BSI Forum. Das BSI auf der CeBIT. Inhalt. Impressum. Messepräsenz # Jahrgang

Größe: px
Ab Seite anzeigen:

Download "BSI Forum. Das BSI auf der CeBIT. Inhalt. Impressum. Messepräsenz. 2014 # 1 22. Jahrgang"

Transkript

1 2014 # Jahrgang BSI Forum offizielles Organ des BSI Messepräsenz Das BSI auf der CeBIT Vom 10. bis zum 14. März 2014 präsentiert sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf der CeBIT Der Messestand des BSI befindet sich in Halle 12, Stand B62. Dort informieren Mitarbeiterinnen und Mitarbeiter des BSI zu den Themen: Cloud-Computing, Allianz für Cyber-Sicherheit, sicheres mobiles Arbeiten, Sicherheitsberatung, IT-Grundschutz, Sicherheitszertifizierung, BSI für Bürger sowie Im Convention Center (CC), Saal 107, tragen BSI-Experten zu folgenden Themen vor: Montag, 10. März :00 15:00 Uhr Allianz für Cyber-Sicherheit Dienstag, 11. März :00 14:00 Uhr IT-Grundschutz Mittwoch, 12. März :00 14:00 Uhr Cloud-Computing Donnerstag, 13. März :00 14:00 Uhr IT-Sicherheitszertifizierung auf der Basis technischer Richtlinien Das Smart-Meter-Gateway Auf dem Messestand der Bundesbeauftragten für Informationstechnik im Public Sector Parc informiert das BSI darüber hinaus in Zusammenarbeit mit Deutschland sicher im Netz (DsiN) über IT- und Internetsicherheit für Privatanwender und kleine Unternehmen. Inhalt Das BSI auf der CeBIT 35 Sicherheitsaspekte des mobilen Bezahlens 36 Empfehlungen zur Cyber-Sicherheit 40 kurz notiert 45 Amtliche Mitteilungen 46 Impressum Redaktion: Matthias Gärtner (verantwortlich) Nora Basting Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat Öffentlichkeitsarbeit und Presse Postfach Bonn Hausanschrift: Godesberger Allee Bonn Telefon: Telefax: Web: Das BSI-Forum, Organ des Bundesamtes für Sicherheit in der Informationstechnik in Bonn, ist Bestandteil der <kes> Die Zeitschrift für Informations-Sicherheit 22. Jahrgang 2014 BSI Bonn <kes> 2014 # 1 35

2 Mobiles Bezahlen NFC-Technologie Sicherheitsaspekte des mobilen Bezahlens Wenn Smartphones mobiles Bezahlen ermöglichen, ist dies zunächst einmal praktisch und benutzerfreundlich. Doch wie sicher sind solche Bezahlvorgänge, die häufig über eine eigene kontaktlose NFC-Schnittstelle abgewickelt werden? Das BSI hat die wichtigsten Sicherheitsaspekte betrachtet und formuliert Schlussfolgerungen zur sicheren Ausgestaltung eines mobilen NFC-Bezahlsystems. Von Harald Kelter, BSI Noch vor wenigen Jahren waren über das Internet abzuwickelnde Transaktionen (bspw. der Kauf einer Ware bei einem Online- Shop) auf ein kontrolliertes Umfeld beschränkt: Der Kunde nutzte seinen heimischen PC oder, in wenigen Ausnahmefällen, öffentliche Internet- Terminals für seine Aktivitäten. Eine Identifizierung des Kunden erfolgte überwiegend durch das Verwenden einer Benutzerkennung, die Authentisierung wurde mittels eines zugehörigen Passwortes abgewickelt. Diese Situation hat sich mit der heute nahezu flächendeckenden Verbreitung internetfähiger mobiler Geräte (Smartphones, Tablets etc.) drastisch geändert: Internet-Transaktionen sind heute von nahezu jedem Ort der Welt und zu jeder Zeit möglich. Zunehmend werden die dabei verwendeten mobilen Geräte mit einer weiteren kontaktlosen Schnittstelle ausgestattet, der NFCoder Near-Field-Communication- Schnittstelle. Diese auf den Empfehlungen und Spezifikationen des NFC-Forums (http://nfc-forum.org/) beruhende Kommunikationstechnologie ermöglicht die komfortable kontaktlose Kommunikation in einer Reichweite von bis zu 10 cm. Weiterhin findet die NFC- Schnittstelle nicht nur bei aktiven Geräten, sondern auch bei kontaktlosen Smartcards Verwendung. Besonders interessant ist hierbei die Verwendung solcher Karten für die Anwendung des mobilen Bezahlens. Markt In Deutschland existieren verschiedene Produkte, die mobiles Bezahlen unter Verwendung des NFC-Standards realisieren: Das Produkt girogo wird seit Ende 2011 automatisch auf allen neu herausgegebenen Girocards der Sparkassen und der Volksbanken Raiffeisenbanken im Großraum Hannover, Braunschweig und Wolfsburg integriert. Seit August 2012 werden alle 45 Millionen Sparkassenkarten gegen neue Karten mit Girogo- Funktion ausgetauscht. Mit diesen lassen sich Beträge bis 20 Euro kontaktlos und ohne PIN-Eingabe an den entsprechenden Händlerterminals bezahlen. Im Kreditkartenbereich etabliert die Firma Visa das Produkt V Pay. In Deutschland haben bislang acht Banken 1,4 Millionen kontaktlose Visa-Karten (Stand: November 2013) an ihre Kunden ausgegeben: BW-Bank, comdirect, DKB, Hanseatic Bank, Landesbank Berlin, Postbank, Targobank und Volkswagen Bank. Die Zahlungsanweisungen werden auf Basis des EMV-Standards zwischen einer kontaktlosen Visa-Chipkarte und einem Kartenterminal mit Kontaktlosfunktion ausgetauscht. Als EMV-Standard wird dabei eine Spezifikation für Zahlungskarten bezeichnet, die mit einem Prozessorchip ausgestattet sind die Buchstaben EMV stehen für die drei Gesellschaften, die den Standard entwickelten: Europay International (heute MasterCard Europe), MasterCard und VISA. Neben der Nutzung des NFC- Standards im kontaktlosen Ticketing kann das kontaktlose Bezahlen als nächste große Anwendung der Near- Field-Communication-Technologie bezeichnet werden. Sicherheitsanalyse Systemaufbau Angriffe mit dem Ziel des Identitätsdiebstahls oder des Missbrauchs von Bezahlfunktionen können immer an verschiedenen Punkten des Gesamtsystems eines Bezahlverfahrens ansetzen. Hilfreich ist an dieser Stelle eine Aufteilung 36 BSI Bonn <kes> 2014 # 1

3 des Systems in seine originären, kontaktlos-spezifischen Teile und solche Teile, die allen elektronischen Bezahlverfahren gemein sind. In Abbildung 1 ist diese Aufteilung exemplarisch dargestellt, wobei die Komponenten NFC Reader, NFC Card und NFC Mobile Device zum originären, NFC-spezifischen Teil des Gesamtsystems gehören, die bei der folgenden Sicherheitsbetrachtung einbezogen werden sollen. Mögliche Einsatzszenarien sind in dieser Komponentenkombination: Die passive NFC-Card kommuniziert mit einem NFC-Reader (bspw. einem Händlerterminal). Der Bezahlvorgang wird anschließend über öffentliche Kommunikationswege (bspw. das Internet) und mithilfe der Systeme des Mobile-Payment- Service-Providers abgewickelt. Ein typisches Beispiel für eine solche Kommunikation ist das Verwenden kontaktloser Kreditkarten für das Bezahlen von kleinen Geldbeträgen. Das NFC-Mobile-Device (Smartphone) kommuniziert über eine entsprechende Applikation (App) auf dem Device mit dem NFC-Reader (bspw. einem Händlerterminal). Der Bezahlvorgang wird anschließend über öffentliche Kommunikationswege (bspw. das Internet) und mithilfe der Systeme des Mobile-Payment-Service-Providers abgewickelt. Ein typisches Beispiel für eine solche Kommunikation sind Ticketing-Anwendungen für den öffentlichen Personenverkehr. Kommunikationswege (bspw. das Internet) und mithilfe der Systeme des Mobile-Payment-Service-Providers abgewickelt. Typischerweise findet man solche Konfigurationen im Bereich kostengünstig zu realisierender mobiler Händlerterminals. Gefährdungslage Reduziert man das Gesamtsystem auf die im vorhergehenden Abschnitt dargestellten Fälle, ergeben sich mindestens die folgenden generischen Gefährdungen im Bereich eines möglichen Identitätsdiebstahls beziehungsweise Missbrauchs einer Bezahlfunktion. Klonen der NFC-Card mit Bezahlfunktion: Die verwendete Karte wird vollständig, gegebenenfalls durch Hardwareangriffe, kompromittiert und anschließend durch den Angreifer dupliziert. Der Angreifer ist nach erfolgreichem Angriff nicht vom berechtigten Anwender zu unterscheiden. Manipulation des NFC-Mobile-Device: Das als mobiles Händlerterminal verwendete NFC-Mobile- Device wird mittels eines Softwareangriffs kompromittiert. Der Angreifer ist nach erfolgreichem Angriff in der Lage, ein im NFC-Mobile-Device vorgehaltenes kryptografisches Geheimnis zur Kommunikation mit dem Mobile-Payment-Service- Provider unentdeckt auszulesen und dieses für Bezahlvorgänge zu verwenden. NFC Reader Abhören der Luft-Schnittstelle: Wird für die Kommunikation über die Luft-Schnittstelle kein kryptografisches Verfahren zur Absicherung der Kommunikation verwendet, kann ein unberechtigter Dritter die Kommunikation zwischen den NFC-Komponenten mitlesen, auswerten und gegebenenfalls zahlungsrelevante Informationen in Erfahrung bringen, beispielsweise die Kartennummer der NFC-Karte mit Bezahlfunktion. Je nach der genauen Ausgestaltung des Zahlungsverfahrens kann dies ausreichen, um die Identität des Angegriffenen erfolgreich vorzutäuschen. Relay-Attacke: Dieser Angriff basiert darauf, dass sich ein unberechtigter Dritter in die Kommunikation zwischen Händlerterminal und NFC-Karte einschleust. Der Angreifer gaukelt dabei einem Händlerterminal vor, dass er eine berechtigte NFC- Karte sei, und der NFC-Karte, dass er ein berechtigtes Händlerterminal sei. Der Angriff hat nur bedingt mit Identitätsdiebstahl zu tun, da die Übernahme der Identität auf die Dauer des Angriffs begrenzt ist. Sie sei der Vollständigkeit halber hier jedoch trotzdem erwähnt. Einschätzung der genannten Gefährdungen Die Relevanz einer Gefährdung ergibt sich aus einer Kombination der Schadenshöhe im Falle eines erfolgreichen Angriffs, der Wahrscheinlichkeit des Schadenseintritts Internet Mobile Payment Service Provider Abbildung 1: Aufteilung des NFC-Gesamtsystems Die passive NFC-Card kommuniziert mit einem NFC-Mobile- Device, welches als NFC-Reader eingesetzt wird. Der Bezahlvorgang wird anschließend über öffentliche NFC Card NFC Mobile Device BSI Bonn <kes> 2014 # 1 37

