DVB-Cube <<< Das deutsche PC und DVB-Forum >>>

PC-Ecke => # Security Center => Thema gestartet von: Jürgen am 26 Oktober, 2004, 16:36

Titel: BSI diverses ...
Beitrag von: Jürgen am 26 Oktober, 2004, 16:36: Aus dem Videotext von 3sat:
P710 3satText 26.10.04
Service
Multimedia

Newsletter für mehr Sicherheit am PC

Das Bundesamt für Sicherheit in der In formationstechnik (BSI) bietet einen
Newsletter für alle privaten PC-Nutzer.

Eine alle zwei Wochen verschickte E-Mail soll kompetent, verständlich und
unabhängig von Firmeninteressen Auskunft darüber geben, welche Computervi-
ren gerade im Umlauf sind oder welche Sicherheitslücken behoben werden soll-
ten, erklärte Behördensprecher Udo Helmbrecht.

Mit dem Newsletter wolle man den Privatanwender in Sachen IT-Sicherheit auf
den aktuellen Stand bringen, hiess es.
www.bsi-fuer-buerger.de/newsletter/
An- und Abmeldung ist über eine leere E-Mail an
newsletter_anmelden(at)bsi-fuer-buerger.de
bzw.
newsletter_abbestellen@bsi-fuer-buerger.de
problemlos möglich.

Ich finde allerdings, dass zwei Wochen in Bezug auf PC-Sicherheit eine verdammt lange Zeit wären, insofern empfehle ich weiterhin dringend die aktuellen Meldungen z.B. von www.heise.de

Jürgen
Titel: Re:Newsletter vom BSI
Beitrag von: SiLæncer am 26 Oktober, 2004, 16:46: Ja , von heise security gibts übrigens auch einen Newsletter ...

http://www.heise.de/bin/newsletter/listinfo/heisec-summary

Wird einmal die Woche ( am Donnerstag) verschickt...

Ist ja schon besser als die Sache vom BSI , aber finde ich immer noch zu wenig , da ich schau lieber persönlich jeden Tag mal rein....Besser ist das.....
Titel: Re:Newsletter vom BSI
Beitrag von: Jürgen am 26 Oktober, 2004, 17:15: Ganz genau, und da sicher nicht jeder hier die Zeit hat, alles bei den verschiedenen Quellen abzuklappern, haben wir uns in letzter Zeit angewöhnt, hier alles aufzuführen, was uns besonders wichtig erscheint, vor allem für den Normal-User.

Ich hoffe, unsere geschätzten Leser wissen das zu nutzen. Die bei uns angezeigten Views lassen allerdings eher darauf schliessen, dass nur eine gewisse Anzahl regelmässig diesen Bereich liesst, das ist eigentlich leichtsinnig, wenn die anderen nicht schon selbst über aktuelle Infos aus guten und schnellen Quellen verfügen. Jedenfalls sind meiner Ansicht nach PC-Zeitschriften ebenfalls zu langsam, auch die Tagespresse hilft nicht wirklich, weil das Interesse und Wissen der dort tätigen Journalisten selten ausreicht.
Titel: Re:Newsletter vom BSI
Beitrag von: Warpi am 26 Oktober, 2004, 17:51: werde mir den newsletter vom bsi mal bestellen, schaden kann das nicht ... :)
Titel: Re:Newsletter vom BSI
Beitrag von: bladel am 26 Oktober, 2004, 18:31: Hab ich schon seit ein paar Monaten, die letzt Meldung war aber glaubich Sasser. oO
Titel: Re:Newsletter vom BSI
Beitrag von: SiLæncer am 26 Oktober, 2004, 18:35: Na toll.... (http://www.cheesebuerger.de/images/smilie/teufel/c078.gif)

P.S. Irgendwie hab ich von den Jungs auch nicht wirklich was besseres erwartet....
Titel: Re:Newsletter vom BSI
Beitrag von: Warpi am 26 Oktober, 2004, 19:24: Zitat von: bladel am 26 Oktober, 2004, 18:31
Hab ich schon seit ein paar Monaten, die letzt Meldung war aber glaubich Sasser. oO

na klasse ... :(
Titel: Re:Newsletter vom BSI
Beitrag von: lucky am 26 Oktober, 2004, 21:16: Also ich verlass mich mal auf die tollen Jungs hier. Diese Board ist einfach unglaublich und die Tipps sind mpch viel besser als die aus der Apothekenzeitung -

für mich einfach u n v e r z i c h t b a r !!!
Titel: Kostenloser Antispam-Leitfaden vom BSI
Beitrag von: SiLæncer am 13 Mai, 2005, 10:33: Beim Kampf gegen E-Mail-Spam können IT-Verantwortliche und Administratoren auf dutzende verschiedener Software-Lösungen zurückgreifen. Je nach Einsatzgebiet eignen sich diese Programme allerdings mehr oder weniger, außerdem unterscheiden sie sich erheblich bei den Anschaffungs- und Folgekosten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun für diese Zielgruppe einen kostenlosen Leitfaden "Antispam-Strategien" herausgebracht, der Grundlagen vermitteln und Tipps für die richtige Entscheidung an die Hand geben soll. Den Schwerpunkt legten die Autoren auf die Erläuterung technischer Maßnahmen gegen Spam. Aber auch juristische Rahmenbedingungen werden erklärt, weil laut BSI gerade hier häufig große Unsicherheiten bei den Betreibern von Antispam-Systemen bestehen.

Die Studie hat das BSI heute auf seinem 9. IT-Sicherheitskongress vorgestellt. Sie steht als PDF-Version zum kostenlosen Download zur Verfügung. Als gedruckte und gebundene Version kostet sie 32 Euro und kann beim Bundesanzeiger Verlag bestellt werden.

Quelle und Links : http://www.heise.de/newsticker/meldung/59504
Titel: Kostenloses BSI-Tool für netzwerkweite Sicherheitsprüfungen
Beitrag von: SiLæncer am 17 Juni, 2005, 16:19: Das Bundesamt für Sicherheit in der Informationtechnik (BSI) hat ein freies Tool zur Überprüfung der Sicherheit von Systemen im Netzwerk zur Verfügung gestellt. Die BSI Open Source Security Suite (BOSS) beruht auf dem populären Open-Source-Schwachstellenscanner Nessus und Knoppix. Um die Benutzerfreundlichkeit von Nessus zu steigern, wurde die grafische Oberfläche verbessert.

Daneben hat man auch auch einen Security Local Auditing Daemon (SLAD) integriert, der die Steuerung weiterer Sicherheitssoftware, wie TIGER, John-The-Ripper, Tripwire, LSOF, ClamAV Antivirus und Chkrootkit übernehmen soll. Nach Meinung des BSI kann Nessus damit auch Zielsysteme intensiv von innen auf Schwachstellen oder bereits erfolgreiche Angriffe prüfen und so beim Aufspüren von Sicherheitsproblemen in der behörden- und unternehmensweiten Informationstechnik neue Maßstäbe setzen.

Die Software kann von der Internetseite des BSI kostenlos heruntergeladen werden und wird als BOSS Live-CD am Messestand des BSI auf dem LinuxTag 2005 verteilt. Auf der BOSS Live-CD wurde zusätzlich der freie Portscanner nmapfe, der Sniffer Ethereal, netcat, ngrep und ntop untergebracht.

Besitzer einer Knoppix-CD können fast die gleichen Tests jetzt schon durchführen. So sind etwa Nessus, Ethereal und nmap schon lange im Lieferumfang des Knopper-Linux enthalten. Einzig der Virencheck fehlt. Hier leistet die Antiviren- und Notfall-CD Knoppicillin-3 aus c't 20/04 gute Dienste -- zur Auswahl stehen sogar drei Virenscanner. Zwar ist die Bedienoberfläche des Original-Nessus etwas gewöhnungsbedürftig, viel intuitiver und übersichtlicher ist BOSS aber auch nicht, insbesondere für erfahrene Nessus-Anwender.

Immerhin führen unter BOSS Schritt-für-Schritt-Dialoge auch den Anfänger zum ersten erfolgreichen Schwachstellen-Scan. Ob der aber mit den Ergebnissen der Analyse etwas anfangen kann, ist äußerst fraglich. Für tiefergehende Penetrations-Tests empfehlen sich ohnehin umfangreichere Security-Distributionen wie Knoppix-STD und die sehr gut gepflegte Sammlung Auditor.

Quelle und Links : http://www.heise.de/newsticker/meldung/60746
Titel: BSI veröffentlicht Bericht zur IT-Sicherheitslage
Beitrag von: SiLæncer am 19 August, 2005, 12:50: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt nun, wie bei der Vorstellung von Otto Schilys "Nationalem Plan zum Schutz der Informationsinfrastrukturen" bereits angekündigt, den ersten Bericht zur "Lage der IT-Sicherheit in Deutschland 2005" (PDF, 2,9 MB) vor. Auf 52 Seiten analysiert das Dokument das Sicherheits-Bewusstsein und -Kompetenz der Bürger, in der Wirtschaft und in den öffentlichen Verwaltungen.

Die Behörde bemängelt unter andrem, dass das Sicherheitsbewusstsein zwar vorhanden, aber dennoch zu niedrig sei -- beispielsweise ergriffen Unternehmen erst Maßnahmen zur Sicherung ihrer Netze, nachdem das Kind in den Brunnen gefallen sei. Weiterhin nimmt das BSI die Schwachstellen und Bedrohungen der IT-Infrastruktur durch Schadsoftware unter die Lupe und wagt auch einen Blick in die Zukunft. Das Dokument schließt mit einer Liste konkreter Aktivitäten, die das BSI zur Steigerung der Netzwerksicherheit durchführt, wie etwa der Einrichtung des Bürger-Sicherheitsportals unter www.bsi-fuer-buerger.de.

