Cyber Resilience Act-Pendant in den USA: Wer setzt den internationalen Standard?

Art der Meldung + Relevanz: Politische Initiative + Kräftemessen um die Deutungshoheit über IT-Security-Zertifizierungen Der Cyber Resilience Act (CRA) ist die jüngste EU-Initiative, die die Konformität mit Security-Eigenschaften für in der EU verkaufte Produkte verpflichtend machen soll. Die Kommission veröffentlichte den Entwurf im September 2022. Die USA scheinen nun ein US-amerikanisches Äquivalent zum CRA zu planen, das zunächst auf IoT-Komponenten angewandt werden soll. Dafür hat sich die US-Regierung existierende Ansätze aus Finnland und Singapur zum Vorbild genommen. Singapur und das BSI verkündeten erst kürzlich, dass sie ihre Zertifizierungen, das deutsche “IT-Sicherheitskennzeichen” und das “Cybersecurity Labelling Scheme” aus Singapur, gegenseitig anerkennen wollen. Bewertung: Wer den internationalen Standard bestimmt, bestimmt den Markt. Hier hat das Rennen gerade erst begonnen. Die EU hat…
This content is only available to members.
Read more

BSI und die Cyber-Sicherheitsbehörde von Singapur erkennen Cyber-Sicherheitskennzeichen gegenseitig an

Art der Meldung + Relevanz: Politische Initiative Das BSI und die  die Behörden aus Singabur haben eine bilaterale Vereinbarung zur gegenseitigen Anerkennung des Cybersecurity Labelling Scheme (CLS) und des deutschen IT-Sicherheitskennzeichens unterzeichnet. Produkte mit dem deutschen IT-Sicherheitskennzeichen des BSI können in Singapur ein Cybersecurity Label der Stufe 2 erhalten. Die Vereinbarung umfasst die vom BSI veröffentlichte Produktkategorie Smarte Verbrauchergeräte. Dieser liegt maßgeblich der europäische IoT-Basis-Standard ETSI EN 303 645 zugrunde. Bewertung: Bislang gilt die Vereinbarung nur für die Kategorie smarte Verbrauchergeräte. Hersteller dieser Geräte, die auf den internationalen Markt expandieren wollen, profitieren von der erleichterten Zertifizierung. Die Vereinbarung kann potenziell aber auch auf andere Kategorien ausgeweitet werden. Bislang gibt es nur IT-Sicherheitskennzeichen für Breitbandrouter, E-Mail-Dienste und eben smarte Verbauchergeräte. Weitere…
This content is only available to members.
Read more

BSI wird Cyber-“Zentralstelle” – Grundgesetzänderung noch dieses Jahr?

Art der Meldung + Relevanz: Parlamentarische Anfrage + GG-Änderung nicht mit Opposition abgesprochen Im Rahmen der Cybersicherheitsagenda der Bundesregierung soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur “Zentralstelle” für IT-Sicherheit werden, wie das Bundeskriminalamt für die Polizei. Der Bundestag soll noch in diesem Jahr über die neuen Aufgaben des BSI abstimmen. Das geht aus einer Antwort der Bundesregierung auf eine parlamentarische Anfrage der CDU/CSU-Fraktion hervor. Was sich dadurch in der Praxis ändert und ob es mittelfristig zusätzliche Mittel für die neue Funktion des BSI als Zentralstelle im Bund-Länder-Verhältnis geben wird, bleibt jedoch offen. Laut der Antwort der Regierung sind die zusätzlichen Haushaltsmittel im Zusammenhang mit dem Cybersicherheitsprogramm des Bundesinnenministeriums für die nächsten drei Jahre jedoch noch nicht zugewiesen…
This content is only available to members.
Read more

CISA legt Strategiepapier vor

Art der Meldung + Relevanz: Politische Initiative + CISA Strategiepapier gibt Aufschluss über US-amerikanische Maßnahmen für Cybersicherheit Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat ihre Strategie für die Jahre 2023–25 veröffentlicht. Die CISA ist das US-Gegenstück zum Bundesamt für Sicherheit in der Informationstechnik und ist dem Department for Homeland Security (Ministerium für Innere Sicherheit) untergeordnet. In dem Papier verkündet die CISA v.a.: Risiken für die Kritische Infrastruktur (KRITIS) reduzieren und die Resilienz dieses Sektors stärken. Die nationale operative Kooperation und das Teilen von Informationen auszubauen. Allgemein will die CISA eine nationale Vernetzung aller relevanten Organisationen voranbringen. Sie will nicht nur die Cyber-Sicherheit und Resilienz staatlicher Organe schützen, sondern sucht auch eine intensive Partnerschaft mit privaten Unternehmen und Institutionen.…
This content is only available to members.
Read more

