BSI @bsi@social.bund.de
- Homepage:
- https://www.bsi.bund.de/
- Kontakt:
- https://www.bsi.bund.de/kontakt
BSI - Bundesamt für Sicherheit in der Informationstechnik
Joined Mar 2021
Industrielle Steuerungs- und Automatisierungssysteme (Industrial Control Systems, ICS) haben lange Lebenszeiten und sind einem großen Risiko ausgesetzt, wenn sie über ihr Support-Ende hinaus betrieben werden und somit keine sicherheitsrelevanten Updates mehr erhalten.
Eine im Oktober 2021 erschienene Cyber-Sicherheitsempfehlung des #BSI gibt einen Überblick über diesbezügliche Herausforderungen und Maßnahmen.
👉 https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_145.pdf
Schwachstellen in #Cloud-Diensten
In letzter Zeit sind vermehrt Schwachstellen in Cloud-Diensten bekannt geworden. Das #BSI empfiehlt, regelmäßig auf entsprechende Hinweise zu achten. Wenn ein genutzter Dienst betroffen ist, müssen unmittelbar die Empfehlungen und Vorgaben des Anbieters umgesetzt werden.
Hier elf Tipps des BSI, die für eine sichere Nutzung von Cloud-Diensten beachtet werden sollten: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Brosch_A6_Cloud_Computing.pdf
#VirtualisierungUndCloudSicherheit #DeutschlandDigitalSicherBSI
Licht ins Dunkel bringen!
Das #BSI ist nicht nur tagsüber unterwegs, um über IT-Sicherheit zu informieren, so bei den Vorträgen auf Black Hat und BSides LV, die zu späten Abendstunden stattfanden. Nun besteht auch die Möglichkeit zur Weiterbildung zum Thema #SupplyChain-Sicherheit zu europäischen Bürozeiten: Auf der kostenlosen Konferenz Nightwatch bringt das #BSI Licht ins Dunkel rund um #CSAF, #VEX, #SBOM.
👉 https://applied-risk.com/nightwatch
Mehr #CSAF bitte!
Während das Erstellen von CSAF-Dokumenten mit Hilfe von #Secvisogram einfach ist, fehlt bislang eine Möglichkeit diese auch gut zu verwalten.
Das adressiert das #BSI mit dieser Ausschreibung: https://www.evergabe-online.de/tenderdetails.html?id=417739
Damit wird ein Weg zu einem #OpenSource „CSAF Content Management System“ eingeschlagen, dessen Modularität ermöglicht, dass das Backend auch mit beliebigen Frontends funktionieren kann.
Die Unterstützung von kleinen und mittleren Unternehmen (KMU) im Bereich Cybersicherheit gehört zu den Aufgaben des Europäischen Kompetenzzentrums für Industrie, Technologie und Forschung im Bereich der Cybersicherheit und des Netzwerks nationaler Koordinierungszentren.
👉 https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32021R0887
So wird mit SMESEC aus dem EU-Förderprogramm #Horizon2020 ein Cybersicherheits-Framework für KMU bereitgestellt: https://www.smesec.eu/
#TechnologieUndForschungsstrategie #DeutschlandDigitalSicherBSI
Windows absichern? Eine Daueraufgabe!
Das #BSI-Projekt SiSyPHuS Win10 analysiert die Sicherheitsmechanismen von Microsoft Windows 10 und erarbeitet Empfehlungen zu dessen Absicherung.
Die detaillierten Analysen, deren Zusammenfassung, die Logging- und Härtungsempfehlungen sowie die #OpenSource-Analysewerkzeuge finden sich unter https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/SiSyPHuS_node.html
Einen Überblick zum aktuellen Stand des Projekts gibt es unter https://www.kes.info/archiv/heft-archiv/jahrgang-2021/ausgabe-20215/#c7866
September 1837: Samuel Morse führt den Prototypen seines Telegraphen vor.