Viel Neues bringt der Bericht nicht, schon andere Institutionen analysierten die gegenwärtige Situation und orakelten über den zukünftigen Verlauf. So überrascht es nicht, dass das BSI von einem Anstieg in der Bedrohung durch Viren, Würmer und Spam ausgeht. Das neuere Techniken wie VoIP, WLAN und Mobilfunkkommunikation mit ihrem Einzug in den Massenmarkt zunehmend Ziel von Angriffen werden, ist schon jetzt Realität. So ist die WLAN-Verschlüsselung mit WEP noch weit verbreitet, obgleich diese in kürzester Zeit von kriminellen Individuen ausgehebelt werden kann.

Das der Spam-Verkehr inzwischen 60 bis 90 Prozent des gesamten E-Mail-Verkehrs ausmacht, ist auch ein eher alter Hut -- IBM zufolge nimmt das Spam-Volumen sogar ab. Die zunehmenden Phishing-Attacken gefährden der Pressemitteilung vom BSI zufolge die Sicherheit des Internet. Diese allgemeine Bedrohung besteht aber eher in den vom BSI-Bericht erwähnten neuen Zielen der Hacker, die nicht mehr nur einzelne Computer angreifen, sondern zukünftig vermehrt auf zentralen Netzkomponenten, von denen die Funktionsfähigkeit ganzer Informationsinfrastrukturen abhängen, nach ausnutzbaren Sicherheitslücken suchen werden.

Das BSI sieht sich zukünftig in der zentralen Rolle als IT-Sicherheitsbehörde, die für alle gesellschaftlichen Gruppen in Deutschland einen Beitrag zu einer gemeinsam getragenen Sicherheitskultur leisten will, um die Rahmenbedingungen für eine sichere und zuverlässige Informationstechnik zu verbessern. Der Bericht zur IT-Sicherheitslage der Nation verdeutlicht, dass zumindest die Situation des Netzes von der Regierungsbehörde verstanden wird, und dass sie darauf basierend fundierte Sicherheitshinweise und -anleitungen sowohl für Bürger als auch für Unternehmen und Verwaltungen geben kann.

Quelle und Links : http://www.heise.de/newsticker/meldung/62972
Titel: BSI-Richtlinie für sichere Funk-LANs
Beitrag von: SiLæncer am 28 Oktober, 2005, 13:29: Das BSI hat eine technische Richtlinie veröffentlicht, die sich mit der Sicherung von Funknetzwerken (WLANs) befasst. Die Richtlinie erläutert die Möglichkeiten und Verfahren zur Verschlüsselung der Kommunikation und enthält ein Konzept mit Handlungsempfehlungen zur Absicherung von WLANs.

Für die Zukunft plant das BSI, Produkte auf Konformität zur Technischen Richtlinie Sicheres WLAN (TR-S-WLAN) zu prüfen und gegebenenfalls zu bescheinigen. Das Angebot richtet sich sowohl an Hersteller als auch an Anwender.

Siehe dazu auch:

* Technische Richtlinie Sicheres Wireless LAN auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/65508
Titel: BSI veröffentlicht neues IT-Grundschutzhandbuch
Beitrag von: SiLæncer am 16 Januar, 2006, 15:56: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sein IT-Grundschutzhandbuch um einige neue Module erweitert. Hinzugekommen sind die Themen IT-Sicherheitssensibilisierung und -schulung, Client unter Windows XP, mobiler Arbeitsplatz sowie Besprechungs-, Veranstaltungs- und Schulungsräume. Weitere Themen wurden überarbeitet und aktualisiert. Überdies hat das BSI sein Handbuch an den neuen ISO-Standard 20071 angepasst.

Das IT-Grundschutzhandbuch enthält Standardsicherheitsmaßnahmen für typische IT-Systeme und Einsatzumgebungen und hilft bei der Erstellung von Sicherheitskonzepten sowie deren Umsetzung. Es ist als Loseblattsammlung mit jährlicher Ergänzungslieferung, aber auch online kostenlos verfügbar. Die neue Ausgabe wird nach Angaben des BSI in den nächsten Tagen freigeschaltet.

Quelle und Links : http://www.heise.de/security/news/meldung/68394
Titel: BSI stellt Version 2.0 des SOA-Sicherheitsratgebers vor
Beitrag von: SiLæncer am 05 Januar, 2010, 15:57: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Version 2.0 des Sicherheitskompendiums für Service-orientierte Architekturen (SOA) veröffentlicht. Im Auftrag des BSI wurde der Leitfaden vom Beratungsunternehmen Bearing Point und dem Hasso-Plattner-Institut überarbeitet.

Das Grundlagenwerk richtet sich an Projektleiter, IT-Verantwortliche, IT-Architekten und Entwickler. Es zeigt, wie man entsprechende Sicherheitsmaßnahmen, Standards, Protokolle und Techniken in einer SOA fachgerecht umsetzt. Einige Anwendungsszenarien, etwa aus dem Online-Handel, sind ebenfalls aufgeführt. Interessierte können sich das Kompendium kostenlos herunterladen (https://www.bsi.bund.de/cln_174/ContentBSI/Publikationen/studien/soa/index_htm.html).

Quelle : www.heise.de
Titel: BSI: Phisher immer professioneller
Beitrag von: SiLæncer am 04 Juli, 2010, 17:50: Die E-Mails, mit denen Cyber-Kriminelle ahnungslose Benutzer auf gefälschte Webseiten locken wollen, lassen sich immer schwerer von echten Nachrichten unterscheiden. Auch die Phishing-Seiten selbst, auf denen der Nutzer zur Eingabe seiner Login-Daten verleitet werden soll, wirken professioneller als in der Vergangenheit und ähneln den Originalseiten immer stärker. Zu dieser Einschätzung kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Quartalslagebericht (PDF) und nennt als Beispiel einen Angriff, der sich Anfang des Jahres gegen Benutzer von DHL-Packstationen richtete.

Auch im Bereich "Bedrohungen & Gefahren" sieht das BSI ein "erhöhtes Risiko": Zu einem besonders gefährlichen Einfallstor für Schadsoftware entwickeln sich demnach USB-Sticks, die von Computer zu Computer weitergegeben werden. So verbreite sich der seit einem Jahr aktive Conficker-Wurm vorzugsweise über USB-Sticks – über sieben Millionen PCs seien weltweit bereits mit diesem Schädling infiziert. Das BSI rät, die Autorun-Funktionen von Windows für USB-Sticks zu deaktivieren und die Speicherstäbchen stets mit einem Antivirenprogramm zu prüfen, bevor man Dateien von dort öffnet oder auf den PC kopiert.

Ein düsteres Bild zeichnet das BSI auch in der Kategorie "Trends und Statistik". Der Quartalsbericht zitiert eine Untersuchung des amerikanischen Sicherheitsdienstleisters M86 Security, dem zufolge im vergangenen Jahr die die Verbreitung von Spam mit Schadsoftware im Anhang von 600 Millionen auf drei Milliarden E-Mails pro Tag stark gestiegen sei. Auch bei den Angriffen über soziale Netzwerke wie Twitter sei eine starke Zunahme von Angriffen zu verzeichnen, die sich besonders häufig hinter Kurz-URLs verstecken. Eine große Gefahr gehe nach wie vor von so genannter Fake-AV-Software aus: vermeintliche Antivirenprogramme, die den Benutzer mit hartnäckigen Warnungen über angebliche Infektionen nerven, aber den Zugang zu echten AV-Seiten sperren.

Quelle und Links : http://www.heise.de/newsticker/meldung/BSI-Phisher-immer-professioneller-1032844.html
Titel: BSI gibt lückenhafte Sicherheitsempfehlungen für Windows
Beitrag von: SiLæncer am 03 Februar, 2012, 17:00: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Empfehlungen für eine sichere Konfiguration von Windows-Computern veröffentlicht, nicht alle sind hilfreich. Zudem wird fleißig Werbung für Regierungsprojekte gemacht.

Am 7. Februar 2012 ist der Safer Internet Day und aus diesem Anlass hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zwei Webseiten veröffentlicht, die Empfehlungen zur Absicherung von Windows-Computern geben. Eine Version richtet sich an Privatanwender (https://www.bsi.bund.de/ContentBSI/Themen/Cyber-Sicherheit/Empfehlungen/produktkonfiguration/BSI-E-CS-001.html), die andere an Selbständige und kleine Firmen (https://www.bsi.bund.de/ContentBSI/Themen/Cyber-Sicherheit/Empfehlungen/produktkonfiguration/BSI-E-CS-003.html). Beide Sicherheitsempfehlungen enthalten sinnvolle Angaben, geben aber auch fragwürdige sowie veraltete Hinweise. Und manche Sicherheitsratschläge fehlen einfach. Dafür gibt es viel Werbung für regierungseigene Projekte.

Sinnvolle Ratschläge

Zu den sinnvollen BSI-Empfehlungen zählt der Ratschlag, Benutzerkonten nur mit eingeschränkten Rechten zu nutzen. Allerdings verzichtet das BSI darauf, eine Anleitung dazu mitzuliefern. Bei der Browserwahl empfiehlt das BSI Googles Chrome-Browser, weil dieser aufgrund der Sandbox-Technik derzeit am besten mögliche Attacken abwehrt. Zudem werden Sicherheitslücken im Browser bei Chrome oftmals zügig beseitigt.

