Kategorie-Archiv: IT-Sicherheit

BNetzA stellt IT-Sicherheitskatalog für Systeme zur Netzsteuerung vor

Im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Bundesnetzagentur (BNetzA) nach § 11 Absatz 1a EnWG einen Katalog von Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen, im Entwurf erstellt (Download IT-Sicherheitskatalog, PDF). Im Mittelpunkt steht dabei die Einführung eines ISMS (Informationssicherheitsmanagementsystem) nach Maßgabe der DIN ISO/IEC 27002 unter besonderer Berücksichtigung der Vorgaben für die Energieversorgung aus DIN SPEC 27009. Bis zum 15.2.2014 kann zum IT-Sicherheitskatalog gegenüber der Bundesnetzagentur Stellung genommen werden.

IT-Sicherheits-Workshop für Rechtsanwältinnen und Rechtsanwälte

Am 12.12.2013 fand in Köln der IT-Sicherheits-Workshop für Rechtsanwälte statt. Unter der Überschrift der sicheren Kommunikation in der Kanzlei wurde gemeinsam von „Deutschland sicher im Netz e.V.“ (DsiN), ,,Nationale Initiative für Informations- und Internet-Sicherheit” (NIFIS) und dem „Deutschen Anwalt Verein“ (DAV)  zu einem rund vierstündigen Seminar eingeladen. Darin erhielten die Teilnehmer Informationen über IT-Sicherheit in der Kanzlei und bei der Kommunikation mit Mandanten. Die Teilnahme war aufgrund der Förderung durch das Bundesministerium des Innern kostenfrei.

Die Veranstaltung hatte überwiegend die Sensibilisierung der Teilnehmer über bestehende Risiken hinsichtlich des Schutzes sensibler Daten im Mandantenverhältnisses zum Ziel, bot aber auch Gelegenheit, Fragen aus den eigenen Erfahrungen mit den Referenten zu erörtern. Eine praxisnahe Darstellung  wurde erreicht, da die Referenten Herr Dr. Thomas Lapp (Rechtsanwalt und Mediator) sowie Mathias Gärtner (öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationstechnologie für den Bereich Netzwerktechnik) sowohl die rechtlichen als auch technischen Besonderheiten der IT-Sicherheit beleuchteten.

Weiterlesen

Trust Issues – Vertrauensprobleme in der EU …

…oder wie Safe Harbor eine (amerikanisch-europäische) Beziehung auf die Probe stellt

Die Europäische Kommission hat im November 2013 eine „Mitteilung zum Funktionieren von Safe Harbour aus der Perspektive der EU-Bürger und von in der EU ansässigen Unternehmen“ (COM(2013) 847 „on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU“, Download PDF, englisch) veröffentlicht.

Auslöser waren insbesondere die diesjährigen Enthüllungen über das Ausspionieren personenbezogener Daten europäischer Politiker, die eine erhebliche Störung des Vertrauensverhältnisses zwischen der EU und den USA nach sich zogen. Dass bei der Gewinnung dieser personenbezogenen Daten Prinzipien des Safe Harbour Abkommens verletzt wurden ist kaum auszuschließen und wirft Fragen zur Sicherheit der Daten im internationalen Datenverkehr und auch Kritik an der Durchsetzung der Bedingungen des Abkommens auf, insbesondere da die Unternehmen, die am PRISM Programm beteiligt sind und die den US Behörden Zugang zu personenbezogenen Daten gewährt haben, alle am Safe Harbour Abkommen beteiligte und entsprechend zertifizierte Unternehmen waren.

Weiterlesen

BSI, ]init[ und Fraunhofer SIT veröffentlichen Studie zur Datensicherheit in Web Content Management Systemen

Das Bundesministerium für Sicherheit in der Informationstechnologie, die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie haben eine gemeinsame Studie zur Datensicherheit in Web Content Management Systemen (CMS) veröffentlicht.

Bei CMS handelt es sich allgemein um Systeme, die die Darstellung, Nutzung und Verwaltung aufbereiteter Daten (z.B. Bilder, Texte) ermöglichen. Web CMS sind somit für die Aufbereitung solcher Daten auf Intra- oder Internetseiten zuständig. Ein solches Web CMS kann ein großer Schwachpunkt für die Datensicherheit sein, da es einem Angreifer meist eine erste Plattform zum tieferen Einstieg in eine Unternehmensstruktur bietet. Aufgrund des immer ähnlichen Aufbaus solcher CMS gefährden veröffentlichte Sicherheitslücken meist viele CMS-Websites.

