BSI zertifiziert weltweit ersten Open Source “eID-Kernel” gemäß BSI TR-03124

Es ist vollbracht – mit großem Stolz präsentiert die ecsec GmbH ihr vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhaltenes Zertifikat für die Open eCard Version 1.3. Die sogenannte „Open eCard Library“ ist damit nicht nur der weltweit erste Open Source “eID-Kernel” für Android, sondern nun auch der erste und derzeit einzige vom BSI gemäß der Technischen Richtlinie (TR) 03124 (eID-Client) zertifizierte eID-Kernel, der quelloffen und frei zur Verfügung steht. Das ohne Mängel im Prüfbericht vergebene Zertifikat ist bis 21.02.2024 gültig.

Open eCard – freie und vertrauenswürdige eIDAS-Technologie seit 2012

Offene Technologien für elektronische Identitäten (eID) und Vertrauensdienste gemäß der eIDAS-Verordnung erfreuen sich zunehmender Beliebtheit. Im Rahmen des Open-eCard-Projektes haben sich im Jahr 2012 industrielle und akademische Experten mit dem Ziel zusammengeschlossen, eine quelloffene und plattformunabhängige Implementierung des eCard-API-Frameworks gemäß BSI TR-03112 und ISO/IEC 24727 bereitzustellen, wodurch beliebige Anwendungen für Zwecke der Authentisierung und Signatur leicht auf beliebige Chipkarten zugreifen können. Auf dieser Basis ist mit der Open eCard App im Jahr 2015 der weltweit erste gemäß BSI TR-03124 zertifizierte Open Source eID-Client entstanden, der neben dem deutschen Personalausweis auch zahlreiche Europäische Ausweis- und Signaturkarten unterstützt.

Open eCard Version 1.3 vom BSI als „eID-Kernel“ gemäß BSI TR-03124 zertifiziert

Mit der nun zertifizierten Version 1.3 der Open eCard Plattform steht erstmals ein quelloffener und frei nutzbarer „eID-Kernel“ gemäß der Technischen Richtlinie BSI TR-03124 (eID-Client) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Verfügung. Mit dieser Bibliothek kann der mobile Identitätsnachweis, mit dem auf dem Sicherheitsniveau „hoch“ gemäß Artikel 8 der eIDAS-Verordnung notifizierten deutschen Personalausweis, nahtlos in beliebige Android-basierte Smartphone-Apps integriert werden. Praktisch eingesetzt wird diese innovative und vertrauenswürdige Schlüsseltechnologie bereits seit geraumer Zeit im „FiftyFifty Taxi“ Projekt der Landkreise Lichtenfels und Kulmbach und die Integration in die Systeme der identity Trust Management AG wurde kürzlich gestartet. Darüber hinaus werfen weitere Anwendungsfelder im Bereich der elektronischen Signatur, die aktuell im EU-geförderten „FutureTrust“ Projekt erschlossen werden, und weitere Integrationen bei namhaften Partnern bereits ihre Schatten voraus. Durch den in Open eCard umgesetzten internationalen Standard ISO/IEC 24727 können nun außerdem weitere kontaktlose Ausweis- und Signaturkarten sowie der Heilberufsausweis und die zukünftige Generation der elektronischen Gesundheitskarte leicht zur mobilen Authentisierung und Signatur genutzt werden.

Bis 2024 gültiges Zertifikat ohne Mängel dank stringentem Qualitätsmanagement

Durch den ausgereiften und bereits gemäß ISO 27001 auf Basis von IT-Grundschutz geprüften Softwareentwicklungsprozess sowie das stringente, an die internationalen Standards ISO/IEC 9001 und ISO/IEC 90003 angelehnte, Qualitätsmanagement-System konnte das Zertifizierungsverfahren gemäß BSI TR-03124 für die aktuelle Version 1.3 der Open eCard-Plattform in sehr kurzer Zeit abgeschlossen werden. „Es freut uns sehr, dass die Zertifizierung der mobilen Open eCard Plattform durch das BSI so zügig abgeschlossen werden konnte“, ergänzt Tobias Wich, Open eCard Maintainer. „Damit steht nun rechtzeitig zum go.eIDAS-Summit am 27. März 2019 ein formal zertifizierter Open Source eID-Kernel zur Verfügung, mit dem das eIDAS-Ökosystem nun buchstäblich noch schneller mobilisiert werden kann. Gern zeigen wir im Rahmen des geplanten Tutorials, wie leicht die zertifizierte Open eCard Library in Android-basierte Smartphone-Apps integriert werden kann.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Lösungen für noch mehr Tempo, Agilität und Sicherheit: LANupdate Roadshow zeigt neueste Netzwerktrends