Auch wird geraten, einen aktuellen Virenscanner zu verwenden - was eine Selbstverständlichkeit sein sollte. Für Privatkunden werden drei Gratisvirenscanner gelistet, so dass sich der Nutzer den passenden herauspicken kann. Für Unternehmen mit bis zu fünf Computern wird Microsofts kostenloses Security Essentials genannt. In beiden Dokumenten fehlt eine Übersicht über die gebräuchlichen kostenpflichtigen Antiviren-Applikationen. Immerhin ist der Hinweis sehr deutlich hervorgehoben, immer nur ein Antivirusprodukt zu verwenden und diese nicht parallel zu betreiben.

BSI liefert nur Hinweise, keine Anleitungen

Der Hinweis, dass auf Java verzichten sollte, wer es nicht braucht, ist ebenfalls durchaus sinnvoll. Das BSI empfiehlt zudem, bei mobilen Systemen die Festplattendaten zu verschlüsseln. Dafür fehlt jeder Hinweis zur Gefahr von Adobes Flash und der Notwendigkeit dieses regelmäßig zu aktualisieren. Ferner fehlt ein Hinweis darauf, die Wiedergabe von Flash-Inhalten im Browser abzuschalten. Sehr werbelastig wirken dann die BSI-Hinweise zu den Regierungsprojekten E-Personalausweis und De-Mail.

BSI kennt Libreoffice nicht

Das BSI gibt auch Softwareempfehlungen, von denen einige gerade aus Sicherheitsaspekten seltsam anmuten. So wird als freie Office-Suite noch Openoffice empfohlen, obwohl Libreoffice hier eindeutig die bessere Wahl ist. Denn Libreoffice wird als Openoffice-Ableger bereits seit Monaten besser gepflegt und aktueller gehalten als Openoffice. Als kostenpflichtige Office-Lösung kennt das BSI nur Office von Microsoft, Konkurrenten wie etwa Softmaker werden nicht genannt - Microsoft wird es freuen.

Für die Darstellung von PDF-Dateien wird der Adobe Reader X empfohlen, der durch die Sandbox-Technik glücklicherweise nicht mehr so anfällig für Attacken ist wie die Vorversionen. Gänzlich unerwähnt bleiben alternative PDF-Anwendungen wie etwa Sumatra PDF oder Foxit Reader.

Kopfschüttelnd dürfte die Passage des BSI zur E-Mail-Nutzung auslösen. Während Privatnutzer einen Hinweis auf die E-Mail-Clients von Microsoft und Mozilla erhalten, fehlt dieser in dem Dokument für Selbständig und kleine Firmen komplett. Andere kostenlose E-Mail-Clients verschweigt das BSI auch an dieser Stelle konsequent.

Genaue Anleitungen fehlen

Allgemein fällt auf, dass beide Empfehlungen sehr vage bleiben und es an genauen Anleitungen fehlt. Damit sind die Webseiten des BSI nur bedingt eine Hilfe, weil sie vielfach mehr Fragen aufwerfen als sie beantworten. Zudem gelten die BSI-Empfehlungen oftmals ausschließlich für Windows 7. So wird die in Windows 7 enthaltene Backup-Funktion empfohlen, für ältere Windows-Versionen wird keine Alternative vorgeschlagen.

Quelle : www.golem.de
Titel: Re: BSI gibt lückenhafte Sicherheitsempfehlungen für Windows
Beitrag von: dvb_ss2 am 03 Februar, 2012, 20:50: Das ist nicht nur lückenhaft. Wer das verbrochen hat, tstststs?!?

Der Abschuss ist dann noch der Schluss zum Thema PC-Entsorgung. Viele Leute wissen bis heute noch nicht was Linux sein soll, die wissen ja teilweise noch nicht einmal, welche Windows-Version auf dem eigenen PC läuft, was ein Browser ist...

Aber egal, ich sehe das mit einem leichten Schmunzeln.

dvb_ss2
Titel: BSI-Test: Verwundbarkeit von Windows-Rechnern im Netz
Beitrag von: SiLæncer am 13 November, 2012, 13:18: Windows-Systeme soll man stets auf dem aktuellen Stand halten, beim Browser greift man am besten zu Google Chrome, auf Java verzichtet man möglichst ganz – das predigen sowohl c't als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Was dieses einfache Schutzkonzept tatsächlich bringt, belegt eine vom BSI durchgeführte Untersuchung: Das Bundesamt hat mit zwei Windows-Rechnern insgesamt 100 Webseiten besucht, auf denen sogenannte Drive-by-Downloads lauerten – also Schadcode, der vor allem durch Ausnutzen von Sicherheitslücken verbreitet wird.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/BSI-Test-Verwundbarkeit-von-Windows-Rechnern-im-Netz-1748721.html)

Quelle : www.heise.de
Titel: Re: BSI-Test: Verwundbarkeit von Windows-Rechnern im Netz
Beitrag von: dvb_ss2 am 13 November, 2012, 19:05: An den Anleitungen hat sich auch nur unwesentliches getan. Immerhin wird mittlerweile LibreOffice genannt.

Trotzdem:
Für einen 0815 PC-Nutzer, sind die Anleitungen unbrauchbar!

dvb_ss2
Titel: Re: BSI-Test: Verwundbarkeit von Windows-Rechnern im Netz
Beitrag von: Jürgen am 14 November, 2012, 01:12: Stimmt.
Es fehlt vor allem ein an sich banaler Hinweis, dass man diverse immer wieder angebotene Browser-Plugins eigentlich gar nicht braucht.

So kann ich absolut nicht nachvollziehen, warum z.B. PDF, Word- oder Exel-Dokumente überhaupt direkt im Browser geöffnet werden sollten, statt heruntergeladen und in Ruhe später betrachtet.
Das würde einem Antivirenprogramm die Arbeit nicht unerheblich erleichtern.
Auch ein Java-Plugin braucht fast niemand, selbst wenn Java auf seinem Rechner irgendwie benötigt wird.

Allerdings erschweren auch Software-Lieferanten diese Geschichte zunehmend, indem sie z.B. in den Standard-Einstellungen ihrer Installationen ungefragt Browser-Plugins aktivieren, anstatt das nur auf Nachfrage und Wunsch zu tun. Das halte ich für genau so fragwürdig wie die oft leicht zu übersehende und bei jedem Update immer wieder aufgenötigte Mitinstallation von Toolbars und ähnlichem Dreck...
Auch manche Anbieter alternativer Software für Standardanwendungen treiben inzwischen diesen Blödsinn :Kopf

Ganz sicher darf davon ausgegangen werden, dass derlei bei Apps für 8 überhaupt nicht besser wird, sondern eher noch viel schlimmer, weil man "natürlich" die Nutzer einer extrem schlicht gekachelten Grobmotoriker-Oberfläche für schlichte Gemüter nicht mit "komplizierten" Nachfragen bremsen will.
Intuitiv naiv per Fingerwisch 'ne App geholt, sogleich das komplette System leck geschlagen...

Ein ausgewachsenes Windows ist nämlich auch für seine Hersteller weit schwieriger robust zu halten (oder wenigstens irgendwann zu machen), als ein schon aus Platzgründen eher kompakt bis kärglich gehaltenes Smartphone-Betriebssystem.
Was nicht drin ist, geht auch nicht kaputt...

Jürgen
Titel: BSI warnt vor Schadcode von Werbe-Servern
Beitrag von: SiLæncer am 19 Januar, 2013, 14:22: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Online-Werbung, mit der schädlicher JavaScript-Code ausgeliefert werde. Offenbar nutzen Angreifer seit kurzem verstärkt eine Sicherheitslücke im Advertising-Server OpenX, die bereits länger bekannt ist. Das BSI habe in den letzten Tagen zunehmend kompromittierte OpenX-Server identifiziert, die Werbung auf deutschsprachigen Webseiten ausliefern. Die Betreiber der Server seien informiert worden, es sei jedoch davon auszugehen, dass noch viele weitere OpenX-Server betroffen sind.

Diese OpenX-Server liefern mit den Werbebannern JavaScript-Code aus, der auf Exploit-Kits verweist. Diese nutzen unter anderem die kürzlich bekannt gewordenen Schwachstellen in Java und in Microsofts Internet Explorer aus, für die es mittlerweile Patches gibt. Sind die Lücken nicht geschlossen, soll es möglich sein, Schadprogramme auf den PCs der Besucher von Webseiten zu installieren, auf denen Werbebanner von kompromittierten OpenX-Servern eingeblendet werden.

Quelle : www.heise.de
Titel: Re: BSI warnt vor Schadcode von Werbe-Servern
Beitrag von: Jürgen am 20 Januar, 2013, 05:16: Da es offenbar keine öffentlichen Informationen über solche betroffenen Dreckschleudern zu geben scheint, gibt es wohl nur noch eine Alternative, ganz brutal Adblocker einsetzen.

Und den Browserschmieden sei ganz dringend angeraten, endlich Optionen einzubauen, die Javascript von außerhalb der angesteuerten Domain gänzlich auszuschalten erlauben.
Die bekannten Täuschungsversuche z.B. mit verfälschten Schließen-Knöpfen und Fokus-Manipulationen von Popups sind nämlich kaum weniger übel :x

Und ich werde wohl einige Zeit damit verbringen festzustellen, wo ich Javascript überhaupt noch wirklich brauche *)
Dann herrscht hier künftig noch strengere Browser-Trennung.

