BSI @bsi@social.bund.de
- Homepage:
- https://bsi.bund.de/
- Kontakt:
- https://bsi.bund.de/kontakt
- Impressum:
- https://bsi.bund.de/Impressum
- Datenschutz:
- https://bsi.bund.de/datenschutz
BSI - Bundesamt für Sicherheit in der Informationstechnik
Joined Mar 2021
#Log4j gepatcht - aber was sind die Lehren daraus?
Die ausgenutzte Funktion von Log4j war problematisch, funktionierte allerdings wie angegeben. #Log4Shell wurde durch die Übergabe von nicht vertrauenswürdigen Eingaben an Log4j erst möglich. Wer https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/03_CON_Konzepte_und_Vorgehensweisen/CON_10_Entwicklung_von_Webanwendungen_Edition_2021.pdf?__blob=publicationFile vom #BSI beachtet, war durch Sanitarisierung der Eingaben vor Log4Shell geschützt.
Merke: Wer Software von Dritten benutzt, sollte prüfen, ob man sie angemessen sicher eingebunden hat.
BSI
boosted
@Sh3rl0ckH0lm3s Absolut. Aber dann werden wir schnell eine Entscheidung treffen. Wäre natürlich auch eine Möglichkeit, dass der Deutsche Bundestag selbst eine Mastodon-Instanz für die Parlamentarierer betreibt. So schwer ist das ja nicht 😉 / ÖA
Machine-Learning-Modelle enthalten teilweise viele Milliarden Parameter und können empfindlich auf kleinste Eingabeänderungen reagieren. Diese Empfindlichkeit kann sicherheitsrelevant sein.
Eine Formulierung der Modelleigenschaften zur Bewertung und Erklärung der Vorhersagen ohne Parameteruntersuchung wird in https://arxiv.org/abs/1703.01365 vorgeschlagen. Damit wird eine weitere Möglichkeit zur Sicherheitsbewertung solcher ML-Modelle eröffnet.
2005 hat das #BSI die Erstellung des grafischen Verschlüsselungs-Tools Gpg4win auf Basis von GnuPG initiiert, da für Windows kein solches Produkt verfügbar war.
2007 wurde die grundlegende Überarbeitung zu Gpg4win v2 vom BSI angestoßen, das 2009 erschien.
17 Jahre nach seiner ursprünglichen Konzeption ist Gpg4win eine etablierte und kommerziell erfolgreiche #OpenSource Software, die die Pflege und Weiterentwicklung von GnuPG mitfinanziert: https://gnupg.org/blog/20220102-a-new-future-for-gnupg.html
IT-Sicherheitskongress des #BSI am 1. und 2. Februar 2022
Um möglichst vielen Teilnehmerinnen und Teilnehmern eine Plattform für den Austausch zu Themen der Cyber-Sicherheit zu bieten, findet auch der 18. Deutsche IT-Sicherheitskongress wieder digital statt: Die Moderation und Vorträge erfolgen vor Ort, die Besucherinnen und Besucher nehmen virtuell teil.
Für weitere Informationen und zur persönlichen Anmeldung siehe: https://www.bsi.bund.de/DE/Service-Navi/Veranstaltungen/Deutscher-IT-Sicherheitskongress/18-Dt-IT-Sicherheitskongress/18-dt-IT-Sicherheitskongress_node.html
Öffentliche Kommentierungsphase für den MDM-Mindeststandard gestartet
Der MDM-#Mindeststandard des #BSI setzt Anforderungen an technische und organisatorische Maßnahmen beim Einsatz eines Mobile Device Managements. So wird das Erreichen eines Mindestsicherheitsniveaus beim Einsatz eines MDM ermöglicht.
Der Entwurf einer neuen Version dieses Mindeststandards steht als „Community Draft“ bis zum 16. Februar 2022 zur Kommentierung offen.
👉 https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/Mobile_Device_Management/Mobile_Device_Management_node.html
Wie bei jedem IT-Vorhaben ist es auch bei der Nutzung von Cloud-Diensten wichtig eine Strategie zu definieren. Neben den funktionalen Anforderungen sollten dabei auch ein IT-Sicherheitskonzept und für Firmen und Behörden Compliance-Vorgaben berücksichtigt werden.
Unbedingt sollte schon am Anfang das Ende der Nutzung geplant werden. Hierbei muss klar sein, wie Daten zurück oder in andere Cloud-Dienste migriert werden können.
#VirtualisierungUndCloudSicherheit #BSI #DeutschlandDigitalSicherBSI
BSI
boosted
Certification de #gnupg par @bsi (#ANSSI 🇩🇪) pour le chiffrement de données classifiées outre-Rhin pérennise ce projet. Les dons ne sont plus nécessaires !
https://linuxfr.org/users/gouttegd/journaux/gnupg-devient-economiquement-viable-et-n-a-plus-besoin-de-dons
Das Common Security #Advisory Framework (#CSAF) liefert maschinenverarbeitbare Advisories
Gemeinsam mit dem Cyber-Defense Campus (CYD Campus) in der Schweiz arbeitet das #BSI daran #OpenSource-#Tools bereitzustellen, damit alle Beteiligten einer Supply-Chain CSAF-Advisories erzeugen und verwalten können, um effizienter Schwachstellen-Informationen auszutauschen und ihre IT-Sicherheit zu verbessern.
👉 https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-86565.html
#IndustrialSecurity #Secvisogram #DeutschlandDigitalSicherBSI
Der #RC3 endet heute, auch die Sicherheit von #OpenSource wie #Log4J war ein Thema des Kongresses.
Dieser https://pretalx.c3voc.de/rc3-2021-cbase/talk/UQVKPQ/ Vortrag gibt einen guten Überblick über Fragen der Finanzierung von #OpenSource Projekten, deren Sicherheit oft essentiell für das gesamte Internet ist.
Mit dem #SovereignTechFund besteht ab 2022 eine langfristige Perspektive für eine wirkungsvolle finanzielle Unterstützung von OpenSource-Basistechnik.
Bald beginnt wieder ein neues Jahr!
2018 startete für das #BSI mit #Spectre und #Meltdown.
2019 hat über den Jahreswechsel Doxxing bekannter gemacht.
2020 begrüßte uns mit #Shitrix.
2021 ist geprägt von mehreren, schwerwiegenden Lücken in Exchange Servern und #Log4Shell.
Für 2022 hoffen wir auf einen weniger turbulenten Jahresauftakt, sowie positive Entwicklungen in der Welt der IT (und #OpenSource).
In diesem Sinne: Ein gutes Jahr 2022 für Alle im Fediverse!
Die Bundesregierung definiert im Jahr 2018 den digitalen Verbraucherschutz als eine neue Aufgabe des #BSI.
Seitdem hilft das BSI Verbraucherinnen und Verbrauchern dabei Risiken in Produkten mit Digitaltechnik, bei digital angebotenen Dienstleistungen und digitalen Medien zu erkennen.
Das BSI hat im Jahr 2021 seinen ersten Bericht über die Aktivitäten zum digitalen Verbraucherschutz veröffentlicht: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/DVS-Bericht/dvs-bericht_node.html
„Schöne Feiertage“ wünscht das #BSI allen Followern auf Mastodon, dem Fediverse und natürlich auch allen anderen Menschen auf dieser Welt.
Besondere Gedanken und Wünsche gehen an jene, die zu dieser Zeit in der IT-Welt und insbesondere im Gesundheitswesen gegen die aktuellen Bedrohungen kämpfen. Gerade da dieses Jahr die Weihnachtsfeiertage und die Zeit „zwischen den Jahren“ wahrscheinlich alles andere als einfach werden.
Daher: „Alles Gute und seid umsichtig!“
Zusammen mit dem Bitkom e. V. gründete das #BSI im Jahr 2012 die Allianz für Cyber-Sicherheit (ACS). Dort sind viele wichtige Akteure miteinander verbunden, um die Cyber-Sicherheit in Unternehmen zu erhöhen.
Knapp 5500 Unternehmen und Institutionen sind inzwischen Teil dieser Initiative. Und im kommenden Jahr 2022 ist die Allianz für Cyber-Sicherheit bereits ein volles Jahrzehnt aktiv! 🎉
👉 https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Allianz-fuer-Cyber-Sicherheit/allianz-fuer-cyber-sicherheit_node.html
#Meltdown war spannend, Mimikatz ist kein Fremdwort?
Im #BSI sucht das Team rund um #Betriebssysteme technisch interessierte Verstärkung als Security-Analystin oder -Analyst für die Bereiche #Windows und #Virtualisierung.
Die Bewerbungsfrist endet am 07. Januar 2022 für diese Stellenausschreibung in der Laufbahn des höheren Diensts am Standort Bonn.
👉 https://service.bund.de/IMPORTE/Stellenangebote/editor/BVA-BSI/2021/11/4230771.html
Heute vor 123 Jahren hat Marie Curie das chemische Element Radium entdeckt. Für ihre Arbeiten erhielt sie insgesamt zwei Nobelpreise.
Seit 1997 gibt es zu ihren Ehren in der EU die Marie-Skłodowska-Curie-Actions (MSCA), bestehend aus verschiedenen Fördermöglichkeiten für Nachwuchswissenschaftlerinnen und -wissenschaftler. Die aktuellen MSCA sind Teil des Forschungsrahmenprogramms Horizont Europa.
👉 https://ec.europa.eu/research/mariecurieactions/
#TechnologieUndForschungsstrategie #BSI #DeutschlandDigitalSicherBSI
BSI
boosted
Dass wir Software-Infrastruktur im Gegensatz zu einer Schiene nicht sehen können, heißt nicht, dass sie nicht gewartet werden muss --> https://prototypefund.de/softwareinfrastruktur/
---
RT @Senficon
Damit Probleme wie #Log4shell früher entdeckt und behoben werden können, müssen Politiker Geld in die Hand nehmen und verstehen, dass digitale Infrastruktur genauso wichtig ist wie Brücken oder Autobahnkreuze. https://www.sueddeutsche.de/mein…
https://twitter.com/Senficon/status/1470672588217143297
Der „Zeus-Trojaner“ ZBot wurde das erste Mal im Juli 2007 bekannt. ⚡
Er verursachte große wirtschaftliche Schäden durch den Diebstahl von Zugangsdaten für Online-Banking und anderen Konten. Mit Millionen von Infektionen gilt ZBot bis heute als erfolgreichster „Trojaner“ seiner Art. Auch soll er die erste Schadsoftware mit Lizenzmodell gewesen sein.
Hinweise zur Vermeidung und Erkennung von Schadsoftware gibt das #BSI unter https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Schadprogramme/schadprogramme_node.html
Das #BSI hat den Leitfaden »#Kryptografie #quantensicher gestalten – Grundlagen, Entwicklungen, Empfehlungen« veröffentlicht, der die existierenden Handlungsempfehlungen »Migration zu Post-Quanten-Kryptografie« aktualisiert und sie durch eine Darstellung der kryptografischen und technischen Grundlagen und Entwicklungen einordnet.
Darüber hinaus diskutiert dieser Leitfaden auch die Chancen und Risiken der „Quantum Key Distribution (QKD)“.
👉 https://bsi.bund.de/dok/997274
Google hat das Verfahren zum Signieren von Apps geändert!
Was neu ist und was beim Erstellen von Apps beachtet werden muss, erläutert das #ITGrundschutz-Hilfsmittel „Empfehlungen zu App-Stores“ am Beispiel des Google Play Stores: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Hilfsmittel_Empfehlungen_App-Stores_v1.pdf
Zusätzlich gibt dieses Hilfsmittel auch Empfehlungen für Unternehmen sowie Nutzerinnen und Nutzer zum Umgang mit Software-Quellen.
- Homepage:
- https://bsi.bund.de/
- Kontakt:
- https://bsi.bund.de/kontakt
- Impressum:
- https://bsi.bund.de/Impressum
- Datenschutz:
- https://bsi.bund.de/datenschutz
BSI - Bundesamt für Sicherheit in der Informationstechnik
Joined Mar 2021
