Wie wir schon vor kurzem berichtet haben, hat der Telegram Messenger wenige Chancen weiterhin in Russland zugelassen zu sein. Am Freitag, 13. April 2018, setze das Taganski Gericht von Moskau die Forderung der Regulierungsbehörde für Telekommunikation und Datenschutz, Roskomnadzor den Zugang für Telegram Anwendungen zu Informationsressourcen auf dem Territorium der Russischen Föderation zu begrenzen. Das […]
mb-datenschutzcert

Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland
Viele Unternehmen in der EU betreiben Webseiten oder stellen Dienstleistungen im Internet zur Verfügung, welche die Verarbeitung von personenbezogenen Daten umfassen. Selbst für Unternehmen aus Drittstaaten gelten in den meisten Fällen aufgrund des Marktortprinzips für diese Datenverarbeitungen die Vorgaben der DSGVO. Eine große Rolle spielt in diesem Zusammenhang die Übermittlung von Daten in Drittländer außerhalb […]
Alisha Gühr, Alexey Testsov | | Datenschutz-Grundverordnung, IT-Sicherheit | Datenübermittlung, Drittland, Drittländer, Marktortprinzip

What’s new in Microsoft Edge? Heute (und bereits seit einigen Tagen) eine kritische Zero-Day Lücke.
Die Forschungsgruppe von Google namens „Projekt-Zero“ hat eine kritische Zero-Day Sicherheitslücke im Microsoft Edge Browser entdeckt. Welche, auch nach einer 104-tägigen Karenzphase noch nicht mit einem Update versehen werden kann, da, so Microsoft (siehe den Kommentar 1), der Umfang der Lücke zu komplex sei, um diese in so kurzer Zeit zu beheben. Angesichts dieser Sicherheitslücke […]
Christopher Schael | | IT-Sicherheit | Microsoft Edge, Zero-Day Lücke

Geschichte der Quellen
Wie wir im Artikel „Durchblick im Dschungel von Verschlüsselung und Schlüssellängen – was ist der Stand der Technik?“ vom 18.12.2017 beschrieben haben, bietet die Seite keylength.com eine recht aktuelle Übersicht über Schlüssellängen. Ein etwas tieferer Blick in die Quellenangaben der Seite enthüllt zum einen das Kürzel „ECRYPT“ und zum anderen die Autoren Lenstra und Verheul. […]
Christopher Schael | | IT-Sicherheit | ECRYPT, Kryptographie, Schlüssellängen

Nach dem Firefox nun auch der Flash Player von Adobe – Kritische Zero Day Lücke
Jede Desktoplösung ist von dieser Schwachstelle betroffen, ein Update ist aber in Sicht: „Adobe will address this vulnerability in a release planned for the week of February 5.“ [1] Im Vergleich zur Firefox Lücke muss der Anwender hier selber „aktiv“ werden, damit er erfolgreich angegriffen werden kann. Dem Angriff geht eine Übertragung eines Office-Dokumentes voraus, […]

Sicherheitslücke bei Firefox bis Version 58.0.0
Wer den Firefox von Mozilla für Desktop-Computer nutzt, sollte dringend das außerplanmäßige Sicherheits-Update 58.0.1 installieren. Der Grund für die Veröffentlichung dieses Updates ist eine Sicherheitslücke, die entsprechend eingerichteten Webseiten erlaubt, beliebigen Code auf dem Anwendercomputer auszuführen. [1] Das Risiko dieser Schwachstelle ist als sehr hoch einzustufen. Die Auswirkung der Lücke besteht darin, dass ein Angreifer […]
Christopher Schael | | IT-Sicherheit | Browser, Firefox, Sicherheitslücke

AUDITOR – Entwicklung einer EU-weit anwendbaren Zertifizierung für Cloud-Dienste
Der Einsatz von Cloud-Diensten eröffnet neue Möglichkeiten der effizienten Ressourcennutzung. Insbesondere kleine und mittelständische Unternehmen profitieren von ausgelagerten IT-Strukturen. Kurz gesagt, der Cloud-Markt boomt. Die damit verbundenen Risiken, wie der mögliche Kontrollverlust, mangelnde Transparenz oder IT-Sicherheitsfragen, beschäftigen jedoch sowohl Anbieter als auch Nutzer von Cloud-Diensten. Die Anforderungen der Datenschutzgrundverordnung (DSGVO) und die implizierten Verpflichtungen für […]
Alisha Gühr | | Datenschutz-Grundverordnung, IT-Sicherheit | AUDITOR, Cloud, Cloud-Anbieter, Cloud-Lösung, Zertifizierung

Durchblick im Dschungel von Verschlüsselung und Schlüssellängen – was ist der Stand der Technik?
Unternehmen und datenverarbeitende Stellen müssen sich stets Gedanken machen, wie sie die drei Ziele der IT-Sicherheit (Verfügbarkeit, Vertraulichkeit und Integrität) gewährleisten. Insbesondere zur Gewährleistung des Schutzziels der Vertraulichkeit kommt schnell das Thema Verschlüsselung ins Spiel. Doch Verschlüsselung ist nicht gleich Verschlüsselung und oftmals stellt sich die Frage: Welche Verschlüsselungsmethode entspricht eigentlich dem Stand der Technik? […]
Christopher Schael | | IT-Sicherheit | Kryptographie, Schlüssellängen, Verschlüsselung

