secuvera GmbH – BSI-zertifizierter IT-Sicherheitsdienstleister BSI-Grundschutz und Penetrationstests https://www.secuvera.de Wed, 05 Aug 2020 12:31:47 +0000 de-DE hourly 1 https://wordpress.org/?v=5.4.2 Besonderes elektronisches Anwaltspostfach (beA): Sicherheitsgutachten für den Betriebsübergang veröffentlicht https://www.secuvera.de/aktuelles/besonderes-elektronisches-anwaltspostfach-bea-sicherheitsgutachten-fuer-den-betriebsuebergang-veroeffentlicht/ Tue, 04 Aug 2020 11:32:16 +0000 https://www.secuvera.de/?p=4015 Das Gutachten steht zum Download bereit. Es wurden mehrere Befunde attestiert. Es konnte jedoch kein Risiko für die Sicherheit der beA-Anwendung durch den Betriebsübergang festgestellt werden. Das besondere elektronische Anwaltspostfach (beA) ist ein elektronisches Postfach für Rechtsanwälte und wird durch die Bundesrechtsanwaltskammer (BRAK) bereitgestellt. Mitte Juli 2020 wurde durch die WesRoc GbR plangemäß der Betrieb des beA von der bisherigen [...]
weiterlesen ...

Der Beitrag Besonderes elektronisches Anwaltspostfach (beA): Sicherheitsgutachten für den Betriebsübergang veröffentlicht erschien zuerst auf secuvera GmbH - BSI-zertifizierter IT-Sicherheitsdienstleister BSI-Grundschutz und Penetrationstests.

]]>
Das Gutachten steht zum Download bereit. Es wurden mehrere Befunde attestiert. Es konnte jedoch kein Risiko für die Sicherheit der beA-Anwendung durch den Betriebsübergang festgestellt werden.

Das besondere elektronische Anwaltspostfach (beA) ist ein elektronisches Postfach für Rechtsanwälte und wird durch die Bundesrechtsanwaltskammer (BRAK) bereitgestellt. Mitte Juli 2020 wurde durch die WesRoc GbR plangemäß der Betrieb des beA von der bisherigen Betreiberin Atos GmbH übernommen. Im Vorfeld der Betriebsübernahme hat die BRAK ein Sicherheitsgutachten beauftragt.

Die secuvera GmbH hat hierfür die fortgeschriebenen und angepassten Anteile des IT-Sicherheitskonzepts untersucht. Die BRAK wollte mit dieser Untersuchung sicherstellen, dass das hohe Sicherheitsniveau im Betrieb des beA erhalten bleibt. Kern der Betrachtung war der Betrieb der zentralen Infrastruktur. Die Clientkomponenten oder das Verschlüsselungskonzept waren nicht Teil der Untersuchung.

Bei der Prüfung wurden unter anderem die Dokumentationslage, aber auch die konkreten Konfigurationen vor Ort überprüft. Ein Penetrationstest der extern erreichbaren Schnittstellen aus Sicht eines anonymen Angreifers war ebenfalls Teil des Gutachtens. In Summe wurden 6 Befunde mit hohem und 8 Befunde mit mittlerem Risiko eingestuft, von denen der Großteil noch während der Begutachtung verbessert wurden. Darüber hinaus wurden 2 Anmerkungen und 3 Verbesserungen gefunden.

In Summe kann der Infrastrukturumgebung eine hohe Güte attestiert werden. Die Abläufe sind auf einem sehr belastbaren Sicherheitsniveau. Zusammenfassend konnte im Rahmen der Prüfung kein Risiko für die Sicherheit der beA-Anwendung durch den Betriebsübergang identifiziert werden. Die Prüfer empfahlen eine zielgerichtete und weitere Bearbeitung der noch offenen Befunde.

Das vollständige Gutachten kann auf der beA-Informationsseite der BRAK abgerufen werden: https://bea.brak.de/sicherheit-im-bea/

Der Beitrag Besonderes elektronisches Anwaltspostfach (beA): Sicherheitsgutachten für den Betriebsübergang veröffentlicht erschien zuerst auf secuvera GmbH - BSI-zertifizierter IT-Sicherheitsdienstleister BSI-Grundschutz und Penetrationstests.

]]>
Kryptographie – Was ist das eigentlich? https://www.secuvera.de/blog/kryptographie-was-ist-das-eigentlich/ Mon, 22 Jun 2020 13:02:10 +0000 https://www.secuvera.de/?p=3906 Ein jeder von uns verwendet sie, aber nur die wenigstens kennen sie überhaupt. Und nur ein kleiner Teil dieser „Gruppe von Eingeweihten“ versteht wirklich, was es eigentlich damit auf sich hat. Die Rede ist von Kryptographie. Wir benutzen sie tagtäglich ohne es zu merken. Nicht nur IT-Fachpersonal oder Penetrationstester, nein, mittlerweile ist die Kryptographie mitten in unserem Alltag angekommen. Sie [...]
weiterlesen ...