LANCOM Systems startet seine diesjährige Fachhandels-Roadshow LANupdate am 19. März in Hamburg. Die Teilnehmer erwartet eine umfassende Leistungsschau mit neuen Lösungen für noch mehr Tempo, Agilität und Sicherheit im Netz. Zu den Highlights zählen Ausblicke auf Wi-Fi 6 und Multi-Gigabit-Routing sowie Neues aus Software-defined Networking (SDN) und Netzwerk-Virtualisierung. Den Nachmittag dominieren die neuen LANCOM R&S® Unified Firewalls, die LANCOM Netze um das entscheidende Mehr an Cyber-Security erweitern. Die Channel-Roadshow macht bis Ende Juni in 13 Städten in Deutschland, Österreich und der Schweiz halt.

„Was ist neu, was ist relevant bei LANCOM Systems?“ Zweimal im Jahr erhalten Partner, Fachhändler und Systemhäuser Antworten auf diese Fragen bei den kostenfreien LANupdate Events. Sie erfahren dort alles Wissenswerte zu neuen Produkten, Lösungen und Firmware-Updates. Die Tour ist Trendschau und Plattform für den Erfahrungsaustausch zugleich. Aus erster Hand gibt es von den LANCOM Experten alltagstaugliche, sofort anwendbare Informationen und Tipps.

Die Frühjahrstour nimmt die drei große Trendthemen Tempo, Agilität und Sicherheit ins Visier. Die Agenda hält zahlreiche Highlights bereit:

Volle Power fürs Netz:

  • Mit 300 Mbit/s ins Internet: das neue LANCOM Supervectoring-Portfolio
  • Multi-Gigabit Verschlüsselung für sensible Daten: die neue LANCOM Central-Site-Plattform
  • 10G-Performance für den Server-Raum: Der erste LANCOM Distribution Switch
  • Wi-Fi 6 by LANCOM: Das bringt die nächste WLAN-Generation

Mehr Agilität dank Cloud & Virtualisierung:

  • Die LANCOM Management Cloud: Software-defined Networking at its best
  • Network Function Virtualization: Maximale Flexibilität mit vRouter und virtuellem WLAN Controller
  • Mehr Leistung für SD-WAN: Das bringt LCOS 10.30

Security Made in Germany:

  • Die neuen LANCOM R&S® Unified Firewalls: Netze & Sicherheit aus einer Hand
  • Die LANCOM Management Cloud als Schaltzentrale: das neue Security & Compliance Dashboard
  • Sicherheit mit Siegel: BSI-Richtlinie "Sichere Breitband-Router"

Die Termine und Veranstaltungsorte im Überblick:

19.03.2019: Hamburg

21.03.2019: Dortmund/Kamen

02.04.2019: Leipzig / Schkeuditz

04.04.2019: Köln

07.05.2019: Berlin

09.05.2019: Hannover

16.05.2019: Zürich/Lenzburg

21.05.2019: München

23.05.2019: Nürnberg/Fürth

04.06.2019: Stuttgart

06.06.2019: Frankfurt

25.06.2019: Salzburg

27.06.2019: Wien

Interessenten können das Anmeldeformular unter https://www.lancom-systems.de/events/lanupdate/ nutzen. Die Teilnahme ist kostenfrei.
 

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

KRITIS: Compliance schaffen mit betreibersicheren Infrastrukturen

Was ist das eigentlich: der „Stand der Technik“? Wer in Deutschland so genannte „Kritische Infrastrukturen“ betreibt, ist nach dem IT-Sicherheitsgesetz und dem BSI-Gesetz dazu verpflichtet, IT-Systeme, -Prozesse und -Komponenten angemessen zu schützen.[1] Unter „Kritischen Infrastrukturen“ versteht man Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall dramatische Folgen hätte. Wer als KRITIS-Betreiber gilt, ist wiederum in der KRITIS-Verordnung geregelt.[2]

Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und erhalten dafür alle sie betreffenden Informationen zu Gefahren in der IT-Sicherheit, um entsprechende „technische und organisatorische Maßnahmen“ treffen zu können (BSI-Gesetz
§8 a). Hierbei soll, so fordert es der Gesetzgeber, „der Stand der Technik“ eingehalten werden.[3]

Genau definiert ist dieser „Stand der Technik“ im Gesetz allerdings nicht. Das macht es KRITIS-Betreibern nicht gerade leichter, ihren Verpflichtungen nachzukommen.

Im „Stand der Technik“ ist die technische Entwicklung schon mitgedacht

Dabei muss man wissen: Die Formulierung „Stand der Technik“ ist deshalb gewählt, weil sich die IT-Sicherheitstechnik stets und schnell weiterentwickelt – und dem müssen die KRITIS-Betreiber kontinuierlich Rechnung tragen.