Wo ist bloß das gute alte Kotz-Smiley geblieben, wenn man's mal wieder dringend bräuchte...

Jürgen

*)
eBay gehört leider dazu, Javascript offenbar zwingend benötigt.
Und gerade dort sind Werbeeinblendungen sowohl durch Verkäufer als auch von Dritter Seite die Regel.
Fremde Popups sind zwar nicht erlaubt, aber das hilft nicht aktuell, sondern allenfalls nach Beschwerde.
Und Scripte müssen ja gar nicht immer sichtbar ein Popup öffnen.
Ganz ohne Javascript aber sind etliche wichtige Funktionen der eBay-Seiten nicht nutzbar.

Und bei uns hier geht offenbar die Shout nicht ohne.
Titel: BSI warnt vor virenverseuchten ELSTER-Steuerbescheiden
Beitrag von: SiLæncer am 31 Januar, 2013, 18:00: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor E-Mails, die einen vermeintlichen ELSTER-Steuerbescheid als Anhang enthalten. Die gezippte Datei "Elster.exe" aus dem Anhang sollte auf keinen Fall ausgeführt werden, da es sich um eine Schadsoftware handelt. Bisher bekannte Absenderadressen sind: finanzamt-online@elster.de, online at elster.de, einkommensteuerbescheid at elster.de, Steuerverwaltung at elster.de.

Die unbekannten Versender der Virenmail behaupten, dass "von Ihrem Finanzamt bzw. Ihrer Steuerverwaltung über das Verfahren ELSTER eine verschlüsselte Zip-Datei zur Abholung bereitgestellt" wurde. Unterzeichnet ist die E-Mail mit "Ihr Finanzamt / Ihre Steuerverwaltung". Elektronische Steuerbescheide werden aber nicht per E-Mail verschickt: Um diese zu empfangen benötigt man spezielle Software.

Der ganze Artikel (http://www.heise.de/security/meldung/BSI-warnt-vor-virenverseuchten-ELSTER-Steuerbescheiden-1795174.html)

Quelle : www.heise.de
Titel: Re: BSI warnt vor virenverseuchten ELSTER-Steuerbescheiden
Beitrag von: Jürgen am 01 Februar, 2013, 00:54: Um Missverständnissen vorzubeugen:

Die Finanzbehörde versendet sehr wohl E-Mails über die Erstellung eines Steuerbescheides, sofern man dies z.B. per ELSTER angefordert hat.
Darin sind aber weder irgendwelche Anhänge noch Links auf Steuerdaten enthalten.
Der einzige in den vergangenen Jahren dafür verwendete Absender ist benachrichtigung(at)elster.de
Ließe sich aber ggf. auch fälschen...

Sofern eine elektronische Kopie des Steuerbescheids überhaupt möglich ist, gelangt man an diese stets nur in Verbindung mit der zur Erklärung verwendete Software oder ggf. nach Login auf dem elster.de Server.
Natürlich sind diese dann in PDF, weder komprimiert noch verschlüsselt oder gar ausführbar.
Genauso wie die vorher z.B. von ELSTER erstellten Formulare, wie die Kurzerklärung und die unverbindliche Vorausberechnung.

Im Laufe von 2013 sind Änderungen zu erwarten, z.B. eine elektronische Authentifizierung betreffend.
Mehr dazu natürlich auf elster.de

Rechtsverbindlich ist ein Steuerbescheid aber immer nur in Papierform.
Darauf weist auch ELSTER ausdrücklich hin.

Und nicht vergessen, noch ist es ohnehin zu früh im Jahr, denn alle erforderlichen Module für ELSTER stehen erst voraussichtlich Ende Februar zur Verfügung.
So sollte man mit einem Bescheid wirklich noch nicht rechnen, solange die Zeitmaschine noch nicht erfunden ist :hmm

Jürgen
Titel: BSI warnt erneut vor Malware-Infektionen über Werbebanner
Beitrag von: SiLæncer am 05 April, 2013, 17:01: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor einer großflächigen Verteilung von Malware über herkömmliche Werbebanner. Die Infektion erfolgt über bekannte Schwachstellen in Java, Adobe Reader, Adobe Flash oder Microsoft Internet Explorer.

Infektion beim Website-Besuch

Besonders brisant: Das Anklicken der mit schädlichem JavaScript-Code manipulierten Anzeigen ist laut BSI nicht notwendig. Bereits der Besuch einer Website mit derartigen Bannern genüge bei anfälligen Systemen, um den Computer zu kompromittieren (Drive-by-Infektion). Betroffen sind demnach zudem keineswegs etwa zwielichtige Adressen im Netz, sondern viele bekannte und teils populäre deutschsprachige Websites - etwa Online-Angebote von Nachrichten-, Politik-, Lifestyle- und Fachmagazinen, Tageszeitungen, Jobbörsen sowie Städteportale.

Der ganze Artikel (http://www.onlinekosten.de/news/artikel/52255/0/BSI-warnt-erneut-vor-Malware-Infektionen-ueber-Werbebanner?utm_source=rss2&utm_medium=feed)

Quelle: www.onlinekosten.de
Titel: Re: BSI warnt erneut vor Malware-Infektionen über Werbebanner
Beitrag von: Jürgen am 06 April, 2013, 03:08: Konsequenzen wurden hier schon gezogen.

Für Zugriffe auf's Bankkonto verwende ich in letzter Zeit nur noch einen portablen Browser, ohne jegliche Plugins.
Und nicht auf dem Rechner installiert, sondern auf einem USB 3.0 Stick.
Dieser Browser wird zudem einzig und allein dafür verwendet.
Der Stick befindet sich ansonsten natürlich am Mann und nicht am PC.
Ein Backup befindet sich für alle Fälle auf einem zweiten sicher verwahrten Stick.
Gelegentlich erforderliche Updates erfolgen dann auch (abwechselnd) direkt auf die Sticks, nach kurzer Sicherheitskopie des jeweiligen Profilordners, auch nur auf dem Stick.

Meine Bank verwendet auf ihrem Online-Banking-Portal glücklicherweise keine Werbebanner.
Dennoch handhabe ich die Einstellungen dieses Browsers äußerst restriktiv, eben genau passend für diese einzige Aufgabe.

Und zu guter Letzt nutze ich Online-Banking überhaupt nur zu Kontrollzwecken, aber keinesfalls für Zahlungen.
TANs habe ich mir noch niemals geholt, denn nicht weit von hier gibt es mehrere Überweisungsautomaten, die ich ggf. selbst mitten in der Nacht nutzen kann.
Und für deren Sicherheit bin ich definitiv nicht verantwortlich :P

Jürgen
Titel: BSI warnt vor Hintertür im Werbe-Server OpenX Ad
Beitrag von: SiLæncer am 06 August, 2013, 21:19: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor einer Hintertür in der Online-Werbe-Software OpenX Ad gewarnt. OpenX ist eine breit eingesetzte Software zur Verwaltung und Auslieferung von Werbebannern auf Webseiten. Die entdeckte Hintertür in der aktuellen Version 2.8.10 des OpenX-Ad-Servers ermögliche einem Angreifer, aus der Ferne beliebigen Programmcode der Skriptsprache PHP auf dem betroffenen Servern auszuführen.

Schwachstelle wird bereits ausgenutzt

Die Hintertür war nach Angaben des BSI von einem Leser des IT-Fachmediums "heise security" entdeckt und anschließend vom dem Bundesamt bestätigt worden. Sie werde bereits von Angreifern ausgenutzt.

Der Hersteller der OpenX-Software habe die mit der Schadsoftware versehenen Installationspakete von seinem Download-Server entfernt und arbeitet nach Erkenntnissen von heise an einer offiziellen Sicherheitsmeldung. "Das BSI geht davon aus, dass die Hintertür bereits seit mehreren Monaten in den Installationspaketen enthalten war."

Das BSI empfiehlt Administratoren von OpenX-Ad-Servern, ihre Systeme zu überprüfen. Am Morgen hatte es bereits eine Warnung vor Vodafone-Routern gegeben.

Quelle : http://www.onlinekosten.de
Titel: BSI Sicherheitskompass: Zehn Regeln für mehr Sicherheit im Netz
Beitrag von: SiLæncer am 27 September, 2013, 16:30: Das BSI beteiligt sich mit der Aktion "BSI Sicherheitskompass" am diesjährigen europäischen Cybersicherheitsmonat, der im Oktober stattfindet. Zehn Faustregeln hat das Bundesamt für Sicherheit in der Informationstechnik in Zusammenarbeit mit der Polizeilichen Kriminalprävention der Länder aufgestellt:

1. Verwenden Sie sichere Passwörter.
2. Schränken Sie Rechte von PC-Mitbenutzern ein.
3. Halten Sie Ihre Software immer auf dem aktuellen Stand.
4. Verwenden Sie eine Firewall.
5. Gehen Sie mit E-Mails und deren Anhängen sowie mit Nachrichten in Sozialen Netzwerken sorgsam um.
6. Erhöhen Sie die Sicherheit Ihres Internet-Browsers.
7. Vorsicht beim Download von Software aus dem Internet.
8. Sichern Sie Ihre drahtlose (Funk-)Netzwerkverbindung.
9. Seien Sie zurückhaltend mit der Angabe persönlicher Daten im Internet.
10. Schützen Sie Ihre Hardware gegen Diebstahl und unbefugten Zugriff.

