Diese Woche veröffentliche die Plattform Golem.de – IT News für Profis einen Artikel, in dem sie berichtete, dass das BSI in 2010 eine umfangreiche Analyse der Verschlüsselungssoftware TrueCrypt durchgeführt hat. Die dabei gefundenen Ergebnisse zu verschiedenen Sicherheitslücken und Schwachstellen wurden nie veröffentlicht. Bis jetzt. Nur durch Zufall wurde jetzt über eine allgemeine Anfrage über das […]
BSI
BSI-Studie zu sicherheitskritischen Funktionen in Windows 10
Derzeit führt das BSI ein Projekt mit dem etwas sperrigen Namen „SiSyPHuS Win10“ durch. Nicht minder diffizil ist das Thema, mit dem sich das BSI hier beschäftigt. Es geht um die sicherheitskritischen Funktionen in Windows10 (Version 1607, 64 Bit) und den entsprechenden Härtungsempfehlungen. Ziel soll sein, zukünftig verlässliche Aussagen zum sicheren Einsatz von Windows10 machen […]
Emotet und kein Ende in Sicht
Die Schadsoftware Emotet hat ihren Schrecken nicht verloren. Ganz im Gegenteil scheint sie derzeit neue Verbreitung zu erfahren. Die Schadsoftware, vor der das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits Anfang Dezember 2018 gewarnt hat, hat in den vergangenen Tagen erhebliche Schäden in der Wirtschaft und bei Behörden verursacht. Die Masche von Emotet ist […]
Schutz in Zeiten von Emotet und Co.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Empfehlungen zur sicheren Konfiguration von Microsoft-Office-Produkten veröffentlicht. Nicht zuletzt aufgrund der Emotet-Welle (wir berichteten) gibt das BSI Interessierten eine konkrete Hilfestellung an die Hand, wie Standardanwendungen aus der Microsoft-Office-Familie sicherer konfiguriert werden können. Aufgrund der hohen Verbreitung von Microsoftprodukten sind diese bei Cyberkriminellen immer wieder gerne […]
PGP – ein „kurzes“ How-To
Das Protokoll OpenPGP, zum Absichern von elektronischer Kommunikation und Speicherdaten, ist eigentlich gar nicht so kompliziert. In diesem Artikel wird ein kurzer Einblick in die Welt von „Pretty Good Privacy“ (PGP) gegeben, sodass die Leichtigkeit der Benutzung und die kleinen Tücken, die es zu beachten gibt, nachvollzogen werden können. Abgeschlossen wird mit der Thematisierung mit […]
Kritische Schwachstelle bei Microsoft
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Schwachstelle im Remote-Desktop-Protocol-Dienst (RDP) einiger Windows-Versionen. Die Schwachstelle, die ohne Zutun des Nutzers ausnutzbar ist, ermöglicht einen Angriff mit Schadsoftware, die sich wurmartig ausbreitet. „Diese kritische Schwachstelle kann zu ähnlich verheerenden Angriffen führen, wie wir sie 2017 mit WannaCry erleben mussten.“, so der […]
Alles neu macht der Mai – TLS anstatt SSL und eTLS
In einer kürzlich vom Bundesamt für Sicherheit in der Informationstechnik herausgegebenen Veröffentlichung mit Ratschlägen zum Einsatz von Verschlüsselungsstandards, die aus mehreren Gründen nötig geworden sind, wird die ausschließliche Verwendung des TLS-Standards Version 1.2 und 1.3 empfohlen. Die Abkürzung TLS steht für Transport Layer Security, ein Verschlüsselungsprotokoll zur sicheren Datenübertragung in Datennetzwerken. Insbesondere die Vertraulichkeit, die […]
IT-Sicherheitsgesetz 2.0 – Massive Ausweitung