Wann aber ist nun beispielsweise eine Cloud-Infrastruktur auf dem „Stand der Technik“? IT-Sicherheitsexperte Dr. Hubert Jäger, CTO der TÜV SÜD-Tochter Uniscon, erklärt: „Anders als beispielsweise im Patentrecht ist der ‚Stand der Technik‘ in der IT-Sicherheit und im Datenschutz nicht mit dem fortschrittlichsten ‚Stand der Wissenschaft und Technik‘ identisch, insgesamt aber fortschrittlicher zu bewerten als die so genannten ‚Anerkannten Regeln der Technik‘.“

„Eine IT-Infrastruktur muss also, um auch den Anforderungen von IT-Sicherheitsgesetz bzw. BSI-Gesetz zu genügen, nicht nur den bewährten und allgemein anerkannten Sicherheitsregeln entsprechen. Sie sollte außerdem mindestens dasselbe Sicherheitsniveau einhalten wie fortschrittliche Verfahren, die in der Praxis erfolgreich erprobt und von führenden Fachleuten anerkannt sind.“

KRITIS-Betreiber müssen „regelmäßig nachweisen, dass ihre Systeme entsprechend geschützt sind“, betont Jürgen Bruder, Mitglied der Geschäftsleitung von TÜV Hessen. Das gelte natürlich auch für die Dienstleister, die sie beauftragen. Bruder: „Gerade im Back-End, das näher am System liegt, dort also, wo über den Server Daten verarbeitet werden.“

Betreibersicherheit setzt den Stand der Technik

Betreibersichere Infrastrukturen wie die Versiegelte Cloud der Telekom, ucloud von regio iT oder die Sealed Platform von Uniscon erfüllen diese Ansprüche für die KRITIS-Betreiber. Durch einen Satz rein technischer Maßnahmen sind Daten und Anwendungen hier zuverlässig gegen Angriffe von außen und innen geschützt. Auch der Betreiber der Infrastruktur und Administratoren sind vom Zugriff auf gespeicherte, übertragene oder verarbeitete Daten ausgeschlossen.

„Lösungen wie diese bieten ein Sicherheitsniveau, das höher als das vergleichbarer Cloud-Plattform-Produkte am Markt ist. Betreibersichere Infrastrukturen sind seit mehreren Jahren im gewerblichen Umfeld im Einsatz – unter anderem in Kliniken, Kanzleien und Banken“, sagt Jäger. „Darüber hinaus sind sie von führenden Fachleuten anerkannt sowie zertifiziert und bilden mittlerweile die Basis für digitale Geschäftsmodelle, die ohne das hohe Sicherheitsniveau nicht denkbar wären.“

[1] https://blog.tuev-hessen.de/447/beitraege/543kritische-infrastrukturen-angemessen-schuetzen/
[2] https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html
[3] https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html

Weiterführende Informationen und druckfähiges Bildmaterial erhalten Sie auf Anfrage bei presse@uniscon.de

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Die Kooperation von merkarion und der BSI Branchen-Software überzeugt das Riedenburger Brauhaus

Die merkarion GmbH aus Dortmund bietet mit ihrer CRM-Lösung ProfitSystem ein leistungsstarkes Werkzeug zur Steuerung der eigenen Vertriebs- und Außendienstmannschaft. Die BSI Branchen-Software GmbH aus Wettstetten entwickelt und vertreibt ihre ERP Software speziell für die Getränkeindustrie. Als langjährige Partner der Getränkeindustrie kennen beide Unternehmen die Besonderheiten des Marktes.

Zahlreiche gemeinsame Projekte bewegten die BSI Branchen-Software und merkarion eine vorkonfektionierte Lösung von ProfitSystem als integralen Bestandteil der Branchen-Software BSI anzubieten: ProfitSystem als OEM-Paket.
„Das OEM-Paket von ProfitSystem erweist sich als perfekte Ergänzung für unsere Branchen-Software BSI. Durch die Qualität beider Programme und deren Verknüpfung bieten wir dem Kunden ein Rundum-Sorglos-Paket zu einem unschlagbaren Preis-/Leistungsverhältnis“, so Michael Forstner, Geschäftsführer der BSI Branchen-Software GmbH.

