Das Statistische Bundesamt (Destatis) hat am 13. November 2024 Hinweise auf ein mögliches Datenleck im Meldesystem IDEV des Statistischen Bundesamtes erhalten.

Die Sicherheitslage im Cyberraum ist weiterhin angespannt. Zugleich stellen sich Staat, Wirtschaft und Gesellschaft stärker als bisher auf die Bedrohungen ein.

Im Rahmen des Projektes zur „Codeanalyse von Open Source Software“ (CAOS 3.0) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Passwort-Manager KeePass und Vaultwarden auf…

Vernetzte Hard- und Softwareprodukte bringt neben Komfort und Automation auch Risiken und neuartige Angriffsvektoren mit.

Im Rahmen des Projektes zur “Codeanalyse von Open Source Software” (CAOS 2.0) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Kommunikationssoftware Matrix und…

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Whitepaper zur Usable Security und IT-Sicherheit von biometrischen Verfahren in der Zwei-Faktor-Authentisierung (2FA)…

Am 19. Juli 2024 führte ein fehlerhaftes Update des Herstellers Crowdstrike zu Systemabstürzen bei geschätzt 8,5 Millionen Windows-Geräten weltweit.

Nach den weltweiten IT-Störungen am 19.

Laut einer Mitteilung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben Krankenkassen ab sofort die Möglichkeit, den Versicherten eRezept-Funktionen in ihren Apps zur…

Das Bundesamts für Sicherheit in der Informationstechnik (BSI) hat die Studie „Prüfung von Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen (PANDA)“ erstellen lassen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt Mindeststandards zu Themen, die für die Informationssicherheit der Bundesverwaltung relevant sind.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Webseite KRITIS in Zahlen veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Publikation zu Chancen und Risiken großer KI-Sprachmodelle in deutscher und englischer Sprache aktualisiert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Cybersicherheitsempfehlung für den sicheren Einsatz von Edge und Fog Computing veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Betreiber von Microsoft Exchange Servern dazu aufgerufen, ihre Systeme zu patchen und upzudaten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Mindeststandard für Webbrowser in der neuen Version 3.0 veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neun Steuererklärungsapps untersucht und dabei nach eigenen Angaben 97 Sicherheitsmängel Apps identifiziert.

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat mit einer Sicherheitswarnung auf den Angriff gegen AnyDesk, Anbieter von Software für Fernzugriff und Screensharing reagiert.

Das BSI hat zusammen mit der französischen Behörde für IT-Sicherheit, ANSSI, eine Publikation zum Thema "Remote Identity Proofing" veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Mindeststandard zum HV-Benchmark kompakt 5.0 in der neuen Version 2.0 veröffentlicht.

E-Mails zählen zu den am häufigsten genutzten digitalen Kommunikationsmitteln. E-Mail-Diensteanbieter sollten deshalb großen Wert auf Informationssicherheit legen, teilt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit. Zu diesem Zweck habe man ein neues Zertifizierungsverfahren aufgesetzt.

Das Zertifizierungsverfahren basiere auf der aktualisierten Technischen Richtlinie “Secure Email Transport”, TR 03108 (Version 2.0), und der dazugehörigen Testspezifikation, TR 03108-P. Die aktualisierte Version 2.0 baue auf den Anforderungen der Version 1.0.2 auf und ergänze diese, teilt das BSI mit. Der Reporting-Mechanismus “TLS Reporting” und das optionale Angebot der DANE-Alternative „MTA-STS“, sowie die Forderung nach den jeweils aktuellsten Kryptoverfahren zählten zu den wichtigsten Änderungen, heißt es weiter. Setze ein E-Mail-Diensteanbieter die Version 2.0 der TR 03108 um, erfülle er automatisch die Anforderungen der Version 1.0.2.

Daneben habe das BSI im August 2023 ein Prüflabor, die OpenSource Security GmbH, für die Zertifizierung von E-Mail-Providern nach dem neuen Verfahren anerkannt. Stelle das Prüflabor die Konformität zur TR 03108 fest, werde anschließend die Zertifizierung durch das BSI vorgenommen, teilt das Bundesamt mit. Die Gültigkeit des Zertifikats betrage fünf Jahre ab Erteilungsdatum.

Der Beitrag BSI bringt neues Zertifizierungsverfahren für E-Mail-Anbieter erschien zuerst auf Linux-Magazin.

Im Rahmen eines Projektes zur Codeanalyse von Open Source Software hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Videokonferenzsysteme und eID-Templates untersucht.

Das Projekt „Codeanalyse von Open Source Software“ (CAOS) hat das BSI im Jahr 2021 gestartet. Aufgabe des Projekts ist die Schwachstellenanalyse mit dem Ziel, die Sicherheit von Open Source Software zu erhöhen. Das Projekt soll damit Entwickler bei der Erstellung sicherer Softwareanwendungen unterstützen und das Vertrauen in Open Source Software steigern.

Das BSI überprüfte nun gemeinsam mit der mgm security partners GmbH den Quellcode der Videokonferenzsysteme BigBlueButton und Jitsi auf mögliche Mängel, teilte das BSI mit. Kritische Schwachstellen habe man den betroffenen Entwicklern sofort mitgeteilt und diese hätten die gefundenen Sicherheitslücken schnell beheben können. Weitere Mängel seien im Rahmen eines Responsible-Disclosure-Verfahren adressiert worden. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.

