Der erfolgreiche Leitfaden zum „Cyber-Sicherheits-Check“ liegt jetzt in einer überarbeiteten Version 2 vor. Diese ermöglicht es Organisationen noch besser, das Bewusstsein für Risiken aus dem Cyberraum zu schärfen, bereits vorhandene Schutzmaßnahmen zu bewerten und einen Weg zur Verbesserung der Cyber-Sicherheit aufzuzeigen. Die Änderungen umfassen eine auf Basis von Praxiserfahrungen überarbeitete Methodik zur Risikoeinschätzung, Erweiterungen des Maßnahmenkatalogs, unter anderem zur sicheren Nutzung von Cloud Computing sowie aktualisierte Referenzen zu relevanten Standards und Frameworks, wie z. B. IT-Grundschutz-Kompendium, COBIT 2019 oder PCI-DSS V3.2.1.
Der „Cyber-Sicherheits-Check“ bietet somit weiterhin eine aktuelle und in der Praxis bewährte Vorgehensweise, wie Informations- und IT-Sicherheitsverantwortliche, Datenschutzbeauftragte, Revisoren und Berater oder auch IT-Mitarbeiter einen Cyber-Sicherheits-Check von der Vorbereitung über die Risikoeinschätzung und Analyse bis hin zur Berichtserstellung durchführen können.
Die Nutzung dieses Checks zur Überprüfung der Cybersicherheit begrüßen und unterstützen neben dem BSI explizit auch viele weitere Verbände und Mitglieder der Allianz für Cyber-Sicherheit, wie z. B. VDMA, ZVEI und die IDSA.
Link: www.isaca.de
Samstag, 30. November 2019
Im Rahmen des vom Bundesministerium für Bildung und Forschung geförderten Projekts „KIRMin: Kritische Infrastrukturen – Resilienz als Mindestversorgungskonzept“ wurde in Zusammenarbeit mit DIN e.V. sowie mit Betreibern Kritischer Infrastrukturen, Vertretern des Bevölkerungsschutzes und der Forschung die DIN SPEC 91390 „Integriertes Risikomanagement für den Schutz der Bevölkerung“ erarbeitet.
Das Integrierte Risikomanagement hat zum Ziel, das Risikomanagement von Betreibern Kritischer Infrastrukturen mit dem Risikomanagement von staatlichen Stellen zu verknüpfen. Hierbei werden Schnittstellen und Möglichkeiten zum Austausch von Informationen, Erkenntnissen und Ergebnissen zwischen den Akteuren aufgezeigt.
Die DIN SPEC 91390 wurde am 25.11.2019 im Beuth Verlag veröffentlicht und kann kostenlos unter folgendem Link heruntergeladen werden:
Link: www.beuth.de
Dienstag, 19. November 2019
Im Kontext der sicheren Digitalisierung im Gesundheitswesen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen der Messe „Medica“ in Düsseldorf einen neuen Leitfaden „Sicherheit von Medizinprodukten – Leitfaden zur Nutzung des MDS2 aus 2019“ (Manufacturer Disclosure Statement for Medical Device Security) veröffentlicht. Herstellern und Betreibern von Medizinprodukten dient der Leitfaden als Anleitung und Unterstützung bei der Anwendung des MDS2, das im Rahmen von Beschaffungsvorgängen als Grundlage für eine Risikoanalyse des anzuschaffenden Systems herangezogen werden kann. Anhand des MDS2 lassen sich die Sicherheitseigenschaften verschiedener Produkte unterschiedlicher Hersteller vergleichen und Schwachstellen und Risiken bereits im Vorfeld des eigentlichen Beschaffungsprozesses beurteilen. Mit vermehrter Nutzung des MDS2-Formulars bei Beschaffungen würde die Cyber-Sicherheit von Medizinprodukten und der Schutz sensibler Patientendaten langfristig verbessert werden.
Link: www.bsi.bund.de
Mittwoch, 6. November 2019
Das Dokument dient zum einen den Betreibern Kritischer Infrastrukturen als Empfehlung, welche Sicherheitsanforderungen sie mit ihren Lieferanten, Herstellern und Dienstleistern vereinbaren sollten. Zum anderen gibt es Lieferanten Herstellern und Dienstleistern einen Überblick, was sie Betreibern Kritischer Infrastrukturen anbieten bzw. in ihren Angeboten berücksichtigen sollten, um deren Bedarfe zu erfüllen. Bei dem Dokument handelt es sich lediglich um eine Empfehlung, die beide Vertragspartner für ihre Zwecke nutzen können.