Diese Erfindung inspiriert viele Entwicklungen früher nachrichtentechnischer Hardware sowie einen Übertragungscode, der bis zur Jahrtausendwende in seiner Anwendung weit verbreitet war und auch heute noch genutzt und gelehrt wird.
Digitalisierung hat weit zurückreichende Grundlagen.
#ZurückZuDenWurzeln #Abstrahlsicherheit #BSI #DeutschlandDigitalSicherBSI
Vielen Dank für die zahlreichen Beiträge und interessanten Anregungen, die bei der zukünftigen Arbeit des #BSI zu den Themen #SichereHalbleiterTechnologien und TPM berücksichtigt werden.
Kerckhoffs' Maxime besagt, dass die Sicherheit bei Kryptografie auf der Geheimhaltung von Schlüsseln und nicht auf der Geheimhaltung der Algorithmen beruht.
Bei Whitebox-Kryptografie werden Schlüssel in der Implementierung eines Verfahrens versteckt. Dass das nicht gut funktioniert, hat das #BSI auf dem WhibOx-Contest 2021 bewiesen: https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/WhibOx-Contest-CHES_20210917.html
Deswegen sind sichere Schlüsselspeicher unverzichtbar, zum Beispiel mittels #SichereHalbleiterTechnologien.
Heute ist „Tag der IT-Profis“ – doch digitale Talente aufzuspüren ist nicht leicht!
Interessiert an Cybersicherheit oder Kryptografie?
Klingen Themen wie Quantenschlüsselaustausch oder Abwehr von Ransomware spannend?
Dann ist vielleicht das #BSI genau der richtige Arbeitgeber!
Unter folgendem Link sind die die aktuellen Jobangebote des BSI zu finden: https://www.bsi.bund.de/jobs
CSAF-Conformance - der nächste Schritt
Das #BSI hat die Ausschreibung »CSAF-Tools« zur Implementierung von Werkzeugen und Demonstratoren zur Förderung der Verbreitung des #CSAF-Standards veröffentlicht: https://www.evergabe-online.de/tenderdetails.html?id=412856
Damit wird aber nur ein kleiner Teil der im CSAF-Standard vorgeschlagenen Tools abgedeckt: https://docs.oasis-open.org/csaf/csaf/v2.0/csd01/csaf-v2.0-csd01.html#9-conformance
Es gibt also noch viel Raum für eigene Innovationen und #Contributions: Wer macht mit?
Spätestens durch die Hochwasserereignisse ist die Bedeutung von Backups wieder deutlich geworden.
Informationen zur Datensicherung stellt das #BSI bereit: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Daten-sichern-verschluesseln-und-loeschen/Datensicherung-und-Datenverlust/Datensicherung-wie-geht-das/datensicherung-wie-geht-das_node.html
Für die Sicherung durch und von Backups gilt es unter Anderem folgende Regeln zu beachten:
👉 Erstellung von drei Kopien, eine im System selbst plus zwei weitere Backups
👉 Nutzung von zwei verschiedenen Medientypen
👉 Räumlich getrennte Lagerung der Kopien
IT-Sicherheit und #KünstlicheIntelligenz
Beim Einsatz von KI-Systemen entstehen neue IT-Sicherheitsrisiken, die berücksichtigt werden müssen. In einem Überblicksdokument diskutiert das #BSI Probleme, Maßnahmen und Handlungsbedarfe für einen sicheren, robusten und nachvollziehbaren KI-Einsatz und liefert Ansatzpunkte für die Beurteilung und Absicherung von KI-Produkten über alle Einsatzszenarien hinweg. 👉 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KI/Herausforderungen_und_Massnahmen_KI.pdf
#KünstlicheIntelligenz auf der #IAA
Der Einsatz von Sensorik, Rechenleistung und KI-Algorithmen verspricht, dass Autos „intelligenter“ werden und langfristig komplett autonom agieren. Damit vernetztes Fahren sicher bleibt, muss IT-Sicherheit in die Produktentwicklung einbezogen werden. Das Branchenlagebild Automotive des #BSI betrachtet deshalb neben der IT im Auto auch die Cyber-Sicherheit der Lieferkette im Herstellungsprozess.