IT-Souveränitätsgesetz für Hamburg

Art der Meldung + Relevanz: Gesetzentwurf des Hamburger Senats + Eingeschränkte Vertriebsmöglichkeiten für IT-Anbieter im Public Sector Der Hamburger Senat hat einen Entwurf für ein IT-Souveränitätsgesetz verabschiedet. Dieses verpflichte die öffentliche Verwaltung, IT-Aufträge in besonders sensiblen Bereichen nur noch an Unternehmen der öffentlichen Hand zu vergeben. Damit soll die Abhängigkeit von privaten Unternehmen reduziert werden und die Handlungsfähigkeit der Verwaltung sichergestellt werden. Begründung: Eine Abhängigkeit von privaten Anbietern berge veschiedene Risiken (z.B. eingeschränkte Informationssicherheit, weniger Flexibilität und mangelnde Transparenz). Bewertung: Es ist bereits gängige Praxis der Verwaltung, IT-Verfahren v.a. den öffentlich-rechtlichen Dienstleistern anzuvertrauen. Eine gesetzliche Regelung dazu gab es bislang aber nicht. Das ermöglichte den Spielraum im Bedarfsfall selbst Verträge mit Anbietern abzuschließen.  Der Gesetzentwurf betrifft alle IT-Anbieter, die ihre…
This content is only available to members.
Read more

NIS2: Führungskräfte sollen für Datenpannen haften

Art der Meldung + Relevanz: Gesetzentwurf + Neue Haftungsrisiken für Geschäftsführer Die EU-Gremien haben sich vorläufig auf einen Entwurf für die NIS2-Richtlinie geeinigt, mit der die Sicherheitsanforderungen für Netz- und Informationsdienste erneuert werden sollen. Führungskräfte betroffener Unternehmen und Behörden sollen für Verstöße gegen die Pflichten zum Einhalten der Cybersicherheit verantwortlich gemacht werden. Sie müssen mit bis zu  2 Prozent des Jahresumsatzes Haftungsrisiko rechnen (Lösegeldforderungen als Maßstab). Mit der NIS2- Richtlinie soll nun auch mittlere und große Einrichtungen aus einer erweiterten Zahl von Sektoren erfasst werden (nicht mehr nur die KRITIS-Unternehmen), z.B. aus den Bereichen elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte, Post- und Kurierdienste und die öffentliche Verwaltung usw. Betriebe mit über 250 Mitarbeitern und…
This content is only available to members.
Read more

EU plant Gesetz zur Cyberresilienz

Art der Meldung + Relevanz: Gesetzvorhaben + Auswirkungen auf IT-Hersteller und Dienstleister Das Gesetz zielt darauf ab, gemeinsame Cybersicherheitsregeln für digitale Produkte und damit verbundene Dienste festzulegen. Bis zum 25.05.22 läuft dafür die öffentliche Konsultation, deren Ergebnisse dann in den Gesetzgebungsvorschlag der Kommission einfließen werden und sich in den politischen Rahmen der neuen EU-Cybersicherheitsstrategie 2020 einfügen. Das Gesetz zur Cyber-Resilienz (CRA) wird den bestehenden EU-Rechtsrahmen ergänzen (NIS-Richtlinie, Cybersecurity Act und kommende NIS2-Richtlinie) Erfasst werden von der Regelung sollen „materielle digitale Produkte“ (drahtlos und drahtgebunden) sowie nicht eingebettete Software. Bewertung: Der Cyberresilience Act soll Cybersicherheit, Verbraucherschutz und Innovation horizontal produktübergreifend und über den gesamten Lebenszyklus hinweg vereinheitlichen. Technischer Umsetzungsmaßstab für die rechtlichen Vorgaben aus dem CRA wären die harmonisierten technischen Standards…
This content is only available to members.
Read more

