kurz notiert
Das BSI hat das erste Zertifikat nach dem neuen Schema der „Beschleunigten Sicherheitszertifizierung“ (BSZ) an die LANCOM Systems GmbH für ihren Businessrouter Lancom 1900EF erteilt. Pandemiebedingt erfolgte die Zertifikatsübergabe trotz des Novums in der Zertifizierung des BSI online.
BSI erteilt das erste Zertifikat nach dem Schema „Beschleunigte Sicherheitszertifizierung“
Arne Schönbohm, Präsident des BSI, überreichte das Zertifikat an Ralf Koenzen, Mitbegründer und Geschäftsführer Lancom Systems GmbH.
Dazu Arne Schönbohm: „Zertifizierung ist ein wichtiger Baustein der Informationssicherheit, um Verwaltung und Wirtschaft, aber auch Bürgerinnen und Bürger, sichere Produkte und Dienstleistungen anzubieten. Zertifikate schaffen Transparenz und damit Vertrauen. Ich freue mich, dass Lancom Systems GmbH das erste Unternehmen ist, das mit uns die erste Beschleunigte Sicherheitszertifizierung (BSZ) durchlaufen hat. Zertifizierungen sind der Goldstandard, aber sie erfordern für die Unternehmen auch Zeit und Zeit ist Geld. Mit der Beschleunigten Sicherheitszertifizierung wollen wir diesen Prozess für die Wirtschaft einfacher und schneller gestalten, dabei aber unseren hohen Standards treu bleiben. Insbesondere wird die Expertise von erfahrenen Prüfern und Prüferinnen genutzt, um gezielt nach Sicherheitsrisiken und Schwachstellen zu suchen. So wird ein hohes Niveau an Vertrauen in die Sicherheitsaussagen geschaffen.“
Ein BSZ-Zertifikat bietet Unternehmen eine eindeutige und verständliche Darstellung der Sicherheitseigenschaften sowie eine belastbare Aussage über die Widerstandsfähigkeit des zertifizierten Produkts. Zusätzlich wird gewährleistet, dass der Hersteller über einen definierten Zeitraum von in der Regel zwei Jahren das Produkt durch Sicherheitsupdates auf dem neuesten Stand hält.
Die BSZ ergänzt neben der Zertifizierung nach Common Criteria, der Zertifizierung nach technischen Richtlinien und dem IT-Sicherheitskennzeichen das Portfolio des BSI und wird mithelfen, die IT-Sicherheit in Deutschland zu erhöhen. BSI-Zertifikate genießen weltweit einen sehr guten Ruf und werden, auch im Rahmen internationaler Anerkennungsvereinbarungen, anerkannt.
Das BSZ-Schema ist kompatibel zur französischen CSPN und eine gegenseitige Anerkennung ist in Vorbereitung. Die Kompatibilität zum „Fixed-Time“-Ansatz (FIT CEM/prEN 17640) bildet eine Basis für die Integration auf europäischer Ebene in zukünftige CSA-Schemata. Ab Herbst steht die BSZ allen Interessierten zur Nutzung offen.
18. Deutscher IT-Sicherheitskongress: Call for Papers gestartet
Der 18. Deutsche IT-Sicherheitskongress findet am 1. und 2. Februar 2022 erneut in digitaler Form statt. Aufgrund des Erfolgs der virtuellen Umsetzung im Frühjahr 2021 mit über 8000 Teilnehmer:innen wurde entschieden, den Kongress ab jetzt jährlich stattfinden zu lassen.
Für den IT-Sicherheitskongress 2022 sucht das BSI wieder kreative, praxisnahe und verständliche Beiträge, die sich mit Sicherheitsaspekten in Themengebieten, wie zum Beispiel digitaler Verbraucherschutz, Automotive und vertrauenswürdige Lieferketten, Cyber-Sicherheit in der Wirtschaft und vielen weiteren, auseinandersetzen.
Das BSI hält Sie gerne auf der Website www.bsi.bund.de/IT-Sicherheitskongress mit weiteren Informationen auf dem Laufenden. Die Frist zur Vortragsanmeldung mit Abgabe von Gliederung und Kurzfassung ist der 17. September 2021. Das BSI freut sich auf zahlreiche, kreative Beiträge!