Als Pilotkunden konnten beide Unternehmen das Riedenburger Brauhaus gewinnen. Das bereits vorhandene CRM-System des Unternehmens konnte den stetig gewachsenen Anforderungen nicht mehr gerecht werden. Zwar war damit eine Dokumentation der Besuche und Kundenkontakte möglich, jedoch standen aktuelle Absatzdaten, Analysefunktionen oder die Möglichkeit Aufträge zu erfassen nicht zur Verfügung.
Ausschlaggebend für den Wechsel des Riedenburger Brauhauses zur OEM-Lösung von ProfitSystem und BSI Branchen-Software waren neben den Branchenkenntnissen beider Unternehmen auch die Offline-Verfügbarkeit am POS. Zudem war ProfitSystem dem Vertriebsleiter bereits als etabliertes CRM-System der Getränkeindustrie bekannt, so dass er das Projekt nicht nur betreuen, sondern auch die Schulung der Anwender durchführen konnte.
 „Die unkomplizierte Übernahme der Daten aus den Altsystemen und der nahtlose Übergang zu ProfitSystem in täglichen Arbeitsprozess hat mich vollends überzeugt, mit der OEM-Lösung die richtige Entscheidung getroffen zu haben“, so Maximilian Krieger, Geschäftsführer des Riedenburger Brauhauses. „Durch die Offline-Verfügbarkeit von ProfitSystem am POS haben unsere Mitarbeiter nun jederzeit eine aktuelle und umfassende digitale Kundenakte zur Hand“, fügt Maximilian Krieger ergänzend hinzu.

Über die BSI Branchen-Software
Seit 1991 entwickelt und vertreibt die Firma BSI-Branchen-Software GmbH kaufmännische Komplettlösungen, welche auf die speziellen Anforderungen der Getränkebranche zugeschnitten sind. Viele Kunden im deutschsprachigen Raum aus den Bereichen Brauereien, Getränkefachhandel, Brunnenbetriebe, Fruchtsaftkeltereien, Spirituosen und Lohnmostbetriebe, bestätigen den Erfolg der Firma BSI GmbH in dieser Branche. Seit 2018 wird das Familienunternehmen in der zweiten Generation fortgeführt. Herr Michael Forstner trat als Geschäftsführer und Inhaber die Nachfolge von Herrn Sebastian Forstner an. Dieser hat die Firma vor mehr als 25 Jahren gegründet und bleibt auch weiterhin dem Unternehmen als Entwickler und Berater verbunden.

Über das Riedenburger Brauhaus
Das Riedenburger Brauhaus ist mitten in Bayern im idyllischen Altmühltal gelegen und seit 1866 im Familienbesitz der Familie Krieger. Nachdem es früh mit der Produktion von Weizenbier begann, wurde das Brauhaus weithin für das RIEDENBURGER WEIZEN bekannt. 1992 stellt die Brauerei die Produktion auf Bio um und ist seit 1994 die erste bayerische Brauerei mit einem ganzheitlichen Öko-Konzept auf dem Markt. Heute vertreibt das Riedenburger Brauhaus seine Bierspezialitäten im gesamten Bundesgebiet und ist mit 27 Biersorten (u.a. historisches Emmerbier) eine der Brauereien mit dem größten Biersortiment in Deutschland.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

QGroup präsentiert Best of Hacks: Highlights Dezember 2018

Im Dezember wird publik, dass chinesische Hacker scheinbar jahrelang Regierungsbehörden und Technologieunternehmen ausspioniert haben. Ebenfalls kommt ans Tageslicht, dass die Regierung Tschechiens seit 2016 von russischen Spionen gehackt wurde und dass die Charity Organisation Save the Children an einen Internetbetrüger eine Million Euro verloren hat.

US-Behörden zufolge hat eine chinesische Hackergruppe, die in der Szene als APT10 (Advanced Persistent Threat 10) bekannt ist, jahrelang im Auftrag der chinesischen Regierung weltweit Regierungsbehörden und Technologieunternehmen ausspioniert. Die Hacker hätten Schadsoftware platziert und Daten abgefischt. Zwischen 2006 bis 2018 seien so bei Behörden und Unternehmen aus unterschiedlichen Branchen in mindestens zwölf Ländern Hunderte Gigabyte mit heiklen Daten gestohlen worden. Neben großen Technologieunternehmen wie HPE und IBM seien Firmen aus zahlreichen Branchen von den Attacken betroffen, darunter Autozulieferer, Hersteller von Laborinstrumenten, der Banken- und Finanzsektor sowie Firmen aus den Bereichen Telekommunikation, Informationstechnologie, Medizinausrüstung, Biotechnologie, Pharma, Bergbau, Öl- und Gasförderung, Luftfahrt und Weltraumforschung.

Die Regierung Tschechiens gibt bekannt, dass sich russische Spione angeblich in mehrere Netzwerke der Regierung gehackt haben. Die Angreifer sollen sich seit 2016 im Netzwerk aufgehalten haben. Die Spione sollen Teil der Hackergruppe Turla und APT28 (Fancy Bear) sein.

