Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Cybersicherheitsempfehlung für den sicheren Einsatz von Edge und Fog Computing veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Betreiber von Microsoft Exchange Servern dazu aufgerufen, ihre Systeme zu patchen und upzudaten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Mindeststandard für Webbrowser in der neuen Version 3.0 veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neun Steuererklärungsapps untersucht und dabei nach eigenen Angaben 97 Sicherheitsmängel Apps identifiziert.

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat mit einer Sicherheitswarnung auf den Angriff gegen AnyDesk, Anbieter von Software für Fernzugriff und Screensharing reagiert.

Das BSI hat zusammen mit der französischen Behörde für IT-Sicherheit, ANSSI, eine Publikation zum Thema "Remote Identity Proofing" veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Mindeststandard zum HV-Benchmark kompakt 5.0 in der neuen Version 2.0 veröffentlicht.

E-Mails zählen zu den am häufigsten genutzten digitalen Kommunikationsmitteln. E-Mail-Diensteanbieter sollten deshalb großen Wert auf Informationssicherheit legen, teilt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit. Zu diesem Zweck habe man ein neues Zertifizierungsverfahren aufgesetzt.

Das Zertifizierungsverfahren basiere auf der aktualisierten Technischen Richtlinie “Secure Email Transport”, TR 03108 (Version 2.0), und der dazugehörigen Testspezifikation, TR 03108-P. Die aktualisierte Version 2.0 baue auf den Anforderungen der Version 1.0.2 auf und ergänze diese, teilt das BSI mit. Der Reporting-Mechanismus “TLS Reporting” und das optionale Angebot der DANE-Alternative „MTA-STS“, sowie die Forderung nach den jeweils aktuellsten Kryptoverfahren zählten zu den wichtigsten Änderungen, heißt es weiter. Setze ein E-Mail-Diensteanbieter die Version 2.0 der TR 03108 um, erfülle er automatisch die Anforderungen der Version 1.0.2.

Daneben habe das BSI im August 2023 ein Prüflabor, die OpenSource Security GmbH, für die Zertifizierung von E-Mail-Providern nach dem neuen Verfahren anerkannt. Stelle das Prüflabor die Konformität zur TR 03108 fest, werde anschließend die Zertifizierung durch das BSI vorgenommen, teilt das Bundesamt mit. Die Gültigkeit des Zertifikats betrage fünf Jahre ab Erteilungsdatum.

Der Beitrag BSI bringt neues Zertifizierungsverfahren für E-Mail-Anbieter erschien zuerst auf Linux-Magazin.

Im Rahmen eines Projektes zur Codeanalyse von Open Source Software hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Videokonferenzsysteme und eID-Templates untersucht.

Das Projekt „Codeanalyse von Open Source Software“ (CAOS) hat das BSI im Jahr 2021 gestartet. Aufgabe des Projekts ist die Schwachstellenanalyse mit dem Ziel, die Sicherheit von Open Source Software zu erhöhen. Das Projekt soll damit Entwickler bei der Erstellung sicherer Softwareanwendungen unterstützen und das Vertrauen in Open Source Software steigern.

Das BSI überprüfte nun gemeinsam mit der mgm security partners GmbH den Quellcode der Videokonferenzsysteme BigBlueButton und Jitsi auf mögliche Mängel, teilte das BSI mit. Kritische Schwachstellen habe man den betroffenen Entwicklern sofort mitgeteilt und diese hätten die gefundenen Sicherheitslücken schnell beheben können. Weitere Mängel seien im Rahmen eines Responsible-Disclosure-Verfahren adressiert worden. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.

