletten IT-Infrastruktur zu Einschränkungen kritischer Geschäftsprozesse gekommen, die Schäden in Millionenhöhe nach sich ziehen. Daneben sind dem BSI weitere Fälle mit weniger schwerem Verlauf gemeldet worden, bei denen Malware-Analysten des BSI Emotet-Infektionen nachweisen konnten. Emotet wird derzeit weiterhin über groß angelegte Spam-Kampagnen verteilt und stellt daher eine akute Bedrohung für Unternehmen, Behörden und Privatanwender dar. Das BSI hat im Rahmen seines gesetzlichen Auftrags KRITIS-Betreiber, staatliche Einrichtungen in Bund und Ländern sowie Teilnehmer der Allianz für Cyber-Sicherheit heute erneut vor Emotet gewarnt und effektive umfassende Schutzmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.

Dazu erklärt BSI-Präsident Arne Schönbohm: "Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden. Schon im aktuellen Lagebericht des BSI haben wir von einer neuen Qualität der Gefährdung gesprochen und sehen uns durch Emotet darin bestätigt. Wir fordern deswegen Unternehmen und Organisationen auf, ihre IT-Infrastruktur und insbesondere ihre kritischen Geschäftsprozesse vor dieser Art der Bedrohung zu schützen und ihre IT-Sicherheitsmaßnahmen angemessen auszubauen. Durch geeignete Prävention kann man das Risiko einer Infektion mit Emotet erheblich mindern. Mit der bewährten Standardvorgehensweise IT-Grundschutz und der Kooperationsplattform Allianz für Cyber-Sicherheit bietet das BSI als die nationale Cyber-Sicherheitsbehörde Mittel und Unterstützung, um dieses Ziel zu erreichen."

Durch das sogenannte "Outlook-Harvesting" ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Dazu liest die Schadsoftware Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms in nachfolgenden Spam-Kampagnen, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen. Das BSI rechnet daher künftig mit einer weiteren Zunahme an gut gemachten, automatisierten Social-Engineering-Angriffen dieser Art, die für die Empfänger kaum noch als solche zu identifizieren sind. Diese Methode eignet sich ebenfalls zum Einsatz von hochspezialisierten Spear-Phishing-Angriffen auf besonders hochwertige Ziele.

Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Diese Schadprogramme ermöglichen den Angreifern etwa das Auslesen von Zugangsdaten und vollständigen Remote-Zugriff auf das System. Zuletzt wurde insbesondere der Banking-Trojaner "Trickbot" nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann. Je nach Netzwerkkonfiguration ist es dabei zu Ausfällen kompletter Unternehmensnetzwerke gekommen. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben. Einmal infizierte Systeme sind daher grundsätzlich als vollständig kompromittiert zu betrachten und müssen neu aufgesetzt werden. In mehreren dem BSI bekannten Fällen hatte dies Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke vollständig neu aufgebaut werden mussten.

BSI Pressemitteilung vom 05.12.2018

Partnerangebot: Workshop „Sichere Softwareentwicklung“

Datum 27.11.2018

Erfahren Sie in einem ganztägigen Training der atsec information security GmbH, welche vielfältigen Aspekte im Entwicklungsprozess zu berücksichtigen sind, um ein sicheres Produkt zu erhalten.

Da IT-Systeme und -Produkte immer komplexeren Sicherheitsrisiken ausgesetzt sind, stehen Entwickler in der Pflicht, die von ihnen entwickelte Software gegen diese Risiken abzusichern. Dabei ist es nicht damit getan, einige Sicherheitsfunktionen zu schreiben oder ein paar Regeln zur sicheren Programmierung zu befolgen. Wichtiger sind die Kenntnis und das Verständnis für die Sicherheitsanforderungen an das Gesamtpaket: Entwicklungs- und Wartungsprozesse, die die Integrität des Codes gewährleisten und deren Abnahmeprozeduren die Sicherheitseigenschaften des entwickelten Produktes explizit feststellen; die Formulierung der Sicherheitseigenschaften des Produkts und ihre Verfeinerung durch Architektur, Design und Implementierung bis hin zur Durchführung der richtigen Tests.

