Cyber Sicherheit – BSI führt IT-Grundschutz-Testat nach Basis-Absicherung ein

DSGVO
Lesezeit: 2 Minuten

Die Basis-Absicherung der eigenen IT-Systeme ist der erste wichtige Schritt zu einer umfassenden Umsetzung von Informationssicherheitsmaßnahmen für viele Unternehmen, Behörden und Institutionen.

Cyber Sicherheit – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet nun ein Testat nach der Basis-Absicherung der gleichnamigen Vorgehensweise aus dem IT-Grundschutz an. Die Basis-Absicherung bietet einen praktikablen Einstieg in das Thema Cyber Sicherheit und legt den Fokus auf eine grundlegende Erst-Absicherung und schnell realisierbare Maßnahmen über alle Geschäftsprozesse, Daten und Komponenten hinweg. Hierzu erklärt BSI-Präsident Arne Schönbohm: “Cyber-Sicherheit kann und sollte von jedem Unternehmen und jeder Behörde ernst genommen werden. Der Aufbau eines Managementsystems für Informationssicherheit darf dabei keine noch so kleine oder große Organisation abschrecken. Das BSI gibt KMU, Behörden und Institutionen mit dem Testat nach Basis-Absicherung eine praktische Lösung an die Hand, um einen Ressourcen schonenden Einstieg in das wichtige Thema Informationssicherheit zu schaffen.”

Cyber Sicherheit – Ein Testat nach der Basis-Absicherung wird für zwei Jahre durch einen zertifizierten IT-Grundschutz-Auditor vergeben. Nach Ablauf dieser Zeit kann ein Testat wieder neu beantragt werden. Unternehmen und Behörden können mit der Basis-Absicherung den Grundstein zum Aufbau eines Managementsystems für Informationssicherheit legen. Institutionen, die ihre Aktivitäten weiter ausbauen möchten, sollten im nächsten Schritt die Standard-Absicherung umsetzen. Hierbei ist eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz möglich.

Muster eines IT-Grundschutz-Testats nach Basis-Absicherung

Weitere Informationen finden Sie unter https://www.bsi.bund.de/testate

Über den IT-Grundschutz

Cyber Sicherheit – Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik ist ein bewährtes Verfahren, um das Niveau der Informationssicherheit in Behörden und Unternehmen jeder Größenordnung zu erhöhen. Die Angebote des IT-Grundschutzes gelten in Verwaltung und Wirtschaft als Maßstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) geht. Ein systematisches Vorgehen ermöglicht es, notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Die BSI-Standards liefern hierzu bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium in den IT-Grundschutz-Bausteinen konkrete Anforderungen.

Quelle: BSI – Bundesamt für Sicherheit in der Informationstechnik

IT Security – Forscher finden Schwachstellen in E-Mail-Signaturprüfung

DSGVO
Lesezeit: 1 Minute

IT Security – Schwachstellen in den Implementierungen der weitverbreiteten E-Mail- Verschlüsselungsstandards S/MIME und OpenPGP

IT Security – Sicherheitsforscher der Fachhochschule Münster und der Ruhr-Universität Bochum haben Schwachstellen in den Implementierungen der weitverbreiteten E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP gefunden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber im Rahmen eines Coordinated-Vulnerability-Disclosure-Prozesses informiert. Die Schwachstellen ermöglichen Angreifern die Veränderung von E-Mails, so dass die Authentizität und Integrität einer Nachricht beim Empfänger nicht sichergestellt werden kann. Die Entwickler von E-Mailclientsoftware wurden vor der Veröffentlichung informiert und haben Updates zur Verfügung gestellt. Die genannten E-Mail-Verschlüsselungsstandards können daher nach Einschätzung des BSIweiterhin sicher eingesetzt werden, sofern sie wie folgt konfiguriert sind:

  • Die E-Mailclientsoftware muss durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden
  • Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind

IT Security – Die vorliegenden Schwachstellen betreffen die Signaturprüfung, jedoch nicht die Signaturerstellung. Der Beweiswert der signierten E-Mail selbst wird somit nicht beeinträchtigt. Das BSI hat bislang keine Kenntnis darüber, dass entsprechende Manipulationen von Angreifern bereits durchgeführt wurden.
Zur Ausnutzung der gefundenen Schwachstellen nutzten die Sicherheitsforscher verschiedene Angriffsmethoden. Dabei werden alte signierte E-Mails erneut verwendet und sogenannte Injection-Angriffe durchgeführt, fehlerhafte Implementierungen von OpenPGP und S/MIME aufgrund der Komplexität ausgenutzt sowie Mail Header manipuliert. Bei aktiviertem HTML / CSS kann die Anzeige der Auswertung von Signaturen in der Benutzeroberfläche manipuliert werden.

Coordinated Vulnerability Disclosure

IT – Security – Das BSI ist seit März 2019 durch das Forscherteam in den sogenannten Coordinated-Vulnerability-Disclosure-Prozess eingebunden worden. Dieser dient dazu, Herstellern die Möglichkeit zu geben, Patches für gefundene Schwachstellen zu entwickeln, bevor diese Schwachstellen öffentlich werden. Dies reduziert die Zeitspanne deutlich, in der Angreifer neue Schwachstellen ausnutzen können. Das BSI nimmt hierbei eine neutrale und unterstützende Rolle ein, die Hoheit über den Prozess liegt bei den Findern der Schwachstellen.

Quelle: BSI

IT Security Trends 2019 – Künstlicher Intelligenz ist Thema

Patrick Upmann - Interim Manager und agiles Projektmanagement - E-commerce
Lesezeit: 2 Minuten
  • So wichtig ist IT-Security für das Trendthemen 2019 Künstliche Intelligenz (KI)
  • KI kann Cyber-Security bei Routine-Aufgaben unterstützen glaubt Mehrheit (72 Prozent) der Unternehmensentscheider

IT Security Trends 2019 – Künstlicher Intelligenz ist Thema. Fragen der Cyber-Sicherheit im Zusammenhang mit Künstlicher Intelligenz sind für den Sicherheitsexperten und eco Vorstand Prof. Norbert Pohlmann das beherrschende Trend-Thema 2019:

„Cybersicherheitssysteme, die Künstliche Intelligenz (KI) berücksichtigen, werden in der Zukunft helfen, deutlich besser die intelligenten Hacker und deren Angriffe zu entdecken. Das hilft Schäden zu vermeiden und Risiken im gewünschten Digitalisierungsprozess zu minimieren“, sagt Pohlmann.

Mit Hilfe von Künstlicher Intelligenz könnte die Erkennungsrate von Angriffen im Netzwerk und in IT-Endgeräten wie Smartphone, Notebook, Server oder im Internet der Dinge deutlich erhöht werden.

IT Security Trends 2019 - Künstlicher Intelligenz ist ThemaIT Security Trends 2019 - Künstlicher Intelligenz ist Thema „IT Security Trends 2019 – Künstlicher Intelligenz ist Thema“ weiterlesen