Damit Bürgerinnen und Bürger die Online-Funktion des Personalausweises nutzen können, müssten Diensteanbieter ihr Angebot in die Infrastruktur elektronischer Identitäten (eID) integrieren. eID-Templates sollen die Authentifizierung bei WordPress- oder Nextcloud-Installationen sicher gestalten und sind Teil der geplanten Einführung der „eID-Card“. Auch diese Templates hat das BSI untersucht und die Ergebnisse veröffentlicht

Um die Sicherheit von Open Source Software in Zukunft zu erhöhen, seien weitere Codeanalysen geplant. Das Projekt zur „Codeanalyse von Open Source Software“ werde unter dem Namen CAOS 2.0 fortgeführt.

Der Beitrag BSI startet Codeanalyse von freien Videokonferenzsysteme und eID-Templates erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den zweiten Teil der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ veröffentlicht. Das Dokument definiert formelle und fachliche Vorgaben für Software-Stücklisten (SBOM).

Eine „Software Bill of Materials“ (SBOM) dokumentiert, welche kommerziellen und freien Software-Bestandteile in Software-Produkten enthalten sind. Sie macht Abhängigkeiten zu Komponenten Dritter transparent und hilft damit Herstellern, Sicherheitsforschenden sowie professionellen Anwenderinnen und Anwendern beim Monitoring von Schwachstellen.

Das BSI bietet Softwareherstellern mit der Technischen Richtlinie TR-03183 eine Empfehlung zur Gestaltung von SBOMs, die der Erhöhung der Sicherheit in der Software-Lieferkette (Software Supply Chain Security) dienen, teilt das Bundesamt mit.

Software-Stücklisten (SBOM) gehörten zu den zentralen Forderungen des europäischen Cyber Resilience Act (CRA). Dieser liege seit September 2022 als Entwurf der EU-Kommission vor und befindet sich derzeit im Gesetzgebungsverfahren.

Der Beitrag BSI veröffentlicht Tel 2 der Cyber-Resilienz-Anforderungen erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik, BSI, warnt vor Indirect Prompt Injections bei KI-Sprachmodellen wie ChatGPT. Die Gefahr besteht, weil die Chatbots inzwischen unter anderem Internetseiten oder Dokumente automatisiert auswerten. Von dort könnten manipulierte Daten mit Anweisungen kommen, die der Chatbot dann ausführt.

Angreifende können die Daten in Quellen zu denen auch Programmierumgebungen und Mail-Postfächer zählen gezielt manipulieren und unerwünschte Anweisungen für LLMs platzieren, berichtet das BSI in seiner Warnmeldung. Greifen LLMs auf diese Daten zu, werden die unerwünschten Befehle unter Umständen ausgeführt. Angreifende können dadurch das Verhalten der LLMs gezielt manipulieren, schreibt das BSI. Die potentiell schadhaften Befehle können kodiert oder versteckt sein und sind für Anwenderinnen sowie Anwender unter Umständen nicht erkennbar, heißt es weiter.

Als Beispiele nennt das BSI etwa, in einfachen Fällen, ein Text auf einer Webseite mit Schriftgröße Null, den die KI liest, der menschliche Nutzer aber nicht sieht.  Auch ein versteckter Text im Transkript eines Videos könnte einen solchen Befehl enthalten. sein. Anweisungen zu kodieren, sodass diese von LLMs weiterhin problemlos interpretiert werden, von Menschen jedoch nur schwer lesbar sind gelinge etwa auch durch ASCII-Code oder ähnlichem. Eine weitere Möglichkeit sei, Anfragen von Chatbots durch den Webserver aufgrund anderer Aufrufparameter mit anderen Inhalten zu beliefert als sie menschliche Nutzer durch die Browseranfragen erhalten.

Der Beitrag KI: BSI warnt vor Prompt-Manipulation erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neue Versionen der Technischen Richtlinien für Technische Sicherheitseinrichtungen elektronischer Aufzeichnungssysteme veröffentlicht.

Ab 2024 werden demnach gemäß Kassensicherungsverordnung auch Taxis und Funkmietwagen unter den Anwendungsbereich der BSI-Vorgaben fallen, teilt das Bundesamt mit.