Link: www.kritis.bund.de
Mittwoch, 23. Oktober 2019
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den im Juni von der Deutschen Krankenhausgesellschaft (DKG) vorgelegten „Branchenspezifischen Sicherheitsstandard für Krankenhäuser“ („B3S“) geprüft und die Eignung festgestellt. Die „Feststellungsurkunde“ wurde am gestrigen Nachmittag von BSI-Präsident Arne Schönbohm an DKG-Hauptgeschäftsführer Georg Baum überreicht. Betreiber sogenannter „Kritischer Infrastrukturen“ aus dem Kliniksektor, die den Anforderungen des IT-Sicherheitsgesetzes unterliegen, müssen ihre Informationstechnologie nach dem Stand der Technik absichern und können dies nun anhand des B3S umsetzen.
Link: www.dkgev.de
Donnerstag, 26. September 2019
Eine Notfallkarte zum Aushängen und ein neuer Maßnahmenkatalog für Sicherheitsverantwortliche sollen KMU helfen, mit Cyber-Bedrohungen besser umzugehen.
Link: www.heise.de
The International Organization for Standardization has published the first International Standards for privacy information management. ISO/IEC 27701 specifies requirements “for establishing, implementing, maintaining and continually improving a privacy-specific information security management system,” ISO said in the announcement. “In other words, a management system for protecting personal data (PIMS).”
Link: www.iso.org
Die Urheber massenhafter Cyber-Angriffe nutzen meist weit verbreitete Software-Produkte, um mit einfachen Mitteln möglichst viele Computer-Systeme mit Schadsoftware zu infizieren. Aufgrund ihrer großen Verbreitung stehen die Softwareprodukte der Microsoft-Office-Familie daher automatisch im Fokus von Cyber-Kriminellen, um Schwachstellen oder unsichere Konfigurationen von Standardfunktionen der Büro-Software möglichst breit ausnutzen zu können. Beliebte Angriffswege sind dabei die Makro-Funktion in Word-Dokumenten oder aktive HTML-Anzeigen in E-Mail-Programmen. Angriffe mit Ransomware oder mit Schadsoftware-Varianten wie Emotet haben über diese Angriffswege in den letzten Monaten auch in Deutschland zahlreiche Unternehmen getroffen und großen Schaden verursacht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher Empfehlungen für eine sichere Konfiguration von Word, Excel, Outlook und Co. entwickelt und nun veröffentlicht. Damit können Organisationen die Angriffsfläche signifikant reduzieren: Die Deaktivierung von HTML in E-Mails sowie der sichere Umgang mit Makros in Dokumenten und anderen Dateien sind dabei nur zwei von zahlreichen Empfehlungen.
Link: www.bsi.bund.de
Mit einem neuen Referentenentwurf will Bundesgesundheitsminister Spahn die digitale Versorgung verbessern. Dabei geht es um Anwendungen wie digitale Tagebücher für Diabetiker oder Apps für Menschen mit Bluthochdruck. Außerdem sollen sich Daten der Patienten in absehbarer Zeit in einer elektronischen Patientenakte speichern lassen. Und auch die Videosprechstunde soll Alltag werden.
Link: www.bundesgesundheitsministerium.de
Mit dem IT-Sicherheitsgesetz will der Gesetzgeber wirksame Schutzmechanismen für die sogenannten kritischen Infrastrukturen in Deutschland festschreiben. Die Deutsche Krankenhausgesellschaft setzt sich aktiv u. a. mit der Definition eines branchenspezifischen Sicherheitsstandards (B3S) für die Verbesserung der IT-Sicherheit in den deutschen Krankenhäusern ein. Die Sicherheit der informationstechnischen Systeme in den Krankenhäusern dient in letzter Konsequenz auch der Patientensicherheit.
Die Deutsche Krankenhausgesellschaft hat den im Dezember 2018 veröffentlichten Entwurf eines Branchenspezifischen Sicherheitsstandards (B3S) entsprechend den Hinweisen des Bundesamtes für Sicherheit in der Informationstechnik überarbeitet und nach Abstimmung und Freigabe durch den Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie der hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft dem BSI die finale Fassung (Version 1.0) zur abschließenden Prüfung der Eignung des B3S für die Umsetzung der Anforderungen nach § 8a BSIG zugeleitet.
Nachfolgend finden Sie die zur Eignungsfeststellung eingereichte Fassung des B3S (Version 1.0) vom 2.4.2019. Über das Ergebnis der Prüfung wird an dieser Stelle informiert.
Link: www.dkgev.de