Zu den zehn Regeln haben Polizei und BSI weitere Tipps (http://www.polizei-beratung.de/themen-und-tipps/gefahren-im-internet/sicherheitskompass/sichere-passwoerter.html) verfasst, um etwa zu beschreiben, wie ein sicheres Passwort aussieht, wie mit voreingestellten Passwörtern verfahren werden sollte und wo Passwörter aufzubewahren sind. Die Tipps werden auch in Videos kurz erklärt. Webseitenbetreiber können den Sicherheitskompass in ihre Seite einbinden (http://www.polizei-beratung.de/installationsanleitung-sicherheitskompass.html) und so an der Aktion teilnehmen.

Das BSI weist darauf hin, dass sich laut einer aktuellen Umfrage nur rund die Hälfte der Befragten vom Thema IT-Sicherheit betroffen fühlt. Für über 50 Prozent sei das Thema nur gering bis überhaupt nicht relevant. Besonders der Schutz von mobilen Geräten stehe weniger im Blickpunkt. Während der PC Zuhause mit Antivirensoftware und regelmäßigen Sicherheitsupdates geschützt wird, installieren 40 Prozent der Nutzer auf mobilen Geräten nie Updates.

Der Cybersicherheitsmonat kommt ursprünglich aus den USA und heißt dort National Cyber Security Awareness Month. Er wird dort seit dem Jahr 2004 veranstaltet. Der europäische Cybersicherheitsmonat wird seit 2012 ausgerichtet und maßgeblich von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) betreut.

Quelle : www.heise.de
Titel: BSI will TLS 1.2 als Mindeststandard für den Bund
Beitrag von: SiLæncer am 08 Oktober, 2013, 19:30: Ein "Mindeststandard" muss nicht das sein, was der Begriff nahelegt. Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine solche Norm definiert, dann handelt es sich zunächst um eine "unverbindliche Empfehlung". So steht es auch mit dem jetzt verlangten Einsatz von TLS 1.2 als Transportverschlüsselung im Internet. Bundesbehörden sollen ab sofort dieses sichere Verfahren in Verbindung mit Perfect Forward Security (PFS) verwenden. PFS verspricht, auch die nachträgliche Entschlüsselung einer mitgeschnittenen Kommunikation zu verhindern. Verbindlich für die Bundesbehörden wird der jetzige Mindeststandard erst nach Zustimmung des IT-Planungsrats und des Bundesinnenministeriums.

Allerdings, so das BSI, könne eine Migration zu TLS 1.2 "kosten- und zeitintensiv sein". Daher rät es, "bis zur Umstellung zusätzliche Schutzmaßnahmen umzusetzen." Das angreifbare TLS 1.0 dürfe weiterhin eingesetzt werden, wenn Abwehrmaßnahmen gegen bekannte Angriffe wie BEAST ergriffen werden.

Bislang unterstützen Opera, Chrome 30 und der Internet Explorer von Microsoft TLS 1.2. Dort muss der Nutzer es jedoch teilweise erst aktivieren. Die Firefox-Entwickler arbeiten seit längerer Zeit daran, Safari auf Mac OS X nutzt immer noch TLS 1.0. Die iOS-Version des Browsers hingegen nutzt Version 1.2. Auch das dürfte den vom BSI geforderten Umstieg auf TLS 1.2 "auf beiden Seiten der Kommunikationsverbindung" erschweren.

Quelle : www.heise.de
Titel: Web-Seiten von Bund und BSI mit gefährlicher Verschlüsselung
Beitrag von: SiLæncer am 12 November, 2013, 13:37: Die Web-Seiten des Bundes und insbesondere des BSI erzwingen eine Verschlüsselung, die die NSA wohl knacken kann. Dabei sollten es gerade die Experten des Bundesamtes für Sicherheit in der Informationstechnik eigentlich besser wissen.

Wie ein einfacher Test mit dem Open-Source-Tool sslscan enthüllt, unterstützen Server wie der des BSI und BSI für Bürger nur vier Verfahren zur Verschlüsselung:

# sslscan www.bsi.de | grep Accepted
Accepted SSLv3 128 bits RC4-SHA
Accepted SSLv3 128 bits RC4-MD5
Accepted TLSv1 128 bits RC4-SHA
Accepted TLSv1 128 bits RC4-MD5

Alle vier erfordern eine Verschlüsselung mit RC4, die man heutzutage eigentlich nicht mehr einsetzen sollte. "Die Stromchiffre RC4 hat bekannte kryptographische Schwächen" erklärt das BSI in seiner sehr guten Technischen Richtlinie für Kryptographische Verfahren. Die folgende Einschätzung, dass diese "nicht zu praktischen Angriffen führen" darf allerdings mittlerweile als überholt gelten. Nach aktuellen Erkenntnissen sollte man vielmehr davon ausgehen, dass die NSA die RC4-Verschlüsselung in Echtzeit knacken kann.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Web-Seiten-von-Bund-und-BSI-mit-gefaehrlicher-Verschluesselung-2043681.html)

Quelle : www.heise.de
Titel: Webseiten-Verschlüsselung: Viel Nachbesserung notwendig
Beitrag von: SiLæncer am 13 November, 2013, 05:30: Das Problem mit dem Zwang zum wahrscheinlich abhörbaren Verschlüsselungsverfahren RC4 weitet sich aus. Auch diverse Banken erlauben keine sichere Verschlüsselung und das österreichische Online-Finanzamt hat soeben erst in aller Eile nachgebessert. Auch das BSI will seine Server jetzt zügig umstellen.

heise Security berichtete darüber, dass das Portal der Bundesverwaltung bund.de und insbesondere das BSI Verschlüsselung ausschließlich mit dem unsicheren Verschlüsselungsverfahren erfordern. Dabei schreibt die BSI-Richtlinie zum Einsatz von TLS zwingend vor, dass auch AES unterstützt werden muss. Im Gefolge der Nachricht erreichten uns zahlreiche Hinweise von Lesern, dass etliche Banken, darunter die Volksbanken Raiffeisenbanken, eine ähnlich unsichere Konfiguration mit RC4 und ohne Forward Secrecy erzwingen. Das mag daran liegen, dass deren IT-Dienstleister, die Fiducia, bei den betreuten Seiten voll und ausschließlich auf das geknackte RC4 setzt. Auch die Comdirect gestattet AES-Verschlüsselung nur in Kombination mit TLS 1.1/1.2, das allerdings nicht alle Browser beherrschen; Forward Secrecy bietet die Bank mit keinem Browser.

Der ganze Artikel (http://www.heise.de/security/meldung/Webseiten-Verschluesselung-Viel-Nachbesserung-notwendig-2044161.html)

Quelle : www.heise.de
Titel: Re: BSI diverses ...
Beitrag von: Hans Vader am 14 November, 2013, 18:17: Im Firefox - Browser kann man die Benutzung der RC4 - Verfahren bequem verbieten:

about:config in der Adresszeile aufrufen.
Nach RC4 suchen und "Wert" nach false umschalten.

Das war es ;D....
Titel: BSI: Mehrere Millionen E-Mail-Konten durch Botnetze geknackt
Beitrag von: SiLæncer am 21 Januar, 2014, 13:26: Internetnutzer sollten auf den Webseiten des BSI dringend prüfen, ob ihre E-Mail-Adressen und dazugehörige Passwörter von Botnetzen abgegriffen wurden. Betroffen sind mehrere Millionen E-Mail-Adressen.

Dem Bundesamt für Sicherheit in der Informationstechnik wurden von Forschern und Strafverfolgern Daten übergeben, die auf millionenfachen Identitätsdiebstahl hinweisen. Insgesamt sollen 16 Millionen digitale Identitäten betroffen sein. Nutzer können auf einer vom BSI eingerichteten Webseite überprüfen, ob sie betroffen sind.

Auf der Website des BSI können Internetnutzer ihre E-Mail-Adresse eingeben und erhalten daraufhin einen Prüfcode. Bekommen sie daraufhin eine E-Mail an die angegebene Adresse mit entsprechendem Prüfcode im Betreff, bedeutet das, dass Botnetze Daten zu dieser E-Mail-Adresse gesammelt haben. In der Mail des BSI werden den Betroffenen Tipps gegeben, wie sie ihren Computer reinigen und Zugangsdaten unter Umständen besser gestalten und sichern können. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.

Der ganze Artikel (http://www.heise.de/security/meldung/BSI-Mehrere-Millionen-E-Mail-Konten-durch-Botnetze-geknackt-2090167.html?wt_mc=sm.feed.tw.security)

Quelle : www.heise.de
Titel: Re: BSI: Mehrere Millionen E-Mail-Konten durch Botnetze geknackt
Beitrag von: Jürgen am 22 Januar, 2014, 01:25: Kleiner Hinweis zur bei heise erwähnten Server-Überlastung:

Kommt es nach der Eingabe der eMail-Adresse zu einer Server-Fehlermeldung, bevor der jeweilige Prüfcode angezeigt wird, sollte man einfach die Seite aktualisieren (z.B. per F5) und die eventuelle Nachfrage des Browsers zur erneuten Übertragung der Eingaben bestätigen. Ohne den Prüfcode wäre nämlich die ganze Aktion sinnlos, und beim zweiten Versuch klappt's erfahrungsgemäß doch.