Der Beitrag Kryptographie – Was ist das eigentlich? erschien zuerst auf secuvera GmbH - BSI-zertifizierter IT-Sicherheitsdienstleister BSI-Grundschutz und Penetrationstests.

]]>
Ein jeder von uns verwendet sie, aber nur die wenigstens kennen sie überhaupt. Und nur ein kleiner Teil dieser „Gruppe von Eingeweihten“ versteht wirklich, was es eigentlich damit auf sich hat. Die Rede ist von Kryptographie.

Wir benutzen sie tagtäglich ohne es zu merken. Nicht nur IT-Fachpersonal oder Penetrationstester, nein, mittlerweile ist die Kryptographie mitten in unserem Alltag angekommen. Sie schützt (bei richtig konfigurierten Servern 😉) unseren Datenverkehr im Internet, sichert den Inhalt unserer Smartphones vor unberechtigtem Zugriff, hilft uns dabei, unser Auto per Knopfdruck aus der Ferne aufzuschließen, während wir mit beiden Händen unseren Einkauf aus dem Supermarkt tragen oder ermöglicht ganz aktuell, dass wir sicher vom Home Office aus mit sensitiven Firmendaten arbeiten können.

Trotz ihrer Alltäglichkeit führt sie aber dennoch ein Schattendasein. Nun gut, zugegeben: sobald man statt „Kryptographie“ das Wörtchen „Verschlüsselung“ verwendet, klingelt es bei manchen. „Ist das nicht das, was Hacker in Hollywoodstreifen immer knacken?“ ist eine häufige Rückantwort, die ich höre, wenn ich erzähle, dass ich mich mit Kryptographie beschäftige.

Eigentlich schon nicht so schlecht – mal davon abgesehen, dass in fast keiner Entertainment-Produktion Kryptographie auch nur annähernd realitätsgetreu dargestellt wird – aber Kryptographie ist viel mehr als Verschlüsselung und man kann sie heutzutage nicht mehr einfach so „knacken“.

Aber selbst bei Fachleuten und -journalisten aus dem Bereich der IT-Sicherheit ist das Wissen über diese scheinbar arkane Technologie häufig nur oberflächlich und es gibt viele Missverständnisse. Ich habe mittlerweile aufgehört mitzuzählen, in wie vielen Fachartikeln ich die (falsche!) Behauptung lese, dass eine digitale Signatur nichts anderes ist, als eine „umgedrehte Verschlüsselung mit dem geheimen Schlüssel“ oder die (berechtigte, aber auch nur eingeschränkt wahre) Aussage, dass das Ende der IT-Sicherheit erreicht ist, sobald der erste funktionierende und rechenstarke Quantencomputer auf dem Markt ist.

Zugegeben, manche dieser Missverständnisse sind historisch gewachsen. Und Kryptographie ist wahrlich kein einfaches Thema. Um einen Beitrag zu leisten, diese Missverständnisse aus der Welt zu räumen, wollen wir nun eine kleine „Krypto-Kolumne“ bei unserem secuvera-Blog einrichten, in der regelmäßig kurze Artikel rund um dieses Thema erscheinen sollen.

Dabei soll es nicht um mathematische Details gehen, sondern viel mehr darum, darzustellen, welche Werkzeuge uns die Kryptographie an die Hand gibt. Wie diese funktionieren. Warum sie überhaupt funktionieren. Warum sie sicher sind und warum heutzutage fast kein kryptographisches Verfahren wirklich „geknackt“ wird. Und natürlich wollen wir auch beleuchten, wie wir Kryptographie für unsere Zwecke gewinnbringend verwenden können und wo sie uns so begegnet.

Aber zurück zur einleitenden Frage: Was ist überhaupt Kryptographie? In erster Linie ist sie der zentrale Werkzeugkasten, der sicherere Kommunikation überhaupt erst möglich macht. Darin enthalten sind Verfahren, Algorithmen und Protokolle, die wir nutzen können um Daten sicher austauschen und verarbeiten zu können. Aber was bedeutet „Sicherheit“ überhaupt in diesem Kontext? Auch darum kümmert sich die Kryptographie.

Die Wortbedeutung hilft schon beim Verständnis: „Kryptographie“ besteht aus den altgriechischen Wörtern (zitiert von Wikipedia) „kryptós“, also „verborgen“ oder „geheim“ und „gráphein“, also „schreiben“. Quasi „Geheimes Schreiben“ oder „Geheimschrift“. Also doch wieder Verschlüsselung…? Nun ja, nicht ganz. Oder besser gesagt: nicht nur.

