News 

Aktuelle Infos und Nachrichten für Ihre IT und IT-Security

Aktuelle Nachrichten

Nr. 04, 19.03.2020

IT-Grundschutz-Newsletter des BSI

Sehr geehrte Leser,

im Folgenden handelt es sich im einen Auszug aus dem Newsletter des BSI. In diesem erhalten Sie Informationen über aktuelle Entwicklungen beim IT-Grundschutz sowie weitere interessante Themen und Veranstaltungen rund um das Thema Informationssicherheit.


Informationssicherheit im Home-Office: Das empfiehlt der IT-Grundschutz 

Derzeit arbeiten zunehmend mehr Arbeitnehmer mobil von zu Hause, um den empfohlenen Präventionsmaßnahmen vor dem Coronavirus nachzukommen. In der aktuellen Situation gilt es, pragmatische Lösungen zu finden, die einerseits die Arbeitsfähigkeit einer Organisation erhalten, gleichzeitig jedoch die Vertraulichkeit, Verfügbarkeit und Integrität für die Kommunikation und Informationen gewährleisten. Trotz der zahlreichen Herausforderungen für Institutionen sollte die Informationssicherheit angemessen berücksichtigt werden, wenn mobile Arbeitsplätze genutzt werden. 
Das BSI hat daher die wichtigsten, praktikablen und zeitnah umsetzbaren Empfehlungen aus dem IT-Grundschutz in einer Übersicht zusammengefasst und in der Reihe der Cyber-Sicherheits-Empfehlungen hier veröffentlicht:

https://www.bsi.bund.de/dok/13825108

Die Empfehlungen basieren auf den folgenden IT-Grundschutz-Bausteinen aus dem aktuellen IT-Grundschutz-Kompendium Edition 2020. In den einzelnen Texten werden alle relevanten Aspekte für einen sicheren mobilen Arbeitsplatzes ausführlich erläutert:

CON.7 Informationssicherheit auf Auslandsreisen
INF.8 Häuslicher Arbeitsplatz
INF.9 Mobiler Arbeitsplatz
OPS.1.2.4: Telearbeit

Die IT-Grundschutz-Bausteine finden Sie hier:
https://www.bsi.bund.de/gs-kompendium

Viele Grüße aus Bonn
Ihr IT-Grundschutz-Team

Bundesamt für Sicherheit in der Informationstechnik
Referat SZ 13 - BSI-Standards und IT-Grundschutz
Postfach 20 03 63
53133 Bonn
Telefon: +49 (0)228 99 9582-5369
Telefax: +49 (0)228 99 9582-5405
E-Mail: grundschutz@bsi.bund.de
Internet:
www.bsi.bund.de/grundschutz

Quelle: Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn
 

 

22. Februar 2020

IT-TK-Security

IT Sicherheit in der Telekommunikation.

Das Core-Netzwerk der Telekom umfasst 35 Millionen Kunden im Mobilfunk- und Festnetzbereich und 18 Millionen Privatkundenanschlüssen, welches den Datenverkehr und die Verbindungen zu anderen Internet-Anbietern regelt. Da sie selbst keinen Provider für die Datenweiterleitung benötigt, ist die Telekom einer der 14 Tier-1- Provider weltweit. 

Um eine sichere Umgebung für die Einführung von neuen Projekten zu gewährleisten, arbeitet die Telekom nach dem “Security Built-in" Ansatz. Dieser integriert die Sicherheit bereits in die Planungsphase von Projekten und Infrastruktur. Hierfür wird mit Standardlösungen und sogenannten Best Practices gearbeitet, für die bereits umfassende Anleitungen, Prozesse und Dokumentationen vorhanden sind. 

Da die Prozesse der IT-Sicherheit in die Produktion und die Strategie integriert sind zählt sie zum Kerngeschäft. Daher gibt es hierfür die interne Einheit “Telekom Security” und der Vorstand trägt für die IT-Sicherheit die Verantwortung. 

In den letzten Jahren hat sich der Sicherheitsfokus von den Bedrohungen für fest installierten PCs und Server auf die mobilen Geräte gerichtet. 

So belegen Studien, dass die Wahrscheinlichkeit dreimal so hoch ist an einem mobilen Gerät auf eine Phishing-Attacke hereinzufallen, wie an einem Arbeitsplatzrechner. So verschaffen sich Betrüger Zugriff auf sensible Unternehmensdaten mittels täuschend echt aussehender Webseiten und e-Mails. Diese sind von den Originalen oft kaum zu unterscheiden und können sogar auf zuvor erschlichenen Daten aufbauen, indem zum Beispiel auf vorherigen Kontakt oder eine reale Vorgangsnummer verwiesen wird. 