Allerdings sollte sich jeder Nutzer zunächst seine eigenen Gedanken machen, ob er eventuell mehrere eMail-Adressen innerhalb einer Sitzung eingeben möchte, die er sonst aus Sicherheitsgründen streng getrennt handhabt.
Ich selbst mag nicht wirklich dazu raten, denn weder dem Bund noch seinen Organen schenke ich in dieser Zeit allzu großes Vertrauen.
Immerhin haben die Bundesregierungen regelmäßig Kenntnis von den größten Spionageaktionen der "Verbündeten" gehabt und diese teils auch erlaubt oder gar aktiv befördert.
Und Datenschutzbeauftragte waren oder gaben sich ahnungslos...

So habe ich lediglich eine einzige meiner Adressen prüfen lassen, die ohnehin aufgrund massiven Spam-Befalls nicht mehr genutzt und demnächst ganz abgestellt wird.
Gesammelte Adressen gebe ich auch so nicht preis!

Jürgen
Titel: BSI wusste seit Dezember von millionenfachem Identitätsklau
Beitrag von: SiLæncer am 22 Januar, 2014, 13:40: Der millionenfache Diebstahl von E-Mail/Passwort-Kombinationen war dem BSI bereits seit Dezember bekannt. Das Amt habe aber erst ein Prüfverfahren aufsetzen wollen, das dem Ansturm gerecht wird, sagte BSI-Präsident Hange. Das hat aber nicht ganz geklappt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wusste bereits seit Dezember von dem millionenfachen Diebstahl von E-Mail/Passwort-Kombinationen. Das hat BSI-Präsident Michael Hange dem Bayerischen Rundfunk bestätigt. "Die Vorbereitungen, ein Verfahren aufzusetzen, dass datenschutzgerecht ist und einer derart großen Zahl von Anfragen gewachsen ist, bedurfte einer Vorbereitungszeit", sagte er. Trotzdem ist die Seite, auf der Nutzer prüfen können, ob ihre Mailadresse betroffen ist, weiterhin nur sporadisch zu erreichen.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/BSI-wusste-seit-Dezember-von-millionenfachem-Identitaetsklau-2093423.html)

Quelle : www.heise.de
Titel: Re: BSI wusste seit Dezember von millionenfachem Identitätsklau
Beitrag von: Jürgen am 23 Januar, 2014, 00:30: Vorhin in der Tagesschau wurde schon von 14 Millionen Anfragen und 900 000 Treffern berichtet.

Es steht nur zu hoffen, dass die so entstehende Sammlung von gültigen bzw. aktiven Adressen nicht von der NSA oder ähnlichen charakterlich defizitären Elementen samt IP-Adressen abgefischt wird.
Immerhin ist "unsere" Bundes-Angie gegen solche Handlungen, die nicht direkt sie selbst betreffen, noch nicht vernehmbar vorgegangen.
Und einen zweiten Snowden gibt's wohl nicht... :wall

Jürgen
Titel: BSI: Beim Selbsttest durchgefallen
Beitrag von: SiLæncer am 23 Januar, 2014, 13:30: Das BSI beschreitet neue Wege und stellt eine Webseite bereit, die verrät, ob man Opfer von Identitätsdiebstahl geworden ist. Dabei zeigt sich vor allem, dass es noch viel Optimierungspotenzial gibt.

Das Bundesamt für Sicherheit in der Informationstechnik sitzt also auf einem Berg geklauter Zugangsdaten und lässt uns alle daran teilhaben – 16 Millionen "digitale Identitäten" sind betroffen. Freilich kann das BSI den Identitätsklau nicht rückgängig machen, aber immerhin verrrät man auf Anfrage, ob sich eine bestimmte unter dem sichergestellten Diebesgut befindet. Auch wenn Bundesinnenminister Thomas de Maizièrea das für eine "vorzügliche Aktion" hält, bleibt fragwürdig, ob das BSI damit sich und den Opfern einen Gefallen getan hat.

Während sich die Nachricht von dem millionenfachen Datenklau über die Medien wie ein Lauffeuer verbreitete, zeigte sich, dass das BSI das öffentliche Interesse – und die daraus resultierenden Anforderungen an die Infrastruktur – hoffnungslos unterschätzt hatte. Wer, aufgescheucht durch Funk und Fernsehen, die eigens eingerichtete Prüfseite des BSI aufrief, wurde oft nicht bedient, da die Server unter der Last der Anfragen zusammenbrachen.

Wer sich dann schließlich doch durchgekämpft hat, muss einwilligen, dass seine bei der Prüfung anfallenden personenbezogenen Daten "erhoben, verarbeitet und genutzt werden dürfen" – auf den Datenklau folgt die Datenspende. Auch danach ist noch kein Entwarnung in Sicht. Entwarnung stand so nämlich gar nicht im Konzept des BSI. Rückmeldung bekommt nur, wer betroffen ist -- und das per Mail.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Kommentar-zum-BSI-Beim-Selbsttest-durchgefallen-2093958.html)

Quelle : www.heise.de
Titel: Re: BSI diverses ...
Beitrag von: dada am 23 Januar, 2014, 19:27: In diesem Zusammenhang bekam ich heute eine Email:
"Dear Customer,

Your credit card has been successfully processed.

FLIGHT NUMBER DT7803832015
ELECTRONIC 3763996351
DATE & TIME / JAN 26, 2014, 05:38 AM
ARRIVING / Washington
TOTAL PRICE / 479.18 USD

Please download and print your ticket from the following URL :
htttps://www.delta.com/flifo/servlet/DeltaDLTicket?airline_code=DL&flight_number=DT7803832015&order_date=01/26/2014&request=main

For more information regarding your order, contact us by visiting :
htttps://www.delta.com/content/www/en_US/support/talk-to-us.html

Thank you
Delta Airlines."

Meine Kreditkarte wurde bisher nicht belastet, den Flug habe ich nie gebucht, den Link für das Ticket habe ich natürlich nicht geklickt, bei Delta habe ich nach meiner Buchung gesucht, aber da war natürlich nichts. Washington wäre schon passend, weil ich da oft gelandet bin, aber ein Abflugort wurde in der Mail nicht genannt. Meine Nachfrage bei BSI war heute negativ. Würde mich wirklich interessieren, wohin der obere Link führt...
Sachen gibt's :hmm

hab schnell noch die links inaktiviert
Titel: Millionenfacher Identitätsklau: "Fiktive" Mail-Adressen in BSI-Sammlung
Beitrag von: SiLæncer am 24 Januar, 2014, 17:15: Nicht jede E-Mail-Warnung des Bundesamts für Sicherheit in der Informationstechnik lässt auf einen geknackten Online-Zugang schließen. Laut BSI könnte der Datenberg "fiktive" Adressen enthalten, und die sogar mehrfach.

Die Anfang der Woche in den Blickpunkt der Öffentlichkeit gerückte Datensammlung des BSI enthält offenbar eine Menge Datenmüll. Die behördliche E-Mail mit der entsprechenden Warnung ist bei diversen von der iX-Redaktion eingerichteten Freemailer-Adressen eingegangen, die lediglich dem Einsammeln von Spam dienen, darunter bei web.de und freenet.

Nicht geschützt

Von einem Identitätsdiebstahl kann in diesen Fällen keine Rede sein, denn die iX setzt die Spamfallen rein passiv ein und niemals als Benutzernamen für Online-Dienste. Bereits nach einer Handvoll Stichproben lagen mehrere positive Ergebnisse vor. Außerdem trafen etliche E-Mails ein, die offenbar von unbekannten Dritten auf der Test-Webseite des BSI ausgelöst worden waren. Manche Accounts erhielten sogar mehrere E-Mails innerhalb weniger Minuten. Wie ein weiterer Test mit dem Kommandozeilen-Werkzeug wget ergab, ist die BSI-Webseite zudem offenbar nicht gegen automatisierte Abfragen geschützt.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Millionenfacher-Identitaetsklau-Fiktive-Mail-Adressen-in-BSI-Sammlung-2096798.html)

Quelle : www.heise.de
Titel: Millionenfacher Identitätsklau: BSI war seit August informiert
Beitrag von: SiLæncer am 17 Februar, 2014, 13:25: Wie jetzt bekannt wurde, wusste das Bundesamt für Sicherheit in der Informationstechnik seit August vom Datenklau durch Botnetze. Das BSI hatte die Öffentlichkeit erst Mitte Januar informiert. Die grüne Opposition spricht von einer "skandalösen Wendung".

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wusste seit August vom Identitätsdiebstahl durch Botnetze, war sich aber zuerst nicht über die Ausmaße des Fundes im Klaren und hatte die Öffentlichkeit erst im Januar informiert. Das geht aus einer Anfrage des grünen Bundestagsabgeordneten Konstantin von Notz hervor. Das Innenministerium bestätigt in der Antwort auf die Anfrage, die zuständige Staatsanwaltschaft und das BKA habe einen Probedatensatz mit Adressen aus dem Bundestag und der Bundesverwaltung an das BSI zur Prüfung übermittelt. Die Staatsanwaltschaft war auf die Daten im August zufällig im Rahmen eines Strafverfahrens gestoßen.

Nach Prüfung der persönlichen Daten der Betroffenen stellte das BSI fest, dass eine größere Datenmenge betroffen sein musste. Daraufhin führte die Behörde im September weitere Gespräche mit den Ermittlungsbehörden und erhielt schließlich am 19. Dezember die Erlaubnis, die Betroffenen zu informieren. Wie und zu welchem Zeitpunkt das BSI die Öffentlichkeit informiert hatte, ist laut Innenministerium der Tatsache geschuldet, dass die Daten aus einem laufenden Ermittlungsverfahren stammen. Auch musste das BSI während des Prozesses Stillschweigen bewahren, um die Ermittlungen nicht zu gefährden.

