Archiv der Kategorie: IT-Sicherheit

BSI: Erhebung von Aufwänden und Schäden in KRITIS-Branchen

Das BSI startete gestern eine Onlinebefragung (Quelle: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Gefaehrdungslage/BSI_Studie/auswirkungen_it_sicherheitsvorfaelle_node.html):

Teilnahme

Die Online-Befragung ist von Dienstag, den 20. Juni 2017 bis Montag, den 31. Juli 2017 freigeschaltet.

Auf der Webseite

https://www.it-sicherheitsstudie.de/Auswirkungen2017/

können Unternehmen aus Deutschland, die sich den KRITIS-Sektoren

  • Energieversorgung
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen

zuordnen, an der Umfrage teilnehmen.

Das BSI spricht mit der Online-Befragung auch Unternehmen an, die von den Regelungen des IT-Sicherheitsgesetzes nicht betroffen sind. Die Teilnahme ist selbstverständlich anonym.

Ohne weitere Worte: „Letzter Warnschuss für die Digitalisierung“

Falk Steiner kommentiert die aktuellen Vorfälle (s. Weltweite Cyber-Sicherheitsvorfälle durch Ransomware) auf deutschlandfunk.de:

Eine weltweite Cyberattacke auf Unternehmen und staatliche Stellen in rund 100 Ländern: Damit ist eingetreten, wovor Sicherheitsexperten immer gewarnt haben. So wie es heute ist, könne die Digitalisierung kein Erfolg werden
[..]
Notwendig wäre es, die Grundlagen erst einmal richtig zu machen. Notwendig ist es, Mechanismen zu schaffen, die derartige Vorfälle wie die der letzten Stunden noch viel stärker ausschließen. Und notwendig ist es auch, sich einzugestehen: So wie es heute ist, kann die Digitalisierung kein Erfolg werden. [..]
Quelle: http://www.deutschlandfunk.de/cyberattacke-letzter-warnschuss-fuer-die-digitalisierung.720.de.html?dram:article_id=386132

Siehe auch den Kommentar „Staatliche Dienste müssen Erkenntnisse teilen“ von Michael Link auf heise.de:

Wenn ein Geheimdienst, der sich die „Sicherheit“ des Landes und seiner Bürger auf die Fahnen schreibt, mit solchen Unterlassungen die Sicherheit von Internetnutzern gefährdet, muss man da nicht protestieren? Muss man nicht verlangen, dass Sicherheitslücken, auf die staatliche Stellen stoßen, umgehend öffentlich gemacht werden? Oder zählen die sogenannten Sicherheitsinteressen der Regierungen mehr als echte Computersicherheit für Millionen Bürger?
Quelle: https://www.heise.de/security/meldung/Kommentar-zu-WannaCry-Staatliche-Dienste-muessen-Erkenntnisse-teilen-3713450.html?wt_mc=rss.security.beitrag.atom

BSI veröffentlicht Ergebnisse der Cyber-Sicherheits-Umfrage 2016

Auch im Jahr 2016 wurde erneut eine Cyber-Sicherheits-Umfrage durchgeführt. Hieraus geht u.a. hervor, dass sowohl die Anzahl erfolgreicher als auch abgewehrter Cyber-Angriffe zunimmt. Dementsprechend wird die Grauzone von unentdeckten Angriffen auf Unternehmen immer kleiner. Dies spricht einerseits für ein verbessertes Bewusstsein für Cyber-Bedrohungen bzw. verstärktes Monitoring in den Institutionen und zum anderen für die Verbesserung der Detektionsmechanismen. Außerdem sind die Täter weiterhin kontinuierlich mit verschiedenen Kampagnen aktiv.
Quelle: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/UmfrageCS/umfrageCS.html;jsessionid=40B47806A448934837CC15B1CB5CB4C0.2_cid360

e-Personalausweis: Die eID-Funktion zum elektronischen Identitätsnachweis soll künftig automatisch und dauerhaft eingeschaltet sein

Der „Entwurf eines Gesetzes zur Förderung des elektronischen Identitätsnachweises“ sieht vor, dass die sogenannte eID-Funktion (die eID-Funktion erlaubt es sowohl den Ausweisinhabern als auch Behörden und Unternehmen, die jeweilige Gegenseite sicher zu identifizieren) künftig bei jedem Ausweis automatisch und dauerhaft eingeschaltet sein soll. Bisher kann jeder Bürger selbst entscheiden, ob sie oder er das will.
Unter „C. Alternativen“ findet sich das aussagekräftige Wort „Keine“.
Zukünftig sollen die Bürger von dieser Entscheidung befreit werden, oder, wie diese Entscheidung auch interpretiert werden kann: entmündigt und den damit verbundenen Risiken ausgesetzt werden. Auch sollen Befugnisse von unterschiedlichen Behörden zum Auslesen der Daten erweitert werden, wie die Stuttgarter Zeitung am Samstag, den 22. April, gemeldet hat (s. auch den Artikel „Bürger sollen Wahlrecht beim Online-Ausweis verlieren“ von Bärbel Krauß).

BSI: Neuer Standard 200-2 zur IT-Grundschutz-Vorgehensweise

Modulare Informationssicherheit: BSI veröffentlicht neuen Standard 200-2 zur IT-Grundschutz-Vorgehensweise
(Quelle: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Grundschutz-Standard-200-2_22032017.html)

Der neue Standard etabliert drei neue Vorgehensweisen bei der Umsetzung des IT-Grundschutz des BSI:

  • Die Basis-Absicherung liefert einen Einstieg zur Initiierung eines ISMS.
  • Mit der Standard-Absicherung kann ein kompletter Sicherheitsprozess implementiert werden. Diese Absicherung entspricht weiterhin dem BSI-Standard 100-2 und ist kompatibel zur ISO 27001-Zertifizierung.
  • Die Kern-Absicherung ist eine Vorgehensweise zum Einstieg in ein ISMS, bei der zunächst ein kleiner Teil eines größeren Informationsverbundes betrachtet wird.

Das Rahmenwerk wurde grundlegend aktualisiert und strukturell überarbeitet. Die Umsetzung einer geeigneten Vorgehensweise ist für eine Institution jeder Größe und Branche möglich, die Inhalte sind praxisnah aufbereitet. Verantwortliche für Informationssicherheit können mit dem Standard 200-2 sowie den erforderlichen Bausteinen aus dem IT-Grundschutz-Kompendium ein ISMS in ihrer Institution aufbauen, bereits bestehende ISMS überprüfen oder erweitern. Die verschlankte und modulare Herangehensweise erleichtert insbesondere Verantwortlichen in kleinen und mittelständischen Betrieben den Einstieg in die Thematik.

Der neue BSI Standard 200-2 steht als als Community Draft zur Kommentierung durch die Fach-Community auf der Webseite des BSI zum Download zur Verfügung.

BSI bietet Unterstützung bei Zerschlagung der Botnetz-Infrastruktur Avalanche an

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt nach einem Amtshilfeersuchen die Zentrale Kriminalinspektion der Polizeidirektion Lüneburg (ZKI) sowie die Staatsanwaltschaft Verden/Aller bei der Analyse und Zerschlagung der Botnetz-Infrastruktur Avalanche. Seitens des BSI hat das Nationale Cyber-Abwehrzentrum die koordinierende Funktion übernommen.
Quelle: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Botnetz_Avalanche_01122016.html