Um diesen Gefahren entgegenzuwirken hat das BSI Sofortmaßnahmen und Sicherheitshinweise aufgelistet:

  • Für Basisschutz kann gesorgt werden, indem man die Sicherheitsfunktionen des Betriebssystems einschaltet

  • Das Betriebssystem und die Apps sollten regelmäßig aktualisiert werden 

  • Apps sollten nur aus vertrauenswürdigen Quellen installiert werden 

  • Recht und Zugriffe der Apps kontrollieren 

  • Es sollten stets Sperren und Passwörter verwendet werden 

  • Schnittstellen nur wenn nötig aktivieren 

  • Vorsicht bei öffentlichen Hotspots 

  • Regelmäßig Backups erstellen 

  • Keine verdächtigen Nummern zurückrufen. Missbräuchlich genutzte Nummern lassen sich auf der Seite der Bundesnetzagentur überpfüfen  

  • Für Diensthandys müssen darüber hinaus weitere Anforderungen an Technik und Bediener erfüllt werden. Mehr Informationen finden sich auf der Seite der Allianz für Cyber-Sicherheit. 

15. Februar 2020

IT-Security

Unsichere Passwörter erkennen und eliminieren.

Obwohl Passwörter oftmals kein ausreichendes Sicherheitsniveau bieten, sind sie nach wie vor das am meisten verwendete Authentisierungsmittel. Nutzer wählen häufig leicht zu merkende Passwörter, welche sie bei verschiedenen Diensten verwenden. Wenn ein Angreifer die Passwörter bei einem Dienstanbieter abgreift sind bei Mehrfachverwendung von Passwörtern die Konten bei anderen Dienstanbietern ebenfalls gefährdet.
Hier hatte z.B. das BSI im Januar 2019 Kenntnis von einer im Internet veröffentlichten Datensammlung mit 773 Millionen E-Mail-Adressen und 21 Millionen Passwörtern erfahren. Werden solche kompromittierten Zugangsdaten weiterhin verwendet erhalten Angreifer Zugriff auf weitere Dienste und Daten.
Gefragt sind jedoch nicht nur die Nutzer sondern auch die Administratoren und Hersteller. Ziel sollte sein, dass sie wirkungsvolle Vorgaben machen müssen, um sichere Passwörter zur Zugangskontrollen zu gewährleisten. Sollten Verantwortliche unzureichende technische und organisatorische Maßnahmen anwenden, so können Bußgelder von bis zu zehn Millionen Euro oder bis zu zwei Prozent des gesamten weltweiten Jahresumsatzes als Strafe verhangen werden.
Ein erster Schritt zu einer sicheren Passwortauswahl sind hierbei klare Passwortrichtlinien eines Unternehmens. Technische Lösungen können bei der Auswahl sicherer Passwörter unterstützen.
Die Software Specops Password Policy ermöglicht eine technisch effektive Umsetzung der Passwortrichtlinie. Es können schwache Passwörter in eine Liste verbotener Kennwörter aufgenommen, längenbasierte Kennwortalterung angewandt, sowie ein Kennwortwörterbuch festgelegt werden, welches häufig verwendete und gefährdete Kennwörter enthält, um diese für Nutzer zu sperren.
Unternehmen sollten sich also zu ihrem eigenen Schutz um eine wirkungsvolle Passwortrichtlinie kümmern und bestenfalls die Durchsetzung dieser mittels technischer und organisatorischer Maßnahmen zu unterstützen. 

14. Februar 2020

VoIP-Telefonie

Schwerwiegende Sicherheitslücke im Autoprovisionierungsdienst von Yealink-Telefonen.

Aufgedeckt wurde das Datenleck vom IT-Security-Unternehmen Vtrus. Die Lücken betreffenden Untersuchungen nach alle Geräte des Herstellers, da das Verfahren überall gleich ist. Yealinks-Dienst kommt weltweit insbesondere bei Cloud-Telefonie-Anbietern zum Einsatz.

Die Auswirkungen können sowohl für die IT-Sicherheit als auch für den Datenschutz gravierend sein. Dabei sind die Telefone über Yealinks-Dienst zwar nicht direkt erreichbar, er ermöglicht jedoch Zugang auf die VoIP-Zugangsdaten, Anruferlisten, Telefonbücher, Tastenbelegungen und andere spezifische Daten. 

 
 
 
 

ASC Sachverständigenbüro für IT und Datenschutz

Wiesenstrasse 15 - D-53332 Bornheim

Telefon (02222) 96440

Telefax (02222) 964444

E-Mail: info[at]asc-com.de

© 2020 ASC Sachverständigenbüro