Bundesregierung plant digitale Produkthaftung für Hersteller

Art der Meldung + Relevanz: Politische Initiative + neue Haftungspflichten für IT-Hersteller Die Bundesregierung will dafür sorgen, dass Hersteller künftig für Schäden haften, die fahrlässig durch Software-Schwachstellen in ihren Produkten entstanden sind. Das kündigte Bundesinnenministerin Nancy Faeser (SPD) am Dienstag beim 18. Deutschen IT-Sicherheitskongress an. Unterstützt worden ist die Idee der Produkthaftung für Software unter anderem auch von Manuel Höferlin, dem aktuellen innenpolitischen Sprecher der an der Regierung beteiligten FDP-Fraktion. Das Vorhaben, eine Produkthaftung für Software einzuführen, war bereits im Koalitionsvertrag der Ampel formuliert worden (“Hersteller haften für Schäden, die fahrlässig durch IT-Sicherheitslücken in ihren Produkten verursacht werden.” S.16). Bewertung: Die digitale Produkthaftung war eine zentrale Forderung von allen Ampel-Parteien, die es deswegen auch in den Koalitionsvertrag geschafft hat. Dass…
This content is only available to members.
Read more

Auswirkungen ausländischer Gesetzgebung auf die deutsche Cybersicherheit

Art der Meldung + Relevanz: Impulspapier + Empfehlungen für die Datenverarbeitung durch Unternehmen Die wissenschaftliche Arbeitsgruppe Nationaler Cyber-Sicherheitsrat hat ein Impulspapier „Auswirkungen ausländischer Gesetzgebung auf die deutsche Cybersicherheit“ veröffentlicht Es wird untersucht, mit welchen Zielsetzungen und Mitteln ausländische Nachrichtendienste − direkt oder über in Deutschland operierende Unternehmen − auf die Cybersicherheit in Deutschland Einfluss nehmen könnten. Hierzu werden die jeweiligen Rechtsgrundlagen und rechtlichen Handlungsmöglichkeiten analysiert, auf deren Grundlage die Geheimdienste agieren. Im Ergebnis empfiehlt die Arbeitsgruppe, dass: eine Datenverarbeitung in der Europäischen Union erfolgen sollte, die Daten technisch-organisatorisch vor dem Zugriff von Nachrichtendiensten geschützt sein sollten (zum Beispiel durch Verschlüsselung und Treuhänder). oder keine Datenverarbeitung durch Unternehmen erfolgt, die den jeweiligen Nachrichtendiensten verpflichtet sind. Bewertung: Dass Papier ist aus datenschutzrechtlicher…
This content is only available to members.
Read more

Staatstrojaner: Bundesrat stoppt Hilfspflichten für Provider

Art der Meldung + Relevanz: Gesetz + Keine Hilfspflichten für Provider Der Bundesrat hat am 17. Dezember gegen die Mitwirkungspflicht von Providern gestimmt. Das Vorhaben des ehemaligen Innenministers Seehofer ist damit gestoppt. Die Provider werden somit nicht verpflichtet werden, bei der Installation von Trojanern zu helfen. Der Entwurf sah vor, dass Provider mit über 100.000 registrierten Nutzern den Sicherheitsbehörden die Möglichkeit schaffen sollten, Geräte zum Einschleusen von Trojanern in ihren Räumen unterzubringen. Sie wären darüber zudem zur Verschwiegenheit verpflichtet gewiesen. Bewertung: Vor allem die Grünen warben im Bundesrat für eine Ablehnung des Vorhabens. Hier zeigt sich bereits der erste deutliche Richtungswechsel bei der IT- und Sicherheitspolitik. Es ist sicher, dass die neue Regierung beim Thema Überwachung einen gänzlich anderen Ansatz…
This content is only available to members.
Read more

BSI: Warnung vor erhöhter Cybersicherheitsgefahr über die Feiertage

Art der Meldung + Relevanz: Stellungnahme des BSI + Unternehmen sollten sich für Angriffe rüsten Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt (BKA) warnen für die bevorstehenden Weihnachtsfeiertage vor einem erhöhten Risiko für Cyber-Angriffe auf Unternehmen und Organisationen Risiken sind: Versand von Emotet-Spam, aktives und öffentliches Werben von Ransomeware-Gruppierungen, Verwundbarkeit vieler Microsoft-Exchange-Server in Deutschland Das BSI sieht darin ein bedrohliches Szenario und rät Unternehmen und Organisation eindringlich angemessene IT-Sicherheitsmaßnahmen umzusetzen: präventive Maßnahmen, Stärken von Detektions- und Reaktionsfähigkeiten und Entwicklung und Einübung von Notfallkonzepten Bewertung: Auch Cyberkriminelle handeln ökonomisch. Ob, wann, und mit welcher Vehemenz Netzwerke attackiert werden, richtet sich auch danach, wie die Angreifer ihre Chancen einschätzen. Cyberangriffe, die in der Nacht, an Wochenenden oder an…
This content is only available to members.
Read more