Grob zusammengefasst sind die wichtigsten Ziele der Kryptographie:

  • Geheimhaltung: Wir wollen Kommunikation so absichern können, dass nur die „richtigen“ Empfänger diese verstehen können.
  • Authentizität: Wir wollen sicherstellen, dass wir ganz klar nachvollziehen können, von wem eine Nachricht stammt.
  • Integrität: Es soll Dritten nicht möglich sein, geschützte Daten zu verändern, ohne dass dies bemerkt wird.

Das sind noch längst nicht alle (Schutz-) Ziele, aber sie bieten einen guten Anfang. Aber wie wäre es beispielsweise noch mit Nicht-Abstreitbarkeit, Anonymität oder gar eine Form der Kommunikation, bei der wir glaubwürdig beweisen können, dass wir über bestimmte Daten verfügen, ohne, dass unser Kommunikationspartner irgendetwas über diese Daten lernt? Für all diese Probleme gibt uns die Kryptographie Protokolle und Werkzeuge an die Hand.

Viele dieser Werkzeuge wollen wir in den folgenden Einträgen dieser kleinen Kolumne näher kennen- und verstehen lernen. Aber mit was anfangen? Naja…. Verschlüsselung natürlich! 😉 Um genau dieses Thema soll es sich dann im nächsten Beitrag drehen.

/Dr. Björn Kaidel

Der Beitrag Kryptographie – Was ist das eigentlich? erschien zuerst auf secuvera GmbH - BSI-zertifizierter IT-Sicherheitsdienstleister BSI-Grundschutz und Penetrationstests.

]]>
secuvera: cyber: talk: – Vortragsreihe https://www.secuvera.de/aktuelles/secuvera-cyber-talk-vortragsreihe/ Mon, 22 Jun 2020 12:21:04 +0000 https://www.secuvera.de/?p=3900 Wir freuen uns, wöchentlich kosten- und registrierungsfreie Webinare rund um Themen der Cyber-Sicherheit anzubieten. Alle Informationen (Termine, Themen) zum Format secuvera: cyber: talk: finden Sie hier.

Der Beitrag secuvera: cyber: talk: – Vortragsreihe erschien zuerst auf secuvera GmbH - BSI-zertifizierter IT-Sicherheitsdienstleister BSI-Grundschutz und Penetrationstests.

]]>
Wir freuen uns, wöchentlich kosten- und registrierungsfreie Webinare rund um Themen der Cyber-Sicherheit anzubieten.

Alle Informationen (Termine, Themen) zum Format secuvera: cyber: talk: finden Sie hier.

Der Beitrag secuvera: cyber: talk: – Vortragsreihe erschien zuerst auf secuvera GmbH - BSI-zertifizierter IT-Sicherheitsdienstleister BSI-Grundschutz und Penetrationstests.

]]>
Fachartikel zum Cybersecurity Act (CSA) für einheitliche Security-Zertifizierungen in der EU https://www.secuvera.de/aktuelles/fachartikel-zum-cybersecurity-act-csa-fuer-einheitliche-security-zertifizierungen-in-der-eu/ Tue, 28 Apr 2020 14:43:00 +0000 https://www.secuvera.de/?p=3864 Der Cybersecurity Act (CSA) der EU bringt neben dem dauerhaften Mandat der ENISA das Konzept des EU-weit einheitlichen Cybersecurity Certification Frameworks mit. Nachdem der CSA bereits im Juni 2019 in Kraft gesetzt wurde, geht es nun darum Schemen für die Zertifizierung von Produkten, Services und Prozessen zu entwickeln. Eine der oft gestellten Fragen an den Cybersecurity Act (CSA) der EU [...]
weiterlesen ...

Der Beitrag Fachartikel zum Cybersecurity Act (CSA) für einheitliche Security-Zertifizierungen in der EU erschien zuerst auf secuvera GmbH - BSI-zertifizierter IT-Sicherheitsdienstleister BSI-Grundschutz und Penetrationstests.

]]>

Der Cybersecurity Act (CSA) der EU bringt neben dem dauerhaften Mandat der ENISA das Konzept des EU-weit einheitlichen Cybersecurity Certification Frameworks mit. Nachdem der CSA bereits im Juni 2019 in Kraft gesetzt wurde, geht es nun darum Schemen für die Zertifizierung von Produkten, Services und Prozessen zu entwickeln.

Eine der oft gestellten Fragen an den Cybersecurity Act (CSA) der EU ist: Was bedeuten die Stufen Basic, Substantial und High? Dieser Frage gehen im BSI-Forum der kes Ausgabe 2/2020 Dietmar Bremser vom BSI und unser Kollege Sebastian Fritsch nach.