4 Mobiles Bezahlen sowie des erforderlichen Aufwands für das Durchführen eines Angriffs. Das Klonen einer kontaktlosen oder kontaktbehafteten Smartcard moderner Bauart über einen Hardware-Angriff erfordert beispielsweise außer einem detaillierten Wissen über Aufbau und Funktion der verwendeten Technologie eine umfangreiche und aufwändige Hardware-Ausstattung. Für das Kompromittieren des Chips SLE 66CLX360PE des Herstellers Infineon benötigte der Angreifer Christopher Tarnovsky im Jahre 2010 beispielsweise eine Ionenfeinstrahlanlage sowie weiteres, umfangreiches Labor-Equipment, dessen Miete alleine einen finanziellen Aufwand von zirka US-$ erforderte [1]. Da der durch einen solchen Angriff entstehende Schaden deutlich unter dem zu erwartenden Aufwand für die Realisierung des Angriffs liegt, wird dieser Angriff als akademisch interessant, aber nicht relevant angesehen. Die Manipulationsfestigkeit von NFC-Mobile-Devices ist aufgrund der Sicherheitseigenschaften handelsüblicher markgängiger Smartphones als zweifelhaft anzusehen. Die betreffenden mobilen Endgeräte bieten keine hinreichende Plattformsicherheit, denn sie enthalten insbesondere eine Vielzahl von Schnittstellen drahtloser Art wie GSM, UMTS, LTE, WLAN, Bluetooth und natürlich NFC sowie eine zugängliche USB-Schnittstelle und ein bis zwei Kameras, die vom System zum Teil unzureichend separiert sind und über die Angriffspfade auf Daten im mobilen Endgerät oder auf übertragene Daten eröffnet werden können. Die Betriebssysteme der mobilen Endgeräte sind relativ jung und bei Weitem noch nicht ausgereift. Tools, die den Angreifern Administratorrechte auf den Geräten gewähren und damit quasi jegliche Manipulation ermöglichen, sind im Internet für jeden verfügbar. Werden diese Tools zum so genannten Rooting oder Jailbreaking eingesetzt, werden die Sicherheitsmechanismen des Herstellers und des Betriebssystems umgangen. Für die Nutzer der mobilen Endgeräte stehen eine unüberschaubar große Anzahl von Apps in den Stores der Hersteller sowie im Internet zum Download auf die mobilen Endgeräte zur Verfügung. Wie diese Apps agieren, wie sie mit nutzerspezifischen Informationen umgehen und welche Nebeneffekte auftreten können, ist für den durchschnittlichen Nutzer kaum abschätzbar. Darüber hinaus werden Spionageprogramme (sog. Spyware) angeboten, die einmal auf dem Gerät installiert jegliche Kommunikation und Nutzereingaben aufzeichnen können. Auch dedizierte Keylogger mit sehr stark zugeschnittenem Funktionsumfang (Aufzeichnen und Weiterleiten von Nutzereingaben) sind verfügbar. Spezielle Programme ermöglichen, Smartphones aus der Ferne zu administrieren und sogar fernzusteuern. Bemächtigen sich Angreifer dieser Methoden, stehen ihnen viele Angriffspfade offen. Zusammenfassend ist festzuhalten, dass marktgängige Smartphones bei einer angedachten Nutzung als NFC-Mobile-Device für Bezahlanwendungen einer Vielzahl von Angriffsvektoren ausgesetzt sind und ohne die Verwendung entsprechender Vertrauensanker (Secure Elements) als nicht manipulationsfest angesehen werden müssen. Etwas weniger spektakulär verhält es sich bei der Gefährdung des Abhörens der Luftschnittstelle: Die im Rahmen der NFC-Technologie verwendete Luftschnittstelle entspricht den Spezifikationen des NFC-Forums beziehungsweise der ISO-Norm ISO/IEC für Proximity Cards beide Normen sind nicht vollständig übereinstimmend, jedoch in einem Großteil ihrer funktionalen Beschreibungen deckungsgleich. Das BSI hat im Rahmen einer Studie [2] ermittelt, dass die dabei stattfindende Kommunikation zwischen einer normkonformen kontaktlosen Karte und einem entsprechenden Lesegerät zwar tatsächlich auf eine Entfernung von zirka 10 cm begrenzt ist, ein Mitlesen dieser Kommunikation allerdings im Abstand von bis zu zirka zwei Metern möglich ist: Voraussetzung für dieses Mitlesen ist das Verwenden angepasster Hochfrequenz-Empfänger und Antennen. Setzt man den erforderlichen Aufwand in ein Verhältnis Abbildung 2: Schematische Darstellung eines Relay-Angriffs 38 BSI Bonn <kes> 2014 # 1

5 zum entstehenden Schaden beim Mithören eines Bezahlvorgangs in unmittelbarer Nähe zu Händlerterminal und Bezahlkarte, ist die Gefährdung ohne Verwendung kryptografischer Schutzmaßnahmen auf der Luftschnittstelle nur als bedingt relevant zu bewerten. Die Problematik des erfolgreichen Durchführens einer Relay- Attacke liegt zum einen in der korrekten zeitlichen Abstimmung und zum anderen in Laufzeiteffekten bei der Kommunikation zwischen den Rollen des Angreifers und der Rolle des Komplizen gemäß Abbildung 2 begründet. Grundsätzlich läuft eine Relay-Attacke dergestalt ab, dass ein Angreifer unbemerkt in Kommunikationsreichweite mit der kontaktlosen Bezahlkarte eines Opfers gelangt (1) und anschließend eine Kommunikation über ein öffentliches Kommunikationsnetz zu einem Komplizen herstellt (2). Anschließend leitet der Komplize gegenüber dem Betrogenen einen kontaktlosen Bezahlvorgang mithilfe eines NFC-fähigen Smartphones ein (3). Tatsächlich wird zum Zeitpunkt der Transaktion allerdings die Anfrage des Händlerterminals zum Opfer durchgeleitet, von dessen kontaktloser Bezahlkarte beantwortet und somit erfolgreich bezahlt. Der Angriff erfordert eine sehr gute zeitliche Koordination, die Verfügbarkeit eines leistungsfähigen Kommunikationsnetzes und eine Situation, bei der sich der Angreifer dem Opfer für die Dauer des Angriffs bis auf wenige Zentimeter annähern kann. Außer in Warteschlangen-Situationen oder in überfüllten Fahrzeugen des öffentlichen Personenverkehrs ist mit einem solchen Szenario eher nicht zu rechnen. Der Angriff ist kaum als relevant anzusehen. Fazit Betrachtet man die Bewertung der Relevanz der möglichen Angriffe, fällt auf, dass es zwei offene Baustellen gibt: Während NFC-Cards, hier in ihrer Verwendung als kontaktlose Bezahlkarten, ein hohes Maß an Hardware-Sicherheit aufweisen und nur mit erheblichem Aufwand kompromittierbar sind, stellen NFC-Mobile-Devices, also moderne Smartphones mit NFC-Schnittstelle, als Basis für kontaktlose Bezahlvorgänge noch ein Risiko dar. Weiterhin problematisch ist wenn auch eher aus dem Blickwinkel des Datenschutzes denn aus dem der IT-Sicherheit die mögliche unverschlüsselte Kommunikation über die Luftschnittstelle. Nutzer kontaktloser Bezahlprodukte, die keine kryptografischen Sicherheitsmechanismen auf der Luftschnittstelle einsetzen, müssen mit dem Risiko des Mitlesens des Bezahlvorganges durch unberechtigte Dritte rechnen. Zur technischen Absicherung kontaktloser Bezahlverfahren kann deshalb nur empfohlen werden, eine gegenseitige Authentifizierung der Kommunikationspartner zu verwenden, Nutzinformationen, die kontaktlos ausgetauscht oder gespeichert werden, zu verschlüsseln und Vertrauensanker (Secure Elements) zu nutzen, um potenziell unsichere Smartphones für sicheres kontaktloses Bezahlen nutzbar zu machen. Auf Basis dieser Empfehlungen ist es möglich, ein sicheres NFC-Bezahlsystem zu etablieren. Erforderlich für die anwenderfreundliche und wirtschaftliche Ausgestaltung eines solchen sicheren Verfahrens ist jedoch die Abstimmung zwischen Komponentenherstellern, Anwendungsanbietern und IT- Sicherheitsexperten. Das Realisieren eines sicheren Systems wird so die Verbreitung kontaktloser Bezahlverfahren nicht behindern, sondern das Vertrauen der Nutzer in das System steigern. Literatur [1] Daniel Bachfeld, Hacker liest Kryptoschlüssel aus TPM-Chip aus, heise online, , heise.de/ [2] BSI, Messung der Abstrahleigenschaften von RFID-Systemen (MARS), BSI-Studie, de/shareddocs/downloads/de/ BSI/ElekAusweise/RFID/Mars_ Teilbericht_1Therorie_pdf BSI Bonn <kes> 2014 # 1 39

