Bundesamt für Sicherheit in der Informationstechnik (BSI)

Anders als Trump und dessen Verbündeter Australien setzt die Bundesregierung darauf, sich genau anzuschauen, ob die Netzwerkausrüster die Anforderungen an die IT-Sicherheit erfüllen. Der Quellcode von Huawei steht dem BSI zur Verfügung, die Telekom überwacht bei Tests alle abgehenden Datenströme konstant.
Von Achim Sawall

Innenminister Seehofer und BSI-Präsident Schönbohm malen eine neue Qualität der Gefahren für die IT-Sicherheit an die Wand. Davon können beide mit ihren politischen Zielen profitieren.
Eine Analyse von Friedhelm Greis

Seit mehreren Monaten ist die umstrittene BSI-Richtlinie zur Sicherheit von Heimroutern überfällig. Laut BSI-Chef Schönbohm ist sie längst fertig und soll ein "Mindesthaltbarkeitsdatum" für Software und 19 andere Kriterien enthalten.

Die Sicherheitsfirma Eset hat das erste aktive UEFI-Rootkit entdeckt. Die Schadsoftware übersteht einen Austausch der Festplatte und wird der berüchtigten Hackergruppe APT28 zugeschrieben. Diese soll unter anderem für den Bundestagshack verantwortlich sein.

Die Webseite des Bundesamts für Sicherheit in der Informationstechnik ist zur Zeit nicht erreichbar. Dort hat man offenbar vergessen, sich rechtzeitig um ein neues TLS-Zertifikat zu kümmern.

Eine erfolgreiche Cyberattacke gegen einen Mitgliedstaat reiche aus, um den gesamten Prozess der Wahl zum Europäischen Parlament 2019 zu kompromittieren, warnen Mitglieder einer EU-Kooperationsgruppe zur Netzwerksicherheit. Die Funktion der Staatengemeinschaft könnte beeinträchtigt werden.
Von Stefan Krempl

Verschlüsselungsalgorithmen auf Basis elliptischer Kurven sollen kompakte Geräte im Internet der Dinge sicherer machen. Wir erklären, wie - und wo die Grenzen liegen.
Von Anna Biselli

Ein Unbekannter stellte Funksprüche von Rettungsdiensten mit Namen und Adressen von Betroffenen aus dem Landkreis Recklinghausen ins Internet. Möglich ist das, weil die Daten über ein unverschlüsseltes Protokoll namens Pocsag verschickt werden.

Das BSI warnt vor Angriffen auf Energieversorger. Bislang habe es allerdings keinen Zugriff auf kritische Infrastruktur gegeben, sondern vor allem auf Büronetzwerke. Wieso die Warnung genau zu diesem Zeitpunkt kommt, ist allerdings unklar.

EU-Justizkommissarin Vera Jourová will die Debatte über die Datenschutzgrundverordnung "entmystifizieren". Zur Verwirrung über die Reform tragen Bundesregierung und Datenschutzbehörden jedoch selbst bei.

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Stellungnahme zu den angeblichen Angriffen aus Russland veröffentlicht. Das liest sich deutlich anders als die Vorwürfe aus Großbritannien und den USA.

Das BSI hat für ein Projekt verschiedene Kryptobibliotheken untersuchen lassen, behält die Ergebnisse jedoch für sich. Golem.de liegt die Analyse mit vielen Details über die Bibliotheken NSS, LibreSSL und Botan dank des Informationsfreiheitsgesetzes vor, darf sie aber nicht veröffentlichen.
Von Hanno Böck

Die EU will künftig europäische Fluggastdaten auf Vorrat speichern. Das im Aufbau befindliche deutsche System scheint noch nicht ganz sicher zu sein.

The German government was hacked via the learning plattform Ilias, which is used at the government's own university. The university was using an old version with various security vulnerabilities.

Die Bundesregierung wurde über die Lernplattform Ilias gehackt, die an der Hochschule des Bundes zu Weiterbildungszwecken genutzt wird. Die Einrichtung nutzte eine alte Version mit zahlreichen Sicherheitslücken.
Eine Exklusiv-Meldung von Hauke Gierow und Hanno Böck

Der Angriff auf das Netzwerk der Bundesregierung soll sich über eine Hochschule des Bundes bis hin zum Außenministerium gezogen haben. Der Bundestag hat in mehreren Sondersitzungen offenbar widersprüchliche Angaben von der Regierung erhalten.
Von Hauke Gierow und Friedhelm Greis

Angreifern soll es gelungen sein, in das vertrauliche Kommunikationsnetz der Regierung einzudringen. Verdächtigt wird die Gruppe APT28, auch bekannt unter dem Namen Fancy Bear. Die Opposition wirft der Bundesregierung Versäumnisse bei der IT-Sicherheit vor.

