Wegweiser

Die hier beschriebenen Wegweiser weisen Ihnen den Weg zu spezifischen Bereichen im Förderschwerpunkt IT-Sicherheit für kritische Infrastrukturen, d.h. sie geben Ihnen Antworten auf Ihre Fragen. Sie finden eine für Sie relevante Information nicht? Dann informieren Sie uns gerne über info@itskritis.de.

Aktuelles Thema: Ransomware

Warum greifen wir das Thema Ransomware auf?
Ransomware ist in der IT-Sicherheit Kritischer Infrastrukturen in Deutschland ein aktuelles Thema. Das BSI und verschiedene Medien berichteten über aktuelle Schadensfälle.

Wir – der Förderschwerpunkt IT-Sicherheit für Kritische Infrastrukturen – ITS|KRITIS – erwarten, dass Ransomware mittel- und langfristig ein IT-Sicherheitsthema für die Kritischen Infrastrukturen in Deutschland bleibt.
Wir adressieren mit dem ITS|KRITIS Wegweiser Ransomware vor allem die Betreiber Kritischer Infrastrukturen und möchten Ihnen mit diesem Wegweiser eine Handreichung mit Empfehlungen geben und auch aufzeigen, was wir mit unserer Kompetenz im Förderschwerpunkt tun können und werden. Wir richten uns besonders an die kleinen und mittleren Betreiber Kritischer Infrastrukturen in Deutschland.

Dieser Wegweiser wird aktualisiert werden – wenn es neuere Informationen oder neue Quellen gibt.
Was ist Ransomware und wer kann betroffen sein?
Ransomware (auch bekannt als Erpressungstrojaner oder Verschlüsselungstrojaner) ist eine Form von Schadsoftware, die Daten oder Programme verschlüsselt und sie damit unbrauchbar macht. Manche Formen von Ransomware verschlüsseln nicht nur, sondern löschen auch. Nach Zahlung eines Lösegelds können Daten und Programme wieder nutzbar gemacht werden. Typische Einfallstore für die Schadsoftware sind infizierte Dateien, die über E-Mail oder auch Textnachrichtendienste ausgetauscht werden, unzureichend geschützte Fernwartungszugänge, Schwachstellen in Webservern und Infektion bei der Nutzung infizierter Dienste (Drive By). Außerdem verbreiten Botnetze Ransomware über Sicherheitslücken auf Servern und in Netzwerken.
 
Die Bezahlung des Lösegelds wird häufig über Bitcoins oder andere anonyme Bezahlverfahren abgewickelt. Erpresserschreiben geben Anweisungen und manchmal auch Referenzfälle, bei denen die Wiederherstellung der Daten oder Programme nach Zahlung von Lösegeld möglich war.
 
Betroffen sein können sowohl Privatpersonen und hier besonders Nutzer von Smartphones genauso wie Unternehmen und Betreiber Kritischer Infrastrukturen mit ihren Datenbeständen oder Produktions- und Steuerungsanlagen.
Wie kann meine Organisation überprüfen, ob sie betroffen ist?
Ransomware kann sich verstecken. Ein Warnhinweis können neuartige Incidents oder Häufungen von Incidents sein. Selbst bei einer Häufung von neuen Fehlermeldungen denkt der IT-Betrieb erst einmal nicht an Ransomware und so hat die Schadsoftware Zeit sich zu verbreiten. Eine Inspektion von Datenbeständen, Filesystemen und Logfiles können Irregularitäten wie verschlüsselte Files aufzeigen.
 
Für die Information zu aktuellen Varianten von Ransomware und die aktuelle Informationslage empfehlen wir Ihnen folgende vertrauenswürdigen Informationsquellen:
 Die Anbieter von IT-Sicherheitslösungen und die „White Hat Hacker“ organisieren sich. Nützliche Informationen nicht nur zu aktuellen Ransomwarevarianten sondern auch zu Werkzeugen zum Erkennen von Ransomware, Deaktivieren von Ransomware und Entschlüsseln betroffener Datenbestände oder Programme finden Sie hier:
 
Was kann eine Organisation tun?
Ransomware fordert das IT-Sicherheitsmanagement einer Organisation in all seinen Aspekten heraus und mittelfristig muss das IT-Sicherheitsmanagement überdacht werden. Nachdem zu erwarten ist, dass Ransomware langfristig IT-Sicherheitsthema für auch für kleine und mittlere Betreiber Kritischer Infrastrukturen bleibt und die Angriffe zielgerichteter werden, empfehlen wir für kleinere mit mittlere Betreiber von Kritischen Infrastrukturen Präventivmaßnahmen in folgenden Bereichen zu überprüfen:
 