6 Empfehlungen zur Cyber-Sicherheit Wirklich kein Virenschutzprodukt? Technische Hintergründe zu den BSI-Veröffentlichungen zur Cyber-Sicherheit für Windows, OS X und Ubuntu Einige der Empfehlungen aus den Veröffentlichungen zur Cyber-Sicherheit des BSI wurden und werden kontrovers diskutiert. Ein Blick hinter die Kulissen soll die technischen Hintergründe und den Prozess der fachlichen Entscheidungsfindung für diese Empfehlungen erläutern. Von Florian Hillebrand, BSI Im Rahmen der Reihe BSI- Veröffentlichungen zur Cyber- Sicherheit stellt das BSI der Öffentlichkeit in loser Folge praxisorientierte Handlungsempfehlungen für verschiedene aktuelle Themenfelder der Cyber-Sicherheit zur Verfügung, um damit einen aktiven Beitrag zur Erhöhung des IT-Sicherheitsniveaus in Deutschland zu leisten. Drei dieser bisher veröffentlichten Cyber- Sicherheits-Empfehlungen (kurz CS- E) beschreiben Empfehlungen zum sicheren Einsatz der weit verbreiteten Desktop-Betriebssysteme Microsoft Windows [1], Apple OS X [2] sowie Canonical Ubuntu [3]. Motivation Bei der ursprünglichen Konzipierung der ersten CS-E war das Hauptziel, mit wenigen, für alle Anwender einfach umzusetzenden Tipps zur Konfiguration und zum Betrieb von Microsoft Windows eine hohe Grundsicherheit für einen Windows-PC zu erreichen. Gleichzeitig bestand der Anspruch, dass diese Tipps alltagstauglich sein sollten, also nicht auf Kosten von Benutzbarkeit und Funktionalität gehen durften. Um diese Ziele miteinander zu vereinbaren, wurde statt einer einfachen Auflistung von Konfigurationshinweisen eine Betrachtung des Lebenszyklus eines PCs als Ausgangspunkt gewählt: Anschaffung, Inbetriebnahme, Betrieb und Entsorgung. Zudem wurden bei einigen Empfehlungen für eine BSI-Veröffentlichung neue Wege eingeschlagen, was insbesondere für den Ausgleich von möglichst hoher Sicherheit bei gleichzeitiger Alltagstauglichkeit relevant ist: Statt durch einzelne dedizierte Sicherheitsprodukte soll Sicherheit hier vielmehr durch eine Kombination zahlreicher, sich ergänzender Maßnahmen erreicht werden. Auf klassische Empfehlungen wie das Abschalten sämtlicher aktiver Inhalte im Web-Browser oder die generelle Forderung des Einsatzes von Virenschutzprodukten wurde daher bewusst zugunsten einer differenzierten Betrachtung verzichtet. Damit sind auch die Zielgruppen dieser CS-E abgesteckt: Neben den Privatnutzern sind mit kleinen Unternehmen und Selbstständigen vor allem Betreiber von nur einigen wenigen PCs oder Macs angesprochen. Bei großen IT-Infrastrukturen in Unternehmen können und müssen durchaus andere Regeln gelten. Die Veröffentlichung der CS-E für Windows erfolgte im Februar Unter Berücksichtigung zahlreicher Rückmeldungen dazu wurden dann auch die CS-E für OS X und Ubuntu erstellt, welche in einer ersten Version im Oktober 2012 publiziert wurden. Fachlich unterscheiden sich dabei die notwendigen Empfehlungen zwischen den einzelnen Betriebssystemen. Empfehlungen im Detail Um die Dokumente möglichst übersichtlich und für alle Anwender einfach umsetzbar zu halten, musste auf umfangreiche Begründungen innerhalb der CS-E verzichtet werden. Manche Empfehlung wurde daher von der Öffentlichkeit kritisch hinterfragt. Einige der aus unterschiedlichen Gründen interessantesten Empfehlungen sollen im Folgenden näher beleuchtet sowie rückblickend auf die vergangenen rund zwei Jahre seit der ersten Veröffentlichung der CS-E betrachtet werden. Java: Einfallstor Nummer Eins Bereits bei der ersten Konzipierung der CS-E war bekannt, dass das Java Runtime-Environment (JRE) ein großes Einfallstor für Schadcode darstellt. Diese Problematik hat sich seitdem nicht nur bestätigt, sondern sogar verstärkt. Die Häufigkeit von kritischen Schwachstellen in Kombination mit oft langen Update-Zyklen führt auf allen Betriebssystemen zu einer erhöhten Gefährdungslage durch ein installiertes JRE. Zwar ist die allgemeine Verbreitung von Java-Inhalten im Web heutzutage nicht mehr besonders 40 BSI Bonn <kes> 2014 # 1

7 hoch, jedoch stellen die wenigen Ausnahmen häufig besonders wichtige Anwendungen auch aus dem Behördenbereich dar, etwa das in diesem Kontext oft genannte Elster Online. Glücklicherweise haben jedoch sowohl die Anbieter entsprechender Dienste (etwa ElsterOnline) als auch die Browser-Hersteller reagiert. Die Java-Unterstützung ist in aktuellen Browsern üblicherweise zunächst abschaltbar und fallweise durch den Nutzer aktivierbar, sodass die Verwendung der JRE und eine gleichzeitig gute Sicherheit sich zumindest nicht mehr vollständig ausschließen. Dieser Ansatz stellt einen wirksamen Schutz vor Driveby-Schadprogrammen dar. Im Fall von ElsterOnline steht seit dem Sommer 2013 eine Version des Portals bereit, die sich auch ohne Java nutzen lässt. Nach wie vor gilt aber die Empfehlung, vorsorglich auf die JRE vollständig zu verzichten, wenn es möglich ist. Wirklich kein Virenschutzprodukt? Die BSI-Empfehlung zu Virenschutzprodukten gehört zu den besonders kontrovers diskutierten Themen der CS-E für die drei Betriebssysteme. Ausgangspunkt für die Empfehlungen waren folgende Fragen: Wie groß und von welcher Qualität ist die jeweilige Bedrohungslage durch Schadsoftware für das Betriebssystem? Wie hoch ist die mit Mechanismen der einzelnen Betriebssysteme erzielbare Basis-Sicherheit? Welche zusätzlichen Funktionen eines Virenschutzprodukts sind zur Abwehr der relevanten Bedrohungen für die angesprochene Zielgruppe erforderlich? Der wichtigste Aspekt bei der Entscheidung für die Verwendung von Virenschutzprodukten ist die konkrete Bedrohungslage, der das jeweilige Betriebssystem aktuell ausgesetzt ist. Das BSI wertet hier kontinuierlich eigene Erkenntnisse und Untersuchungen sowie öffentliche und nicht-öffentliche Informationen von Dritten aus, um ein entsprechendes Lagebild und Prognosen zu erstellen. Microsoft Windows ist nach wie vor das Desktop-Betriebssystem mit dem höchsten Marktanteil, nach aktuellen Schätzungen liegt dieser allein für Windows 7 noch bei über 50 %. Ebenso ist Windows nach wie vor das Hauptziel für Schadprogramme jeglicher Art, sodass der Einsatz eines Virenschutzprodukts unerlässlich ist. Zwar sind Virenschutzprodukte vor allem bei gezielten Angriffen immer noch häufig blind, doch als Schutz gegen die große Masse verbreiteter, ungezielter Angriffe leisten sie durchaus einen wichtigen Beitrag zur Erhöhung der Sicherheit. Dies gilt auch für kostenfreie Virenschutzprodukte, die gerade im privaten Umfeld vorinstallierten Virenschutzlösungen, deren Lizenz im schlimmsten Fall kürzlich abgelaufen ist, vorzuziehen sind. Schadsoftware für OS X und Ubuntu (bzw. Linux allgemein) ist ungleich seltener und die existierenden Angriffe sind üblicherweise leicht erkennbar meistens handelt es sich um Trojanische Pferde oder Scareware, die einige Nutzerinteraktion erfordert, um zur Ausführung kommen zu können. Die massive Bedrohungslage für Windows-Systeme ist daher in keiner Weise mit der aktuellen Situation für OS X und Ubuntu vergleichbar. Gegenläufig zur niedrigen Verbreitung von Angriffen gegen OS X und Ubuntu ist aber die mediale Aufmerksamkeit für die wenigen Fälle umso höher: So erzielte die für OS X erstaunlich fortschrittliche Schadsoftware Flashback je nach Quelle zwischen und Infektionen. Dieser Ausbruch im Jahr 2011 war bisher einer der sehr wenigen großen unter OS X (Randbemerkung: Ohne installiertes Java Runtime-Environment hätte Flashback es schwer gehabt!). Auch unter Berücksichtigung des im Vergleich zu Windows deutlich geringeren Marktanteils von OS X von derzeit etwa 7 % liegen in diesem zeitlich eng eingegrenzten Fall Infektionsraten und -häufigkeiten deutlich unter den permanenten Millionenzahlen von Zeus, Rustock oder gar Conficker unter Windows. Noch dünner sieht es unter Linux aus, wo etwa mit Hand of Thief im Sommer 2013 ein Banking-Trojaner zwar in vielen Fachmedien, aber kaum in der freien Wildbahn auftauchte. Hier dürfte die im Linux-Umfeld typische Heterogenität der Systeme von Vorteil sein, die es Angreifern erschwert, Vorhersagen über mögliche Angriffswege zu treffen. Nicht zuletzt der hohe Marktanteil und damit die Exposition von Windows als lohnendem Ziel sind wichtige Gründe für die hohe Zahl an Angriffen. Tatsache ist gleichzeitig: Schadprogramme für Desktop-Betriebssysteme sind außerhalb der Microsoft-Welt immer noch rar. Große Hersteller von Virenschutzprodukten decken zwar OS X und Linux ab, doch ist der Einsatz solcher Produkte auch nach heutigen Erkenntnissen aus den genannten Gründen nicht erforderlich. Ein interessantes Detail: Apple integriert mit XProtect ein eigenes, minimalistisches Virenschutzprodukt in OS X. Dieses verwendet neben einer versionsbasierten Blacklist verwundbarer Browser-Plug-ins für Java und Adobe Flash eine signaturbasierte Liste bekannter Schadprogramme für OS X. BSI Bonn <kes> 2014 # 1 41