Damit Bürgerinnen und Bürger die Online-Funktion des Personalausweises nutzen können, müssten Diensteanbieter ihr Angebot in die Infrastruktur elektronischer Identitäten (eID) integrieren. eID-Templates sollen die Authentifizierung bei WordPress- oder Nextcloud-Installationen sicher gestalten und sind Teil der geplanten Einführung der „eID-Card“. Auch diese Templates hat das BSI untersucht und die Ergebnisse veröffentlicht

Um die Sicherheit von Open Source Software in Zukunft zu erhöhen, seien weitere Codeanalysen geplant. Das Projekt zur „Codeanalyse von Open Source Software“ werde unter dem Namen CAOS 2.0 fortgeführt.

Der Beitrag BSI startet Codeanalyse von freien Videokonferenzsysteme und eID-Templates erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den zweiten Teil der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ veröffentlicht. Das Dokument definiert formelle und fachliche Vorgaben für Software-Stücklisten (SBOM).

Eine „Software Bill of Materials“ (SBOM) dokumentiert, welche kommerziellen und freien Software-Bestandteile in Software-Produkten enthalten sind. Sie macht Abhängigkeiten zu Komponenten Dritter transparent und hilft damit Herstellern, Sicherheitsforschenden sowie professionellen Anwenderinnen und Anwendern beim Monitoring von Schwachstellen.

Das BSI bietet Softwareherstellern mit der Technischen Richtlinie TR-03183 eine Empfehlung zur Gestaltung von SBOMs, die der Erhöhung der Sicherheit in der Software-Lieferkette (Software Supply Chain Security) dienen, teilt das Bundesamt mit.

Software-Stücklisten (SBOM) gehörten zu den zentralen Forderungen des europäischen Cyber Resilience Act (CRA). Dieser liege seit September 2022 als Entwurf der EU-Kommission vor und befindet sich derzeit im Gesetzgebungsverfahren.

Der Beitrag BSI veröffentlicht Tel 2 der Cyber-Resilienz-Anforderungen erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik, BSI, warnt vor Indirect Prompt Injections bei KI-Sprachmodellen wie ChatGPT. Die Gefahr besteht, weil die Chatbots inzwischen unter anderem Internetseiten oder Dokumente automatisiert auswerten. Von dort könnten manipulierte Daten mit Anweisungen kommen, die der Chatbot dann ausführt.

Angreifende können die Daten in Quellen zu denen auch Programmierumgebungen und Mail-Postfächer zählen gezielt manipulieren und unerwünschte Anweisungen für LLMs platzieren, berichtet das BSI in seiner Warnmeldung. Greifen LLMs auf diese Daten zu, werden die unerwünschten Befehle unter Umständen ausgeführt. Angreifende können dadurch das Verhalten der LLMs gezielt manipulieren, schreibt das BSI. Die potentiell schadhaften Befehle können kodiert oder versteckt sein und sind für Anwenderinnen sowie Anwender unter Umständen nicht erkennbar, heißt es weiter.

Als Beispiele nennt das BSI etwa, in einfachen Fällen, ein Text auf einer Webseite mit Schriftgröße Null, den die KI liest, der menschliche Nutzer aber nicht sieht.  Auch ein versteckter Text im Transkript eines Videos könnte einen solchen Befehl enthalten. sein. Anweisungen zu kodieren, sodass diese von LLMs weiterhin problemlos interpretiert werden, von Menschen jedoch nur schwer lesbar sind gelinge etwa auch durch ASCII-Code oder ähnlichem. Eine weitere Möglichkeit sei, Anfragen von Chatbots durch den Webserver aufgrund anderer Aufrufparameter mit anderen Inhalten zu beliefert als sie menschliche Nutzer durch die Browseranfragen erhalten.

Der Beitrag KI: BSI warnt vor Prompt-Manipulation erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neue Versionen der Technischen Richtlinien für Technische Sicherheitseinrichtungen elektronischer Aufzeichnungssysteme veröffentlicht.

Ab 2024 werden demnach gemäß Kassensicherungsverordnung auch Taxis und Funkmietwagen unter den Anwendungsbereich der BSI-Vorgaben fallen, teilt das Bundesamt mit.

Dass im Zuge der Digitalisierung Geschäftsvorfälle heutzutage in der Regel mit Hilfe elektronischer Aufzeichnungssysteme wie etwa elektronischer Kassensysteme erfasst werden, berge die Gefahr der nachträglichen Manipulationen an solchen Aufzeichnungen, teilt das BSI mit. Um dem entgegenzuwirken schütze man seit 2020 elektronische Aufzeichnungssysteme obligatorisch mit einer zertifizierten Technischen Sicherheitseinrichtung. Nach der erfolgreichen Einführung der Technischen Sicherheitseinrichtung für Kassensysteme habe man den Anwendungsbereich der Kassensicherungsverordnung nun erweitert. Er beziehe nun auch Taxis und Funkmietwagen ein, berichtet das BSI.

Die neuen Versionen der Technischen Richtlinien hätten auch zum Ziel, die Integration des neuen Anwendungsbereichs der Taxameter und Wegstreckenzähler zu erleichtern, die Zertifizierung Technischer Sicherheitseinrichtungen zu optimieren und die Prüfbarkeit des gesetzeskonformen Einsatzes von Technischen Sicherheitseinrichtungen durch Finanzbehörden zu verbessern. Zudem soll der Einsatz und Austausch von Technischer Sicherheitseinrichtungen verschiedener Hersteller erleichtert werden, heißt es vom BSI.

Der Beitrag BSI: Sichere elektronischer Aufzeichnungssysteme für Taxis erschien zuerst auf Linux-Magazin.