Beiträge getaggt ‘Datensicherheit’

Datensicherheit: BSI aktualisiert IT-Grundschutz-Kataloge

Geschrieben von K. Kopp am . Gepostet in Digital.

Informationen stellen einen wesentlichen Wert für Unternehmen und Behörden dar und müssen daher angemessen geschützt werden. Enorme Mengen von Informationen werden digital gespeichert, elektronisch verarbeitet und in lokalen und globalen, in privaten und öffentlichen Netzen übermittelt. Dass unzureichend geschützte Informationen einen immer noch viel zu häufig unterschätzten Risikofaktor darstellen, der sich bereits für manches Unternehmen als mindestens enorm imageschädigend erwiesen hat, erfährt man gefühlt mindestens einmal pro Woche.

Dem abzuhelfen hat sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgenommen und bietet mit seinem IT-Grundschutz eine standardisierte Methode an, in Unternehmen und Institutionen alle Informationen zu schützen, indem es für die verschiedensten Einsatzumgebungen sowohl eine Sammlung von Sicherheitsmaßnahmen als auch eine entsprechende Methodik zur Auswahl und Anpassung geeigneter Maßnahmen zum sicheren Umgang mit Informationen zur Verfügung stellt.

In den dafür entwickelten IT-Grundschutz-Katalogen des BSI werden Standard-Sicherheitsmaßnahmen für typische Geschäftsprozesse, Anwendungen und IT-Systeme empfohlen und dabei durch Kombination organisatorischer, personeller, infrastruktureller und technischer Standard-Sicherheitsmaßnahmen ein Sicherheitsniveau angestrebt, das geschäftsrelevanten Informationen gerecht wird.

Dabei folgen die IT-Grundschutz-Kataloge dem Baukastenprinzip. Die einzelnen Bausteine sollen typische Abläufe von Geschäftsprozessen und Bereiche des IT- Einsatzes widerspiegeln, so z.B. Notfall-Management, Client-Server-Netze und bauliche Einrichtungen. In jedem Baustein wird zunächst die zu erwartende Gefährdungslage beschrieben und sodann auf dieser Grundlage ein spezifisches Maßnahmenbündel aus den Bereichen Infrastruktur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge generiert.

Die Vorgehensweise nach dem IT-Grundschutz des BSI intendiert, Sicherheitskonzepte einfach und ökonomisch zu erstellen, indem sich bei dessen Anwendung die Analyse auf einen Soll-Ist-Vergleich zwischen den in den IT-Grundschutz-Katalogen empfohlenen und den bereits realisierten Maßnahmen reduziert, so dass erst bei einem signifikant höheren Schutzbedarf zusätzlich eine ergänzende Sicherheitsanalyse unter Beachtung von Kosten- und Wirksamkeitsaspekten erforderlich werde.

Die elektronische Version der IT-Grundschutz-Kataloge kann nun auf dem Stand der 12. Ergänzungslieferung komplett auf der Website des BSI kostenlos heruntergeladen werden. Ergänzt werden die IT-Grundschutz-Kataloge um Formulare für Basis-Sicherheitschecks, Überblickstexten zu den Elementaren Gefährdungen und um die sog. Goldenen Regeln.

IT-Sicherheit in Deutschland: BSI stellt Lagebericht vor

Geschrieben von K. Kopp am . Gepostet in Digital.

Im Rahmen der Eröffnung des Cyber-Abwehrzentrums hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Bericht mit dem Titel „Die Lage der IT-Sicherheit in Deutschland 2011″ vorgestellt. Der Lagebericht trägt dem Umstand Rechnung, dass Kriminelle im Netz global agieren. Besonders interessant sind aber die Ausführungen zur neuen Bedrohungslage für intelligente Stromnetze und Stromzähler, auf die der Bericht eingeht.

Seine wesentlichen Ergebnisse stellt das BSI wie folgt dar:

► Die Zahl der Schwachstellen vor allem in Anwendungen und Softwareprodukten von Drittanbietern nimmt zu

► Drive-By-Exploits, dh die Infektion des eigenen Rechners durch den Besuch einer manipulierten Internetseite, sind auch bei seriösen Webseiten gängige Praxis

► Die Bedrohung durch Botnetze hat in den vergangenen zwei Jahren massiv zugenommen

► Die Anzahl der Spam-Mails ist gesunken, aber mit einem Anteil von 96,1% am gesamten E-Mail-Aufkommen nach wie vor beträchtlich

► Identitätsdiebstahl und Identitätsmissbrauch sind an der Tagesordnung. Durch Phishing und Trojaner am häufigsten gestohlene Informationen sind Zugangsdaten zu Handelsplattformen sowie Webmail-Diensten

► Exploit-Kits und Virenbaukästen haben dazu geführt, dass die Anzahl neuer Schadprogramme weiterhin zunimmt