Union und SPD haben ihre bislang vagen Pläne zur Digitalisierung mit mehr Inhalten gefüllt. Beim Aufbau des Mobilfunkstandards 5G und des Glasfasernetzes kommen die Parteien den kleinen Anbietern entgegen.

Zu kaum einem IT-Sicherheits-Thema gibt es so viele unsinnige Tipps wie zu Passwörtern. Auch Behörden wie das BSI und Forschungseinrichtungen wie das Hasso-Plattner-Institut veröffentlichen jede Menge Unfug.
Ein IMHO von Hanno Böck

Das BSI will in den kommenden Monaten eine Technische Richtlinie für Heimrouter herausgeben. Vor allem die Kabelnetzbetreiber halten nichts davon, für möglichst viel Sicherheit bei den Geräten zu sorgen. Der CCC spricht von "Lobbying-Sabotage".
Ein Bericht von Friedhelm Greis

34C3 Reisen mit Laptop und Smartphone kann jede Menge Ärger bringen. Die meisten Tipps der EFF lassen sich aber generell im Umgang mit persönlichen Daten beherzigen.
Ein Bericht von Friedhelm Greis

Das besondere elektronische Anwaltspostfach hat mehr als nur eine Sicherheitslücke. Die Probleme reichen von einer falschen Ende-zu-Ende-Verschlüsselung über Cross Site Scripting bis hin zu ROBOT und veralteten Java-Libraries. Dabei hat die Firma SEC Consult einen Sicherheitsaudit durchgeführt.
Von Hanno Böck

Ein peinlicher Fehler, der dazu noch die ungeheure Datensammelwut des Herstellers zeigt: AI Type hat eine Datenbank mit mehr als 500 Gbyte Kundendaten ins Netz gestellt.

Der Patch ist da: Apple hat schnell reagiert und schließt die IamRoot-Lücke in MacOS High Sierra. Der Patch sollte umgehend eingespielt werden, dann ist auch der bisherige Workaround obsolet.

Wie soll die Regierung mit Sicherheitslücken umgehen? An diesem Thema arbeiten die möglichen Koalitionäre eines Jamaika-Bündnisses.

Das Bundesamt für Sicherheit in der Informationstechnik will im kommenden Frühjahr eine technische Richtlinie für Heimrouter vorstellen. Nach Ansicht des Innenministers ist ein gehackter Router gefährlicher als abgefahrene Reifen.
Eine Analyse von Friedhelm Greis

Die künftige Bundesregierung könnte deutschen Behörden die Erlaubnis für Gegenangriffe im Internet erteilen. Doch die potenziellen Koalitionspartner Grüne und FDP könnten sich querstellen.

Infineon-Chips in Personalausweisen, Laptops und Krypto-Hardware sind unsicher. Pikant daran: Die Produkte wurden vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert.

RSA-Schlüssel von Hardware-Kryptomodulen der Firma Infineon lassen sich knacken. Das betrifft unter anderem Debian-Entwickler, Anbieter qualifizierter Signatursysteme, TPM-Chips in Laptops und estnische Personalausweise.

Das hat lange gedauert: Nach vier Jahren Untersuchungen hat sich die Bundesanwaltschaft entschieden, nicht gegen die Geheimdienste NSA und GCHQ zu ermitteln.

Erstmals müssen alle Chefs der deutschen Nachrichtendienste öffentlich dem Bundestag Rede und Antwort stehen. Sie nutzten die Gelegenheit weidlich, um ihre Überwachungswünsche loszuwerden.
Ein Bericht von Friedhelm Greis

Die eklatanten Sicherheitslücken bei der Wahlsoftware sollen künftig vermieden werden. Die Bundesregierung hält eine Zertifizierung durch das BSI für möglich.

Ausgerechnet der Chef des Bundesamtes für Sicherheit in der Informationstechnik möchte in der kommenden Legislaturperiode eine digitale Stimmabgabe bei Wahlen - weil er die "Digitalisierung ernst nehmen" will. Das Bundesverfassungsgericht und Angela Merkel sind anderer Meinung.