8 Empfehlungen zur Cyber-Sicherheit Mit Stand Dezember 2013 enthält diese Liste lediglich 29 Einträge, von denen allein drei Einträge Varianten von Flashback sind. Gleichzeitig deckt diese Liste die in den vergangenen Jahren öffentlich bekannt gewordene Schadsoftware für OS X umfassend ab. Virenschutzprodukte sind insbesondere bei gezielten Angriffen weitgehend machtlos. Hier muss der Schutz also auf tieferer Ebene erfolgen, die Basis-Sicherheit der Betriebssysteme rückt in den Vordergrund: Diese ist bei allen modernen Betriebssystemen durchaus hoch. Die von den CS-E verfolgte Zielsetzung einer guten, aber einfachen Absicherung berücksichtigend, reicht eine Kombination aus den integrierten Mechanismen von OS X und Linux, einer soliden Konfiguration und umsichtigem Nutzungsverhalten derzeit im Alltagsgebrauch als Schutz aus. An dieser Stelle ist nochmals zu unterstreichen, dass Hochsicherheit nicht das Ziel der CS-E ist und im Unternehmenseinsatz durchaus andere Regeln gelten. Die genannten Punkte berücksichtigen primär das eigene System, doch was ist mit anderen? Das vielfach vorgebrachte Argument, ein Virenschutzprodukt zum Beispiel auf einem Mac schütze ja auch den Windows-PC vor einer von diesem Mac versendeten schädlichen E- Mail, ist durchaus nachvollziehbar. Plausibler und praktikabler erscheint jedoch der Ansatz, dass sich jedes System vergleichsweise egoistisch vor allem um seinen eigenen Schutz zu kümmern hat, denn sich allein auf das richtige Verhalten anderer zu verlassen, kann nicht nur im Straßenverkehr fatal sein zusätzlich sollten die Transportwege dediziert abgesichert werden, was in diesem Beispiel insbesondere einen Virenschutz auf den genutzten Mail- Gateways bedeutet, wie er ohnehin vom BSI empfohlen wird. Die Hersteller verwenden üblicherweise die gleichen Signaturdatenbanken für ihre einzelnen betriebssystemspezifischen Antivirenprodukte, eine signaturbasierte Erkennung von Windows-Schadprogrammen auf einem anderen Betriebssystem ist also möglich. Da aber keine Laufzeiterkennung verdächtigen Verhaltens erfolgen kann, gilt auch hier, dass die unmittelbare Absicherung der eigentlich gefährdeten Zielplattform unerlässlich ist. Festplatte: verschlüsseln? Alle drei durch die CS-E abgedeckten Betriebssysteme bieten eigene Möglichkeiten zur Festplattenverschlüsselung: FileVault für OS X, Bit- Locker unter Microsoft Windows 7 (von Microsoft jedoch nicht in den weit verbreiteten Editionen Home und Professional angeboten) und LUKS/dm-crypt unter Ubuntu. Diese Möglichkeiten setzen auf verbreitete Verschlüsselungsverfahren wie den Advanced Encryption Standard (AES) und sind für den alltäglichen Gebrauch als ausreichend sicher zu bezeichnen. Durch Integration ins Betriebssystem sind diese Methoden ganz im Sinne der CS-E außerdem einfach umzusetzen. Daneben enthalten die CS-E für Windows und Ubuntu Empfehlungen für den alternativen Einsatz von TrueCrypt, das ebenfalls eine ausreichende Sicherheit und einfache Bedienung bietet. TrueCrypt ist quelloffen, steht aber unter der proprietären TrueCrypt License Version 3.0, die nicht den Anforderungen an Free/Libre-Open-Source-Software (FLOSS) genügt und somit eine Integration des Produkts in viele Linux- Distributionen verhindert. Unter den genannten Windows-Versionen, die keine BitLocker- Unterstützung enthalten, stellt True- Crypt also eine Alternative dar. Die TrueCrypt-Empfehlung für Ubuntu sorgte bei Lesern der CS-E für Verwirrung, ist aber leicht zu erklären und dem Anspruch der CS-E auf Einfachheit geschuldet: Zum Zeitpunkt der Erstellung der ersten Version der CS-E, basierend auf Ubuntu 12.04, war eine Vollverschlüsselung der Festplatte nur im Zuge einer so genannten Alternate-Installation möglich, deren Beschreibung den Rahmen der Empfehlung gesprengt hätte. In der aktuellen Version der CS-E wird TrueCrypt daher nur noch als Alternative zur integrierten Vollverschlüsselung genannt. Grundsätzlich muss festgehalten werden, dass die verschiedenen CS-E mit der Empfehlung einer Vollverschlüsselung primär für den Fall vorgesehen sind, Daten auf gestohlenen, ausgeschalteten Geräten beziehungsweise Data at Rest auf einem alltagsüblichen Sicherheitsniveau zu schützen. Gefährdungen durch Schadsoftware oder physischen Zugriff durch Dritte im laufenden Betrieb kann durch eine solche Vollverschlüsselung nicht begegnet werden, da die Daten im laufenden Betrieb unverschlüsselt sind beziehungsweise transparent entschlüsselt werden. Empfiehlt das BSI tatsächlich Google Chrome? Mit solchen Anfragen wandten sich Bürger nach der Veröffentlichung der CS-E für Windows-PCs an das BSI. Auf modernen IT-Systemen, gleich welches Betriebssystem benutzt wird, ist der Web-Browser die vermutlich am häufigsten eingesetzte Anwendung. Gleichzeitig stellt der Web-Browser eine große Angriffsfläche dar, da er vorwiegend Inhalte anzeigt, die aus fremden Quellen stammen, und die durch zahlreiche Möglichkeiten für aktive Inhalte zusätzliches Gefährdungspotenzial bieten. Klassische Sicherheitsempfehlungen rieten in der Vergangen- 42 BSI Bonn <kes> 2014 # 1

9 heit stets dazu, aktive Inhalte vollständig zu deaktivieren. In der Praxis ist diese Empfehlung jedoch heute nicht mehr umzusetzen. Kann auf bestimmte Plug-ins in vielen Fällen noch verzichtet werden, ist insbesondere Javascript für die Verwendung heutiger Websites essenziell. Praxisferne Empfehlungen erhöhen die Sicherheit nicht, da sie ohnehin vom Anwender nicht umgesetzt werden und dieser im Zweifel dann aus Komfortgründen lieber auf jegliche Absicherung verzichtet. Zudem können mit modernen Webtechniken zum Beispiel auch fortgeschrittene, sichere Authentifizierungsmechanismen umgesetzt werden. Statt zur Absicherung zunächst detaillierte Konfigurationshinweise umsetzen zu müssen, sollte daher ein Browser eingesetzt werden, der bereits grundsätzlich ein hohes Sicherheitsniveau für die alltägliche Nutzung moderner Web-Inhalte besitzt. Als wichtige Eigenschaften gilt dabei eine konsequente Verwendung so genannter Sandboxing-Mechanismen, um schädlichen Web-Inhalten den Zugriff auf Daten anderer Websites sowie auf das System des Anwenders zu verwehren. Insbesondere soll der Browser auch eine Sandbox für Plug-ins besitzen. Ebenfalls wichtig ist eine schnelle Bereitstellung von Aktualisierungen durch den Hersteller, um Sicherheitsprobleme des Browsers zu beheben, sowie eine Update-Funktion, die solche Aktualisierungen kurzfristig und vollautomatisch installiert. Eine weitverbreitete Metrik, um die Sicherheit von Software zu bewerten, ist die Anzahl der aufgetretenen Schwachstellen. In der Praxis ist diese Metrik jedoch aus zwei Gründen unbrauchbar: Zum einen hat der Hersteller großen Einfluss auf die tatsächlich öffentlich bekannte Zahl, und zum anderen wiegt eine einzige Lücke, die über einen langen Zeitraum offen ist, schwerer als eine Reihe von Lücken, die aber innerhalb kürzester Zeit geschlossen werden. Zwar haben seit Erscheinen der ersten CS-E Anfang 2012 alle großen Hersteller die Sicherheit ihrer Browser stetig weiter verbessert, aber auch nach aktuellem Stand setzt mit Google Chrome nur ein Produkt alle genannten Anforderungen konsequent um und wird daher beispielhaft genannt. Positive Entwicklungen bei den übrigen Browsern zeichnen sich insbesondere im Bereich des Sandboxing ab. So läuft etwa mittlerweile das verbreitete Flash-Plugin von Adobe in Apples Safari ab OS X 10.9 in einer Sandbox, ebenso wie in Firefox auf Windows-Systemen. Microsofts Internet Explorer setzt ab Version 10 mit dem Enhanced Protected Mode für bestimmte Szenarien ebenfalls moderne Sandboxing- Mechanismen um. Bei der schnellen Bereitstellung von Aktualisierungen besteht aber insbesondere bei Safari und Internet Explorer noch Verbesserungsbedarf. Eine separate CS-E, welche noch weitaus detaillierter die BSI-Anforderungen an sichere Web-Browser aufschlüsselt, wird voraussichtlich im ersten Halbjahr 2014 erscheinen und einen detaillierten Vergleich der Sicherheitseigenschaften von Web- Browsern ermöglichen. Diskutiert wurden nach Veröffentlichung der Betriebssystem- CS-E primär zwei Punkte: formal die beispielhafte Nennung eines Produkts des Herstellers Google und technisch die kurzen Updatezyklen von Chrome. Hatte das BSI sich 2008 wegen des Beta-Status und der integrierten Tracking-Funktionen noch öffentlich gegen den produktiven Einsatz von Google Chrome außerhalb von Testsystemen ausgesprochen, so ist dieser Browser aus heutiger Sicht diesbezüglich nicht mehr zu beanstanden: Die Nutzung von Google-Diensten innerhalb des Browsers ist abschaltbar, versteckte Datenübermittlung durch den Browser findet nach derzeitigem Wissensstand nicht statt, und nicht zuletzt sind die geschilderten robusten Sicherheitsmechanismen als quelloffenes Produkt Chromium implementiert. Zudem stehen auch auf Chromium basierende Alternativen zur Verfügung, die technisch gleichwertig sind, aber eben nicht unter Kontrolle von Google stehen. Die für die Sicherheit eines Browsers wichtige Eigenschaft einer schnellen und automatischen Bereitstellung von Aktualisierungen ist bei Chrome umgesetzt, bereitet allerdings gleichzeitig vielen Administratoren Sorge, da etablierte Prozesse für das Update-Management angepasst werden müssen. Tatsächlich zeigt aber eine Analyse der letzten Monate, dass Google einen ungefähren Rhythmus von sechs Wochen zwischen Major-Releases durchgängig einhält; zwischengeschobene Aktualisierungen enthalten üblicherweise Patches für tatsächlich kritische Schwachstellen. Aus BSI-Sicht überwiegen die sicherheitstechnischen Vorteile solch schneller Aktualisierungen deutlich. Entsorgung Die BSI-Empfehlung zur Entsorgung ausgemusterter Macs oder PCs behandelt vor allem die Vernichtung der gespeicherten Daten. Dies kann entweder logisch durch Überschreiben auf dem Datenträger oder physisch durch Zerstörung des Datenträgers erfolgen. Anders als auch heutzutage noch vielfach empfohlen wird, reicht es beim Überschreiben aus, den kompletten Datenträger einmalig mit Zufallswerten zu überschreiben. Methoden zum sicheren Löschen, bei der die Daten zum Teil mehrfach mit unterschiedlichen Inhalten überschrieben werden, erzeugen zwar ein BSI Bonn <kes> 2014 # 1 43