In diesem ganztägigen Training am 26.03.2019 erhalten Sie einen Überblick über all diese Aspekte. Der Workshop wird für Teilnehmer der Allianz für Cyber-Sicherheit kostenfrei angeboten. Es stehen bis zu 20 Plätze zur Verfügung.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich kostenfrei für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.

Partnerangebot: Workshop „Forensik und Internetkriminalität“

Datum 22.11.2018

Aktuelle Entwicklungen im Bereich Forensik und Malware-Analyse stehen im Fokus eines Workshops des CAST e.V., den 3 Teilnehmer der Allianz für Cyber-Sicherheit kostenfrei besuchen können.

Der Workshop "Forensik und Internetkriminalität" trägt aktuellen Trends und Entwicklungen dieser Themengebiete Rechnung. Die Referenten beleuchten in ihren Vorträgen aktuelle Entwicklungen zur Malware-Analyse sowie zu gezielten Angriffen. Auch juristische Aspekte werden im Kontext von Datenanalyse zur Verdachtsbegründung und Beweisführung im Strafverfahren beleuchtet.

Für Teilnehmer der Allianz für Cyber-Sicherheit stehen 3 kostenfreie Plätze zur Verfügung.

Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich kostenfrei für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.

Sie sind schon Teilnehmer? Dann finden Sie die Details zum Angebot hier.

26. Cyber-Sicherheits-Tag - Jetzt anmelden!

Datum 21.11.2018

„Jetzt durchstarten! Erste Schritte für mehr Cyber-Sicherheit“ - so lautet das Motto des 26. Cyber-Sicherheits-Tags am 31. Januar 2019 in Essen. Die Veranstaltung findet in Kooperation mit der IHK Essen statt. Ein ganz besonderer Fokus liegt an diesem Tag auf Praxis und Interaktion: In Workshops und im Gespräch mit Expertinnen und Experten erfahren Teilnehmerinnen und Teilnehmer aus Unternehmen, wie sie ganz konkret Cyber-Sicherheit im Betrieb Schritt für Schritt umsetzen können.

Hier finden Sie ergänzende Informationen sowie die Möglichkeit sich online anzumelden.

BSI untersucht Sicherheitseigenschaften von Windows 10

Datum 20.11.2018

Das Betriebssystem Windows 10 sendet umfangreiche System- und Nutzungsinformationen an Microsoft. Eine Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows ist technisch zwar möglich, für Anwender aber nur schwer umzusetzen. Das ist das Ergebnis einer Untersuchung der zentralen Telemetriekomponente von Windows 10, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt hat. Die Untersuchung der Telemetriekomponente ist Teil einer umfangreichen Sicherheitsanalyse, in der das BSI sicherheitskritische Funktionen des Betriebssystems untersucht. Ziel ist es, die Sicherheit und Restrisiken für eine Nutzung von Windows 10 bewerten zu können, Rahmenbedingungen für einen sicheren Einsatz des Betriebssystems zu identifizieren sowie praktisch nutzbare Empfehlungen für eine Härtung und den sicheren Einsatz von Windows 10 zu erstellen. Informationen zur Studie sowie die ersten Teilergebnisse sind auf der Webseite des BSI abrufbar.

"Als nationale Cyber-Sicherheitsbehörde ist es Aufgabe des BSI, Anwender in Staat, Wirtschaft und Gesellschaft dabei zu unterstützen, IT-Produkte und Software sicher einsetzen zu können. Mehr als ein Drittel der Computernutzer weltweit setzt Windows 10 ein, Tendenz steigend. Daher prüfen wir das Betriebssystem auf Herz und Nieren und leiten daraus im Sinne eines digitalen Verbraucherschutzes konkrete Empfehlungen ab, mit denen die Digitalisierung ein Stück sicherer wird", erklärt Arne Schönbohm, Präsident des BSI.