Dass im Zuge der Digitalisierung Geschäftsvorfälle heutzutage in der Regel mit Hilfe elektronischer Aufzeichnungssysteme wie etwa elektronischer Kassensysteme erfasst werden, berge die Gefahr der nachträglichen Manipulationen an solchen Aufzeichnungen, teilt das BSI mit. Um dem entgegenzuwirken schütze man seit 2020 elektronische Aufzeichnungssysteme obligatorisch mit einer zertifizierten Technischen Sicherheitseinrichtung. Nach der erfolgreichen Einführung der Technischen Sicherheitseinrichtung für Kassensysteme habe man den Anwendungsbereich der Kassensicherungsverordnung nun erweitert. Er beziehe nun auch Taxis und Funkmietwagen ein, berichtet das BSI.

Die neuen Versionen der Technischen Richtlinien hätten auch zum Ziel, die Integration des neuen Anwendungsbereichs der Taxameter und Wegstreckenzähler zu erleichtern, die Zertifizierung Technischer Sicherheitseinrichtungen zu optimieren und die Prüfbarkeit des gesetzeskonformen Einsatzes von Technischen Sicherheitseinrichtungen durch Finanzbehörden zu verbessern. Zudem soll der Einsatz und Austausch von Technischer Sicherheitseinrichtungen verschiedener Hersteller erleichtert werden, heißt es vom BSI.

Der Beitrag BSI: Sichere elektronischer Aufzeichnungssysteme für Taxis erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine erste Version des TLS-Testtool „TaSK – Testtool für die automatisierte Prüfung der Sicherheit von Kommunikationsprotokollen“ veröffentlicht.

Das Werkzeug prüfe Konfigurationen der Transport Layer Security (TLS) gemäß der im April 2023 aktualisierten Testspezifikation TR-03116-TS für IT-Projekte des Bundes, teilt das BSI mit.

Nach der Veröffentlichung einer Beta-Version im Januar seien in der neuen Version weitere Funktionen hinzugekommen.  Die bereitgestellte Version funktioniere für TLS-Server, TLS-Clients sowie Fachanwendungen wie eID-Clients, eID-Server oder auch E-Mail-Server.

Das BSI pflege das Testtool fortlaufend und entwickelt es weiter. Daher sei das BSI weiter an Feedback aus der OpenSource-Community interessiert. Feedback ist über den Pull Request von TaSK  in GitHub möglich.

Der Beitrag BSI veröffentlicht TLS-Testtool „TaSK  1.0.1 erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit sechs deutschen Modellkommunen das Pilotprojekt „Weg in die Basis-Absicherung“ (WiBA) gestartet. Die ausgewählten Kommunen sollen über das Projekt einen Einstieg in den IT-Grundschutz angeboten bekommen.

Diese Projektteilnehmer seien gemeinsam mit dem Deutschen Städtetag, dem Deutschen Landkreistag sowie dem Deutschen Städte- und Gemeindebund aus bundesweit über 130 Bewerbungen ausgewählt worden und sollen einen Querschnitt der kommunalen Landschaft abbilden: Zwei Gemeinden, zwei mittelgroße Städte, eine größere Stadt sowie ein Landkreis. Balgheim, Rees, Markkleeberg, Schwerin und Regen zählen dazu

Die in den vergangenen Monaten erfolgten IT-Angriffe auf Kommunen mit teils gravierenden Folgen seien Anlass für das WiBA-Projekt . „Insbesondere für kleinere Kommunen ist die Umsetzung der IT-Grundschutz-Standards des BSI zu komplex“, sagt BSI-Vizepräsident Gerhard Schabhüser. „Für diese Kommunen bieten wir mit WiBA eine neue Einstiegsebene in den IT-Grundschutz an: Wir versorgen sie mit Checklisten, Prüffragen und Hilfsmitteln, mit denen sie die dringlichsten Maßnahmen selbst identifizieren und umsetzen können.“

Abgedeckt seien damit 19 für die IT-Sicherheit relevante Bereiche, etwa IT-Administration, Serversysteme, Bürosoftware, mobile Endgeräte, Arbeit außerhalb von Institutionen (Home-Office), Backups, Personal und Organisation oder Vorbereitung für IT-Sicherheitsvorfälle. Das neue Einstiegslevel ermögliche den teilnehmenden Kommunen ein Schutzniveau, das sie im Anschluss nahtlos zum IT Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ weiterentwickeln könnten, teilt das BSI mit.