Die nun vorgestellte Studie hat Open Source Web CMS wie Drupal, Joomla!, Plone, TYPO3 und WordPress im Hinblick auf deren Sicherheit unter die Lupe genommen. Diese sind die sowohl privat als auch professionell meist genutzten Web CMS. Geprüft wurden die Systeme dabei sowohl im Hinblick auf die rechtliche und organisatorische Ebene, als auch auf die dahinterliegende Technik. Dabei wurde "auch der gesamte Lebenszyklus von der Produktauswahl bis zum kontinuierlichen Betrieb des CMS betrachtet". Hierzu nutzten BSI, ]init[ und Fraunhofer SIT Dokumentenlagen, die sie durch eigene Tests und Installationen prüften.

Im Ergebnis beruht die Sicherheit vom CMS-Websites, laut der Studie, besonders auf:

  1. der eingesetzen Software, bzw. deren Sicherheit,
  2. der Konfiguration der CMS in Abstimmung mit anderen eingesetzten Komponenten, und
  3. einem stetigen Einspielen der Sicherheitsupdates und weiterem kontinuierlichen Systemmanagements.

Die Studie bewertet die sicherheitstechnische Eignung der verschiedenen CMS und zeigt Privatleuten und IT-Spezialisten der öffentlichen Verwaltung und der freien Wirtschaft Möglichkeiten für den sicheren Umgang mit CMS auf.

Die Studie ist hier abrufbar.

DATEV und DsiN stellen neuen Leitfaden zu E-Mail-Verschlüsselung vor

Am 05.07.2013 stellten die DATEV eG und Deutschland sicher im Netz e.V. (DsiN) ihren neuen Leitfaden zu E-Mail-Verschlüsselung für kleine und mittelständische Unternehmen (KMU) vor (Download Leitfaden, PDF). Dass ein solcher Leitfaden mit Schwerpunkt IT-Sicherheit durch E-Mail-Verschlüsselung dringend nötig ist, zeigt eine Studie der DsiN mit dem Titel IT-Sicherheitslage im Mittelstand 2013, nach der nicht einmal die Hälfte der kleinen und mittelständischen Unternehmen (KMU) ihre E-Mail-Kommunikation sichert. Der Leitfaden wurde, gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi), im Rahmen des Projektes Freie Berufe als Brückenbauer für IT-Sicherheit erstellt.

BMI: Entwurf zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vorgestellt

Das Bundesministerium des Inneren (BMI) hat am 5.3.2013 den Referentenentwurf für ein “Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme” (PDF) vorgestellt. Mit dem Gesetz will das BMI durch bestimmte Verpflichtungen, die man besonders wichtigen öffentlichen Einrichtungen und privaten Unternehmen auferlegt, die mit einem Ausfall der IT einhergehenden Risiken reduzieren. Der Gesetzentwurf wird nun beraten, mit den verschiedenen Fachgruppen (etwa dem BITKOM) diskutiert und anschließend im parlamentarischen Verfahren ggf. mit etwaigen Änderungen verabschiedet.

Weiterlesen

Wi-Fi access points (WLAN Netze) und Google Street View

Zum widerholten Male sorgen die Geschäftspraktiken von Google auch in den USA für datenschutzrechtliche Bedenken. Obwohl dort traditionell unter dem Begriff Datenschutz eher das Thema „data protection“ behandelt wird und das Thema „data privacy“, wie es dem europäischen Verständnis vom Begriff Datenschutz nahe kommt, tendenziell wenig Aufmerksamkeit zukommt, kam es nun erneut zu freiwilligen Strafzahlungen von Google wegen Verletzungen der „data privacy“.

Weiterlesen

Handreichung zum datenschutzgerechten Umgang mit De-Mail

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit hat eine “Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail” (Abruf) veröffentlicht.

Auf Grundlage des im Mai 2011 in Kraft getretenen De-Mail-Gesetzes soll mittels De-Mail eine “sichere, vertrauliche und nachweisbare” Kommunikation “für jedermann im Internet” möglich sein. Zu diesem Zweck sieht De-Mail eine Autorisierung der Nutzer u.a. über den elektronischen Identitätsnachweis auf dem neuen Personalausweis vor und erlaubt eine verschlüsselte Kommunikation. Problematisch ist dabei jedoch, dass De-Mail keine Ende-zu-Ende-Verschlüsselung kennt, sondern sich die Verschlüsselung auf den Kommunikationsvorgang zwischen den De-Mail-Providern nach Einlieferung und vor Abholung der De-Mail durch die beteiligten Nutzer beschränkt.

