Thema: BSI diverses ...

[SiLæncer]

Betrüger missbrauchen den Namen des BSI für eine Phishing-Kampagne, die vorgibt, dass der Empfänger bei "illegalen Aktivitäten" erwischt wurde. Das BSI rät, den Anhang keinesfalls zu öffnen.

Das Bundesamt für Sicherheit für Informationstechnik (BSI) warnt vor einer Phishing-Kampagne, bei der das BSI als vermeintlicher Absender missbraucht wird. Die Mails mit dem Betreff "Wichtige Info bezüglich Ihrer IP-Adresse" gibt vor, dass das BSI "vermehrt illegale Aktivitäten" von der IP-Adresse des Empfängers feststellen konnte. "Zur weiteren Kontrolle" soll er ein angehängtes Formular ausfüllen und an das BSI zurücksenden.

Das (echte) BSI rät den Empfängern dieser Mail, "den Anweisungen im Text nicht zu folgen, sondern die E-Mail zu löschen". Wer den Anhang heruntergeladen oder sogar geöffnet hat, sollte seinen Rechner laut der BSI-Empfehlung einem Virencheck unterziehen. Das deutet darauf hin, dass es sich nicht nur um Phishing, sondern auch um Viren-Mails handeln könnte. Worum es sich bei dem Anhang handelt, dazu macht das BSI keine Angaben.

Quelle : www.heise.de

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik sieht beim "Heartbleed Bug" weiteren Handlungsbedarf. Kleinere Websites sind nach wie vor verwundbar, auch nehmen Angreifer jetzt andere Dienste ins Visier.

Das Bundesamt Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht trotz schneller Reaktionen auf die Heartbleed-Lücke in der Verschlüsselungsbibliothek OpenSSL weiter Handlungsbedarf. Zwar hätten inzwischen viele Betreiber von betroffenen Systemen Gegenmaßnahmen ergriffen, doch klaffe die Lücke noch in Websites von kleineren Online-Shops oder Vereinen, teilte das BSI am Mittwoch in Bonn mit.

Weiter warnt das BSI, dass Angreifer inzwischen nicht mehr nur Webserver im Visier haben, weil diese meist zuerst gepatcht wurden. So seien derzeit auch E-Mail-Server, Server für Video- und Telefonkonferenzen, Firewalls und ander von außen erreichbare Server verwundbar, wenn sie auf OpenSSL setzen. Das BSI empfiehlt daher, auch solche Systeme daraufhin zu untersuchen, ob sie eine verwundbare OpenSSL-Version einsetzen. Diese Empfehlung gilt insbesondere auch für Sicherheitskomponenten, die OpenSSL einsetzen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Aufgrund der offenen Sicherheitslücke im Internet Explorer rät das Bundesamt für Sicherheit in der Informationstechnik Nutzern, andere Browser zu verwenden. Die Lücke wird momentan missbraucht, um IE-Nutzer im Netz anzugreifen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät wegen der momentan in Microsofts Internet Explorer klaffenden Lücke zum Umstieg auf die Browser anderer Anbieter. Die Lücke wird für Angriffe auf die Versionen 9 bis 11 des Browsers verwendet, es wird aber vermutet, dass auch ältere Versionen ins Fadenkreuz der Hacker gelangen könnten.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Diese Geschichte begann mit einem entnervten heise-Security-Leser, der sich in einer Mail den Frust von der Seele schrieb. Er hatte als gewissenhafter Administrator auf seinen Servern eine Technische Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI) real umgesetzt und war damit ziemlich gründlich baden gegangen. Denn es gab so viele Probleme und Beschwerden, dass er sich gezwungen sah, die gemäß der Richtlinie durchgeführten Änderungen wieder rückgängig zu machen.

Konkret ging es um die Einrichtung von Transport Layer Security (TLS) auf diversen Servern. Dazu steht in der Technischen Richtlinie TR-02102-2 "Verwendung von Transport Layer Security (TLS)" im Kapitel zu SSL/TLS-Versionen zunächst, dass man TLS 1.2 einsetzen solle; auch TLS 1.1 könne noch eingesetzt werden. Und danach heißt es wörtlich als eigener Punkt

TLS 1.0 darf nicht mehr eingesetzt werden.