Viele Experten erwarten für die Stufe High die Nutzung der wohlbekannten Common Criteria. Aber was können wir bei Basic und Substantial Schemen erwarten? Die folgenden grundsätzliche Einordnungen werden vorgenommen und danach vertieft und analysiert:

Basic

„Die Vertrauenswürdigkeitsstufe Basic fordert eine Bedrohungsresistenz gegen „known basic risks of incidents and cyberattacks“. Die Quantifizierung des Risikos erfolgt dabei grundsätzlich in einem begrenzten Anwenderfokus oder allgemeiner für die Branche. [..] Dazu analoge „vertikale“ Schemata sind allerdings nicht das erklärte Ziel des CSA, da so ein riesiges Geflecht an verschiedensten Schemata entstehen müsste. Ziel ist es daher, den gemeinsamen Nenner mehrerer Branchen in einem Schema zu finden.“

Substantial

„Die Vertrauenswürdigkeitsstufe Substantial unterscheidet sich deutlich von Basic mit der Forderung zur Minimierung bekannter Risiken von Vorfällen und Angriffen, verursacht von Akteuren mit begrenzten Fähigkeiten und Ressourcen. In dieser Stufe kommt daher insbesondere die Betrachtung von bekannten Bedrohungen hinzu, also eben auch von Ereignissen, deren Eintrittswahrscheinlichkeit und Schadensausmaß nicht eindeutig gefasst oder geringer gewichtet werden.“

Der Beitrag Fachartikel zum Cybersecurity Act (CSA) für einheitliche Security-Zertifizierungen in der EU erschien zuerst auf secuvera GmbH - BSI-zertifizierter IT-Sicherheitsdienstleister BSI-Grundschutz und Penetrationstests.

]]>
Home-Office Quick Check https://www.secuvera.de/aktuelles/home-office-quick-check/ Tue, 24 Mar 2020 04:45:00 +0000 https://www.secuvera.de/?p=3790 Viele Unternehmen haben sehr schnell sehr viele Mitarbeitende im Home-Office arbeitsfähig gemacht. Die dabei entstehenden Cyberrisiken konnten in der aktuellen Phase in vielen Fällen nicht ausreichend berücksichtigt werden. Um schnell und effizient eine Prüfung zu ermöglichen, hat secuvera eine neues, kurzfristig verfügbares Angebot: Den Home-Office Quick Check. Der Kunde erhält dabei bei wenig eigenem Aufwand eine auf Best-Practices und auf [...]
weiterlesen ...

Der Beitrag Home-Office Quick Check erschien zuerst auf secuvera GmbH - BSI-zertifizierter IT-Sicherheitsdienstleister BSI-Grundschutz und Penetrationstests.

]]>
Viele Unternehmen haben sehr schnell sehr viele Mitarbeitende im Home-Office arbeitsfähig gemacht. Die dabei entstehenden Cyberrisiken konnten in der aktuellen Phase in vielen Fällen nicht ausreichend berücksichtigt werden.

Um schnell und effizient eine Prüfung zu ermöglichen, hat secuvera eine neues, kurzfristig verfügbares Angebot: Den Home-Office Quick Check.

Der Kunde erhält dabei bei wenig eigenem Aufwand eine auf Best-Practices und auf Anforderungen an Informationssicherheitsmanagementsystemen (ISMS) basierende Einschätzung. Aktuelle Verlautbarungen des Bundesamts für Sicherheit in der Informationstechnik werden genauso berücksichtigt wie Anforderungen aus den einschlägigen Standards (z. B. ISO 27001/2 und BSI-Grundschutz). Durch den Fragenkatalog wird gewährleistet, dass nur die relevantesten und anwendbaren Themengebiete Teil des Quick-Check sind.

Aus dem Ergebnisbericht des Home-Office Quick-Checks kann der Kunde seine individuellen Risiken und Ansätze zur Behebung ablesen. Der Quick-Check wird zum Festpreis angeboten.

Der Home-Office Quick-Check ist mit einem kompakten Penetrationstest auf zentrale Systeme erweiterbar. Ebenfalls zum Festpreis.

Zur Laufzeit der Coronakrise bietet secuvera diese Dienstleistung für Hilfsdienste wie Krankenhäuser, Rotes Kreuz oder THW komplett kostenfrei an (vorbehaltlich Verfügbarkeit).

Haben Sie Fragen? Rufen Sie unter 07032/9758-0 an oder schreiben Sie uns über das Kontaktformular.

Der Beitrag Home-Office Quick Check erschien zuerst auf secuvera GmbH - BSI-zertifizierter IT-Sicherheitsdienstleister BSI-Grundschutz und Penetrationstests.

]]>