Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeHaupt-Feeds

BSI bringt neues Zertifizierungsverfahren für E-Mail-Anbieter

31. Oktober 2023 um 09:17

E-Mails zählen zu den am häufigsten genutzten digitalen Kommunikationsmitteln. E-Mail-Diensteanbieter sollten deshalb großen Wert auf Informationssicherheit legen, teilt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit. Zu diesem Zweck habe man ein neues Zertifizierungsverfahren aufgesetzt.

Das Zertifizierungsverfahren basiere auf der aktualisierten Technischen Richtlinie “Secure Email Transport”, TR 03108 (Version 2.0), und der dazugehörigen Testspezifikation, TR 03108-P. Die aktualisierte Version 2.0 baue auf den Anforderungen der Version 1.0.2 auf und ergänze diese, teilt das BSI mit. Der Reporting-Mechanismus “TLS Reporting” und das optionale Angebot der DANE-Alternative „MTA-STS“, sowie die Forderung nach den jeweils aktuellsten Kryptoverfahren zählten zu den wichtigsten Änderungen, heißt es weiter. Setze ein E-Mail-Diensteanbieter die Version 2.0 der TR 03108 um, erfülle er automatisch die Anforderungen der Version 1.0.2.

Daneben habe das BSI im August 2023 ein Prüflabor, die OpenSource Security GmbH, für die Zertifizierung von E-Mail-Providern nach dem neuen Verfahren anerkannt. Stelle das Prüflabor die Konformität zur TR 03108 fest, werde anschließend die Zertifizierung durch das BSI vorgenommen, teilt das Bundesamt mit. Die Gültigkeit des Zertifikats betrage fünf Jahre ab Erteilungsdatum.

Der Beitrag BSI bringt neues Zertifizierungsverfahren für E-Mail-Anbieter erschien zuerst auf Linux-Magazin.

BSI startet Codeanalyse von freien Videokonferenzsysteme und eID-Templates

17. August 2023 um 07:41

Im Rahmen eines Projektes zur Codeanalyse von Open Source Software hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Videokonferenzsysteme und eID-Templates untersucht.

Das Projekt „Codeanalyse von Open Source Software“ (CAOS) hat das BSI im Jahr 2021 gestartet. Aufgabe des Projekts ist die Schwachstellenanalyse mit dem Ziel, die Sicherheit von Open Source Software zu erhöhen. Das Projekt soll damit Entwickler bei der Erstellung sicherer Softwareanwendungen unterstützen und das Vertrauen in Open Source Software steigern.

Das BSI überprüfte nun gemeinsam mit der mgm security partners GmbH den Quellcode der Videokonferenzsysteme BigBlueButton und Jitsi auf mögliche Mängel, teilte das BSI mit. Kritische Schwachstellen habe man den betroffenen Entwicklern sofort mitgeteilt und diese hätten die gefundenen Sicherheitslücken schnell beheben können. Weitere Mängel seien im Rahmen eines Responsible-Disclosure-Verfahren adressiert worden. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.

Damit Bürgerinnen und Bürger die Online-Funktion des Personalausweises nutzen können, müssten Diensteanbieter ihr Angebot in die Infrastruktur elektronischer Identitäten (eID) integrieren. eID-Templates sollen die Authentifizierung bei WordPress- oder Nextcloud-Installationen sicher gestalten und sind Teil der geplanten Einführung der „eID-Card“. Auch diese Templates hat das BSI untersucht und die Ergebnisse veröffentlicht

Um die Sicherheit von Open Source Software in Zukunft zu erhöhen, seien weitere Codeanalysen geplant. Das Projekt zur „Codeanalyse von Open Source Software“ werde unter dem Namen CAOS 2.0 fortgeführt.

Der Beitrag BSI startet Codeanalyse von freien Videokonferenzsysteme und eID-Templates erschien zuerst auf Linux-Magazin.

BSI veröffentlicht Tel 2 der Cyber-Resilienz-Anforderungen

07. August 2023 um 08:59

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den zweiten Teil der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ veröffentlicht. Das Dokument definiert formelle und fachliche Vorgaben für Software-Stücklisten (SBOM).

Eine „Software Bill of Materials“ (SBOM) dokumentiert, welche kommerziellen und freien Software-Bestandteile in Software-Produkten enthalten sind. Sie macht Abhängigkeiten zu Komponenten Dritter transparent und hilft damit Herstellern, Sicherheitsforschenden sowie professionellen Anwenderinnen und Anwendern beim Monitoring von Schwachstellen.

Das BSI bietet Softwareherstellern mit der Technischen Richtlinie TR-03183 eine Empfehlung zur Gestaltung von SBOMs, die der Erhöhung der Sicherheit in der Software-Lieferkette (Software Supply Chain Security) dienen, teilt das Bundesamt mit.

Software-Stücklisten (SBOM) gehörten zu den zentralen Forderungen des europäischen Cyber Resilience Act (CRA). Dieser liege seit September 2022 als Entwurf der EU-Kommission vor und befindet sich derzeit im Gesetzgebungsverfahren.

Der Beitrag BSI veröffentlicht Tel 2 der Cyber-Resilienz-Anforderungen erschien zuerst auf Linux-Magazin.

KI: BSI warnt vor Prompt-Manipulation

21. Juli 2023 um 10:34

Das Bundesamt für Sicherheit in der Informationstechnik, BSI, warnt vor Indirect Prompt Injections bei KI-Sprachmodellen wie ChatGPT. Die Gefahr besteht, weil die Chatbots inzwischen unter anderem Internetseiten oder Dokumente automatisiert auswerten. Von dort könnten manipulierte Daten mit Anweisungen kommen, die der Chatbot dann ausführt.

Angreifende können die Daten in Quellen zu denen auch Programmierumgebungen und Mail-Postfächer zählen gezielt manipulieren und unerwünschte Anweisungen für LLMs platzieren, berichtet das BSI in seiner Warnmeldung. Greifen LLMs auf diese Daten zu, werden die unerwünschten Befehle unter Umständen ausgeführt. Angreifende können dadurch das Verhalten der LLMs gezielt manipulieren, schreibt das BSI. Die potentiell schadhaften Befehle können kodiert oder versteckt sein und sind für Anwenderinnen sowie Anwender unter Umständen nicht erkennbar, heißt es weiter.

Als Beispiele nennt das BSI etwa, in einfachen Fällen, ein Text auf einer Webseite mit Schriftgröße Null, den die KI liest, der menschliche Nutzer aber nicht sieht.  Auch ein versteckter Text im Transkript eines Videos könnte einen solchen Befehl enthalten. sein. Anweisungen zu kodieren, sodass diese von LLMs weiterhin problemlos interpretiert werden, von Menschen jedoch nur schwer lesbar sind gelinge etwa auch durch ASCII-Code oder ähnlichem. Eine weitere Möglichkeit sei, Anfragen von Chatbots durch den Webserver aufgrund anderer Aufrufparameter mit anderen Inhalten zu beliefert als sie menschliche Nutzer durch die Browseranfragen erhalten.

Der Beitrag KI: BSI warnt vor Prompt-Manipulation erschien zuerst auf Linux-Magazin.

❌
❌