IT-Sicherheitskennzeichen: BSI startet Antragsverfahren

Art der Meldung + Relevanz: Politische Initiative + Unternehmen können Breitbandrouter zertifizieren lassen Mit dem IT-Sicherheitsgesetz 2.0 wurden die Grundlagen für das neue IT-Sicherheitskennzeichen gelegt Seit dem 8.12. kann beim BSI ein Antrag auf Erteilung des IT-Sicherheitskennzeichens für zwei Produktkategorien (Breitbandrouter und E-Mail-Dienste) gestellt werden Das IT-Sicherheitskennzeichen wird auf Grundlage des §9c BSI-Gesetz erteilt Es soll Verbraucher*innen Orientierung auf dem Markt geben und ist vor allem für Verbände, Unternehmen und die Zivilgesellschaft interessant Nachdem das Kennzeichen erteilt wird, wird durch Stichproben geprüft, ob die Anforderungen auch eingehalten werden Zeitnah soll es das Kennzeichen auch noch in anderen Kategorien (von Hardware und Software) geben Bewertung: Primär Hersteller von Hard- und Software-Produkten jedweder Couleur sollten ab jetzt aufmerksam die weiteren Ankündigungen des…
This content is only available to members.
Read more

5G Sicherheit: Open RAN Studie zeigt Sicherheitsrisiken auf

Art der Meldung + Relevanz: Studie + Möglicher Regulierungsbedarf von Open RAN Technologien Studie des BSI zu Sicherheitsrisiken von Open RAN veröffentlicht – erstellt vom Barkhausen Institut als unabhängige Forschungseinrichtung in Zusammenarbeit mit der Advancing Individual Networks GmbH aus Dresden und mit Unterstützung der secunet Security Networks AG Ergebnis: Open RAN (Open Radio Access Network), basierend auf den Standards der O-RAN-Alliance, beinhaltet in der aktuellen Ausprägung deutliche Sicherheitsrisiken: Risikoanalyse analysiert verschiedene Betroffene und Angreifergruppen und bewertet dabei die Risiken für die zentralen Schutzziele Vertraulichkeit, Integrität, Zurechenbarkeit, Verfügbarkeit und Privacy Studie demonstriert dabei anhand einer Best-/Worst-Case-Betrachtung, dass das bisherige Open RAN noch nicht ausreichend nach Security by Design spezifiziert wurde und teilweise Sicherheitsrisiken aufweist Die Sicherheitsverbesserungen sollten deshalb aus der Studie…
This content is only available to members.
Read more

Cybersicherheit im Koalitionsvertrag

Art der Meldung + Relevanz: Politische Initiative + Ampel bricht an vielen Stellen mit GroKo-Politik Der Koalitionsvertrag der Ampel verheißt ein digitalpolitisches Umdenken und eine Abkehr von der Politik der großen Koalition. Besonders in der Cybersicherheit gibt es Änderungen: Es geht in Richtung unabhängigerem BSI, weniger staatlichen Eingriffen und klarem Schwachstellenmanagement. Einzelne Änderungen im Bereich Cybersicherheit: Die staatliche Cybersicherheitsarchitektur wird verändert: Das BSI soll zu einer zentralen Steuerungsbehörde für IT-Sicherheit werden. Dafür wird es unabhängiger vom BMI und auch institutionell gestärkt. Andere Behörden haben eine Meldepflicht für IT-Sicherheitslücken an das BSI, das dann im Rahmen des Schwachstellenmanagements für die Schließung zuständig ist. Beim Thema KRITIS ist vor allem der komplette Ausschluss “nicht vertrauenswürdiger Hersteller” beim Ausbau kritischer Infrastruktur relevant. Das…
This content is only available to members.
Read more

Anschrift

Albrechtstraße 13
10117 Berlin - Deutschland
Telefon +4930 400 54 100
E-Mail berlin@elfnullelf.de

Newsletter

elfnullelf Newsletter abbonieren

Social Media

LinkedInTwitterYoutubeEmail
elfnullelf GmbH – Copyright 2022 Spreepublik | Impressum | Datenschutzerklärung | CO2 neutraler Server
Back To Top