Windparks machen einen professionellen Eindruck, doch bei der IT-Sicherheit hapert es leider. Recherchen von Internetwache.org und Golem.de zeigen eine Menge Schwachstellen und ein Chaos bei der Zuständigkeit.
Von Sebastian Neef und Tim Philipp Schäfers

Ein 29-jähriger Brite ist in sein Heimatland überstellt worden. Zuvor war der Mann in Deutschland wegen des Angriffs auf Router der Telekom verurteilt worden, in seiner Heimat drohen ihm vermutlich härtere Strafen als in Deutschland.

Bei der IT-Sicherheit setzen die Unionsparteien auf eine verstärkte Überwachung des Darknets - durch "Internetpolizisten". Die SPD will die Rolle des BSI reformieren und Haftung für Sicherheitslücken. Nach dem Willen der Linkspartei gehört das BND-Gesetz abgeschafft, die Grünen wollen mehr Prävention.
Eine Analyse von Hauke Gierow

Die Bundesregierung will mit neuen Aufgaben Jugendliche für den ehrenamtlichen Einsatz bei Feuerwehr und THW begeistern. "Hacken für die Guten", lautet das Motto.

Der BKA und das BSI gehören dem IT-Sicherheitsverband Teletrust an. Das hindert den Verein jedoch nicht daran, gegen die Ausweitung des Staatstrojaner-Einsatzes Verfassungsbeschwerde einzulegen.

Die Bundeswehr will agiler werden. Dafür sucht sie nach IT-Fachkräften und neuen Ideen aus Startups. Das beginnt mit vielen Schreibtischen in einem Hochsicherheitsbüro und auf dem Hangar einer Fregatte.
Ein Bericht von Hauke Gierow

Müssen Händler Kunden über möglicherweise unsichere Software auf Smartphones informieren? Das soll eine Zivilklage gegen eine Media-Markt-Filiale klären. Verbraucherschützer hoffen auf eine Signalwirkung.

Zwei Schwachstellen in einem Programm der öffentlichen Verwaltung können unter Umständen dazu genutzt werden, die rechtssichere Signatur und Verschlüsselung von Behördenkommunikation zu umgehen. Ein Patch steht zwar zur Verfügung, wird aber nur langsam eingespielt.

Angriffe auf IT-Infrastruktur richten sich nicht nur gegen dienstliche Adressen. Derzeit seien auch private Mailkonten im Visier von Angreifern, warnt das BSI. Betroffen seien "Spitzenkräfte" aus Wirtschaft und Verwaltung.

Wer hat die Hoheit über die Daten, die ein vernetztes Fahrzeug generiert? Die Konzepte von Autoherstellern sowie Daten- und Verbraucherschützern nähern sich an. Doch es sind noch viele Fragen zu klären.

Die Meldepflicht für IT-Sicherheitsvorfälle ist auf weitere Branchen ausgedehnt worden. Damit steigt die Gesamtzahl auf mehr als 1.600 Einrichtungen in ganz Deutschland.

Das Bundesamt für Sicherheit in der Informationstechnik hat Yahoo kritisiert, weil das Unternehmen nicht mit den deutschen Behörden kooperiere. Auch internationale Unternehmen sollten kooperieren, wenn deutsche Staatsbürger von Security-Vorfällen betroffen sind.

Die Sicherheitslücke ist seit gut zwei Jahren bekannt, trotzdem konnten Kriminelle sie ausnutzen: Mit einem Trick fingen sie mTAN-SMS ab und räumten deutsche Konten leer.

Was andere Staaten angeblich können, soll auch für Deutschland möglich werden. Sicherheitsbehörden sollen Angriffe auf IT-Systeme aktiv abwehren und Server im Ausland "zerstören" dürfen.

Der vermeintlich gezielte Cyberangriff auf den Bundestag war wohl keiner: Das BSI spricht in einer aktuellen Stellungnahme von einer mit schädlichen Werbebannern infizierten Webseite, die Abgeordnete einem Drive-by-Angriff aussetzten.

Das Bundesamt für Sicherheit in der Informationstechnik beklagt, dass Nutzer von Owncloud und Nextcloud ihre Installationen nicht aktualisieren. Das liegt aber auch daran, dass die Updatefunktion oft fehlschlägt. Und die Ratschläge des BSI waren in der Vergangenheit auch nicht unbedingt hilfreich.
Von Hanno Böck

Bei der Internettelefonie der Deutschen Telekom kam es zu Ausfällen. Über den Umfang kann die Telekom nichts sagen.