Ein Kommunikations-Netzwerk der Europäischen Union wurde vermutlich jahrelang von chinesischen Hackern ausspioniert. Die New York Times berichtete von dem Vorfall. Demnach seien streng vertrauliche Dokumente auslesbar gewesen. Darunter auch Dokumente zur Einschätzung der weiteren Zusammenarbeit mit US-Präsident Donald Trump sowie ein Bericht, der andeutet, dass Russland Atomwaffen auf der Krim stationiert hat. Die Angreifer haben durch eine im Kommunikations-Netzwerk platzierte Malware immer wieder Dokumente kopiert.

Ein Mitarbeiter der Charity Organisation Save the Children erhält eine E-Mail mit der Anweisung, eine Million Euro an ein angegebenes Konto zu überweisen. Im Anhang der EMail befinden sich angeblich offizielle Dokumente, die die Überweisung genehmigen und bestätigen. Für den Mitarbeiter scheint alles ganz normal. Es ist nicht die erste Überweisung mit einem solch hohen Betrag, die von ihm durchgeführt werden soll. Später fragt sich die Führungsetage, warum der Organisation eine Million Euro fehlen und warum in Pakistan kein Geld für eine Solaranlage angekommen ist. Schnell wird klar, dass die Organisation Opfer eines Internetbetrügers geworden ist. Der Mitarbeiter hatte eine Million Euro auf ein privates Konto in Japan überwiesen. Der Betrug erfolgte bereits im Mai 2017, die Details wurden allerdings erst viel später veröffentlicht.

Wie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) bestätigte, wurde der in München ansässige Maschinenbaukonzern KraussMaffei Group von Hackern angegriffen. Die Angreifer legten dabei mehrere Rechner lahm und versuchten ein Lösegeld zu erpressen. KraussMaffei ging auf die Forderungen nicht ein. Als Folge des Angriffs musste die Produktion an mehreren Standorten gedrosselt werden.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Cyberkriminalität – Krankenhäuser leichte Angriffsziele

Die Digitalisierung erleichtert Menschen aller Branchen die Arbeit – so auch in Krankenhäusern. Auf Klinik-Computern werden alle wichtigen Daten, wie zum Beispiel Patientendaten, Diagnosen und Medikation, gesammelt. Doch auch bei der Behandlung werden Hard- und Software immer wichtiger: So lenken Chirurgen bei Operationen durch OP-Roboter minimalinvasive Eingriffe oder führen in schwierigen Fällen Videogespräche mit Spezialisten. Auch Herzschrittmacher und Insulinpumpen übermitteln per WLAN Informationen direkt an den Computer des behandelnden Arztes. Was auf der einen Seite die Arbeit erleichtert und Menschen unterstützt, kann auf der anderen Seite gravierende Folgen haben. Denn jedes IT-System ist angreifbar.

Obwohl IT-Sicherheitsexperten mit Hochdruck daran arbeiten, den Schutz vor Cyberkriminalität voranzutreiben, gehen Sicherheitsmaßnahmen im hektischen Krankenhausalltag schnell unter. Aktionen, die vielen Menschen wie unwichtige Kleinigkeiten vorkommen, können dem Datenschutz und der Cybersicherheit zum Verhängnis werden. So stellen bereits nicht gesperrte Arbeitsrechner, aufgeschobene Softwareupdates oder die Nutzung von mitgebrachten und ungeprüften USB-Sticks Risiken dar, die besonders in einem Krankenhaus schwerwiegende Folgen haben können.

Hacker könnten etwa mithilfe einer Ransomware, also einem Schadprogramm, das sich meistens per E-Mail verbreitet, die Rechner eines Kliniknetzwerks verschlüsseln und Lösegeld verlangen. Selbst wenn die Erpresser nach der Zahlung die Entschlüsselungscodes liefern – und das tun sie nicht immer –, ist das Entschlüsseln ein zeitaufwändiger Prozess, der in der Zwischenzeit die eingeschränkte Verfügbarkeit wichtiger Daten und Funktionen zur Folge hat. Ganze Notaufnahmen müssten im Extremfall geschlossen und wichtige Operationen verschoben werden.

Zudem könnten bei einem Cyberangriff vertrauliche Daten, wie Gehaltsabrechnungen, Krankheitsprotokolle oder E-Mails, gestohlen und verkauft werden. Patientendaten sind für Versicherungen und die Gesundheitsindustrie von Interesse, da sie zu Analysezwecken genutzt werden können. Generell ist das Veröffentlichen von Krankheitsgeschichten für Prominente sowie Privatpersonen gleichermaßen unangenehm und würde der Vertraulichkeit und Reputation eines Krankenhauses schaden.