10 Empfehlungen zur Cyber-Sicherheit gutes Gefühl der Gründlichkeit, sind aber faktisch vergeudete Zeit. Diese Methoden wurden zum Teil nach damaligen Sicherheitsstandards noch für Disketten entwickelt und sind zwar nicht schädlich, aber überholt. Das bestätigen auch wissenschaftliche Untersuchungen zu diesem Thema, wie beispielsweise [4]. Berücksichtigt man die geringen Anschaffungskosten moderner Massenspeicher, ist das Risiko einer unfreiwilligen Datenweitergabe andererseits stets unwirtschaftlicher als ein möglicherweise erzielbarer Gewinn durch Erhalt und die weitere Nutzung des Datenträgers. Im Zweifel ist daher eine physische Zerstörung des Datenträgers eine einfache, aber sehr effektive Methode zur Vernichtung sensitiver Daten. [1] BSI-CS 003 Sichere Nutzung von PCs unter Microsoft Windows 7 für kleine Unternehmen und Selbstständige, anwender/software/bsi-cs_003.pdf [2] BSI-CS 010 Sichere Nutzung von Macs unter Apple OS X Mountain Lion für kleine Unternehmen und Selbstständige, downloads/anwender/software/ BSI-CS_010.pdf [3] BSI-CS 009 Sichere Nutzung von PCs unter Ubuntu für kleine Unternehmen und Selbstständige, de/acs/de/_downloads/anwender/ software/bsi-cs_009.pdf Literatur [4] Craig Wright, Dave Kleiman, Shyaam Sundhar R.S., Overwriting Hard Drive Data, The Great Wiping Controversy, in: R. Sekar, Arun K. Pujari (Hrsg.), 4th International Conference ICISS 2008, Springer, 2008, S. 243, ISBN [5] BSI-CS 048 Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7, www. allianz-fuer-cybersicherheit.de/acs/ DE/_downloads/angriffsmethoden/ statistiken/bsi-cs_048.pdf [6] BSI-CS 040 Schutz von Anwendungen vor ungepatchten Schwachstellen mittels EMET, www. allianz-fuer-cybersicherheit.de/acs/ DE/_downloads/anwender/software/BSI-CS_040.pdf [7] BSI-CS 085 Umgang mit dem Ende des Supports für Windows XP, de/acs/de/_downloads/anwender/ software/bsi-cs_085.pdf [8] BSI, Informationspool der Allianz für Cyber-Sicherheit, html Bei den immer stärker Verbreitung findenden, auf Flash- Speicher basierenden Solid-State- Disks (SSD) kommt hinzu, dass ein schlichtes Überschreiben der Daten technisch bedingt nicht vorhersagbar möglich ist: Etwa durch Wear- Leveling landen neue Daten beim Überschreiben nicht zwangsläufig in der gleichen Speicherzelle. Neben der physischen Zerstörung einer SSD bietet sich daher eine dritte Möglichkeit an: Bei einer vor allem bei mobilen Geräten ohnehin empfehlenswerten Vollverschlüsselung des Datenträgers reicht es aus, das Schlüsselmaterial zu vernichten, um die verschlüsselten Daten unbrauchbar zu machen. Dieses Konzept setzen zum Beispiel auch mobile Betriebssysteme ein, um im Verlustfall eine schnelle Fernlöschung durch Vernichtung des betreffenden Schlüsselmaterials zu ermöglichen. Status Quo und Ausblick Auch zwei Jahre nach der ersten Konzipierung und Veröffentlichung der Betriebssystem-CS-E zeigt sich aus Sicht des BSI, dass die Empfehlungen immer noch zeitgemäß sind und dem ursprünglichen Ziel, nämlich einer hohen Grundsicherheit bei einfacher Umsetzung und ohne Verzicht auf Alltagstauglichkeit, gerecht werden. Das Konzept, eine Reihe sich ergänzender Maßnahmen zur Absicherung zu kombinieren und Alleskönner-Produkte zu hinterfragen, geht auf. Dies zeigte auch eine Untersuchung, die das BSI Ende November 2012 durchführen ließ: Ein gemäß der CS-E eingerichteter PC mit Windows 7 wurde beim Besuch von 100, mit aktuellen Driveby-Schadprogrammen versehenen Websites nicht ein einziges Mal infiziert. Auf einem nicht entsprechend abgesicherten System mit veralteter Konfiguration waren 36 Infektionen erfolgreich. Die Ergebnisse dieser Untersuchung können im Detail nachgelesen werden in der Veröffentlichung BSI-CS 048 Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 [5]. Zwar wurden die CS-E seit Erscheinen mehrfach überarbeitet und ergänzt, doch grundsätzliche Änderungen waren bisher nicht notwendig. Dies betrifft vor allem auch diejenigen Empfehlungen, die zunächst für Diskussionen und Kritik sorgten. Das grundsätzlich positive und konstruktive Feedback durch Bürger, Experten und Unternehmen für die Empfehlungen sowie für den Versuch des BSI, im Rahmen der CS-E auch neue Wege zu beschreiten, soll daher an dieser Stelle auch nicht verschwiegen werden. 44 BSI Bonn <kes> 2014 # 1

11 Die hier behandelten CS-E zur Grundsicherheit der drei verbreiteten Desktop-Betriebssysteme werden weiterhin regelmäßig mit neuen Entwicklungen und Erkenntnissen aktualisiert; so werden in Kürze auch Windows 8 und höher sowie OS X 10.9 berücksichtigt. Außerdem veröffentlicht das BSI fortlaufend weitere Papiere, die spezifische Aspekte ergänzen oder Themen für bestimmte Einsatzszenarien beleuchten. Beispielhaft genannt seien an dieser Stelle die bereits verfügbare BSI-CS 040 Schutz von Anwendungen vor ungepatchten Schwachstellen mittels EMET [6], die auf erweiterte Schutzmöglichkeiten für Windows durch Microsofts Enhanced Mitigation Experience Toolkit eingeht, sowie BSI-CS 085 Umgang mit dem Ende des Supports für Windows XP [7]. Diese stehen, wie auch die übrigen in diesem Artikel genannten CS-E, im Informationspool auf der Website der Allianz für Cyber-Sicherheit [8] zum Download bereit. Neben der bereits im Artikel erwähnten CS-E zu Anforderungen an sichere Web-Browser wird ebenfalls im ersten Halbjahr 2014 eine CS-E zum Management von Schwachstellen und Sicherheitsupdates erscheinen. Safer-Internet-Day: BSI informiert zu Cloud-Computing Etwas Zeit sollten sich Cloud-Nutzer auch für die unbequemen Fragen nehmen: Datenschutzvereinbarungen, Nutzungskurz notiert Anlässlich des diesjährigen Safer-Internet-Day am 11. Februar 2014 hat das BSI eine neue Broschüre zum Thema Cloud-Computing veröffentlicht. Sie richtet sich an Bürgerinnen und Bürger und erklärt die Cloud in leicht verständlicher Weise zudem werden einfach anwendbare Tipps und Hinweise rund um das Cloud-Computing für Privatanwender gegeben. Neben Informationen zu Vorteilen wie Kostenersparnis, Flexibilität und Bedienfreundlichkeit klärt die Broschüre insbesondere über den nötigen Basisschutz auf, um Cloud-Computing sicher nutzen zu können. Der Schutz beginnt bereits bei den verwendeten Endgeräten, wie PC, Tablet oder Smartphone, die adäquat gegen Schadsoftware abgesichert sein sollten. Ein starkes Passwort für den Cloud-Dienst und der Zugriff über ein gut geschütztes (WLAN-)Netz sind für die Sicherheit ebenso unerlässlich. bedingungen und Haftungsfragen sollten bei der Auswahl des Anbieters eine Rolle spielen. Werden die Daten verschlüsselt oder unverschlüsselt zum Anbieter übertragen und wie werden sie gespeichert? Je nach Schutzbedarf muss der Nutzer hier selbst mit Verschlüsselungstechnologie aufrüsten. Die Broschüre des BSI erläutert die wichtigsten Fragen bis hin zur Datenlöschung. Sie steht seit Februar unter zum Download zur Verfügung und wird zur CeBIT auch als Printausgabe erhältlich sein. Supportende von Windows XP und MS Office 2003 Microsoft beendet zum 8. April dieses Jahres den Support für das Betriebssystem Windows XP und die Bürosoftware Office Das BSI befürchtet, dass neue in Windows XP gefundene Schwachstellen von Online-Kriminellen derzeit bewusst zurückgehalten und erst nach Ende des Supports aktiv eingesetzt werden, um Gegenmaßnahmen zu erschweren. Darüber hinaus ist anzunehmen, dass mancher zukünftig entdeckte Angriffsweg für moderne Windows-Versionen auch bei Windows XP funktioniert und von Angreifern nutzbar gemacht werden wird. Zusammen führt dies zu einer erhöhten Bedrohungslage für Systeme mit veralteten Betriebssystemen zudem sind Anwender bei künftigen Problemen auf sich gestellt. Das BSI rät deshalb dazu, bestehende Systeme zu migrieren und hat dazu zwei Artikel erstellt, die sich an unterschiedliche Zielgruppen richten: Tipps für Privatanwender liefert DE/Wissenswertes_Hilfreiches/Ser- vice/aktuell/meldungen/support- Ende-WinXP_ html. Ein Dokument für Administratoren, Systemintegratoren, Anlagenbauer und -betreiber im industriellen Umfeld steht hingegen unter downloads/anwender/software/bsi- CS_085.html bereit. BSI Bonn <kes> 2014 # 1 45

12 Amtliche Mitteilungen Amtliche Mitteilungen 1. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen sind inzwischen folgende Zertifizierungen des BSI gemäß Common Criteria und ITSEC abgeschlossen worden: Hersteller/Vertreiber Produkt Produkt-Typ Ergebnis ID Zertifizierungsdatum genua mbh genugate firewall 8.0 Firewall EAL 4+ BSI-DSZ-CC Infineon Infineon Technologies Security Smartcard Controller EAL 5+ Technologies AG Controller M7793 A12 and G12 with BSI-DSZ-CC optional RSA2048/4096 v or v , EC v or v and Toolbox v or v libraries and with specific IC-dedicated software T-Systems TCOS Residence Permit Card Version 1.0 Smartcard mit BSI-DSZ-CC International GmbH Release 2 BAC/ SLE78CLX1440P elektronischem 2011-MA-01 Aufenthaltstitel T-Systems TCOS Residence Permit Card Version 1.0 Smartcard mit BSI-DSZ-CC International GmbH Release 2/ SLE78CLX1440P elektronischem 2011-MA-01 Aufenthaltstitel VeriFone Inc. Verifone H5000 Hybrid Payment Bezahlterminal EAL POI Terminal with Firmware SecureCore BSI-DSZ-CC , CDF Security Provider DPR 01.03, ADF EMV PR 01.56, ADF Online X9PR T-Systems TCOS Residence Permit Card Version 1.1 Smartcard mit EAL 4+ International GmbH Release 1-BAC/ SLE78CLX1440P elektronischem BSI-DSZ-CC Aufenthaltstitel T-Systems TCOS Residence Permit Card Version 1.1 Smartcard mit EAL 4+ International GmbH Release 1/ SLE78CLX1440P elektronischem BSI-DSZ-CC Aufenthaltstitel NXP Semiconductors NXP Secure Smart Card Controller Smartcard Controller EAL 5+ Germany GmbH P60D080/052/040MVC including BSI-DSZ-CC IC Dedicated Software with MIFARE Plus MF1PLUSx0 NXP Semiconductors NXP P5CD080V0B/ V0B(s) Secure Smartcard Controller EAL 5+ Germany GmbH Smart Card Controller BSI-DSZ-CC V BSI Bonn <kes> 2014 # 1

