- Anzeigen -


Schwachstelle seit Monaten bekannt


WannaCry: Weltweite Cyber-Sicherheitsvorfälle durch Ransomware
Auch deutsche Institutionen betroffen - Handlungsempfehlungen des BSI

- Anzeigen -





Derzeit berichten Medien über Cyber-Sicherheitsvorfälle mit hoher Schadenswirkung, die durch die Ransomware "WannaCry" ausgelöst werden. Von den Angriffen sind Unternehmen und Institutionen weltweit und auch in Deutschland betroffen. Das Besondere an dieser Schadsoftware ist, dass sie sich selber verbreiten kann. Die Verbreitung erfolgt dabei ohne weiteres Zutun des Nutzers. Dies kann insbesondere in Netzwerken von Unternehmen und Organisationen zu großflächigen Systemausfällen führen. Betroffen sind Systeme mit dem Betriebssystem Microsoft Windows.

Der Mechanismus der Weiterverbreitung der Schadsoftware wird durch den Software-Patch von Microsoft vom 14. März 2017 (MS17-010) verhindert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher zum Aufspielen dieses Patches, sofern dies nicht bereits geschehen ist. Informationen und Handlungsempfehlungen zum Schutz vor Ransomware hat das BSI in einem Dossier zusammengefasst, das auf der BSI-Webseite heruntergeladen werden kann. Über die etablierten Kanäle von CERT-Bund, UP KRITIS und Allianz für Cyber-Sicherheit stellt das BSI Wirtschaft und Verwaltung Informationen und Handlungsempfehlungen zur Verfügung.

BSI-Präsident Arne Schönbohm, sagte: "Als nationale Cyber-Sicherheitsbehörde beobachten wir rund um die Uhr intensiv die Lage und stimmen uns dazu auch mit betroffenen Unternehmen in Deutschland sowie mit unseren internationalen Partnern in Frankreich und Großbritannien ab. Seit Bekanntwerden der Angriffswelle gestern Abend hat unser Lagezentrum hierzu eine Reihe von Telefonkonferenzen und Gesprächen geführt. Das Krisenmanagement funktioniert. Um einen möglichst vollständigen Überblick über die Lage zu bekommen, rufen wir betroffene Institutionen auf, Vorfälle beim BSI zu melden. Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheits-Updates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen." (BSI: ra)

eingetragen: 13.05.17
Home & Newsletterlauf: 29.05.17


- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Unternehmen

  • Kerntechnologie von Krypto-Währungen

    NTT Data hat erfolgreich den ersten Prototypen einer intelligenten Versicherungspolice (Smart Insurance) basierend auf der Blockchain in Japan getestet - und damit bestätigt, dass die Blockchain attraktive Sicherheits- und Kostenvorteile für Transport- und Versicherungsunternehmen bietet. Der Prototyp der intelligenten Versicherungspolice ist ein weiterer Schritt, den NTT Data geht, um seine Vision eines neuen internationalen Handelssystems mit Blockchain zu realisieren - einem verteilten "Geschäftsbuch" (Distributed Ledger), das Transaktionen unveränderbar aufzeichnet. Die Blockchain ist die Kerntechnologie von Krypto-Währungen und ermöglicht allen Anwendern, an einem Netzwerk teilzuhaben, das das gleiche Distributed Ledger nutzt. Über Krypto-Währungen hinaus zeigt die Technologie viel versprechende Ansätze für den Einsatz bei Finanztiteln, in der Fertigung und im internationalen Handel.