Der Beitrag BSI startet Pilotprojekt zur Absicherung von Kommunen erschien zuerst auf Linux-Magazin.

Cyber-Sicherheit sollte zum festen Bestandteil des Risikomanagements in Unternehmen werden, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI).  Im Handbuch „Management von Cyber-Risiken“ hat das BSI einen Leitfaden für Cyber-Sicherheit zusammengestellt.

Das Handbuch sei in Zusammenarbeit mit der Internet Security Alliance (ISA) und deutschen Expertinnen und Experten aus der Wirtschaft für die deutsche IT-Sicherheitslandschaft angepasst worden, teilt das BSI mit. Es erhalte nun ein weitreichendes Update und widme sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtige und so die Resilienz der Unternehmen erhöhe.

Das Thema Cyber-Sicherheit wurde im Handbuch bislang an fünf Prinzipien diskutiert. Mit der Neuauflage sei erstmals ein neues, sechstes Prinzip zum Schutz ganzer Branchen eingeführt. Dieses sei zuvor von der ISA/NACD mit dem World Economic Forum entwickelt worden, so das BSI.

Das Handbuch nebst Toolkit ist zum Download verfügbar. Die sechs Prinzipien werden auch anhand von Videos erläutert.

Die Prinzipien heißen:

• Cyber-Sicherheit nicht nur als IT-Thema, sondern als Baustein des unternehmensweiten Risikomanagements verstehen.
• Rechtliche Auswirkungen von Cyber-Risiken verstehen und genau untersuchen.
• Zugang zu Cyber-Sicherheitsexpertise sowie regelmäßigen Austausch sicherstellen
• Umsetzung geeigneter Rahmenbedingungen sowie Ressourcen für das Cyber-Risikomanagement sicherstellen
• Risikoanalyse erstellen sowie Definition von Risikobereitschaft in Abhängigkeit von Geschäftszielen und -strategien formulieren
• Unternehmensweite Zusammenarbeit und den Austausch von Best-Practice fördern

Der Beitrag BSI aktualisiert Handbuch „Management von Cyber-Risiken“ erschien zuerst auf Linux-Magazin.

Über Onlineshops wird eine Vielzahl sensibler Daten von Verbraucherinnen und Verbrauchern verarbeitet. Im Rahmen einer nun veröffentlichten Studie hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Software-Produkte für Onlineshops auf Schwachstellen untersucht und fand dabei insgesamt 78 Sicherheitslücken.

Da neben persönlichen Kontaktdaten in vielen Fällen auch Bankverbindungen, Kreditkarten- und weitere Zahlungsdaten über Online-Shops verarbeitet werden, seien diese längst im Fokus von Cyber-Kriminellen, teilt das BSI mit.

Die bei der Studie entdeckten Sicherheitslücken hätten teilweise gravierende Auswirkungen auf das IT-Sicherheitsniveau von Daten der Verbraucher, so das BSI. Fast alle untersuchten Produkte hätten eine unzureichende Passwortrichtlinie aufgewiesen. In sieben von zehn Shop-Softwareprodukten habe man JavaScript-Bibliotheken identifiziert, die verwundbar gegenüber bekannten Schwachstellen seien. In der Hälfte der untersuchten Produkte stecke Software, die das offizielle End-of-Life-Datum überschritten habe und dementsprechend keine Sicherheits-Updates mehr erhalte.