Der wohl schlimmste Fall einer Cyberattacke auf medizinische Einrichtungen wäre die Verletzung der Integrität durch Manipulation. Mit einem Zugriff auf interne Server und Systeme hätten Kriminelle die Möglichkeit, Medikationen zu ändern, Herzschrittmacher lahmzulegen oder OP-Roboter zu stören. Somit rücken nicht nur gesundheitliche Schäden, sondern auch (indirekter) Mord in den Bereich des Möglichen.

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Kliniken bisher nicht von gezielten Angriffen betroffen gewesen, sondern „nur“ zufälliger Ransomware zum Opfer gefallen, die per Mail in Umlauf gebracht wurde. Infolgedessen wurden Krankenhäuser wegen ihrer herausragenden Bedeutung für das Wohlergehen der Bevölkerung als sogenannte „kritische Infrastrukturen“ eingestuft. Solche Infrastrukturen haben seit Inkrafttreten des IT-Sicherheitsgesetzes 2015 die Verpflichtung, angemessene organisatorische und technische Maßnahmen zur Vermeidung von Störungen zu treffen. Ziel ist es, die Verfügbarkeit, Integrität und Vertraulichkeit aller informationstechnischen Systeme, Komponenten und Prozesse zu gewährleisten, die für die Funktionsfähigkeit der von ihnen betriebenen Infrastrukturen maßgeblich sind. Für medizinische Einrichtungen und Unternehmen ist die IT-Sicherheit somit rechtlich bindend. Doch die Zufallstreffer mit Ransomware zeigen deutlich, dass das nicht so einfach zu bewerkstelligen ist. Sicherheitsmaßnahmen müssen daher immer weiter verschärft und ein erhöhtes Bewusstsein für Datenschutz geschaffen werden, damit sensible Daten auch in Zukunft vertraulich bleiben.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Digitale Patientenakte: Der Kampf gegen Manipulation durch Kriminelle

„Viele Versicherungen wollen auf den Digitalisierungszug aufspringen, um langfristig wettbewerbsfähig zu bleiben, fürchten aber die Sicherheitsrisiken der Digitalisierung. Ihnen wollen wir mit einer Informationsveranstaltung weiterhelfen“, Frank Schlottke, Geschäftsführer der Applied Security GmbH.

Patienten können spätestens ab 2021 mit dem Smartphone Daten wie Röntgenbilder und Rezepte in einer digitalen Patientenakte managen. Doch in Zeiten der Digitalisierung können sich erhebliche Sicherheitsschwachstellen verbergen, warnt der IT-Sicherheitsexperte Applied Security GmbH (apsec), der seit 21 Jahren Banken, Behörden und Unternehmen berät. Wie sie sich schließen lassen, darüber informiert am 6. Februar 2019 die Veranstaltung "GesUndSicher " in Potsdam.

Brauchen Versicherte eine Mitgliedsbescheinigung, schreiben sie ihrer Krankenkasse eine E-Mail oder greifen zum Telefon. Auf Ärzte-Odysseen müssen sie ausgedruckte Röntgenbilder und Arztbriefe hin- und herschleppen. Bundesgesundheitsminister Jens Spahn (CDU) ist das zu umständlich. Versicherte und Ärzte sollen spätestens ab 2021 Patientendaten auch per Smartphone und Tablet managen können – ähnlich einfach wie beim Online-Banking. Krankenkassen, Ärzte und das Gesundheitsministerium arbeiten deswegen unter Hochdruck an einem Grundkonzept für die digitale Patientenakte.

Viele Versicherungen fürchten die Sicherheitsrisiken der Digitalisierung

Eine der größten Herausforderungen: Verhindern, dass IT-Kriminelle Medikationspläne und andere Daten verändern oder klauen – ein Super-GAU für jede Versicherung. Die Verantwortlichen kämpfen dabei gegen 800 Millionen Schadprogramme, die laut Bundesamt für Sicherheit und Informationstechnik (BSI) im Internet kursieren. „Ein entsprechend hoher Druck lastet auf den IT-Verantwortlichen der Krankenkassen“, weiß Frank Schlottke, Geschäftsführer der Applied Security GmbH (apsec), ein IT-Sicherheitsexperte aus Großwallstadt bei Aschaffenburg, „Sie wollen auf den Digitalisierungszug aufspringen, um langfristig wettbewerbsfähig zu bleiben, fürchten aber die Sicherheitsrisiken der Digitalisierung.“

