Springe zum Inhalt

Mit der quelloffenen Browser-Erweiterung "Mailvelope" können Anwender unter Verwendung des Verschlüsselungsstandards OpenPGP auch ohne spezielles E-Mail-Programm verschlüsselte E-Mails austauschen.

Mit der quelloffenen Browser-Erweiterung "Mailvelope" können Anwender unter Verwendung des Verschlüsselungsstandards OpenPGP auch ohne spezielles E-Mail-Programm verschlüsselte E-Mails austauschen.

Im Rahmen eines seit Januar 2018 laufenden Projekts hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) "Mailvelope" mit dem Ziel weiterentwickelt, die Installation, Konfiguration und Anwendung von Ende-zu-Ende-Verschlüsselung deutlich nutzerfreundlicher zu gestalten und damit eine größere Verbreitung von Verschlüsselung beim E-Mail- und Formular-Austausch zu erreichen. Zukünftig kann die Software auch genutzt werden, um vertrauliche Anfragen, zum Beispiel an Ärzte oder Banken, über Web-Formulare zu stellen.

Dazu Arne Schönbohm, Präsident des BSI:

"Mehr Verschlüsselung bedeutet mehr Privatsphäre in der Kommunikation. Dies sollte kein nice-to-have, sondern ein absolutes must-have sein. Unser Ziel als Cyber-Sicherheitsbehörde ist es deshalb, Verbraucherinnen und Verbrauchern einfach anwendbare Lösungen an die Hand zu geben, mit denen sie ihre Privatsphäre besser schützen können. Deshalb haben unsere Expertinnen und Experten Mailvelope erweitert. Jeder kann sich dieses Tool als Add-on für den Browser herunterladen und damit E-Mails und Online-Formulare weitgehend automatisiert verschlüsseln."

Ein konkretes Beispiel: Ärztinnen und Ärzte bieten Online-Formulare als Alternative zu Anrufen an. In der Regel ist es dabei notwendig, auch persönliche und vertrauliche Informationen anzugeben und diese somit über das Internet zu versenden. Mit einem verschlüsselten Kontaktformular können die Patientendaten besser geschützt werden. Der für die Verschlüsselung notwendige Austausch von öffentlichen Schlüsseln läuft dabei automatisiert ohne Nutzerinteraktion ab. Dazu müssen Anbieter von Kontaktformularen, in diesem Fall also die Arztpraxis, das Formular entsprechend konfigurieren. Anwenderinnen und Anwender müssen lediglich einmalig die Mailvelope-Anwendung installieren und konfigurieren. So wird Kommunikation im digitalen Alltag sicherer.

Die Erweiterungen von Mailvelope im Einzelnen:

  • Web-Formularinhalte können unabhängig vom Betreiber der Webseite bis zum Empfänger der Formulardaten Ende-Zu-Ende verschlüsselt übertragen werden,
  • die verwendete Kryptographie-Bibliothek OpenPGP.js ist durch das BSI-Projekt erweitert worden, um Kompatibilität mit dem OpenPGP-Standard herzustellen,
  • es kann eine lokale GnuPG-Installation eingebunden werden, sodass Nutzer auf Wunsch native Anwendungen (z.B. zur Schlüsselverwaltung) verwenden können und
  • für den Nutzer kann ein möglichst transparentes Schlüsselaustauschverfahren etabliert werden: Verteilung des öffentlichen Schlüssels durch Web Key Directory (WKD) über HTTPS-Abfrage

Um das Vertrauen in die Entwicklungen zu stärken, hat das BSI darüber hinaus ein Audit der Sicherheitseigenschaften des Produkts "Mailvelope" in Auftrag gegeben. Neben der Umsetzung der kryptographischen Verfahren wurden dabei auch die Existenz von Routinen zur Nutzerüberwachung oder Kompromittierung privater Daten überprüft. Hierdurch konnte nicht nur ein hohes Maß an Qualität gewährleistet werden, sondern Probleme wurden direkt im Anschluss an die Entwicklung erkannt und vor der Freigabe im Rahmen des Koordinierten Schwachstellenmanagements mit den Entwicklern erfolgreich gelöst. Das vollständige Ergebnis des Audits ist in einem umfangreichen, englischsprachigen Bericht auf der Webseite des BSI verfügbar.

Bonn, 26. Juni 2019. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Sicherheitselement SPU230 der Firma Qualcomm zertifiziert, das in die Mobile Platform Snapdragon 855 integriert ist.

Bonn, 26. Juni 2019. Das Bundesamt für Sicherheit in der Informations-technik (BSI) hat das Sicherheits-element SPU230 von Qualcomm zertifiziert, das in die Mobile Platform Snapdragon 855 integriert ist.

Die Zertifizierung des aus Hardware, Firmware und Betriebssystem bestehenden Sicherheitselements erfolgte nach Common Criteria (ISO/IEC 15408) EAL 4 + ALC_DVS.2 und AVA_VAN.5. 
Erstmalig wurde damit ein Sicherheitselement nach Common Criteria zertifiziert, das in einem Breitbandprozessor für mobile Endgeräte wie etwa Smartphones integriert ist. Damit steht mobilen Plattformen ein Sicherheitsanker zur Verfügung, dessen Sicherheitsniveau mit dem einer Smartcard vergleichbar ist.