Mindeststandard für Schnittstellenkontrollen aktualisiert
Das BSI hat im Juli den Mindeststandard für Schnittstellenkontrollen aktualisiert. Zu den Grundlagen der Absicherung von IT-Systemen gehört die Kontrolle externer Schnittstellen – Darüber können nicht nur gewünschte Informationen transportiert werden, sondern bei unbedachter oder maliziöser Nutzung auch Informationen abfließen oder Schadsoftware eingebracht werden. Das BSI hat zur Unterstützung bei der Absicherung bereits 2016 den ersten Mindeststandard für Schnittstellenkontrollen veröffentlicht – dieser wird regelmäßig aktualisiert und liegt nun in Version 1.3 vor. Neben konkretisierten Sicherheitsanforderungen wurde auch die Referenztabelle an das neue IT-Grundschutz-Kompendium (Edition 2021) angepasst. Die neue Version, aktualisierte Referenztabelle und eine Änderungsübersicht stehen auf www.bsi.bund.de/DE/Themen/OeffentlicheVerwaltung/Mindeststandards/Schnittstellenkontrollen/ Schnittstellenkontrollen_node.html zum Download zur Verfügung.
Informationswebseite zum zukünftigen IT-Sicherheitskennzeichen
Mit dem IT-Sicherheitsgesetz 2.0 hat das BSI den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Damit sollen Verbraucher:innen Ende des Jahres 2021 die Möglichkeit erhalten, sich leicht über vom Hersteller zugesicherte Sicherheitsfunktionen von vernetzten, internetfähigen Produkten und Diensten zu informieren.
Das IT-Sicherheitskennzeichen wird in Zukunft zum Beispiel auf den Verpackungen von Produkten aufgebracht. Das Etikett des IT-Sicherheitskennzeichens enthält einen Link und einen QR-Code, den Verbraucher:innen scannen können – darüber gelangen sie auf eine Webseite des BSI mit aktuellen Sicherheitsinformationen zum Produkt.
Herstellern bietet das IT-Sicherheitskennzeichen die Möglichkeit, darüber zu kennzeichnen, dass ihre Produkte einschlägige IT-Sicherheitsstandards erfüllen. Dies kann ein Anreiz sein, bereits während der Entwicklungsphase neuer Produkte und Dienste wichtige Sicherheitsanforderungen zu berücksichtigen. Hersteller können damit das steigende Informationsbedürfnis der Verbraucherinnen und Verbraucher erfüllen und ihr Produkt am Markt hervorheben, da IT-Sicherheit bei der Kaufentscheidung eine Rolle spielt. Auf www.bsi.bund.de/DE/Themen/ Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/it-sicherheitskennzeichen_node.html sind jetzt erste Informationen veröffentlicht worden.
BSI veröffentlicht Community-Draft zur Kommentierung der BSI TR-03166
Der erste Community-Draft der Richtlinie BSI TR-03166 „Technical Guideline for Biometric Authentication Components in Devices for Authentication“ definiert in Anlehnung an die eIDAS-Verordnung drei Vertrauensniveaus. Diese zeichnen sich durch unterschiedliche biometrische Performanz und Stärke aus, um Präsentationsangriffe rechtzeitig zu erkennen. Die technische Richtlinie soll ein erster Baustein auf dem Weg hin zur biometrischen Authentifizierung mittels zertifizierten mobilen Verbraucherendgeräten sein und in der Folge Identitätsmissbrauch erschweren.
Viele Bürger verwenden täglich Biometrie in privaten mobilen Geräten: Das Notebook wird über den Fingerabdruckscanner entsperrt oder ein Blick auf das Smartphone genügt, um Zugriff auf gespeicherte Daten und eingerichtete Dienste zu erhalten. Ein Gerät kann bei fehlenden Vorkehrungen von einem Dritten mit nachgemachten biometrischen Merkmalen, wie einem Bild aus den sozialen Medien, entsperrt werden (Präsentationsangriff). Mit ihrer zweigeteilten Charakteristik macht die TR-03166 einerseits Vorgaben bezüglich der biometrischen Performanz und der Widerstandsfähigkeit einer biometrischen Authentifizierungskomponente gegenüber Präsentationsangriffen, die Dienstleister bezüglich einer sicheren und vertrauensvollen Authentifizierung berücksichtigen müssen. Andererseits werden Empfehlungen anhand eines Smartphones gegeben, wie Biometrie als ein Authentifizierungsfaktor von Software-Entwicklern implementiert und Biometrie letztendlich vom Nutzer verwendet werden kann. Der Community-Draft ist über diesem Link erhältlich – die Kommentierung läuft bis zum 31. August 2021 per E-Mail an bez@bsi.bund.de.