Den Analysen zufolge hat die in Windows 10 "ab Werk" eingebaute Telemetriekomponente umfassende Möglichkeiten, auf System- und Nutzungsinformationen zuzugreifen und diese an den Hersteller zu versenden. Obwohl die Nutzer unterschiedliche Telemetrielevel einstellen können, ordnet der Telemetriedienst die vorhandenen Telemetriequellen diesen Leveln im laufenden Betrieb dynamisch zu. Hierfür lädt der Dienst mehrmals pro Stunde Konfigurationsdaten nach. Eine Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows ist technisch zwar möglich, für den einfachen Anwender allerdings nur schwer umzusetzen. Zudem haben auf dem Rechner installierte Anwendungen wie der Internet Explorer und Microsoft Office die Möglichkeit, auch ohne den zentralen Telemetriedienst des Betriebssystems Telemetriedaten zu erfassen und an den Hersteller zu versenden.

Weitere Ergebnisse aus anderen Teilbereichen der Studie wird das BSI sukzessive veröffentlichen. Die Analysen umfassen unter anderem Komponenten wie das Trusted Platform Module (TPM), VBS/DeviceGuard, die Windows Powershell, die "Application Compatibility Infrastructure", das Treibermanagement und den PatchGuard. Auf Basis der Analysen erstellt das BSI praktisch nutzbare Empfehlungen für Protokollierung und Härtung der jeweiligen Komponenten.

Die Studie wird im Auftrag des BSI durchgeführt von der ERNW GmbH aus Heidelberg. Untersuchungsgegenstand ist Windows 10 Enterprise LTSC 1607 64bit in deutscher Sprache, die zu Beginn der Untersuchung verfügbare LTSC-Version (Long-Term Servicing Channel). Vor Abschluss der Studie werden die Analyseergebnisse mit der dann aktuellen LTSC-Version abgeglichen. Die Analyseergebnisse sind in englischer Sprache mit deutschen Zusammenfassungen verfasst. Die Empfehlungen zur Protokollierung und Härtung des Betriebssystems sind in deutscher Sprache verfasst und richten sich in erster Linie an Behörden in Bund und Ländern sowie an Unternehmen. Aber auch technisch versierte Bürgerinnen und Bürger können die Empfehlungen umsetzen - abhängig von der eingesetzten Windows 10 Version.

BSI Pressemitteilung vom 20.11.2018

Mehr Sicherheit im Smart Home: BSI veröffentlicht Technische Richtlinie für Breitband-Router

Datum 16.11.2018

Mit zunehmender Digitalisierung hält das Internet der Dinge Einzug in immer mehr Privathaushalte in Deutschland. Zentraler Bestandteil des heimischen Netzwerks aus PC, Smartphone, Smart-TV, Smart-Home-Geräten wie Rolladensteuerung oder WLAN-fähigem Kühlschrank ist der Router, der sowohl das Tor zum Internet als auch Management-Plattform für das Heimnetzwerk ist. Über den Router laufen alle Informationen und Daten, die im heimischen Netzwerk und/oder über das Internet ausgetauscht werden. Wer Zugriff auf den Router hat, der hat oftmals auch Zugriff auf die privaten Daten. Um einen Zugriff unbefugter Dritter zu verhindern, sollte der Router also angemessen abgesichert sein. Vor dem Hintergrund seiner Zuständigkeit für den Digitalen Verbraucherschutz hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) daher nun die Technischen Richtlinie „Secure Broadband Router“ (TR-03148) veröffentlicht. Die Technische Richtlinie richtet sich vor allem an die Hersteller von Breitband-Routern und definiert ein Mindestmaß an IT-Sicherheitsmaßnahmen, die für Router im Endkundenbereich umgesetzt sein sollten. Ziel der TR ist es damit auch, die Sicherheitseigenschaften für Verbraucherinnen und Verbraucher transparent zu machen. Dies können Hersteller durch eine geeignete Kennzeichnung am Gerät unterstützen. Somit ist die Veröffentlichung der TR Router ein wichtiger Schritt in Richtung eines IT-Sicherheitskennzeichens, wie es die Bundesregierung in der Cyber-Sicherheitsstrategie von 2016 und im Koalitionsvertrag vorgesehen hat. Das BSI wird auch für weitere Geräte des Internets der Dinge und des Smart Homes Mindestanforderungen an deren IT-Sicherheit formulieren.