Die Studie IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Onlineshopping-Plattformen (PDF) ist online abrufbar.

Der Beitrag BSI-Studie: Software-Produkte für Onlineshops sind unsicher erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Beta-Version des TLS-Testtool “TaSK” veröffentlicht. Das im Auftrag des BSI entwickelte Werkzeug prüfe Konfigurationen der Transport Layer Security (TLS) gemäß der Testspezifikation TR 03116-TS für IT-Projekte des Bundes, teilt das Amt.

Die nun veröffentlichte Beta-Version von TaSK sei funktionsfähig für TLS-Server, TLS-Clients und eID-Clients. In einer späteren Version sollen noch eID-Server, Smart Meter Gateway und Email-Server integriert werden. Das zweite Quartal ist als Release-Termin geplant.

Das Testfall-Tool verfüge über einen Berichtsgenerator und einen Validierungsmechanismus für die Eingabedokumente. Es werde über eine Befehlszeilenschnittstelle gestartet und könne lokal oder über eine REST-API ausgeführt werden. Die Konfiguration erfolge über XML-Dateien.

Das BSI bittet nun um Rückmeldungen aus der Community. Die könnten via Pull Request in GitHub oder an die Mail-Adresse eid@bsi.bund.de eingereicht werden. TLS werde in allen Bereichen der Internetkommunikation genutzt, etwa auch bei der Online-Ausweisfunktion des Personalausweises für eGovernment-Anwendungen.

In der zugehörigen Testspezifikation seien generische Testfälle umgesetzt. Darin gibt es aufbauende anwendungsspezifische Profile, welche relevante Testfälle für den konkreten Anwendungsfall definieren.

Der Beitrag BSI lässt TLS-Testtool TaSK testen erschien zuerst auf Linux-Magazin.

Das internationale Konsortium für Open Source und Standards “OASIS Open” hat das Common Security Advisory Framework (CSAF) offiziell als Standard angenommen, teilt das Bundeammt für Sicherheit in der Informationstechnik (BSI) mit. Damit erreiche Version 2.0 des CSAF die höchstmögliche Form der Ratifizierung.

Das Common Security Advisory Framework (CSAF) ist ein Format für maschinen-verarbeitbare Security Advisories und deren Verteilung. Es soll den menschlichen Aufwand für das Auffinden und Abrufen aktueller Sicherheitsinformationen von Softwareprodukten überflüssig machen und den Abgleich gegen die eigene Inventardatenbank auf Betreiberseite ebenfalls weitestgehend automatisieren, heißt es vom BSI weiter.

Obwohl das BSI und eine Reihe internationaler und nationaler Hersteller CSAF-Dokumente bereitstellen würden, fehlen noch viele Hersteller, teilt das BSI weiter mit. Diese könnten oft nur durch Nachfragen ihrer Kunden gewonnen werden. Daher ermutige das BSI Nutzer mit Herstellern in den Dialog zu treten und Security Advisories in CSAF einzufordern.

Der Beitrag OASIS Open: Common Security Advisory Framework wird Standard erschien zuerst auf Linux-Magazin.

Eine Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Polizei kommt zum Ergebnis, dass Kenntnisse zum Schutz vor Cyber-Angriffen bei den Deutschen zwar vorhanden sind, jedoch unzureichend umgesetzt werden.

Das hat die inzwischen vierte gemeinsame Bürgerbefragung des BSI und der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK). Die Ergebnisse der Studie seien im „Digitalbarometer 2022“ zusammengefasst.