"Smartphones und Tablets werden heute für eine Vielzahl von Anwendungen genutzt, bei denen hohe Sicherheitsanforderungen gelten, beispielsweise im Zahlungsverkehr, zur Speicherung von Passwörtern, Schlüsseln und sensiblen Daten wie Gesundheitsdaten oder zur 2-Faktor-Authentisierung. 
Bei der Absicherung dieser Geräte geht der Trend zu einer immer höheren Integration der Bauteile. 
Als zentrale Zertifizierungsstelle in Deutschland konnten wir mit der Zertifizierung dieses Systems-on-a-Chip zeigen, dass die Common Criteria auch für komplexe Produkte das Kriterienwerk der Wahl sind. Diese Zertifizierung ist außerdem eine Bestätigung für die weltweit hohe Reputation des BSI-Zertifizierungsschemas. BSI-Zertifikate werden im Rahmen internationaler Anerkennungsveeinbarungen und darüber hinaus weltweit anerkannt", erklärt BSI-Präsident Arne Schönbohm.

Ein "System-on-a-Chip" (SoC) vereinigt sämtliche Funktionen eines Systems auf einem Chip, um kleinere Baugrößen und eine höhere Performance zu erreichen sowie Kosten und Energieverbrauch zu senken. Funktionen, für die früher mehrere ICs benötigt wurden, sind heute auf einem einzigen Chip integriert, z.B. CPU, Signalprozessor, Graphikprozessor, Sicherheitselement sowie verschiedene Breitbandmodems.

Die Common Criteria sind ein internationaler Standard (ISO/IEC 15408) für die Zertifizierung von IT-Sicherheitsprodukten mit transparenten Zertifizierungsergebnissen. Die Evaluierungsstufe EAL 4 + ALC_DVS.2 AVA_VAN.5 bestätigt eine Widerstandsfähigkeit des Produktes gegen Angreifer mit hohem Angriffspotential.

Der Zertifizierungsbericht ist abrufbar unter
https://www.commoncriteriaportal.org/products/h
https://www.bsi.bund.de/SharedDocs/Zertifikate_CC/CC/System_on_a_Chip_SOC/1045.html

Wir von Alterskompetenz haben das sehr wichtige Thema schon längst auf unsere Agenda geschrieben. Mit Vorträgen und Workshops informieren wir seit einigen Jahren überweigend Menschen ab 50 über den sicheren Umgang im Netz.

BSI erweitert Zielgruppenangebote für ältere Menschen

BAGSO und BSI haben glücklicherweise nun auch die Zielgruppe der älteren Menschen zum Thema Verbraucherschutz entdeckt.

Wir von Alterskompetenz haben das sehr wichtige Thema schon längst auf unsere Agenda geschrieben. Mit Vorträgen und Workshops informieren wir seit einigen Jahren überweigend Menschen ab 50 über den sicheren Umgang im Netz.

<img src=“IMG_1016.JPG“ alt=„#GenerationLochkarte trifft Digitalisierung“>

Im Alltag älterer Menschen spielen Internet und Mobilkommunikation längst eine große Rolle. Dies bestätigt eine noch unveröffentlichte repräsentative Umfrage des BSI und der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK): Drei Viertel der Befragten zwischen 60 und 69 Jahren nutzen Smartphones (75 %) und über die Hälfte besitzen einen Laptop (58 %). Zudem ist der Bedarf an Informationen bei dieser Zielgruppe groß: Insgesamt drei Viertel informieren sich regelmäßig oder zumindest im Problemfall über das Thema Cyber-Sicherheit. Als Teil des Digitalen Verbraucherschutzes erweitert das Bundesamt für Sicherheit in der Informationstechnik (BSI) daher seine Angebote für Senioren und Seniorinnen.

"Die Digitalisierung eröffnet speziell älteren Menschen viele Möglichkeiten, den Alltag komfortabler zu gestalten und das soziale Miteinander zu erleichtern, etwa durch Smart Home-Lösungen, Messenger-Dienste oder Soziale Netzwerke. Da verschiedene Altersgruppen erfahrungsgemäß unterschiedlich mit neuen Technologien und den damit verbundenen Risiken umgehen, ist es wichtig, Handlungsempfehlungen für unterschiedliche Zielgruppen so aufzubereiten, dass diese sie auch umsetzen können. Auch mit dem geplanten IT-Sicherheitskennzeichen erleichtern wir älteren Menschen den Umgang mit Informationstechnik. Für die immer größer werdende Zahl der "Silver Surfer" ist das BSI die richtige Anlaufstelle für Fragen der Informationssicherheit", erklärt BSI-Präsident Arne Schönbohm.