Die Handreichung des Bundesbeaufragten schlägt deshalb für solche Kommunikation, für die nach einer Schutzbedarfsanalyse nach Maßgabe der BSI-Standards (zu den Grundschutzkatalogen des BSI) ein besonders Schutzbedürfnis besteht, die Einrichtung einer Ende-zu-Ende-Verschlüsselung durch die am Kommunikationsvorgang beteiligten Nutzer vor. Dies ist allerdings nur in Unternehmen und Einrichtungen sinnvoll möglich, die ein im eigenen Netzwerk befindliches Gateway zum De-Mail-Provider betreiben, während der Aufwand hierfür bei Verbrauchern ohne ein solches Gateway die Nutzung einer Ende-zu-Ende-Verschlüsselung faktisch ausschließt, zumindest aber erheblich erschwert.

Update 21.3.2013: Die Deutsche Post hält an ihrem E-Postbrief als Alternative zur De-Mail fest. Da das von der Deutschen Post zur Identifizierung der Nutzer praktizierte PostIdent-Verfahren nach Auffassung der Datenschützer wegen der dauerhaften Speicherung der Ausweisnummer des Nutzers nach dem GwG nicht den Vorgaben des De-Mail-Gesetzes genügt, die Deutsche Post aber nicht auf PostIdent verzichten will, ist ihr ein Tätigwerden als De-Mail-Anbieter nicht möglich. Der Vorteil für den Nutzer: Es fehlt zwar die gesetzliche Einkleidung durch ein Gesetz beim E-Postbrief, dafür ist mit diesem eine Ende-zu-Ende-Verschlüsselung möglich, ohne dass es des in der Handreichung des Bundesdatenschutzbeauftragten, nur für Unternehmen praktikablen Verfahrens bedarf  (Quelle: Heise).

Nachlässiger Umgang mit Passwörtern ist gefährlich

Mehr als 50 Millionen Passwörter von Nutzern musste der Anbieter des Cloud-Dienstes Evernote zurücksetzen, nachdem unbekannte Kriminelle sich Zugang zu einer Datenbank des Diensteanbieters verschafft hatten, in der neben anderen personenbezogenen Daten der Nutzer auch deren Passwörter hinterlegt waren (mehr bei Heise).

Treffen solche Vorfälle mit der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang 2013 in einer Umfrage festgestellten Nachlässigkeit der Nutzer im Umgang mit ihren Passwörtern zusammen (siehe “Umfrage belegt: Deutsche Internetnutzer sind bei Passwörtern zu bequem“) schnell sensible Bereiche in Unternehmensnetzwerken kompromittiert.

Eine der wichtigsten Grundregeln für den Umgang mit Passwörtern ist deshalb:

Verwenden Sie nie dasselbe Passwort für mehrere Anwendungen und ändern Sie das Passwort regelmäßig.

Weiterlesen

Cloud Computing ‘Made in Europe’ – Thesen zu IT-Sicherheit

Unser Geschäftsführer und externer Datenschutzbeauftragter Sascha Kremer hat auf dem Jahrestreffen der Softwareforen 2013 in Leipzig ein Streitgespräch zum “Cloud Computing ‘Made in Europe’ – Thesen zur IT-Sicherheit” geführt. Gemeinsam mit Dominik Birk, hauptberuflich als Account Manager im Bereich Information Security bei einer global agierenden Versicherung in Zürich tätig, wurden vier Thesen mit den Teilnehmern diskutiert.

Dabei ging es um die folgenden Thesen:

  • „Vollständiges sicheres Prozessieren von Daten in der (public) Cloud ist zum derzeitigen Stand nicht möglich – egal, was die Industrie verspricht.“ (Dominik Birk)
  • „Rechtssicher ist nur die private Cloud. Manchmal.“ (Sascha Kremer)
  • „Nicht nur Nutzer haben die Vorteile von Cloud Services erkannt – auch Angreifer werden vermehrt die Cloud in ihre zukünftigen Angriffe mit einbeziehen.” (Dominik Birk)
  • „Aufsichtsbehörden sind nicht böse. Sondern hilfreich.“ (Sascha Kremer)

Über die datenschutzrechtlichen Fragestellungen bei der Nutzung von Cloud-Lösungen, gleich ob “public” oder “private”, werden wir zukünftig auf unserer Website berichten.