Nicht nur für Laien sondern auch für Experten, die mit technischen Spezifikationen wie den RFCs der IETF vertraut sind, ist der Fall damit klar: "darf nicht" ist eine Formulierung, die keine Ausnahmen mehr zulässt. Sie steht für ein explizites Verbot und TLS 1.0 hat demnach auf einem TR-02102-2-konformen Server nichts zu suchen. So hat das auch der betroffene Admin interpretiert – und damit reichlich Chaos hervor gerufen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Um den E-Mail-Verkehr für alle Nutzer sicherer zu machen, will das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, E-Mail-Anbieter dazu bewegen, bestimmten technischen Richtlinien zu folgen. Werden die Bedingungen erfüllt erfolgt eine Sicherheits-Kennzeichnung.

Eine Richtlinie sie alle zu vergleichen

Aktuell ist es für Nutzer schwer einschätzen zu können, was ein E-Mail-Anbieter in Sachen Sicherheit wirklich leistet. Auch der Aufbau von regulierten Alternativen wie der De-Mail waren bisher von vielen Problemen begleitet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) will es jetzt aber möglich machen, dass Verbraucher schnell Aspekte wie die Sicherheit eines Anbieters erkennen und mit anderen vergleichen können.

Unter der einfachen Überschrift "Sicherer E-Mail-Transport" hat das BSI einen ersten Entwurf von Technischen Richtlinien vorgestellt, die definieren sollen, was einen sicheren Anbieter für E-Mail-Nachrichten ausmacht und welche konkrete Anforderungen für eine entsprechende Kennzeichnung erfüllt sein müssen. Zu den Anforderungen, die das BSI hier festlegt, zählen vertrauenswürdige Zertifikate, gesicherte DNS-Abfragen, obligatorische Verschlüsselung so wie sichere Kryptographie.

Anbieter müssen selber ran

Wie das BSI in seiner Presseerklärung weiter ausführt, richtet man sich mit den jetzt definierten Richtlinien an Betreiber von E-Mail-Diensten, die das "Mindestmaß an IT-Sicherheitsmaßnahmen" gewährleisten wollen, die unbedingte Voraussetzung für den sicheren Betrieb der Dienste sind. Entsprechende Sicherheitskonzepte müssen aber von den Anbietern selbst entwickelt werden.

Darüber hinaus hat das BSI eine Arbeitsgruppe gegründet, in der interessierte Anbieter "an der Erarbeitung der finalen Version der technischen Richtlinie mitwirken" können. In Zukunft soll es dann auch möglich sein, ein Zertifikat zu erhalten, wenn man sich als E-Mail-Anbieter konform zu den festgelegten Richtlinien verhält. An einem entsprechenden Zertifizierungsverfahren wird aktuell beim BSI gearbeitet.

Abhängig von den Mitspielern

Prinzipiell ist es natürlich gut, dass das BSI Mindeststandards definiert, die einen sicheren E-Mail-Dienst ausmachen. Jetzt muss aber sich zeigen, ob auch genügend Anbieter ein Interesse daran haben, sich auf diese Richtlinien zu verständigen und diese dann auch einzuhalten.

Quelle : http://winfuture.de

[SiLæncer]

Das BSI hat ein Testkonzept vorgestellt, das die Sicherheit von Endkunden-Routern vergleichbar machen soll. Die "wesentliche Sicherheitskomponente zum Schutz des internen Netzes" soll endlich sicher werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Entwurf eines Konzeptes vorgestellt, mit dem Router auf Sicherheitslücken getestet werden sollen. Ziel ist es, einheitliche Kriterien zu etablieren, um die Sicherheit der Geräte messbar und vergleichbar zu machen. Bis zum 30. November können Hersteller solcher Geräte und Internet Service Provider den Entwurf kommentieren und per E-Mail Ergänzugsvorschläge an das BSI schicken.

Der ganze Artikel

Quelle : www.heise.de