Der Mensch ist immer noch die "Schwachstelle" Nummer 1, wenn es um Cyber-Sicherheit geht

Bonn, 26. Juli 2018. Jeder sechste Mitarbeiter würde auf eine gefälschte
E-Mail der Chefetage antworten und sensible Unternehmens-informationen preisgeben. Das hat eine Befragung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ergeben. Informationen über Zuständigkeiten im Unternehmen, zur Zusammensetzung von Abteilungen, internen Prozessen oder
Organisationsstrukturen, die über das sogenannte Social Engineering gewonnen werden, sind für Cyber-Kriminelle wertvolle Grundlage zur Vorbereitung von gezielten Angriffen auf das Unternehmen.

„Mit den richtigen Informationen können Cyber-Angreifer erheblichen Schaden anrichten, etwa durch CEO-Fraud. Dabei werden E-Mails der Chefetage fingiert, in denen dazu befugte Mitarbeiter angewiesen werden, dringliche Überweisungen hoher Geldsummen zu tätigen. Wenn der Angreifer weiß, wen er anschreiben muss und wie die Prozesse im Haus ablaufen, kann er erheblichen Druck ausüben. Die Masche funktioniert, es geht dabei um Millionensummen! Auch deswegen ist die Zahl derjenigen, die sensible Informationen preisgeben, viel zu hoch“, so BSI-Vizepräsident Dr. Gerhard Schabhüser.

Mit Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft und Vertrauen ausgenutzt, um Mitarbeiterinnen und Mitarbeiter geschickt zu manipulieren. Der Angreifer verleitet das Opfer beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren. Die Sensibilisierung der
Angestellten für diese Art der Betrugsversuche sollte daher eine wichtige
Rolle spielen und fest zum Weiterbildungskonzept eines Unternehmens gehören.

Sensibilisierungsmaßnahmen weiter dringend benötigt

Mehr als die Hälfte der befragten Arbeitnehmerinnen und Arbeitnehmer hören sich selbst aktiv zum Thema IT-Sicherheit am Arbeitsplatz (58 Prozent) um. Gleichzeitig gaben fast 42 Prozent der Befragten an, nicht selbst aktiv zu werden. Rund 18 Prozent der Befragten verlassen sich darauf, dass der Arbeitgeber das Firmennetzwerk ausreichend absichert und dass sie selbst keine zusätzlichen Maßnahmen ergreifen müssen. Weitere 13 Prozent gehen davon aus, dass das Unternehmen sie darauf hinweist, wenn Sicherheitsmaßnahmen ergriffen werden sollten. Die übrigen Befragten informieren sich gar nicht und erhalten auch keine Informationen seitens des Arbeitgebers (10 Prozent).

Auf dem Informationsportal „BSI für Bürger“ (https://www.bsi-fuer-buerger.de) finden auch Arbeitnehmerinnen und Arbeitnehmer viele praktische Tipps und Empfehlungen zur „IT-Sicherheit am Arbeitsplatz“
(https://www.bsi.bund.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/IT_Sicherheit_am_Arbeitsplatz.html)
sowie zum Thema „Social Engineering“
(https://www.bsi.bund.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html).

Darüber hinaus erklären in der zweiten Folge der neuen Podcast-Reihe „Ins
Internet – mit Sicherheit!“ zwei BSI-Experten der Allianz für
Cyber-Sicherheit, warum IT-Sicherheit am Arbeitsplatz wichtig ist und was
Arbeitnehmer und Arbeitnehmerinnen dazu beitragen können. Unternehmen selbst können Teilnehmer der Allianz für Cyber-Sicherheit werden
[https://www.bsi.bund.de/ACS/DE/Home/startseite.html] und von den
vielfältigen Angeboten der BSI-Kooperationsplattform profitieren.

E-Mail-Fälschungen werden immer raffinierter - Das BSI warnt

 

Gefaelschte_BSIfB-Seite_12012018

Im  Zusammenhang mit den kürzlich bekannt gewordenen Sicherheitslücken "Spectre" und "Meltdown" beobachtet das BSI aktuell eine SPAM-Welle mit angeblichen Sicherheitswarnungen des BSI. Die Empfänger werden darin aufgefordert, Sicherheitsupdates durchzuführen, die unter einem in der Mail enthaltenen Link abgerufen werden können. Der Link führt zu einer gefälschten Webseite, die Ähnlichkeit mit der Bürger-Webseite (www.bsi-fuer-buerger.de) des BSI aufweist. Der Download des angeblichen Updates führt zu einer Schadsoftware-Infektion des Rechners oder Smartphones.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist nicht Absender dieser E-Mails. Empfänger einer solchen oder ähnlichen E-Mails sollten nicht auf Links oder ggf. angehängte Dokumente klicken, sondern die E-Mail stattdessen löschen. Anwender, die die gefälschte Webseite geöffnet haben, sollten keinesfalls das dort verlinkte angebliche Sicherheitsupdate herunterladen.

Legitime Sicherheitsupdates zur Behebung der Sicherheitslücken "Spectre" und "Meltdown" werden von den jeweiligen Herstellern zur Verfügung gestellt und nicht per E-Mail verteilt. Informationen und Handlungsempfehlungen zu "Spectre" und "Meltdown" hat das BSI unter www.bsi-fuer-buerger.de/Spectre_Meltdown veröffentlicht.