Keine Portokasse: IT-Sicherheitsgesetz 2.0 könnte drastische Bußgelder bringen

Die Weiterentwicklung des IT-Sicherheitsgesetzes „2.0“ zieht sich nun schon über geraume Zeit. Es ist ein weiterer Referentenentwurf bekannt geworden, der in die Ressortabstimmung geht und über den Sommer mit den Verbänden diskutiert werden soll. Hierin ist geplant, die Bußgelder auf bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes anzuheben – dieses scharfe Schwert hat sich aus Regulierer-Sicht bereits bei der DSGVO bewährt. Die Entsorgung soll sich zu den KRITIS-Sektoren gesellen, außerdem kommen ggf. Auflagen für diverse Typen von „Unternehmen im besonderem öffentlichen Interesse“. Auch letztere sollen alle zwei Jahre ein IT-Sicherheitskonzept nach dem Stand der Technik beim BSI vorlegen. Komponenten für KRITIS-Anlagen rücken zukünftig ebenfalls in den Fokus: Diese sollen zugelassen werden bzw. Herstellergarantien enthalten, dass keine technischen Hintertüren vorhanden sind. Bei Verstößen könnte der Einsatz durch das BMI unterbunden werden.

Das BSI soll künftig Honeypots und Sinkholes betreiben, Portscans im Internet aktiv durchführen und in bestimmten Fällen auch Kommunikation umlenken und Botnetze ausschalten. Bei angreifbaren Systemen könnte die Behörde, die ihre größtenteils passive Schutzrolle verändern würde, aktiv Sicherungsmaßnahmen vornehmen. Darüber hinaus sind auch Erweiterungen von Befugnissen der Strafverfolgungsbehörden geplant, welche bestimmte Daten von sozialen Netzwerken automatisch erhalten sollen. Das BKA soll des Weiteren das BSI als Erfüllungsgehilfen etwa für die Auswertung von Sicherheitslücken heranziehen. Das Fernmeldegeheimnis (Artikel 10 GG) würde unter anderem hierfür entsprechend eingeschränkt. Im Bereich Verbraucherschutz soll das BSI auf dem Feld Cyber neue Aufgaben bekommen und u. a. ein „IT-Sicherheitskennzeichen“ als eine Art elektronischen Beipackzettel für IoT u. ä. einführen. Das Ganze soll mit einem Aufbau von fast 600 (BSI) bzw. 50 (BBK) Stellen einhergehen.

https://ag.kritis.info/2020/05/13/kommentar-zum-neuen-referentenentwurf-des-it-sicherheitsgesetz-2-0-it-sig2/

Post für das Quantum – BSI-Handlungsempfehlungen zur Post-Quantum-Kryptografie

Laut BSI sollten nicht mehr die Fragen im Vordergrund stehen, ob und wann es einen leistungsfähigen Quantencomputer geben wird, sondern wie wir die Migration zu quantensicheren Verfahren heute schon gestalten können, um auf der sicheren Seite zu sein. Dies beschreiben die neuen Handlungsempfehlungen „Migration zu Post-Quanten-Kryptografie“ auf netto sieben Seiten kurz und prägnant.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie.pdf?__blob=publicationFile&v=2

C5v2: BSI stellt aktualisierten C5-Katalog vor

Das BSI hat den 2016 veröffentlichten „Cloud Computing Compliance Criteria Catalogue” einer umfassenden Revision unterzogen. Der „C5“ wird von Cloud-Anbietern aller Größen zum Nachweis der Sicherheit von Cloud-Diensten verwendet. Die Aktualisierungen betreffen sowohl Formalia als auch die Kriterien, die an den aktuellen Stand der Technik angepasst wurden. Er enthält außerdem eine neue Domäne zur Produktsicherheit und berücksichtigt damit nun auch die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Acts. Zudem wurde – insbesondere für kleinere Cloud-Anbieter – der Nachweisweg über die direkte Prüfung eröffnet.

Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht.

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html

Toter als tot: SHA1

Der immer noch viel zu häufig eingesetzte Hash-Algorithmus SHA1 gilt schon seit Jahren als theoretisch gebrochen und deutlich geschwächt. Bisher waren praktische Angriffe für die meisten Akteure jedoch außer Reichweite. Nun konnten Forscher die Kosten für eine sogenannte Kollisionsattacke und vor allem für die wesentlich gefährlichere „Chosen-Prefix Kollisionsattacke“, mit der sich etwa digitale Signaturen fälschen lassen, noch einmal entscheidend auf wenige 10.000 Euro senken, Tendenz fallend.

Höchste Zeit, den diversen Empfehlungen (u. a. des BSI) zu folgen und SHA1 durch modernere Algorithmen wie SHA2 oder SHA3 zu ersetzen.

https://sha-mbles.github.io/

Contingent Business Continuity Continues Continuously: ISO 22301:2019

Der führende internationale BCM-Standard ISO 22301 wurde am 31.10.2019 in neuer Version veröffentlicht. Unter anderem wurden im Vergleich zur bisher gültigen Version von 2012 die aktuellen ISO-Anforderungen an Managementsysteme berücksichtigt, Anforderungen geklärt und ergänzt sowie redaktionelle Umstrukturierungen vorgenommen.

https://www.continuitycentral.com/index.php/news/business-continuity-news/4587-revised-version-of-iso-22301-business-continuity-standard-now-available

Auch das BSI überarbeitet mit Unterstützung von HiSolutions gerade seinen Standard für das Notfallmanagement, 100-4 -> 200-4.

Sicherer Brausen: BSI-Mindeststandard Browsersicherheit

Das BSI hat einen Draft des überarbeiteten Mindeststandards für sichere Browser publiziert. Ein Muss sind demnach inzwischen moderne Sicherheitstechniken wie HSTS (HTTP Strict Transport Security; erzwungenes TLS), CSP (Content Security Policy; Schutz vor Einschleusung von Daten wie XSS) und SRI (Subresource Integrity; Integritätsschutz von Drittparteikomponenten einer Webseite wie etwa auf einem CDN gehosteter Skripte). Anmerkungen der Community sind gerne gesehen.

https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/Webbrowser/Webbrowser_node.html

Version 2.0 verlangt 1.3 oder 1.2: Neue TLS-Vorgaben des BSI

Das BSI hat Version 2.0 seines Mindeststandards TLS veröffentlicht. Darin werden, zumindest für die Bundesverwaltung, TLS 1.2 und TLS 1.3 als einzige erlaubte Protokollvarianten gesetzt. Forward Secrecy ist nun Pflicht. Die umstrittene Neuentwicklung eTLS – wir berichteten – wird nicht erwähnt, ist somit also nicht statthaft.
Aktualisierung: Inzwischen gilt Version 2.4 der Mindeststandardshttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_Version_2_4.html