► Wegen der raschen Verbreitung von Smartphones, Tablets und Netbooks sowie deren unsicherer GSM-Schnittstelle ist mit einer Zunahme von Angriffen auf mobile Endgeräte zu rechnen

► Trendthemen wie Cloud Computing und intelligente Stromnetze und Stromzähler werden für die IT-Sicherheit neue Herausforderungen darstellen

Das BSI sieht vor allem eine neue Qualität zielgerichteter Attacken. „Seit dem letzten Lagebericht 2009 hat sich die Situation nochmals verschärft“, teilte Michael Hange, Präsident des BSI, anlässlich der Präsentation mit. „Wir können grundsätzlich differenzieren zwischen Angriffen auf die breite Masse der IT-Nutzer, für die vor allem Standardschwachstellen ausgenutzt werden, und gezielten Cyber-Attacken. Für diese werden bislang unentdeckte Schwachstellen eingesetzt, wie es zum Beispiel bei der Schadsoftware Stuxnet der Fall war.“ Schöne Gemeinplätze, die Herr Hange da von sich gibt.

Lesen Sie lieber den kompletten Bericht, den es hier gibt.

BSI veröffentlicht Sicherheitsempfehlungen für Cloud Computing Anbieter

Geschrieben von K. Kopp am . Gepostet in Digital.

Und wieder das Thema Datensicherheit: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen des 12. Deutschen IT-Sicherheitskongresses ein Eckpunktepapier mit dem Titel “Sicherheitsempfehlungen für Cloud Computing Anbieter” und dem Untertitel „Mindestanforderungen zur Informationssicherheit bei Cloud Computing Diensten“ veröffentlicht.

Das Eckpunktepapier soll einen Überblick über die wesentlichen Felder von Cloud Computing darstellen, in denen Sicherheitssysteme zu implementieren sind. Die Empfehlungen sind notwendigerweise weitgehend abstrakter Natur, konkrete Handlungsanweisungen würden sicherlich den Umfang eines Eckpunktepapiers überschreiten.

Das Papier findet eher seine Berechtigung als Verhandlungsgrundlage oder Handlungskodex für Anbieter, die Bewertung der Sicherheit eines bestimmten Angebots muss aber immer im Einzelfall erfolgen.

Das Eckpunktepapier gibt es hier.

Datensicherheit: Brauchen wir einen Datenbrief?

Geschrieben von K. Kopp am . Gepostet in Digital.

Dieser Tage diskutieren wieder alle über das Thema Datensicherheit, seit Sony den Diebstahl von Millionen von Datensätzen eingestehen musste. Datensicherheit ist die Verfügbarkeit, Unversehrtheit und Vertraulichkeit von Informationen durch IT-Sicherheitsvorkehrungen, um die ellenlange Definition des Begriffs aus § 2 Abs. 2 des Gesetzes über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSIG) etwas verkürzt darzustellen.

Wie kann man Seitenbetreiber dazu bringen, mehr für die Sicherheit ihrer Systeme zu tun, hat sich daher Markus Beckedahl vom Verein Digitale Gesellschaft e.V. gefragt (digitalrecht.net hat über die Vereinsgründung berichtet) und vier zentrale Forderungen aufgestellt:

► Beweislastumkehr bei Verletzung von Datensicherheitsbestimmungen

► Sammelklagen für Verbraucher und Verbraucherverbände

► Verschärfung der Anzeigepflicht bei Datendiebstahl

► Einführung eines Datenbriefes

Ob sich aus der Verletzung von Datensicherheitsbestimmungen eine Beweislastumkehr begründen lässt, wird vermutlich eher früher als später die Rechtsprechung anhand ihrer hierfür entwickelten Grundsätze, nämlich dass dem Anspruchsgegener die Unaufklärbarkeit von Umständen oder Ursachen in seiner Sphäre eher zuzumuten sein muss als dem Anspruchsteller, entscheiden.

Allemal sinnvoll ist aber die Forderung nach Einführung des Datenbriefs, einer Idee, die auch vom Chaos Computer Club (CCC) unterstützt wird. Hiernach soll jeder einen Überblick darüber erhalten, wer Daten über ihn verarbeitet und in welchem Umfang dies geschieht. Regelmäßig einen solchen Überblick zu erhalten, ist vor allem wichtig, weil der bisweilen nachsichtige Umgang mit Datenschutz und Datensicherheit auf Seiten der Anbieter die Kehrseite des häufig allzu freigiebigen Umgangs der Nutzer mit ihren Daten darstellt. Aus dieser Perspektive kann der Datenbrief dazu beitragen, die Sensibilität der Nutzer zu verbessern und zu einem bewussteren Umgang mit der Preisgabe persönlicher Informationen beizutragen.