  • RadarServices expandiert nach Großbritannien

    RadarServices ist Spezialistin im Bereich Detection & Response. Das mit Hauptsitz in Wien ansässige Unternehmen offeriert seine Leistungen auf der Basis von eigenentwickelter Technologie - nach eigenen Angaben ohne eingebaute Hintertüren. "RadarServices unterliegt nicht dem US Patriot Act und damit nicht der Pflicht, Kundendaten an US-Behörden auf deren Verlangen weitergeben zu müssen. Im Gegenteil: RadarServices befolgt die europäischen Datenschutzregelungen, die im weltweiten Vergleich den strengsten Rechtsrahmen darstellen", kommentiert Harald Reisinger, Geschäftsführer für Service Management & Innovation bei RadarServices. RadarServices ist jetzt nach Großbritannien expandiert. Seit der Gründung von RadarServices Ende 2011 wurden der Kundenkreis in Europa, dem Nahen Osten und Russland stetig ausgebaut, Büros in Dubai, Frankfurt, Moskau und Warschau eröffnet und mehr als 80 Vertriebspartnerschaften für die internationale Vermarktung eingegangen. "Die Nachfrage wächst ständig, besonders im europäischen Finanzsektor: Banken und Versicherungen müssen die Daten und Gelder ihrer Kunden sicher verwahren. Dazu zwingt sie auch die immer strengere Regulierung, die mit der EU-Datenschutzgrundverordnung ab 2018 eine neue Dimension erreicht. Gleichzeitig sind Finanzinstitutionen das Angriffsziel Nummer Eins für Hacker", ergänzt Thomas Hoffmann, Geschäftsführer verantwortlich für Sales und Marketing bei RadarServices.

  • Retail Banking und Banktechnologie

    Die NextGenPSD2-Initiative, eine themenbezogene Arbeitsgruppe der Berlin Group, gab die Erstellung eines offenen, gemeinsamen und harmonisierten europäischen Standards für Programmierschnittstellen (Application Programming Interfaces, API) bekannt, der Drittanbietern (Third Party Providers, TPP) den Zugang zu Bankkonten unter der überarbeiteten Zahlungsdienstrichtlinie 2 (Payment Sercices Directive 2, PSD2) ermöglichen soll. Ziel ist zunächst die Vorbereitung von Abstimmungen mit den Marktteilnehmern im dritten Quartal 2017. Die Initiative will Drittanbieter bei der Bereitstellung innovativer Lösungen für Kunden unterstützen. Hierzu werden neuste Programmierschnittstellen verwendet, die einen geschützten Zugang zu Bankkonten gewährleisten.

  • Praxisnahe VdS-Richtlinien

    Zum 25. Mai 2018 muss die neue Datenschutz-Grundverordnung in jedem Unternehmen innerhalb der EU umgesetzt worden sein. Gerade Mittelständler sehen sich mit teils gravierenden und oft sogar unklaren Anforderungen konfrontiert. VdS, Institut für Unternehmenssicherheit, entwickelt derzeit in einem offenen Verfahren eigene Richtlinien zur praktikablen Umsetzung der Anforderungen - Experten sind zur Mitgestaltung eingeladen. Für eine gewisse Unruhe im Markt sorgt derzeit die Datenschutz-Grundverordnung (DSGVO): Sie soll die Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen EU-weit vereinheitlichen. Zum 25. Mai 2018 wird die Umsetzung in allen Mitgliedstaaten Pflicht. Grundlegende Kritik begleitet die Verordnung, insbesondere die oft vagen Formulierungen und die offenen Klauseln für nationale Gesetzgebungen werden von vielen Seiten bemängelt.

  • Authentisierung mit dem Personalausweis

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Technische Richtlinie BSI TR-03124 (https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03124/index_htm.html) um Test- und Anwendungsprofile erweitert, auf deren Basis eine Zertifizierung von Softwarebibliotheken zur Integration der Online-Authentisierung mit dem Personalausweis in (mobilen) Anwendungen möglich ist. Softwarebibliotheken sind eine Alternative zum vollständigen eID-Client - wie etwa der (mobilen) AusweisApp2 (https://www.ausweisapp.bund.de/download/) - und können von Anbietern genutzt werden, um die Identifizierung mit dem Personalausweis in eigene Apps zu integrieren. Mit einer Zertifizierung wird die korrekte und sichere Funktion der eID-Client-Software sichergestellt. Die Technische Richtlinie BSI TR-03124 spezifiziert den eID-Client, der den Authentisierungsvorgang mit dem Personalausweis auf Seiten des Nutzers koordiniert. Auch Hersteller entsprechender Softwarebibliotheken (eID-Kernel) können diese nun vom BSI zertifizieren lassen. Darüber hinaus legt das BSI mit der Erweiterung der Technischen Richtlinie BSI TR-03130-4 (https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03130/TR-03130_node.html) den Grundstein für die Zertifizierung der Softwarekomponente für die grenzüberschreitende Identifizierung (eIDAS-Middleware) mit der Online-Ausweisfunktion gemäß eIDAS-Verordnung.