Sorgt für Aufsehen: „Windows 11 erfordert zwingend ein TPM“
Generell haben Sicherheitselemente als Vertrauensanker großes Potenzial, um IT-Systeme besser abzusichern. Gegen unerwünschte Nebenwirkungen helfen unter anderem offene Standards und #Zertifizierung.
Um sich in und außerhalb von Standardisierungsgremien für #SichereHalbleiterTechnologien einsetzen zu können, ist das #BSI an allen Meinungen dazu interessiert: Wie sollte ein zukünftiges TPM ausgestaltet sein?
Vielen Dank an die @froscon für ein gelungenes Konferenzwochenende mit spannenden Vorträgen und virtuellen Austauschmöglichkeiten rund um das Thema #OpenSource Software.
Die Videoaufzeichnungen der Vorträge auf der #FrOSCon 2021 sind unter https://media.ccc.de/c/froscon2021 verfügbar, zur Orientierung das komplette Programm unter https://programm.froscon.org
Einige Highlights aus Sicht des #BSI sind auf der Folie unten aufgelistet. 👇️
Die Zusammenhänge zwischen #SBOM , #CSAF und #VEX wurden von Dr. Allan Friedman und Jens Wiesner auf der BSides Las Vegas erklärt: https://youtu.be/DCLvdwbHOVo
Mit #Secvisogram können bereits CSAF-Dateien erstellt und menschenlesbar angezeigt werden. Für Betreiber fehlen aber noch die Tools für den Abgleich mit ihren #Asset Datenbanken. #Contributions welcome: Also ran an die Tasten!
Die Spezifikation ist abrufbar unter: https://docs.oasis-open.org/csaf/csaf/v2.0/csd01/csaf-v2.0-csd01.html#9113-conformance-clause-13-csaf-asset-matching-system
#BSI aktualisiert Mindeststandard zur Nutzung externer Cloud-Dienste
Die nun veröffentlichte Version 2.0 wurde an den aktuellen Kriterienkatalog Cloud Computing (#C5 :2020) und das #ITGrundschutz Kompendium (Edition 2021) angepasst. Darüber hinaus wurden unter anderem die Rahmenbedingungen für die Cloud-Diensterbringung konkretisiert.
#VirtualisierungUndCloudSicherheit #DeutschlandDigitalSicherBSI
Kommentierung erwünscht!
Das Common Security Advisory Framework (#CSAF ) steht als Committee Specification zur öffentlichen Kommentierung bis zum 12. September 2021 bereit: https://docs.oasis-open.org/csaf/csaf/v2.0/csd01/csaf-v2.0-csd01-public-review-metadata.html
Dieser #OASISopen Standard spezifiziert maschinenlesbare #Advisory und #VEX sowie deren Verteilung und das Finden der CSAF-Dateien. Zusammen mit #SBOM kann so das Schwachstellenmanagement in einer gesamten Lieferkette verbessert werden.
Mit den Projekten OpenSuperQ und AQTION aus dem EU-Rahmenprogramm #Horizon2020 wird der Bau von Quantencomputern erforscht.
Beide Projekte werden in der Studie »Entwicklungsstand Quantencomputer« des #BSI aufgegriffen: https://bsi.bund.de/qcstudie
Auch gab der OpenSuperQ-Koordinator Prof. Dr. Frank Wilhelm-Mauch am 9. Juli 2021 per „Resonator-Podcast“ eine Einführung zu Quantencomputern: https://resonator-podcast.de/2021/res169-quantencomputer/
#TechnologieUndForschungsstrategie #DeutschlandDigitalSicherBSI
- Homepage:
- https://www.bsi.bund.de/
- Kontakt:
- https://www.bsi.bund.de/kontakt
BSI - Bundesamt für Sicherheit in der Informationstechnik
Joined Mar 2021