Die Studie kommt zum Schluss, dass die Bedeutung wichtiger Schutzmaßnahmen den Befragten nicht immer klar sei. So nutze nur knapp ein Drittel (34 Prozent) die Möglichkeit, Updates automatisch einzuspielen. Dabei sei mehr als jeder Vierte schon Opfer von Cyber-Kriminalität geworden (29 Prozent). Vier von zehn Betroffenen (39 Prozent) erlebten eine solche Straftat mindestens einmal in den vergangenen zwölf Monaten. Insgesamt haben im vergangenen Jahr acht von zehn Betroffenen (79 Prozent) durch Cyber-Angriffe einen Schaden hinnehmen müssen. Den größten finanziellen Schaden verursachten laut der Studie Betrugsmaschen, durchschnittlich hätten Betroffene durch sie 674 Euro verloren.

Das Digitalbarometer 2022 wurde in diesem Jahr vom 20. April bis zum 10. Mai erstellt und dabei insgesamt 2000 Personen zwischen 16 und 69 Jahren bundesweit befragt.

Der Beitrag Digitalbarometer 2022: Leichtes Spiel für Kriminelle erschien zuerst auf Linux-Magazin.

Im BSI-Lagebericht 2022 zur IT-Sicherheit in Deutschland wird die Gefährdungslage im Cyber-Raum als so hoch wie nie zuvor beschrieben. Im Berichtszeitraum von Juni 2021 bis Mai 2022 habe sich die bereits zuvor angespannte Lage weiter zugespitzt, teilt das BSI mit.

Als Gründe für die hohe Bedrohungslage nennt das Bundesamt für Sicherheit in der Informationstechnik anhaltende Aktivitäten im Bereich der Cyber-Kriminalität, Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine und in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten.

Ransomware-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gelten im Bericht als größte Bedrohung im Cyber-Bereich. Im Berichtszeitraum sei es zu mehreren Ransomware-Vorfällen gekommen bei denen Kommunen in Deutschland angegriffen wurden seien, teilt das BSI mit. Es sei dabei zum ersten Mal in der deutschen Geschichte in Folge eines Cyber-Angriffs von der betroffenen Kommune der Katastrophenfall ausgerufen worden.

Der Bericht zur Lage der IT-Sicherheit in Deutschland 2022 steht online zur Verfügung.

Der Beitrag BSI: Lage der IT-Sicherheit in Deutschland 2022 spitzt sich zu erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Mindeststandard für Mobile Device Management (MDM) in der neuen Version 2.0 veröffentlicht. Der MDM trifft Vorgaben zur Integration und zentralen Verwaltung mobiler Endgeräte in der IT-Infrastruktur der Bundesverwaltung.

Wie das BSI mitteilt, wurde die Struktur des neuen Mindeststandards von Grund auf neugestaltet. Das sei daran zu erkennen, dass die : Sicherheitsanforderungen nun nach Themen anstatt wie bisher nach Adressat sortiert seien. Außerdem habe man die Sicherheitsanforderungen stärker mit den Bausteinen des IT-Grundschutz-Kompendiums verzahnt. Viele Sicherheitsanforderungen seien zudem aktualisiert und mit dem jüngst veröffentlichten Common-Criteria-Schutzprofil für Mobile Device Management – Trusted Server abgeglichen worden. Zu den Themen Strategie, Arbeitsweise des MDMs, Vertrauenswürdige Kommunikation, Sichere Konfiguration der mobilen Endgeräte und Betriebsprozesse seien zudem neue Sicherheitsanforderungen erarbeitet worden.

Der Mindeststandard des BSI für Mobile Device Management steht zum Download (PDF).

Der Beitrag BSI veröffentlicht Mobile Device Management 2.0 erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Schwachstelle in dem Produktset Funktürschlossantrieb HomeTec Pro CFA3000 und der zugehörigen Funkfernbedienung Wireless remote control CFF3000. Das Unternehmen habe die Schwachstelle gegenüber dem BSI bestätigt, heißt es in der Mitteilung der Behörde.

Abus habe zudem mitgeteilt, dass die Schwachstelle im HomeTec Pro CFA3000 bei dieser Produktgeneration nicht behoben werden könne, weil keine Updatemöglichkeit für den Kunden bestehe, schreibt das BSI weiter (PDF).