Gemeinsam Chancen der Digitalisierung identifizieren –Informationsveranstaltung am 6. Februar 2019 in Potsdam

Um Versicherungen auf ihrem Weg zur digitalen Patientenakte zu unterstützen, veranstaltet apsec am 6. Februar die Informationsveranstaltung „GesUndSicher“ in der Biosphäre Potsdam –gemeinsam mit der m.Doc GmbH, ein Kölner Spezialist für Gesundheitsplattformen. Sicherheitsexperten diskutieren mit Vertretern der Krankenkassen aus dem gesamten Bundesgebiet, wie sich digitale Services realisieren und Gesundheitsdaten schützen lassen. „Die Veranstaltung bietet einen Rahmen, um gemeinsam Chancen der Digitalisierung zu identifizieren und Kooperationen auszuloten“, ist Schlottke überzeugt. „Gemeinsam können die Teilnehmer Weichen stellen, damit die Beteiligten der Gesundheitsbranche von der Digitalisierung profitieren und gleichzeitig Patientendaten vor Kriminellen geschützt sind.

Versicherter oder Krimineller? Podiumsdiskussion behandelt das Thema Identity & Access Management

Wie können Versicherungen beispielsweise sicherstellen, dass sich tatsächlich die Versicherten in die digitale Patientenakte einzuloggen versuchen – und nicht etwa Kriminelle, die Daten wie eine HIV-Bestätigung abgreifen und als Druckmittel missbrauchen wollen? Hier bietet die Veranstaltung Podiumsdiskussionen und Workshops zum Thema Identitäts- und Zugriffsverwaltung (IAM) an. Die Teilnehmer lernen Sicherheitslösungen kennen – unter anderem die Verschlüsselungssoftware fideAS® iam von apsec, mit der Versicherungen Cloudlösungen absichern. „Versicherte können das Smartphone als Authentisierungstoken für eine sichere, schnelle und unkomplizierte Zwei-Faktor-Authentifizierung nutzen“, erklärt Schlottke. „Moderne kryptographische Methoden schützen die Cloud-Dienste zuverlässig vor unberechtigtem Zugriff.“

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

BSI-KRITIS-Verordnung: Weitere Krankenhäuser erreichen Schwellenwert

Der Schwellenwert zur Identifikation kritischer Infrastrukturen im Bereich der Krankenhäuser wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf 30.000 vollstationäre Behandlungsfälle pro Jahr festgelegt. Dieser Schwellenwert bezieht sich auf das Vorjahr. Gemäß der BSI-KRITIS-Verordnung haben Krankenhäuser jeweils bis zum 31. März zu prüfen, ob sie diesen Schwellenwert erreichen oder überschreiten. In diesem Fall sind sie aufgefordert, eine entsprechende Meldung an das BSI zu übermitteln Das Krankenhaus gilt ab dem Folgetag (1. April) als kritische Infrastruktur im Sinne des BSI-Gesetzes.

Dieser Situation sehen sich demgemäß alle Krankenhäuser gegenüber, die bislang knapp unter dem Schwellenwert lagen (zwischen 29.000 und 29.999 vollstationären Fällen p.a.).

Mit dem im Dezember zum ersten Mal als Gesamtdokument vorgelegten branchenspezifischen Sicherheitsstandard (B3S), der zur Zeit vom BSI geprüft wird, steht den KRITIS-Häusern und allen, die es in Kürze werden, ein definiertes Rahmenwerk zur Etablierung eines angemessenen Sicherheitsniveaus bei gleichzeitiger Wahrung des üblichen Versorgungsniveaus der Patientenversorgung und der Verhältnismäßigkeit der umzusetzenden Maßnahmen zur Verfügung. Der Kern des B3S ist die Einführung eines Informationssicherheits-Management-Systems (ISMS), das grundlegende Vorteile für die Umsetzung eines transparenten Sicherheitsstandards in der heterogenen Systemlandschaft der Krankenhäuser bietet.

Die Krankenhäuser, die an der Schwelle zur KRITIS-Einstufung stehen, sollten sich umgehend mit dem Thema ISMS beschäftigen. Die Adiccon GmbH als erfahrener, klinikorientierter Beratungspartner bei allen Themen der Informationssicherheit bietet entsprechende Dienstleistungspakte an und steht für Informationsgespräche gerne zur Verfügung.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Sagemcom Dr. Neuhaus beliefert BSI mit iMSys-Messedemonstrator

Dieser wird am Messestand des BSI (Halle 4, Stand 4-114) erstmalig den Fachbesuchern und interessierten Gästen präsentiert. Ziel des Demonstrators ist es, die Funktionalität und zukünftige Einsatzgebiete intelligenter Messsysteme (iMSys) sowie die von Seiten des BSI geforderten Sicherheitsfeatures vorzuführen.