„Mit jedem neuen Smartphone, Laptop oder smarten Haushaltsgerät wird nicht nur das Internet der Dinge ein Stückchen größer, sondern auch die verfügbare Angriffsfläche. Das smarte Zuhause steht längst im Fokus von Internet-Kriminellen, die täglich neue Methoden und Angriffsmittel entwickeln, um ins Heimnetz einzudringen, Daten zu stehlen oder Web-Transaktionen zu manipulieren. Im Sinne des Digitalen Verbraucherschutzes ermöglichen wir mit der Technischen Richtlinie für Router einen besseren Schutz des Heimnetzwerks, damit die Anwender die Vorteile der Digitalisierung und des smarten Zuhauses genießen können. Wir appellieren an die Hersteller, dieses Angebot anzunehmen und per ‚Security by Design‘ ein Mindestmaß an Sicherheit in die Router einzubauen“, erklärt BSI-Präsident Arne Schönbohm.

Die Technische Richtlinie ist das Ergebnis einer intensiven und konstruktiven Diskussion mit Herstellern, Telekommunikationsanbietern und Verbänden sowie Vertretern von Behörden und Zivilgesellschaft. Als Schnittstelle zwischen dem öffentlichen Internet und dem privaten Netzwerk kommt den Routern eine besondere Rolle zu. Sie sind nicht nur Schutzschild für Angriffe gegen Komponenten innerhalb des privaten Netzes, sondern auch ein potentielles Einfallstor für Cyber-Angriffe. So gab es etwa im November 2016 einen breit angelegten Cyber-Angriff, der auch Router eines deutschen Telekommunikationsanbieters betraf und dazu führte, dass rund 900.000 Router ausfielen und die Besitzer teils über mehrere Tage nicht telefonieren oder das Internet nutzen konnten. Darüber hinaus wurde durch eine im Mai 2018 vom American Consumer Institute (ACI) veröffentlichte Studie deutlich, dass auf vielen Routern auch seit langem bekannte Sicherheitslücken vorhanden sind und bis dahin nicht geschlossen wurden.

Transparenz für den Anwender

Mit der Technischen Richtlinie hat das BSI eine Grundlage geschaffen, um Router widerstandsfähiger zu machen und besser gegen Angriffe zu schützen. Die Technische Richtlinie konkretisiert schon jetzt in der Praxis erprobte Sicherheitsanforderungen an die Schnittstellen und Funktionalitäten des Routers über dessen gesamte Betriebszeit. So wird etwa die Fähigkeit gefordert, dass Updates auf dem Router eingespielt werden können und für den Verbraucher klar zu erkennen ist, wie lange der Router mit (sicherheitsrelevanten) Updates versorgt wird. Zur Einhaltung der Technischen Richtlinie ist der Hersteller angehalten, schwere Sicherheitslücken durch die Bereitstellung eines entsprechenden Updates zu schließen oder aber die Pflege des Routers transparent aufzukündigen. Hierdurch wird Angreifern die systematische Ausnutzung von Sicherheitslücken in Routern zumindest erschwert, wenn nicht sogar verhindert.
Weitere Anforderungen der TR betreffen eine Minimierung der auf dem Gerät ausgeführten Dienste für die vom Nutzer ausgewählten Funktionalitäten, eine zwingend auf dem Router zu implementierende Firewall sowie Anforderungen an initiale Passworte und Verschlüsselung. So werden etwa Anforderungen an die für den Zugriff auf die Konfigurationsoberfläche des Routers notwendige Authentisierung definiert. Zudem adressiert das BSI in der TR auch das von vielen Routern angebotene WiFi, um einen unbemerkten und unberechtigten Zugriff auf das private Netzwerk zu verhindern.