Angreifende könnten durch diese Schwachstelle die Ver- und Entriegelung des Produkts aus dem näheren räumlichen Umfeld vornehmen und sich Zugang zu Gebäuden, Büroräumen oder Wohnungen verschaffen, warnt das BSI.

Nach Angaben des Unternehmens Abus handle es sich bei dem Produkt aber um ein Auslaufmodell. Seit März 2021 sei eine Nachfolgegeneration auf dem Markt. Da dieses Nachfolgemodell nach Erkenntnissen des BSI sich aber weder optisch noch durch seine Bezeichnung substantiell von den betroffenen Geräten unterscheide, sei das Kauf- oder Herstellungsdatum eines entsprechenden Geräts kein sicherer Indikator dafür, ob es von der Schwachstelle betroffen sei, lässt das BSI wissen. Identifikationsmöglichkeiten des Nachfolgemodells sollen laut Abus ein Bluetooth-Logo auf dem Produkt oder eine physische QR-Code Karte sei, die beiliege.

Das BSI rät dazu, das HomeTec Pro CFA3000 gegen Alternativen auszutauschen, sollte nicht zweifelsfrei feststehen, dass es sich um die vom Bug nicht betroffene Nachfolgegeneration handelt.

Der Beitrag BSI warnt: Kritische Lücke in Funktürschloss von Abus erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Zertifizierungsprogramm für Komponenten der 5G-Telekommunikationsnetze gestartet. Das Programm richtet sich vorrangig an Hersteller von 5G-Mobilfunkkomponenten.

Dem Zertifizierungsprogramm liegt laut BSI das Schema “Network Equipment Security Assurance Scheme Cybersecurity Certification Scheme – German Implementation” (NESAS CCS-GI) zugrunde. Hersteller von 5G-Mobilfunkkomponenten sollen damit die IT-Sicherheitseigenschaften ihrer 5G-Produkte unabhängig überprüfen lassen können um so der im Telekommunikationsgesetz (TKG) enthaltenen Zertifizierungspflicht für kritische Komponenten in 5G-Netzen zu entsprechen.

Das neue NESAS CCS-GI ergänze die schon bestehende Programme des BSI mit der Zertifizierung nach Common Criteria, der Zertifizierung nach Technischen Richtlinien und der Beschleunigten Sicherheitszertifizierung. Das nationale Schema soll dann auch als Vorbild für ein zukünftiges europäisches Zertifizierungsschema sein.

Mit dem Start des Programms können sich Prüfstellen anerkennen lassen. Weitere Informationen zur Anerkennung als NESAS CCS-GI Prüfstelle stehen auf der Website des BSI zur Verfügung.

Der Beitrag BSI startet Zertifizierung für 5G-Komponenten erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Entwurf einer neuen Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA) veröffentlicht.

Der Community Draft soll Betreibern kritischer Infrastrukturen sowie Betreiber von Energieanlagen und Energieversorgungsnetzen und prüfende Stellen Anhaltspunkte für die Anforderungen liefern.

Die Betreiber seien gesetzlich dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen zu vermeiden, teilt das BSI mit. Außerdem müssten sie ihre informationstechnischen Systeme, Komponenten und Prozesse integer, authentisch und vertraulich betreiben. Der Community Draft informiere darüber wie sich die gesetzliche Verpflichtung individuell umsetzen und prüfen lassen.

Das BSI-Gesetz sehe in § 8a Absatz 1a BSIG ausdrücklich den Einsatz von SzA vor. Derartige Systeme stellten eine effektive Maßnahme dar, um Cyber-Angriffe frühzeitig zu erkennen und unterstützen dabei, Schäden zu reduzieren oder zu vermeiden, teilt das Bundesamt mit. Der Community Draft ist online nachzulesen (PDF).

Der Beitrag BSI informiert zu Systemen zur Angriffserkennung erschien zuerst auf Linux-Magazin.