13 Hersteller/Vertreiber Produkt Produkt-Typ Ergebnis ID Zertifizierungsdatum T-Systems TCOS Passport Version 2.1 Smartcard mit EAL 4+ International GmbH Release 1-BAC / P60D144 Passanwendung (BAC) BSI-DSZ-CC T-Systems TCOS Passport Version 2.1 Release 1/ Smartcard mit EAL 4+ International GmbH P60D144 (EAC) Passanwendung (EAC) BSI-DSZ-CC Anmerkung: Die zugehörigen Zertifizierungsreporte mit Zertifikaten sind auf der Web-Seite einzusehen. 2. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen ist inzwischen für folgende Produkte eine Zertifizierung beantragt worden: Antragsteller Produktname Produkttyp Zertifizierungs-ID Red Hat Tower Red Hat Enterprise Linux 6.2 Betriebssystem BSI-DSZ-CC-0924 (32 bit) SYSCO AG PikeOS, Version: 3.4 Betriebssystem BSI-DSZ-CC-0923 Giesecke & Devrient STARCOS 3.5 Smartcard mit BSI-DSZ-CC-0922 GmbH ID SAC+EAC+AA C1R Passanwendung Atos IT Solutions and CardOS V5.3 QES, V1.0 Smartcard mit BSI-DSZ-CC-0921 Services GmbH Signaturanwendung Anmerkungen: Eine Veröffentlichung dieser Angaben erfolgt hier nur, sofern der Antragsteller damit einverstanden ist und die Evaluierung begonnen wurde. In der Liste vorhandene Nummerierungslücken betreffen beantragte Zertifizierungen, für die die genannten Voraussetzungen fehlen. Bei einigen Produkten handelt es sich um eine Re-Zertifizierung eines bereits zertifizierten Produktes wegen Änderungen am Produkt oder Wechsel der Prüfkriterien. 3. Vom BSI bestätigte Produkte gemäß Signaturgesetz (SigG) Hersteller Produktbezeichnung Produkttyp Registriernummer T-Systems TCOS Residence Permit Card Sichere Nachtrag zur International GmbH Version 1.0, Signaturerstellungseinheit Bestätigung Release 2/SLE78CLX1440P BSI TE BSI Bonn <kes> 2014 # 1 47

14 Amtliche Mitteilungen 4. Vom BSI erteilte Standortzertifikate Antragsteller Entwicklungs-/ ID gültig bis Produktionsstandorte Ausstellungsdatum NedCard BV NedCard Shanghai BSI-DSZ-CC-S Microelectronics Co. Ltd Vom BSI erteilte ISO Zertifikate auf der Basis von IT-Grundschutz Zertifikatsnummer Institution Untersuchungsgegenstand gültig bis BSI-IGZ VDG Der Untersuchungsgegenstand umfasst die zum Betrieb und Versicherungs- zur Administration notwendigen Ressourcen des Authentiwirtschaftlicher fizierungs- und Single Sign-on-Portales (VDG-Portal), das für Datendienst Versicherungsvermittler einen einfachen Zugang zu GmbH Web-Portalen, -Anwendungen und -Services ermöglicht. BSI-IGZ Behinderten- Der IT-Verbund umfasst in erster Linie die IT-Systeme zur Werk Digitalisierung von Dokumenten, welche das BWMK und das Main-Kinzig e. V. mit ihm verbundene Unternehmen Skanilo GmbH an den Standorten Hanau-Wolfgang und Hanau-Großauheim betreiben, um Dienstleistungen für Dritte zu erbringen. Für ebenfalls zu betrachtende Unterstützungsprozesse werden darüber hinaus IT-Systeme zum verschlüsselten Datenaustausch mit den Kunden und zwischen den Standorten, Systeme zur auftragsgemäßen selektiven, zuverlässigen Löschung der digitalisierten Daten nach festgelegten Aufbewahrungsfristen sowie weitere IT-gestützte Dienste wie bspw. Verzeichnisdienste ADS, , File- und Print-Services oder ein Ticket-System zur Auftragssteuerung eingesetzt. BSI-IGZ Servicezentrum Der Informationsverbund LGLN-SLA und operative Landentwick- EU-Zahlstelle besteht aus den Organisationseinheiten des lung und LGLN-SLA und dem Referat des Niedersächsischen Agrarförderung Ministeriums für Ernährung, Landwirtschaft und Verbraucherschutz (ML) in Hannover. Innerhalb dieser Organisationseinheiten werden die Fachaufgaben der technischen Bereitstellung und Pflege zentraler Fachverfahren sowie die Auszahlung und Verbuchung von Fördergeldern des Europäischen Garantiefonds für die Landwirtschaft (EGFL) und des Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) bearbeitet. 48 BSI Bonn <kes> 2014 # 1

15 Zertifikatsnummer Institution Untersuchungsgegenstand gültig bis BSI-IGZ T-Systems Die T-Systems International GmbH betreibt ein Trust Center International mit mehreren IT-Sicherheitsdiensten. Um diese Dienste sicher AG und zuverlässig betreiben und anbieten zu können, werden relevante Sicherheitsmaßnahmen in entsprechenden dienstespezifischen Sicherheitskonzepten beschrieben. Die allgemeinen diensteübergreifenden Sicherheitsmaßnahmen werden in einem zentralen Trust Center Sicherheitsrahmenkonzept (kurz TC SRK) beschrieben. Insbesondere sind dies das Informationssicherheitsmanagementsystem (ISMS), die organisatorische, personelle und infrastrukturelle Sicherheit sowie die Sicherheit der von mehreren Diensten genutzten IT-Systemen, Netze und Anwendungen. Im Sicherheitsrahmenkonzept wird somit eine Basissicherheit für alle Dienste des Trust Centers definiert, auf die die Sicherheitskonzepte der einzelnen Dienste referenzieren können. BSI-IGZ GEMINI Am Standort Idstein betreibt die GEMINI DIRECT marketing DIRECT solutions GmbH einen abgeschotteten Informationsverbund, marketing in dem personenbezogene und schutzbedürftige Daten für solutions Dialogmarketingzwecke gespeichert und verarbeitet (Selektion, GmbH Anreicherung, Aufbereitung) werden. Grundlage dieser Leistungen ist eine umfassende Konsumentendatenbank mit einer Vielzahl von Selektionsmerkmalen. 6. Vom BSI anerkannte oder zertifizierte Stellen Firma Anerkennungs-/Zertifizierungsbereich Datum/Laufzeit secunet Security Network BSI-TR Teil 2: Conformance Test Specification bis (eid-client: Software) Atos Information IS-Revision und IS-Beratung bis Technology GmbH BSI Bonn <kes> 2014 # 1 49

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum?

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Dirk Häger, Fachbereichsleiter Operative Netzabwehr Bundesamt für Sicherheit in der Informationstechnik Jahrestagung CODE,

Mehr

Cyber-Sicherheit für PCs unter Microsoft Windows

Cyber-Sicherheit für PCs unter Microsoft Windows Cyber-Sicherheit für PCs unter Microsoft Windows Christoph Fischer Referat C 13 - Sicherheit in Betriebssystemen und Anwendungen CeBIT 2012-06.03.2012 Ziel BSI-Empfehlung für den sicheren Einsatz von PCs

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

3. Verbraucherdialog Mobile Payment

3. Verbraucherdialog Mobile Payment 3. Verbraucherdialog Mobile Payment Empfehlungen der Arbeitsgruppe Zahlungssicherheit Mobile Payment ist eine Form des Bezahlens, die in verschiedenen Formen ausgestaltet ist und in unterschiedlichsten

Mehr

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Erfahrungen und Empfehlungen für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Jonas Paulzen Bundesamt für Sicherheit

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

In die Cloud aber sicher!

In die Cloud aber sicher! In die Cloud aber sicher! Basisschutz leicht gemacht Tipps und Hinweise zu Cloud Computing 1 In die Cloud aber sicher! Eine Cloud ist ein Online-Dienst. Mit dem Dienst speichern Sie Daten im Internet,

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen. www.bsi-fuer-buerger.

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen. www.bsi-fuer-buerger. Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Im Internet surfen ist wie Autofahren reinsetzen

Mehr

Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015

Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015 Risiken und Schutz im Cyber-Raum Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015 Stahlwerk in Deutschland durch APT-Angriff beschädigt

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform?

Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform? Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform? Technische Hintergründe, Einsatzmöglichkeiten im E-Business und zu beachtende Sicherheitsaspekte M.Eng Sebastian

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co Soziale Netzwerke Basisschutz leicht gemacht Tipps zur sicheren Nutzung von Facebook, Xing & Co Sichere Nutzung sozialer Netzwerke Über soziale Netzwerke können Sie mit Freunden und Bekannten Kontakt aufnehmen,

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 23. Oktober 2012, S-IHK Hagen Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Allianz für Cyber-Sicherheit

Allianz für Cyber-Sicherheit Allianz für Cyber-Sicherheit Dirk Häger Bundesamt für Sicherheit in der Informationstechnik Bonn, 13. November 2012 1 Nationales CyberSicherheitsprogramm (BSI) Folie aus 2011 Ziele: die Risiken des Cyber-Raums

Mehr

Sichere Web-Authentifizierung. Schnelle Integration Stationär und mobil Kostenlose Serversoftware

Sichere Web-Authentifizierung. Schnelle Integration Stationär und mobil Kostenlose Serversoftware Sichere Web-Authentifizierung Schnelle Integration Stationär und mobil Kostenlose Serversoftware Was ist OWOK? Mit OWOK steht eine einfach zu bedienende Authentifizierungslösung zur Verfügung, welche mit

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa Informationen zu Verified by Visa 2 1. Was ist Verified by Visa? 2 2. Wie funktioniert Verified by Visa? 2 3. Wie schützt mich Verified by Visa? 2 4. Ist der Umgang mit Verified by Visa benutzerfreundlich?