Die Modernisierung des IT-Grundschutzes
Rund 100 verschiedene Bausteine, mehr als 1.600 Empfehlungen und umzusetzende Maßnahmen auf über 5.000 Seiten. Der bis dato gültige IT-Grundschutzkatalog in der 15. Ergänzungslieferung (EL) 2016 scheint nicht nur inhaltlich stellenweise in die Jahre gekommen zu sein, sondern offenbart sich dem Anwender ebenso in einer Komplexität, die kaum zu bändigen scheint. Doch was ist der […]
Aiko Bohmfalk | | Allgemein, IT-Sicherheit | IT-Grundschutz-Kompendium, IT-Grundschutzkatalog

IT-Sicherheit macht fit
Wer sich kurz nach der letzten Jahrtausendwende mit der Einführung der sogenannten DRGs (Diagnostic Related Groups) im Gesundheitswesen und insbesondere in Krankenhäusern beschäftigte, konnte beobachten, wie sich die Einführung von Fallkostenpauschalen negativ auf die gesundheitliche Versorgung auswirkte. Nahezu buchstäblich „um´s Verrecken“ taten Krankenhäuser alles, um die durchschnittliche Verweildauer von Patienten zu reduzieren. Umso kürzer der […]
Kai Osterhage | | Gesundheitsdatenschutz, IT-Sicherheit, Smart-Meter / Energie | IT-Sicherheitsgesetz, KRITIS

IT-Sicherheitsgesetz: Quo Vadis?
Mit dem IT-Sicherheitsgesetz und dem IT-Sicherheitskatalog sind 2015 zwei gesetzliche Vorgaben für Kritische Infrastrukturen (KRITIS) vorgestellt worden, die nicht nur ähnlich heißen, sondern auch ähnliche Inhalte aufweisen, sich aber dennoch auch grundsätzlich unterscheiden. Aber der Reihe nach: Das IT-Sicherheitsgesetz (IT-SiG) ändert das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) und […]
Dr. Sönke Maseberg, Alexey Testsov | | Gesetzesänderungen, Smart-Meter / Energie |

Risikoappetit
IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird modernisiert. Bevor ich auf die inhaltlichen Neuerungen eingehe, erlauben Sie mir eine kleine philosophische Betrachtung. Die Begrifflichkeiten, die sich das BSI im IT-Grundschutz über die Jahre ausgedacht hat, prägen ja eine ganze Generation von IT-Sicherheits-Experten. Sei es die „IT-Strukturanalyse“, die „Modellierung“ oder der berühmte „IT-Verbund“. […]
Dr. Sönke Maseberg | | IT-Sicherheit | BSI, BSI-Standard 2002, it-grundschutz

Zertifizierungen gem. EU-DSGVO
Heute werfen wir noch einmal einen Blick auf die Zertifizierungsbestimmungen der EU-Datenschutzgrundverordnung (vgl. unseren früheren Beitrag). Verantwortliche und Auftragsverarbeiter Zum 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung in Kraft. Im Hinblick auf das Thema Zertifizierungen stehen in der DSGVO die für die Verarbeitung von personenbezogenen Daten Verantwortlichen und Auftragsverarbeiter im Fokus. Neuerungen im Bereich der Verarbeitung personenbezogener […]
Dr. Sönke Maseberg | | Datenschutz-Grundverordnung | DSGVO, Zertifizierung

Erste Zertifizierungsstelle gem. IT-Sicherheitskatalog akkreditiert
Netzbetreibern steht seit gestern (08.02.2017) eine Zertifizierungsstelle gem. IT-Sicherheitskatalog zur Verfügung. Die datenschutz cert GmbH ist als erste Zertifizierungsstelle von der DAkkS für die beiden Sparten Strom und Gas akkreditiert worden. Rückblick Mit dem „IT-Sicherheitskatalog gemäß §11 Abs. 1a Energiewirtschaftsgesetz“ hat die Bundesnetzagentur im August 2015 die Netzbetreiber für die Bereiche Strom und Gas verpflichtet, […]
Dr. Sönke Maseberg | | Smart-Meter / Energie | akkreditierte Zertifizierungsstelle, Gas, IT-Sicherheitskatalog, Netzbetreiber, Strom, Zertifizierung

Siemens Healthcare erhält Datenschutzgütesiegel für teamplay
Als erste Onlineplattform auf der Basis einer Microsoft Azure Cloud erhält „teamplay“ sowohl das europäische Datenschutzsiegel EuroPriSe als auch das Datenschutzsiegel des Unabhängigen Landeszentrums für Datenschutz (ULD). Beide Gütesiegel werden vergeben, wenn das geprüfte IT-Produkt sich durch besondere Datenschutzmaßnahmen auszeichnet, welche über gesetzliche Standards hinausgehen. Hierfür ist zunächst eine Prüfung durch Fachexperten anhand eines Kriterienkatalogs […]
Dr. Irene Karper | | Kundendatenschutz | Microsoft Azure Cloud, Siemens