Wie heise online berichtete, mussten die zu veröffentlichenden Daten ebenfalls aus Datenschutzgründen genau geprüft werden. Der Prüfungsprozess musste laut Innenministerium sorgfältig mit den Ermittlungsbehörden abgestimmt werden. Auch habe man die Webseite des BSI-Sicherheitstests gegen Hackerangriffe abhärten müssen. Aus der Kombination all dieser Faktoren ergibt sich laut Innenministerium die viermonatige Verzögerung.

Konstantin von Notz spricht angesichts der neuen Informationen von einer "skandalösen Wendung im 16-millionenfachen Identitätsdiebstahl von E-Mailadressen" und betont: "Statt einer umgehenden Warnung der Betroffenen zur Ermöglichung von Selbstschutzmaßnahmen passierte schlicht … nichts. Dies ist damit der größte IT-Sicherheitsskandal bundesdeutscher Stellen seit dem Bekanntwerden der Snowden-Papiere." Es könne nicht sein, dass in der Öffentlichkeit der Eindruck entstehe, dass ausgerechnet diejenigen staatlichen Stellen, die zur Gewährleistung der Sicherheit der Bürgerinnen und Bürger tätig sind, gemeinschaftlich und gezielt daran arbeiteten, die Aufklärung des Herganges zum Zweck der Verhinderung eines erneuten vergleichbaren Zwischenfalles, zu verhindern.

Quelle : www.heise.de
Titel: Sicherheitswarnung zur Signatur von Bürger-CERT-Mails
Beitrag von: SiLæncer am 14 März, 2014, 14:24: Das BSI verwendet für verschiedene Mail-Dienste wie das Bürger-CERT eine S/MIME-Signatur, die Mail-Clients und Webmailer als unsicher markieren.

Das Bundesamt für Sicherheit in der Informationstechn9ik betreibt mit dem Bürger-CERT einen Informationsdienst, der Abonnenten per E-Mail über Entwicklungen im Bereich Sicherheit und akute Sicherheitsprobleme auf dem Laufenden hält. Auf Wunsch versieht das BSI die Mails mit einer S/MIME-Signatur. Sie soll Empfänger davor schützen, auf gefälschte Warnungen hereinzufallen. Leider bemängeln Mail-Clients und Webmailer die vom BSI verwendete Signatur als ungültig, da sie das Zertifikat nicht überprüfen können.

Der ganze Artikel (http://www.heise.de/security/meldung/Sicherheitswarnung-zur-Signatur-von-Buerger-CERT-Mails-2145053.html)

Quelle : www.heise.de
Titel: Erneuter Datenklau: BSI will Nutzer "mit Hochdruck" informieren
Beitrag von: SiLæncer am 04 April, 2014, 16:36: Das Bundesamt für Sicherheit in der Informationstechnik hat weitere Details darüber verlauten lassen, wie es betroffene Nutzer im Fall der 18 Millionen entwendeten Online-Konten informieren will.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitet nach eigenen Angaben "derzeit mit Hochdruck" daran, die Besitzer der E-Mail-Adressen zu informieren, deren Daten die Staatsanwaltschaft Verden im Zuge von Ermittlungen erhalten hat. Von den 18 Millionen E-Mail-Adressen (http://www.heise.de/security/meldung/Erneuter-Datenklau-18-Millionen-E-Mail-Passwoerter-aufgetaucht-2162461.html) sollen mehrere Millionen deutschen Nutzern gehören. Das BSI will Betroffene jetzt in Zusammenarbeit mit den "großen E-Mail-Providern" direkt kontaktieren.

Ungefähr 30 Prozent der deutschen E-Mail-Adressen seien allerdings bei anderen Providern oder von den Nutzern selbst gehostet. Für diese Betroffenen will das BSI einen Warndienst einrichten. Wie genau die Behörde vorgehen will, soll am Montag bekanntgegeben werden. Bis dahin verweist das BSI auf grundlegende Regeln (http://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Checklisten/Massnahmen_gegen_Internetangriffe.html) zur Vermeidung von Identitätsdiebstählen. Wer sein E-Mail-Passwort für viele Seiten im Netz gleichzeitig verwendet, sollte den Vorfall eventuell schon mal zum Anlass nehmen, diese Passwörter zu ändern.

Momentan ist nicht bekannt, woher der Datensatz mit E-Mail-Adressen und Passwörtern stammt, den das BSI von den Verdener Staatsanwälten erhalten hat. Es wird vermutet, dass ein Zusammenhang zu dem Fall von massenhaftem Identitätsdiebstahl besteht, der im Januar bekannt wurde. Das BSI war bei diesem ersten Fall für seine Informationspolitik gegenüber den Betroffenen in die Kritik geraten.

Quelle : www.heise.de
Titel: Millionenfacher Datenklau: Provider sollen Opfer informieren
Beitrag von: SiLæncer am 07 April, 2014, 13:26: Das BSI geht nach dem Fund von 18 Millionen Mail-Adressen und Passwörtern einen Schritt weiter als beim vorigen Mal: Die Mail-Provider sollen Ihre Kunden über das Sicherheitsproblem informieren – das geschieht offenbar per E-Mail an den gehackten Account.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt die Daten der von dem millionenfachen Identitätsdiebstahl betroffenen Nutzer an die jeweiligen Provider weiter. Diese sollen ihre Kunden dann über das Sicherheitsproblem informieren. Dies gab das BSI am heutigen Montag bekannt. Diese Idee hat allerdings einen Haken: Die Nutzer werden per Mail informiert – an ihren potenziell gehackten Account.

Insgesamt 21 Millionen Datensätze, bestehend aus jeweils einer E-Mail-Adresse und einem Passwort, hat die Staatsanwaltschaft Verden (Aller) dem BSI überlassen. Nach "technischer Analyse und Bereinigung" verblieben noch 18 Millionen Datensätze, drei Millionen davon lassen sich deutschen Mail-Providern zuordnen. Bei den Providern handelt es sich um Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de. Die Deutsche Telekom erklärte, dass sich 87.000 T-Online-Kunden unter den Opfern befinden, bei Vodafone sind es 80.000 Betroffene.

Der ganze Artikel (http://www.heise.de/security/meldung/Millionenfacher-Datenklau-Provider-sollen-Opfer-des-Identitaetsdiebstahls-informieren-2164687.html)

Quelle : www.heise.de
Titel: "Datenklau": GMX und Web.de sperren betroffene Mailkonten
Beitrag von: SiLæncer am 07 April, 2014, 18:28: Seit dem heutigen Nachmittag werden vom sogenannten Datendiebstahl betroffene Kunden von GMX und Web.de aufgefordert, ihr Mail-Passwort zu ändern. Bis dahin sind sie für den Versand von E-Mails gesperrt.

Die United-Internet-Töchter GMX und Web.de haben offenbar heute begonnen, solche Konten zu sperren, die sich auf der vergangene Woche aufgetauchten Liste von 18 Millionen E-Mail-Adressen befinden. Adressen, die hier auftauchen, haben die beiden Provider für den Mailversand gesperrt, insbesondere auch für automatisierte Weiterleitungen an andere Adressen. Gerade bei Web.de mit einem knapp bemessenen Speicherplatz für den Posteingang betrifft das zahlreiche Kunden. Betroffene, die sich über die Web-Oberfläche von GMX oder Web.de einloggen, werden dort aufgefordert, ihr Passwort zu ändern und ein Captcha einzugeben.

Der ganze Artikel (http://www.heise.de/ix/meldung/Datenklau-GMX-und-Web-de-sperren-betroffene-Mailkonten-2165338.html)

Quelle : www.heise.de
Titel: BSI lädt zum Gedächtnis-Test
Beitrag von: SiLæncer am 08 April, 2014, 16:44: 18 Millionen Zugangsdaten und drei Monate später. Auch im zweiten Anlauf sorgt der Passwort-Test des BSI vor allem für zwei Dinge: Verwirrung und Raum für Verbesserungen.

Als hätte ich es geahnt, lädt das BSI die Bürger der Bundesrepublik Deutschland erneut zum Passwort-Selbsttest. Okay, es ist nicht nur ein Monat vergangen, sondern drei. Man sollte meinen, dass diese Zeit ausreicht, um das viel kritisierte Verfahren zu verbessern. Und ja, tatsächlich hat sich etwas getan. Allerdings hat das BSI die Kritikpunkte nicht aus dem Weg geräumt, sondern neue geschaffen.

So hat sich das Bundesamt etwa dazu herabgelassen, die Mail-Adressen in einigen Fällen an die entsprechenden Provider durch zu reichen, damit diese ihre Kunden informieren können. Angeblich können so bereits 70 Prozent der Betroffenen informiert werden – allerdings nicht 70 Prozent von den 18 Millionen, sondern von drei Millionen, die eine Mail-Adresse bei den eindeutig aus Deutschland stammenden, kooperierenden Providern wie etwa der Deutschen Telekom, GMX oder Vodafone haben.

Der ganze Artikel (http://www.heise.de/security/artikel/BSI-laedt-zum-Gedaechtnis-Test-2165340.html)

Quelle : www.heise.de
Titel: BSI warnt vor BSI-Mails
Beitrag von: SiLæncer am 15 April, 2014, 16:54: Betrüger missbrauchen den Namen des BSI für eine Phishing-Kampagne, die vorgibt, dass der Empfänger bei "illegalen Aktivitäten" erwischt wurde. Das BSI rät, den Anhang keinesfalls zu öffnen.