Mehr

Sicher unterwegs mit Smartphone, Tablet & Co Basisschutz leicht gemacht. Tipps zum Umgang mit mobilen Geräten

Sicher unterwegs mit Smartphone, Tablet & Co Basisschutz leicht gemacht. Tipps zum Umgang mit mobilen Geräten Sicher unterwegs mit Smartphone, Tablet & Co Basisschutz leicht gemacht Tipps zum Umgang mit mobilen Geräten SICHER UNTERWEGS MIT SMARTPHONE, TABLET & CO VORWORT Sicherheit für Smartphone & Co Smartphones

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

SafeNet s zertifikatsbasierte USB-Authentifikatoren und Smartcards

SafeNet s zertifikatsbasierte USB-Authentifikatoren und Smartcards SafeNet s zertifikatsbasierte USB-Authentifikatoren und Smartcards SafeNets vielfältige Lösungen für eine starke Starke Authentisierung sorgen dafür, dass nur berechtigte Personen auf die sensiblen Daten

Mehr

Bin ich fit für myconvento?

Bin ich fit für myconvento? Bin ich fit für myconvento? Sie planen den Einsatz unserer innovativen Kommunikationslösung myconvento und fragen sich gerade, ob Ihr Rechner die Anforderungen erfüllt? Hier erfahren Sie mehr. Inhalt Was

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

LANCOM Systems. Standortvernetzung NEU

LANCOM Systems. Standortvernetzung NEU LANCOM Systems Hochsichere Standortvernetzung NEU Hochsichere Standortvernetzung [...] Geheimdienste werten in ungeahntem Ausmaß deutsche Mails, Telefongespräche und Kurznachrichten aus. Unternehmen befürchten

Mehr

Browser-(Un)Sicherheit Ein buntes Programm

Browser-(Un)Sicherheit Ein buntes Programm Sven Türpe Browser-(Un)Sicherheit Ein buntes Programm Rheinlandtreffen 2009 http://testlab.sit.fraunhofer.de Tolle Sachen: Sicherheit als Klassifikationsproblem What is the shape of your security policy?

Mehr

Aktuelle Angriffsmuster was hilft?

Aktuelle Angriffsmuster was hilft? Aktuelle Angriffsmuster was hilft? Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik Managementforum Postmarkt, Frankfurt

Mehr

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Teil 3: Kurztest zur Einschätzung der eigenen Bedrohungslage Änderungshistorie Datum Änderung.01.007 Version

Mehr

Nachtrag Nr. 1 zur Sicherheitsbestätigung BSI.02110.TE.12.2008. OPENLiMiT SignCubes base components 2.5, Version 2.5.0.2

Nachtrag Nr. 1 zur Sicherheitsbestätigung BSI.02110.TE.12.2008. OPENLiMiT SignCubes base components 2.5, Version 2.5.0.2 Nachtrag Nr. 1 zur Sicherheitsbestätigung BSI.02110.TE.12.2008 OPENLiMiT SignCubes base components 2.5, Version 2.5.0.2 Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs.

Mehr

Verschlüsselung von Daten mit TrueCrypt

Verschlüsselung von Daten mit TrueCrypt Sicherheitstage SS/09 Verschlüsselung von Daten mit TrueCrypt Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN TrueCrypt - frei verfügbare, quelloffene Verschlüsselungssoftware für Windows und Linux - On-the-fly-Verschlüsselung/Entschlüsselung:

Mehr

Ganz sicher sicher surfen. it-sa 2013 Nürnberg

Ganz sicher sicher surfen. it-sa 2013 Nürnberg Ganz sicher sicher surfen it-sa 2013 Nürnberg + Soforthilfe gegen kritische Reader-Lücken heise.de, 14.02.2013 Wer mit den aktuellen Versionen des Adobe Reader ein PDF-Dokument öffnet, läuft Gefahr, sich

Mehr

HOB Remote Desktop VPN

HOB Remote Desktop VPN HOB GmbH & Co. KG Schwadermühlstr. 3 90556 Cadolzburg Tel: 09103 / 715-0 Fax: 09103 / 715-271 E-Mail: support@hob.de Internet: www.hob.de HOB Remote Desktop VPN Sicherer Zugang mobiler Anwender und Geschäftspartner

Mehr

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Cisco ProtectLink Endpoint

Cisco ProtectLink Endpoint Cisco ProtectLink Endpoint Kostengünstige Daten- und Benutzersicherheit Wenn der Geschäftsbetrieb erste Priorität hat, bleibt keine Zeit für die Lösung von Sicherheitsproblemen, ständiges Patchen und Bereinigen

Mehr

Security Issues in Mobile NFC Devices

Security Issues in Mobile NFC Devices Dissertation Doktoratsstudium der Techn. Wissenschaften Angefertigt am Institut für Computational Perception Beurteilung: Dr. Josef Scharinger Dr. René Mayrhofer Security Issues in Mobile NFC Devices Michael

Mehr

Mobile Kommunikation: Herausforderung für die Cyber-Sicherheit

Mobile Kommunikation: Herausforderung für die Cyber-Sicherheit Mobile Kommunikation: Herausforderung für die Cyber-Sicherheit Fachkonferenz Cyber-Sicherheit 30. Mai 2012 Überblick Smartphones: Fakten Besondere Gefährdungslage Beispiel: Flexispy Smartphones und Enterprise-Security

Mehr

Agenda. Der Support von Windows XP und Office 2003 wurde eingestellt Das neue Windows Das neue Office Ende

Agenda. Der Support von Windows XP und Office 2003 wurde eingestellt Das neue Windows Das neue Office Ende Agenda Der Support von Windows XP und Office 2003 wurde eingestellt Das neue Windows Das neue Office Ende Der Support von Windows XP und Office 2003 wurde eingestellt Microsoft Support Lebenszyklus http://support.microsoft.com/lifecycle

Mehr

Sicherheitsaspekte beim Mobile Computing

Sicherheitsaspekte beim Mobile Computing Sicherheitsaspekte beim Mobile Computing Horst Flätgen Bundesamt für Sicherheit in der Informationstechnik (BSI) Bonn, 9. Mai 2012 www.bsi.bund.de Aufbrechen der Sicherheitsstruktur durch mobile Endgeräte

Mehr

Sun/Oracle Java Version: 1.6.0, neuer als 1.6.0_11

Sun/Oracle Java Version: 1.6.0, neuer als 1.6.0_11 Systemanforderungen für EnlightKS Online Certification Management Services ET2.13 Juni 2011 EnlightKS Candidate, EnlightKS TestStation Manager, EnlightKS Certification Manager Betriebssystem: Microsoft

Mehr

Sicherheitshinweise zum Online-Banking

Sicherheitshinweise zum Online-Banking Sicherheitshinweise zum Online-Banking Damit Sie Ihre Bankgeschäfte nicht nur bequem, sondern auch sicher erledigen können, haben wir für Sie einige Sicherheitshinweise zusammengestellt. Bitte berücksichtigen

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

News: Aktuelles aus Politik, Wirtschaft und Recht

News: Aktuelles aus Politik, Wirtschaft und Recht News: Aktuelles aus Politik, Wirtschaft und Recht Januar/2013 Internet-Sicherheitsexperten führten auf drei Testpersonen einen gezielten Angriff durch. Das beunruhigende Fazit des Tests im Auftrag von

Mehr

Systemanforderungen Verlage & Akzidenzdruck

Systemanforderungen Verlage & Akzidenzdruck OneVision Software AG Inhalt Asura 9.5, Asura Pro 9.5, Garda 5.0...2 PlugBALANCEin 6.5, PlugCROPin 6.5, PlugFITin 6.5, PlugRECOMPOSEin 6.5, PlugSPOTin 6.5,...2 PlugTEXTin 6.5, PlugINKSAVEin 6.5, PlugWEBin

Mehr

Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall

Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall 1. Gebot: http://www.8com.de Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall / DSL-Router mit dem Internet. Überprüfen regelmäßig die Konfiguration Ihrer Firewall / Ihres DSL-Routers

Mehr

Symantec Mobile Computing

Symantec Mobile Computing Symantec Mobile Computing Zwischen einfacher Bedienung und sicherem Geschäftseinsatz Roland Knöchel Senior Sales Representative Endpoint Management & Mobility Google: Audi & Mobile Die Mobile Revolution

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 16.04.2015 Nummer: NL-T15/0008

SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 16.04.2015 Nummer: NL-T15/0008 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 16.04.2015 Nummer: NL-T15/0008 Die Themen dieses Newsletters: 1. Apps: Hoher Anteil an Gray- und Schadsoftware 2. D-Link:

Mehr

Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung

Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung Andreas Könen Bundesamt für Sicherheit in der Informationstechnik Memo Tagung 2. und 3. Juni 2014-1- Das BSI... ist eine unabhängige

Mehr

Android, ios und Windows Phone dominieren zurzeit den Markt für mobile Firmware, wesentlich kleiner ist der Marktanteil von Blackberry OS10.

Android, ios und Windows Phone dominieren zurzeit den Markt für mobile Firmware, wesentlich kleiner ist der Marktanteil von Blackberry OS10. Zahlen und Fakten. Firmware Mit Firmware wird bei mobilen Endgeräten der Anteil des Betriebssystems bezeichnet, der auf die Hardware in dem Gerät angepasst ist und mit dem Gerät durch Laden in einen Flash-Speicher

Mehr

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Inhalt Was bisher geschah 2 Was passiert am 8. März 2012? 2 Wie teste ich meine Interneteinstellungen? 3 Auf dem PC 3 Auf dem Router 5 Allgemeine

Mehr

Allianz für Cyber-Sicherheit

Allianz für Cyber-Sicherheit Allianz für Cyber-Sicherheit Dr. Hartmut Isselhorst Bundesamt für Sicherheit in der Informationstechnik 03. März 2012 Agenda Aktuelle Entwicklungen der Gefährdungslage Kooperationsangebot: Allianz für

Mehr

Fachschule für Heilerziehungspflege Bamberg

Fachschule für Heilerziehungspflege Bamberg Fachschule für Heilerziehungspflege Bamberg BSI für Bürger Gruppe 2 Quellen: www.bsi fuer buerger.de www.wikipedia.de Verschlüsselung von Daten bei Smartphones: Für Smartphones, Tablets und ähnliche Geräte

Mehr

Info-Veranstaltung Sicherheit im Netz

Info-Veranstaltung Sicherheit im Netz Info-Veranstaltung Sicherheit im Netz Zusatz für gewerbliche Anwender Senioren Computer Club Bad Endbach Förderverein Jeegels Hoob Gewerbeverein Bad Endbach Christian Schülke Bad Endbach, 26.02.2008 Agenda

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

Halle 5 / Stand F 18. Near Field Communication Was Ihre Geld-und Kreditkarten über Sie verraten

Halle 5 / Stand F 18. Near Field Communication Was Ihre Geld-und Kreditkarten über Sie verraten Thema DATENSCHUTZ HEISE Forum täglich 11 00 bis 12 00 Halle 5 / Stand F 18 Near Field Communication Was Ihre Geld-und Kreditkarten über Sie verraten Die 7 Säulen des ULD Prüfung Beratung Schulung inkl.