"Durch die Realisierung eines funktionierenden Messedemonstrators binnen kurzer Zeit belegen wir die Ausgereiftheit unserer umfassenden Smart Metering Lösung und insbesondere der Funktionalitäten unserer einzelnen Hard- und Softwarekomponenten, wie dem Smart Meter Gateway SiconiaTM SMARTY IQ, der Steuerbox SiconiaTM SMARTY IQ-IO, dem Basiszähler SiconiaTM SMARTY BZ sowie dem Sagemcom Fröschl GWA/EMT-System.", berichtet Timo Weng, Key Account Manager bei der Sagemcom Dr. Neuhaus GmbH." Auf diese Weise werden zukünftige Energieversorgungssysteme, die einen wesentlichen Teil der Digitalisierung der Energiewende ausmachen, erlebbar gemacht."

Am BSI-Messestand wird primär die Funktionalität des SiconiaTM SMARTY IQ SMGw in den unterschiedlichen Netzen, wie dem lokalen metrologischen Netz (LMN), dem lokalen Heimnetz (HAN) oder dem Zugriff von außen über die sogenannte WAN-Schnittstelle visualisiert (nach BSI TR-03109-1). Während über die LMN-Schnittstelle reale Messwerte von dem SLP-Zähler SiconiaTM SMARTY BZ und einem Wasserzähler über das SMGw übertragen werden, liefert das Gateway über die WAN-Schnittstelle die abgefragten Messwerte an das Sagemcom Fröschl GWA/EMT-System. Über die HAN-Schnittstelle können auf dem Letztverbraucherdisplay, eine Darstellung für den Endverbraucher, nach erfolgreicher Authentifizierung Lastwerte und Einspeisung in Echtzeit angezeigt werden.

Neben dem iMSys-Demonstrator wird zukünftig eine zweite, portable Demonstrationslösung von Sagemcom Dr. Neuhaus für das BSI realisiert. Dort werden zusätzliche interaktive Anwendungsfälle implementiert, wie bspw. der Prozess der Spontanauslesung inklusive Einspielung des Tarifierungsprofils oder auch die erforderlichen Schritte zur Anmeldung eines Servicetechnikers am SMGw.

 

Weitere Informationen zur Smart Metering Komplettlösung:

Sagemcom Dr. Neuhaus & Sagemcom Fröschl

E-world-Stand: 3-444 in Halle 3

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Schwachstelle bei Microsoft Exchange

Microsoft Exchange Server ist über zwei Sicherheitslücken angreifbar. Die Schwachstellen sind schon seit Ende des vergangenen Jahres bekannt. Nun skizziert ein Sicherheitsforscher in einem Beitrag ein weiteres Angriffsszenario.

Ein Exploit-Code ist in Umlauf und Angriffe sollen aus der Ferne möglich sein. Einen Patch hat Microsoft bislang nicht veröffentlicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft zwischenzeitlich die Schwachstelle bei Microsoft Exchange als «sehr hoch» ein. Die Sicherheitslücke ermöglicht dem Angreifer die Berechtigung als Domänen Admin zu erlangen, was ein hohes Sicherheitsrisiko bedeutet.

Um die Ausnutzung der Lücke zu verhindern, kann die NTLM-Authentifizierung auf dem Netzwerk-Loopback-Adapter des Exchange Servers deaktiviert werden. Dies ist durch Löschen des Registrierungswerts DisableLoopbackCheck mit folgendem Befehl möglich:

reg delete HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa /v DisableLoopbackCheck /f

Aktuell können die Auswirkungen des Workarounds noch nicht abgeschätzt werden. Man spricht von Sharpoint Links, 3 Party Mail Security Lösungen von G-Data und Tools von Code Two. Angesichts der hohen Sicherheitsbedrohung sind die SharePoint Dead Links überschaubar.

Weitere Informationen finden Sie auf folgenden Links:

Information zu Schwachstellen und Sicherheitslücken
(Quelle: Bundesamt für Sicherheit und Informatonstechnik)

Sicherheitslücken in Microsoft Exchange gewähren Domain-Admin-Berechtigungen(Quelle: heise.de)

Microsoft Exchange Server Elevation of Privilege Vulnerability
(Quelle: Microsoft)

Abusing Exchange: One API call away from Domain Admin
(Quelle: dirkjanm.io)

Benötigen Sie weitere Auskünfte zu diesem Thema? Wir stehen Ihnen gerne zur Verfügung. Kontaktieren Sie unser Service Desk unter +41 58 226 01 00 oder unter it.servicedesk@bithawk.ch.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox