gepatcht - aber was sind die Lehren daraus?

Die ausgenutzte Funktion von Log4j war problematisch, funktionierte allerdings wie angegeben. wurde durch die Übergabe von nicht vertrauenswürdigen Eingaben an Log4j erst möglich. Wer bsi.bund.de/SharedDocs/Downloa vom beachtet, war durch Sanitarisierung der Eingaben vor Log4Shell geschützt.
Merke: Wer Software von Dritten benutzt, sollte prüfen, ob man sie angemessen sicher eingebunden hat.

BSI boosted

@Sh3rl0ckH0lm3s Absolut. Aber dann werden wir schnell eine Entscheidung treffen. Wäre natürlich auch eine Möglichkeit, dass der Deutsche Bundestag selbst eine Mastodon-Instanz für die Parlamentarierer betreibt. So schwer ist das ja nicht 😉 / ÖA

Machine-Learning-Modelle enthalten teilweise viele Milliarden Parameter und können empfindlich auf kleinste Eingabeänderungen reagieren. Diese Empfindlichkeit kann sicherheitsrelevant sein.
Eine Formulierung der Modelleigenschaften zur Bewertung und Erklärung der Vorhersagen ohne Parameteruntersuchung wird in arxiv.org/abs/1703.01365 vorgeschlagen. Damit wird eine weitere Möglichkeit zur Sicherheitsbewertung solcher ML-Modelle eröffnet.

2005 hat das die Erstellung des grafischen Verschlüsselungs-Tools Gpg4win auf Basis von GnuPG initiiert, da für Windows kein solches Produkt verfügbar war.

2007 wurde die grundlegende Überarbeitung zu Gpg4win v2 vom BSI angestoßen, das 2009 erschien.

17 Jahre nach seiner ursprünglichen Konzeption ist Gpg4win eine etablierte und kommerziell erfolgreiche Software, die die Pflege und Weiterentwicklung von GnuPG mitfinanziert: gnupg.org/blog/20220102-a-new-

IT-Sicherheitskongress des am 1. und 2. Februar 2022

Um möglichst vielen Teilnehmerinnen und Teilnehmern eine Plattform für den Austausch zu Themen der Cyber-Sicherheit zu bieten, findet auch der 18. Deutsche IT-Sicherheitskongress wieder digital statt: Die Moderation und Vorträge erfolgen vor Ort, die Besucherinnen und Besucher nehmen virtuell teil.
Für weitere Informationen und zur persönlichen Anmeldung siehe: bsi.bund.de/DE/Service-Navi/Ve

Öffentliche Kommentierungsphase für den MDM-Mindeststandard gestartet

Der MDM- des setzt Anforderungen an technische und organisatorische Maßnahmen beim Einsatz eines Mobile Device Managements. So wird das Erreichen eines Mindestsicherheitsniveaus beim Einsatz eines MDM ermöglicht.
Der Entwurf einer neuen Version dieses Mindeststandards steht als „Community Draft“ bis zum 16. Februar 2022 zur Kommentierung offen.
👉 bsi.bund.de/DE/Themen/Oeffentl

Wie bei jedem IT-Vorhaben ist es auch bei der Nutzung von Cloud-Diensten wichtig eine Strategie zu definieren. Neben den funktionalen Anforderungen sollten dabei auch ein IT-Sicherheitskonzept und für Firmen und Behörden Compliance-Vorgaben berücksichtigt werden.
Unbedingt sollte schon am Anfang das Ende der Nutzung geplant werden. Hierbei muss klar sein, wie Daten zurück oder in andere Cloud-Dienste migriert werden können.

BSI boosted

Certification de #gnupg par @bsi (#ANSSI 🇩🇪) pour le chiffrement de données classifiées outre-Rhin pérennise ce projet. Les dons ne sont plus nécessaires !
linuxfr.org/users/gouttegd/jou

Das Common Security Framework () liefert maschinenverarbeitbare Advisories

Gemeinsam mit dem Cyber-Defense Campus (CYD Campus) in der Schweiz arbeitet das daran - bereitzustellen, damit alle Beteiligten einer Supply-Chain CSAF-Advisories erzeugen und verwalten können, um effizienter Schwachstellen-Informationen auszutauschen und ihre IT-Sicherheit zu verbessern.
👉 admin.ch/gov/de/start/dokument

Der endet heute, auch die Sicherheit von wie war ein Thema des Kongresses.

Dieser pretalx.c3voc.de/rc3-2021-cbas Vortrag gibt einen guten Überblick über Fragen der Finanzierung von Projekten, deren Sicherheit oft essentiell für das gesamte Internet ist.

Mit dem besteht ab 2022 eine langfristige Perspektive für eine wirkungsvolle finanzielle Unterstützung von OpenSource-Basistechnik.

Bald beginnt wieder ein neues Jahr!

2018 startete für das mit und .
2019 hat über den Jahreswechsel Doxxing bekannter gemacht.
2020 begrüßte uns mit .
2021 ist geprägt von mehreren, schwerwiegenden Lücken in Exchange Servern und .