Die Technische Richtlinie steht auf der Webseite des BSI unter https://www.bsi.bund.de/router-tr zum Download zur Verfügung.

BSI Pressemitteilung vom 16.11.2018

Medica: BSI unterstützt Hersteller und Betreiber von Medizinprodukten

Datum 15.11.2018

Im Rahmen der Messe „Medica“ in Düsseldorf hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die englischsprachige Fassung der BSI Empfehlung CS-132 „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte“ veröffentlicht. Die praxisnahen und umsetzungsorientierten Empfehlungen richten sich an Hersteller von Medizintechnik und unterstützen diese dabei, den Stand der Technik sowie vorhandene normative Vorgaben in ihren Produkten umzusetzen. Zudem dient das Papier auch dazu, die Hersteller für die bei der Vernetzung und Digitalisierung von Medizinprodukten entstehenden neuen Gefährdungen zu sensibilisieren. Die englischsprachige Empfehlung steht zum Download unter https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_132.html zur Verfügung.

„Mit unserer Empfehlung für sichere netzwerkfähige Medizinprodukte haben wir auch international einen Nerv getroffen, denn Betreiber im Gesundheitswesen stehen nicht nur in Deutschland vor der Herausforderung, die Digitalisierung so umzusetzen, dass sie größtmöglichen Nutzen bringt, ohne Leib und Leben der Patienten zu gefährden. Mit unserer Empfehlung setzen wir auch international einen Standard für ein angemessenes Cyber-Sicherheitsniveau nach dem Stand der Technik“, erklärt BSI-Präsident Arne Schönbohm.

Praxisnahe Erläuterungen zu MDS2 geplant

Als nationale Cyber-Sicherheitsbehörde bringt sich das BSI in die großen Digitalisierungsprojekte ein, die ohne ein angemessenes Maß an Informationssicherheit nicht erfolgreich sein werden. Dabei stehen für das BSI neben den Standards auch die Herausgabe von praxisgerechten Umsetzungsempfehlungen zu Themen der Cyber-Sicherheit im Fokus. Im Gesundheitswesen etwa wird das BSI zusammen mit den Herstellerverbänden ZVEI (Zentralverband Elektrotechnik- und Elektronikindustrie), Spectaris und VDGH (Verband der Diagnostica-Industrie) sowie mit Vertretern von Betreiberverbänden die freiwillige Nutzung des „Manufacturer Disclosure Statement for Medical Device Security“ (MDS2) für den deutschen Markt umzusetzen. MDS2 ist ein für den US-amerikanischen Markt formulierter Fragenkatalog für Hersteller von Medizinprodukten, der für eine Teilnahme am Beschaffungsprozess für viele Krankenhäuser des amerikanischen Markts verbindlich ist. Dabei dient MDS2 als Kommunikationsinstrument zur Vermittlung zwischen Herstellern und Nutzern. In Deutschland erstellen viele Krankenhäuser bei der Beschaffung von Medizinprodukten eigenständig Fragenkataloge und Anforderungsprofile für Ausschreibungen, die in Umfang und Tiefe sehr unterschiedlich und damit für Hersteller und Betreiber aufwändig abzuarbeiten sind. Abhilfe kann hier ein einheitlicher Fragenkatalog wie das MDS2-Formular schaffen. Das BSI plant eine deutschsprachige Erläuterung zum MDS2-Formular, die sowohl den Ansprüchen der Betreiber Rechnung trägt als auch Sicherheitsanforderungen angemessen beschreibt. Die deutschsprachige Erläuterung des BSI wird nach der Finalisierung des MDS2 voraussichtlich im ersten Quartal 2019 verfügbar sein.

BSI Pressemitteilung vom 14.11.2018

Hier geht es zum Archiv

Hier geht es zum Archiv der Meldungen der Allianz für Cyber-Sicherheit