(http://1.f.ix.de/imgs/18/1/2/0/8/0/3/8/Phishing_15042014-1042da2221eac48d.png)
Das Bundesamt für Sicherheit für Informationstechnik (BSI) warnt vor einer Phishing-Kampagne (https://www.bsi.bund.de/DE/Presse/Kurzmitteilungen/Kurzmit2014/Phishing_15042014.html), bei der das BSI als vermeintlicher Absender missbraucht wird. Die Mails mit dem Betreff "Wichtige Info bezüglich Ihrer IP-Adresse" gibt vor, dass das BSI "vermehrt illegale Aktivitäten" von der IP-Adresse des Empfängers feststellen konnte. "Zur weiteren Kontrolle" soll er ein angehängtes Formular ausfüllen und an das BSI zurücksenden.

Das (echte) BSI rät den Empfängern dieser Mail, "den Anweisungen im Text nicht zu folgen, sondern die E-Mail zu löschen". Wer den Anhang heruntergeladen oder sogar geöffnet hat, sollte seinen Rechner laut der BSI-Empfehlung einem Virencheck unterziehen. Das deutet darauf hin, dass es sich nicht nur um Phishing, sondern auch um Viren-Mails handeln könnte. Worum es sich bei dem Anhang handelt, dazu macht das BSI keine Angaben.

Quelle : www.heise.de
Titel: Heartbleed: BSI sieht keinen Grund für Entwarnung
Beitrag von: SiLæncer am 16 April, 2014, 19:50: Das Bundesamt für Sicherheit in der Informationstechnik sieht beim "Heartbleed Bug" weiteren Handlungsbedarf. Kleinere Websites sind nach wie vor verwundbar, auch nehmen Angreifer jetzt andere Dienste ins Visier.

Das Bundesamt Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht trotz schneller Reaktionen auf die Heartbleed-Lücke in der Verschlüsselungsbibliothek OpenSSL weiter Handlungsbedarf. Zwar hätten inzwischen viele Betreiber von betroffenen Systemen Gegenmaßnahmen ergriffen, doch klaffe die Lücke noch in Websites von kleineren Online-Shops oder Vereinen, teilte das BSI am Mittwoch in Bonn mit.

Weiter warnt das BSI, dass Angreifer inzwischen nicht mehr nur Webserver im Visier haben, weil diese meist zuerst gepatcht wurden. So seien derzeit auch E-Mail-Server, Server für Video- und Telefonkonferenzen, Firewalls und ander von außen erreichbare Server verwundbar, wenn sie auf OpenSSL setzen. Das BSI empfiehlt daher, auch solche Systeme daraufhin zu untersuchen, ob sie eine verwundbare OpenSSL-Version einsetzen. Diese Empfehlung gilt insbesondere auch für Sicherheitskomponenten, die OpenSSL einsetzen.

Der ganze Artikel (http://www.heise.de/security/meldung/Heartbleed-BSI-sieht-keinen-Grund-fuer-Entwarnung-2171922.html)

Quelle : www.heise.de
Titel: BSI rät vom Internet Explorer ab
Beitrag von: SiLæncer am 29 April, 2014, 16:24: Aufgrund der offenen Sicherheitslücke im Internet Explorer rät das Bundesamt für Sicherheit in der Informationstechnik Nutzern, andere Browser zu verwenden. Die Lücke wird momentan missbraucht, um IE-Nutzer im Netz anzugreifen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät wegen der momentan in Microsofts Internet Explorer klaffenden Lücke zum Umstieg auf die Browser anderer Anbieter. Die Lücke wird für Angriffe auf die Versionen 9 bis 11 des Browsers verwendet, es wird aber vermutet, dass auch ältere Versionen ins Fadenkreuz der Hacker gelangen könnten.

Der ganze Artikel (http://www.heise.de/security/meldung/BSI-raet-vom-Internet-Explorer-ab-2179284.html)

Quelle : www.heise.de
Titel: Das BSI und der Elfenbeinturm
Beitrag von: SiLæncer am 09 April, 2015, 20:25: Diese Geschichte begann mit einem entnervten heise-Security-Leser, der sich in einer Mail den Frust von der Seele schrieb. Er hatte als gewissenhafter Administrator auf seinen Servern eine Technische Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI) real umgesetzt und war damit ziemlich gründlich baden gegangen. Denn es gab so viele Probleme und Beschwerden, dass er sich gezwungen sah, die gemäß der Richtlinie durchgeführten Änderungen wieder rückgängig zu machen.

Konkret ging es um die Einrichtung von Transport Layer Security (TLS) auf diversen Servern. Dazu steht in der Technischen Richtlinie TR-02102-2 "Verwendung von Transport Layer Security (TLS)" im Kapitel zu SSL/TLS-Versionen zunächst, dass man TLS 1.2 einsetzen solle; auch TLS 1.1 könne noch eingesetzt werden. Und danach heißt es wörtlich als eigener Punkt

TLS 1.0 darf nicht mehr eingesetzt werden.

Nicht nur für Laien sondern auch für Experten, die mit technischen Spezifikationen wie den RFCs der IETF vertraut sind, ist der Fall damit klar: "darf nicht" ist eine Formulierung, die keine Ausnahmen mehr zulässt. Sie steht für ein explizites Verbot und TLS 1.0 hat demnach auf einem TR-02102-2-konformen Server nichts zu suchen. So hat das auch der betroffene Admin interpretiert – und damit reichlich Chaos hervor gerufen.

Der ganze Artikel (http://www.heise.de/security/artikel/Das-BSI-und-der-Elfenbeinturm-2589893.html)

Quelle : www.heise.de
Titel: Zertifikat vom Amt: BSI will sichere E-Mail-Anbieter kennzeichnen
Beitrag von: SiLæncer am 21 August, 2015, 20:50: Um den E-Mail-Verkehr für alle Nutzer sicherer zu machen, will das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, E-Mail-Anbieter dazu bewegen, bestimmten technischen Richtlinien zu folgen. Werden die Bedingungen erfüllt erfolgt eine Sicherheits-Kennzeichnung.

Eine Richtlinie sie alle zu vergleichen

Aktuell ist es für Nutzer schwer einschätzen zu können, was ein E-Mail-Anbieter in Sachen Sicherheit wirklich leistet. Auch der Aufbau von regulierten Alternativen wie der De-Mail waren bisher von vielen Problemen begleitet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) will es jetzt aber möglich machen, dass Verbraucher schnell Aspekte wie die Sicherheit eines Anbieters erkennen und mit anderen vergleichen können.

Unter der einfachen Überschrift "Sicherer E-Mail-Transport" hat das BSI einen ersten Entwurf von Technischen Richtlinien vorgestellt, die definieren sollen, was einen sicheren Anbieter für E-Mail-Nachrichten ausmacht und welche konkrete Anforderungen für eine entsprechende Kennzeichnung erfüllt sein müssen. Zu den Anforderungen, die das BSI hier festlegt, zählen vertrauenswürdige Zertifikate, gesicherte DNS-Abfragen, obligatorische Verschlüsselung so wie sichere Kryptographie.

Anbieter müssen selber ran

Wie das BSI in seiner Presseerklärung weiter ausführt, richtet man sich mit den jetzt definierten Richtlinien an Betreiber von E-Mail-Diensten, die das "Mindestmaß an IT-Sicherheitsmaßnahmen" gewährleisten wollen, die unbedingte Voraussetzung für den sicheren Betrieb der Dienste sind. Entsprechende Sicherheitskonzepte müssen aber von den Anbietern selbst entwickelt werden.

Darüber hinaus hat das BSI eine Arbeitsgruppe gegründet, in der interessierte Anbieter "an der Erarbeitung der finalen Version der technischen Richtlinie mitwirken" können. In Zukunft soll es dann auch möglich sein, ein Zertifikat zu erhalten, wenn man sich als E-Mail-Anbieter konform zu den festgelegten Richtlinien verhält. An einem entsprechenden Zertifizierungsverfahren wird aktuell beim BSI gearbeitet.

Abhängig von den Mitspielern

Prinzipiell ist es natürlich gut, dass das BSI Mindeststandards definiert, die einen sicheren E-Mail-Dienst ausmachen. Jetzt muss aber sich zeigen, ob auch genügend Anbieter ein Interesse daran haben, sich auf diese Richtlinien zu verständigen und diese dann auch einzuhalten.

Quelle : http://winfuture.de
Titel: Das BSI nimmt sich der Router-Sicherheit an
Beitrag von: SiLæncer am 20 Oktober, 2015, 18:07: Das BSI hat ein Testkonzept vorgestellt, das die Sicherheit von Endkunden-Routern vergleichbar machen soll. Die "wesentliche Sicherheitskomponente zum Schutz des internen Netzes" soll endlich sicher werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Entwurf eines Konzeptes vorgestellt, mit dem Router auf Sicherheitslücken getestet werden sollen. Ziel ist es, einheitliche Kriterien zu etablieren, um die Sicherheit der Geräte messbar und vergleichbar zu machen. Bis zum 30. November können Hersteller solcher Geräte und Internet Service Provider den Entwurf kommentieren und per E-Mail Ergänzugsvorschläge an das BSI schicken.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Das-BSI-nimmt-sich-der-Router-Sicherheit-an-2851354.html)

Quelle : www.heise.de