Für 2022 hoffen wir auf einen weniger turbulenten Jahresauftakt, sowie positive Entwicklungen in der Welt der IT (und ).

In diesem Sinne: Ein gutes Jahr 2022 für Alle im Fediverse!

Die Bundesregierung definiert im Jahr 2018 den digitalen Verbraucherschutz als eine neue Aufgabe des .
Seitdem hilft das BSI Verbraucherinnen und Verbrauchern dabei Risiken in Produkten mit Digitaltechnik, bei digital angebotenen Dienstleistungen und digitalen Medien zu erkennen.

Das BSI hat im Jahr 2021 seinen ersten Bericht über die Aktivitäten zum digitalen Verbraucherschutz veröffentlicht: bsi.bund.de/DE/Service-Navi/Pu

„Schöne Feiertage“ wünscht das allen Followern auf Mastodon, dem Fediverse und natürlich auch allen anderen Menschen auf dieser Welt.
Besondere Gedanken und Wünsche gehen an jene, die zu dieser Zeit in der IT-Welt und insbesondere im Gesundheitswesen gegen die aktuellen Bedrohungen kämpfen. Gerade da dieses Jahr die Weihnachtsfeiertage und die Zeit „zwischen den Jahren“ wahrscheinlich alles andere als einfach werden.
Daher: „Alles Gute und seid umsichtig!“

Zusammen mit dem Bitkom e. V. gründete das im Jahr 2012 die Allianz für Cyber-Sicherheit (ACS). Dort sind viele wichtige Akteure miteinander verbunden, um die Cyber-Sicherheit in Unternehmen zu erhöhen.
Knapp 5500 Unternehmen und Institutionen sind inzwischen Teil dieser Initiative. Und im kommenden Jahr 2022 ist die Allianz für Cyber-Sicherheit bereits ein volles Jahrzehnt aktiv! 🎉
👉 bsi.bund.de/DE/Themen/Unterneh

war spannend, Mimikatz ist kein Fremdwort?

Im sucht das Team rund um technisch interessierte Verstärkung als Security-Analystin oder -Analyst für die Bereiche und .
Die Bewerbungsfrist endet am 07. Januar 2022 für diese Stellenausschreibung in der Laufbahn des höheren Diensts am Standort Bonn.
👉 service.bund.de/IMPORTE/Stelle

Heute vor 123 Jahren hat Marie Curie das chemische Element Radium entdeckt. Für ihre Arbeiten erhielt sie insgesamt zwei Nobelpreise.

Seit 1997 gibt es zu ihren Ehren in der EU die Marie-Skłodowska-Curie-Actions (MSCA), bestehend aus verschiedenen Fördermöglichkeiten für Nachwuchswissenschaftlerinnen und -wissenschaftler. Die aktuellen MSCA sind Teil des Forschungsrahmenprogramms Horizont Europa.
👉 ec.europa.eu/research/mariecur

BSI boosted

Dass wir Software-Infrastruktur im Gegensatz zu einer Schiene nicht sehen können, heißt nicht, dass sie nicht gewartet werden muss --> prototypefund.de/softwareinfra
---
RT @Senficon
Damit Probleme wie #Log4shell früher entdeckt und behoben werden können, müssen Politiker Geld in die Hand nehmen und verstehen, dass digitale Infrastruktur genauso wichtig ist wie Brücken oder Autobahnkreuze. sueddeutsche.de/mein…
twitter.com/Senficon/status/14

Der „Zeus-Trojaner“ ZBot wurde das erste Mal im Juli 2007 bekannt. ⚡
Er verursachte große wirtschaftliche Schäden durch den Diebstahl von Zugangsdaten für Online-Banking und anderen Konten. Mit Millionen von Infektionen gilt ZBot bis heute als erfolgreichster „Trojaner“ seiner Art. Auch soll er die erste Schadsoftware mit Lizenzmodell gewesen sein.

Hinweise zur Vermeidung und Erkennung von Schadsoftware gibt das unter bsi.bund.de/DE/Themen/Verbrauc

Das hat den Leitfaden » gestalten – Grundlagen, Entwicklungen, Empfehlungen« veröffentlicht, der die existierenden Handlungsempfehlungen »Migration zu Post-Quanten-Kryptografie« aktualisiert und sie durch eine Darstellung der kryptografischen und technischen Grundlagen und Entwicklungen einordnet.
Darüber hinaus diskutiert dieser Leitfaden auch die Chancen und Risiken der „Quantum Key Distribution (QKD)“.
👉 bsi.bund.de/dok/997274

Google hat das Verfahren zum Signieren von Apps geändert!

Was neu ist und was beim Erstellen von Apps beachtet werden muss, erläutert das -Hilfsmittel „Empfehlungen zu App-Stores“ am Beispiel des Google Play Stores: bsi.bund.de/SharedDocs/Downloa

Zusätzlich gibt dieses Hilfsmittel auch Empfehlungen für Unternehmen sowie Nutzerinnen und Nutzer zum Umgang mit Software-Quellen.

Show older
social.bund.de

Dies ist der Mastodon-Server des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).