Am 29.3.2019 hat das Bundesinnenministerium einen Referentenentwurf zum geplanten IT-Sicherheitsgesetz 2.0 in die Ressortabstimmung eingebracht. Neue KRITIS-Sektoren und Bereiche Eine zentrale Änderung ist die Ausweitung der Unternehmen, die als Kritische Infrastruktur betrachtet werden. So wird der Bereich der Abfallentsorgung neu in die Liste der Sektoren aufgenommen. Die bisher schon bestehende Kategorie „Unternehmen mit hoher Bedeutung […]
Cyber-Sicherheits-Umfrage der Allianz für Cyber-Sicherheit
Sehr geehrte Leserinnen und Leser, heute möchten wir wieder unseren Blog dazu nutzen, unsere Leser dazu aufzufordern, an der jährlich stattfindenden anonymen Cyber-Sicherheits-Umfrage der Allianz für Cyber-Sicherheit teilzunehmen. Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. […]
Das BSI warnt zu Weihnachten: Wenn das Spielzeug im Kinderzimmer mitlauscht
Es ist Weihnachten und vor allem für die Kids bedeuten diese Tage: Es gibt viele, viele Geschenke. Das moderne Zeitalter ist mittlerweile auch im Kinderzimmer angekommen: Statt Holzfiguren oder Brettspielen gibt es mittlerweile elektronisches Spielzeug, das mit neuesten technischen Sensoren ausgestattet ist. Von der Puppe mit Mikrofon und Internetverbindung bis hin zum Roboter oder der […]
Automatisierung des Social Engineerings – Emotet
Schadsoftware bedroht im Prinzip jeden Rechner und ihre Entwicklung schreitet stetig voran. Die derzeit besonders in den Medien präsente Schadsoftware Emotet, die sogar in der Tagesschau Erwähnung fand, ist in der Lage, Phishing-Angriffe zu automatisieren und erreicht dabei Berichten zufolge ein beeindruckend hohes Maß an Plausibilität: So berichtet z.B. heise.de über durch Emotet ausgeführte Analysen […]
Schwachstelle Multifunktionsdrucker – per Fax ins Netz
Das BSI warnt aktuell vor einer Sicherheitslücke, mit der Angreifer über Multifunktionsdrucker in interne Netze eindringen könnten. Betroffen seien „All-in-One“-Drucker von HP, auf denen mehrere Schwachstellen das entfernte Ausführen von beliebigem Programmcode ermöglichen. Das Risiko wird vom BSI als „sehr hoch“ eingestuft. Häufig werden Multifunktionsdrucker in interne Netzwerke integriert und gleichzeitig auch als Faxgerät verwendet. […]
Tipps des BSI für einen sicheren Einsatz von Smart-TVs
Sportliche Großereignisse wie die anstehende Fußball-WM rufen immer auch die deutschen Sicherheitsbehörden auf den Plan. So empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktuell beim Kauf eines neuen Smart-TVs auf die IT-Sicherheit des Gerätes zu achten. Sportliche Großereignisse wie eine Fußball-WM oder Olympische Spiele führen häufig dazu, dass sich Menschen ein neues, größeres […]
CEO Fraud
CEO Fraud ist eine besondere Art des Social Engineerings, bei dem sich Kriminelle per E-Mail oder telefonisch als Geschäftsführer oder Manager ausgeben und die Überweisung von hohen Geldbeträgen veranlassen. „Das fällt doch auf!“, denken Sie? Nun, nicht immer. Wir berichteten bereits im Januar über einen an uns herangetragenen Fall (siehe hier). In diesem Fall ist […]
Risikoappetit
IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird modernisiert. Bevor ich auf die inhaltlichen Neuerungen eingehe, erlauben Sie mir eine kleine philosophische Betrachtung. Die Begrifflichkeiten, die sich das BSI im IT-Grundschutz über die Jahre ausgedacht hat, prägen ja eine ganze Generation von IT-Sicherheits-Experten. Sei es die „IT-Strukturanalyse“, die „Modellierung“ oder der berühmte „IT-Verbund“. […]