Mehr

Near Field Communication Security

Near Field Communication Security Near Field Communication Security Michael Roland 28. Mai 2014 Mobile Marketing Innovation Day Wien This work is part of the project High Speed RFID within the EU program Regionale Wettbewerbsfähigkeit

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl SMARTPHONES Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl A-SIT/Smartphones iphone security analysis (Q1 2010) Blackberry security analysis (Q1 2010) Qualifizierte Signaturen und Smartphones

Mehr

Sicheres Surfen im Internet so schützen Sie sich!

Sicheres Surfen im Internet so schützen Sie sich! Sicheres Surfen im Internet so schützen Sie sich! Inhalt Inhaltsverzeichnis 3 Neue Web-Technologien 5 Gefahren im Internet 6 Schutzmaßnahmen für sicheres Surfen 8 Seien Sie achtsam! Geben Sie Hackern keine

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Mobile Security Smartphones

Mobile Security Smartphones Mobile Security Smartphones Schmelztiegel privater und geschäftlicher Aktivitäten eberhard@keyon.ch V1.1 2011 by keyon (www.keyon.ch) Über Keyon Warum Smartphones Welcher Nutzen wird vom Unternehmen erwartet?

Mehr

Die Cybersicherheitslage in Deutschland

Die Cybersicherheitslage in Deutschland Die Cybersicherheitslage in Deutschland Andreas Könen, Vizepräsident BSI IT-Sicherheitstag NRW / 04.12.2013, Köln Cyber-Sicherheitslage Deutschland Ist massives Ziel für Cyber-Crime Wird breit cyber-ausspioniert

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Basiswissen. Verschlüsselung und Bildschirmsperre

Basiswissen. Verschlüsselung und Bildschirmsperre Basiswissen Verschlüsselung und Bildschirmsperre Der Speicher des Smartphones/Tablets ist vor unbefugtem Zugriff zu schützen. Dies kann durch Verschlüsselung oder äquivalente Verfahren realisiert werden.

Mehr

Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum. Thomas Haeberlen

Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum. Thomas Haeberlen Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum Thomas Haeberlen Gelsenkirchen, 11.Juni 2015 Agenda» Kernaussagen» Zahlen und Fakten zu Angriffen im Cyber-Raum» Cyber-Angriffsformen» Snowden-Enthüllungen»

Mehr

Gerd Armbruster Gerd.Armbruster@GMX.De

Gerd Armbruster Gerd.Armbruster@GMX.De Viren, Trojaner & Hacker - so schützen Sie Ihren PC Gerd Armbruster Gerd.Armbruster@GMX.De 100 Mio Sony Kunden gehackt Aktuell Alles 2011 Immer noch 2011 Geschäftsmodell Agenda! Sicherheit im Internet!

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

ibeacons und BLE-Technologie

ibeacons und BLE-Technologie ibeacons und BLE-Technologie Beacons, oder auch ibeacons genannt, sind auf dem Vormarsch. Doch was kann dieses neue Location-Feature und welche Einsatzmöglichkeiten für Retail und Co. bietet es? Quelle:

Mehr

IT-Sicherheit mobiler Applikationen zur Unterstützung von Geschäftsprozessen. Bachelorarbeit

IT-Sicherheit mobiler Applikationen zur Unterstützung von Geschäftsprozessen. Bachelorarbeit IT-Sicherheit mobiler Applikationen zur Unterstützung von Geschäftsprozessen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft der

Mehr

Neue Herausforderungen des Selbstdatenschutzes im Internet

Neue Herausforderungen des Selbstdatenschutzes im Internet Neue Herausforderungen des Selbstdatenschutzes im Internet Christian Krause Technisches Referat im ULD Windows 98 Vielleicht Windows XP. Aber dann natürlich kein Auto-Update! denn Micro$oft ist böse. Internet

Mehr

Verschlüsselung von USB Sticks mit TrueCrypt

Verschlüsselung von USB Sticks mit TrueCrypt Verschlüsselung von USB Sticks mit TrueCrypt Martin Bürk m.buerk@realschule-ditzingen.de Hintergrund und Motivation Verwaltungsvorschrift zum Datenschutz an öffentlichen Schulen vom 25.11.2009 Erklärung:

Mehr

Online Zusammenarbeit Kapitel 9 Gesamtübungen Gesamtübung 1 Online Zusammenarbeit

Online Zusammenarbeit Kapitel 9 Gesamtübungen Gesamtübung 1 Online Zusammenarbeit Online Zusammenarbeit Kapitel 9 Gesamtübungen Gesamtübung 1 Online Zusammenarbeit Fragenkatalog Beantworten Sie die folgenden theoretischen Fragen. Manchmal ist eine Antwort richtig, manchmal entscheiden

Mehr

IT-Sicherheit bei kleinen und mittleren Unternehmen. Dr. Kai Fuhrberg Bundesamt für Sicherheit in der Informationstechnik

IT-Sicherheit bei kleinen und mittleren Unternehmen. Dr. Kai Fuhrberg Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit bei kleinen und mittleren Unternehmen Bundesamt für Sicherheit in der Informationstechnik Agenda BSI - Aufgaben und Dienstleistungen IT-Sicherheit: Zahlen & Fakten IT-Grundschutz Zertifizierung

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Sichere Netzübergreifende Sprachkommunikation (SNS)

Sichere Netzübergreifende Sprachkommunikation (SNS) Sichere Netzübergreifende Sprachkommunikation (SNS) IT-SA / Sicherheitsproblematik bei mobiler Sprachkommunikation (1) Bedrohungen 2 Sicherheitsproblematik bei mobiler Sprachkommunikation (1) Bedrohungen:

Mehr

Datenblatt. Systemvoraussetzungen OpenLimit Basiskomponenten 2.5.0.2

Datenblatt. Systemvoraussetzungen OpenLimit Basiskomponenten 2.5.0.2 Datenblatt Systemvoraussetzungen OpenLimit Basiskomponenten 2.5.0.2 Stand: 02.03.2010 Inhalt 1 Systemvoraussetzungen 3 1.1 Betriebssysteme 3 1.2 Hardware 3 1.3 Software 3 1.4 Signaturkarten 4 OpenLimit

Mehr

Mobile Device Security Risiken und Schutzmaßnahmen

Mobile Device Security Risiken und Schutzmaßnahmen Mobile Device Security Risiken und Schutzmaßnahmen 17. 19. Februar 2014, Hamburg 26. 28. Mai 2014, Köln 27. 29. August 2014, Berlin 5. 7. November 2014, Stuttgart Mobile Device Security Risiken und Schutzmaßnahmen

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Druck für Unternehmen leicht gemacht

Druck für Unternehmen leicht gemacht Druck für Unternehmen leicht gemacht Wenn User wissen, wie man eine E-Mail versendet oder eine Webseite aufruft, dann können sie auch mit EveryonePrint drucken EveryonePrint ist die perfekte Lösung für

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

BYOD Bring your own Disaster?

BYOD Bring your own Disaster? BYOD Bring your own Disaster? Die Sicht des BSI zu Sicherheit in Informationsverbünden mit BYOD Bundesamt für Sicherheit in der Informationstechnik Referat B21 Grundlagen der Informationssicherheit und

Mehr

Know-how-Schutz und Einsatz mobiler Endgeräte

Know-how-Schutz und Einsatz mobiler Endgeräte Wolfgang Straßer @-yet GmbH Know-how-Schutz und Einsatz mobiler Endgeräte @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 @-yet Geschäftsbereiche @-yet GmbH, Schloß Eicherhof, D-42799

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Kurzgutachten. Zeitpunkt der Prüfung 01.08.2012 bis 28.02.2013. Adresse des Antragstellers DIGITTRADE GmbH Ernst-Thälmann-Str. 39 06179 Teutschenthal

Kurzgutachten. Zeitpunkt der Prüfung 01.08.2012 bis 28.02.2013. Adresse des Antragstellers DIGITTRADE GmbH Ernst-Thälmann-Str. 39 06179 Teutschenthal Kurzgutachten Zeitpunkt der Prüfung 01.08.2012 bis 28.02.2013 Adresse des Antragstellers DIGITTRADE GmbH Ernst-Thälmann-Str. 39 06179 Teutschenthal Adresse der Sachverständigen Rechtsanwalt Stephan Hansen-Oest

Mehr

Systemvoraussetzungen

Systemvoraussetzungen [Stand: 06.08.2014 Version: 44] Hier erhalten Sie eine Übersicht zu den für alle Software-Produkte von ELO Digital Office GmbH. Inhalt 1 ELOprofessional Server 9... 4 1.1 Windows... 4 1.1.1 Betriebssystem...

Mehr

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch Zürich, 11. Oktober 2011 Security (SWITCH-CERT) Derzeit 7 Mitarbeiter, bald 10 Unser Team erbringt Security-Dienstleistungen

Mehr

DOK. ART GD1. Citrix Portal

DOK. ART GD1. Citrix Portal Status Vorname Name Funktion Erstellt: Datum DD-MMM-YYYY Unterschrift Handwritten signature or electronic signature (time (CET) and name) 1 Zweck Dieses Dokument beschreibt wie das auf einem beliebigem

Mehr

[IT-RESULTING IM FOKUS]

[IT-RESULTING IM FOKUS] [IT-RESULTING IM FOKUS] Hans-Peter Fries Business Security Manager Datenschutzauditor Industrie 4.0 und IT-Sicherheit Ein Widerspruch in sich? GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655

Mehr

Smartphones, Pads, Apps, Socialnetworks und Co

Smartphones, Pads, Apps, Socialnetworks und Co @-yet GmbH Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Smartphones, Pads, Apps, Socialnetworks und Co Neue Gefahren für die Informationssicherheit @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49

Mehr