  • Awareness und Sensibilität der Mitarbeiter, so dass Mitarbeitern infizierten Anhänge oder Textnachrichten erkennen und nicht öffnen, keine Schadsoftwarecode ausführen oder beim Surfen im Web auf befallenen Seiten infiziert werden. Mit Informationen, Schulungen oder Übungen können Mitarbeiter auf das Thema und Präventivmaßnahmen aufmerksam gemacht werden.
  • Datensicherungs- und Backup-Konzept: Wichtige Daten nicht nur lokal sondern auf Netzlaufwerken, die regelmäßig gesichert werden, speichern, Daten in Offline Backups verfügbar halten.
  • Minimierung der Angriffsflächen: Je weniger Programme zum Öffnen von unbekannten Inhalten und zur Ausführung von unbekanntem Code zur Verfügung stehen, desto weniger Schwachstellen und Fehlkonfigurationen können durch einen Angreifer ausgenutzt werden. Daher sollten nicht benötigte Software und nicht benötigte Plugins deinstalliert werden, in Web-Browsern sollte die Ausführung aktiver Inhalte zumindest eingeschränkt (z. B. Click-to-Play oder Einschränken auf Intranetseiten) werden. Es sollte geprüft werden, ob auf die Ausführung von Skripten im Betriebssystem gänzlich verzichtet werden kann.
  • Behandlung von E-Mails auf dem Server und dem Client: E-Mails sollten serverseitig auf Spam oder Schadsoftware gefiltert oder mindestens untersucht werden und gefährliche E-Mails zumindest markiert werden. Auf Seiten des Clients sollten Möglichkeiten der Darstellung von E-Mails in Web-Formaten kritisch überprüft werden und ggf. eine Darstellung als „Nur Text“ gewählt werden. 
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt einen detaillierten und umfassenden Überblick über präventive Maßnahmen. Generell empfiehlt das BSI, das gesamte IT-Sicherheitsmanagement mit Anti-Virenprogrammen, aber auch aufwändigen Maßnahmen wie der Inspektion von Filesystemen, der Kontrolle von Zugriffen auf die Steuerungsserver (Command and Control Server) von Ransomware und Kontrolle von Zugriffs- und Ausführungsrechten von Programmen auf Filesystemen.
 
Einige der Maßnahmen – auch die vom BSI empfohlenen – sind bereits Teil des IT-Sicherheitsmanagements von Betreibern Kritischer Infrastrukturen und trotzdem wird neue Ransomware neue Schwerpunktsetzungen erfordern.
Was kann und wird der Förderschwerpunkt ITS|KRITIS für Betreiber Kritischer Infrastrukturen tun?
Wir geben Ihnen hier einen Wegweiser auf Kompetenzen und Themen im Förderschwerpunkt und nennen Ihnen Ansprechpartner für Erstberatung und Hilfestellung:
 
 Thema  Kontakt  Projekt
  • Beratung zu IT-Sicherheit
 ERNW ENNO
 Matthias Luft
 mluft@ernw.de
 ITS.APT
  • IT-Security Expertise
  • Sicherheitsanalyse von Gesamtszenarien (IT & Prozesse)
  • Analyse kryptographischer Technologie  (z.B. Verschlüsselungsverfahren,  Protokolle)
  • Sichere HW (z.B. Chipkarten, embedded Security)
 Dr. Volker Krummel
 volker.krummel@wincor-
 nixdorf.com
 PREVENT
  • Awareness und Sensibilität der Mitarbeiter: VeSiKi bietet Betreibern Kritischer Infrastrukturen IT-Security Matchplays für die Schulung von Mitarbeitern zur Förderung der Awareness und für das Training der IT-Verantwortlichen an.
  • Erstberatung zur Rechtlichen Bewertung
 info@vesiki.de  VeSiKi
Wie kann ich mich auf dem Laufenden halten?
Folgen Sie uns auch auf Twitter unter #ITSKRITIS und @ITSKRITIS
wir twittern regelmäßig zu Themen der IT-Sicherheit Kritischer Infrastrukturen!
Allgemeine Informationen zum Förderschwerpunkt

Was sind die Ziele des Förderschwerpunktes „IT-Sicherheit für Kritische Infrastrukturen“?
Ziel des Förderschwerpunktes ist die Entwicklung zukunftsfähiger Lösungen. Dies umfasst sowohl die Erforschung neuer Ansätze zur Beurteilung von IT-Sicherheit als auch zu deren Erhöhung. Neben der Sicherheit müssen ebenso Aspekte wie Alltagstauglichkeit, Unterstützung von Bestandsanlagen, Bedienbarkeit und Kosteneffizienz berücksichtigt werden. Die angestrebten Lösungen sollen auf dieser Basis auch für kleinere Betreiber Kritischer Infrastrukturen anwendbar werden und sich generell mit dem Datenschutz vereinbaren lassen.
Wie ist der Förderschwerpunkt strukturiert, welche Projekte werden gefördert?
Der Förderschwerpunkt ist Teil des Förderprogramms „IKT 2020 – Forschung für Innovation“ des BMBF. Dessen Ziel ist es, mittels Innovationsallianzen und Technologieverbünden Brücken zwischen Technologieentwicklung und -anwendung zu schlagen. Das Förderprogramm ist dabei offen angelegt und erlaubt noch während der Laufzeit Ergänzungen oder Schwerpunktverlagerungen. Im Förderschwerpunkt werden, von einem Begleitforschungsprojekt als inhaltliche Klammer flankiert, zwölf Verbundprojekte gefördert. Zudem wurde ein Beirat etabliert, der sich aus Persönlichkeiten und Experten unterschiedlicher wissenschaftlicher Disziplinen und beruflicher Hintergründe im relevanten Kompetenzspektrum IT-Sicherheit  konstituiert. 
 
Wer sind die Partner in den jeweiligen Verbundprojekten?
Die Verbundprojekte setzen sich überwiegend aus Universitäten und Forschungseinrichtungen, Technologie- bzw. Dienstanbietern und Betreibern Kritischer Infrastrukturen zusammen.
Was ist die Aufgabe des Begleitforschungsprojektes VeSiKi?
Das wissenschaftliche Begleitforschungsprojekt VeSiKi beschäftigt sich mit neuen, übergreifenden Ansätzen zur Beurteilung von IT-Sicherheit in Kritischen Infrastrukturen. Es sollen Verbesserungsvorschläge für bestehende technische Lösungen und für etablierte Prozesse erarbeitet werden. Dafür werden übergeordnete Fragenstellungen aus dem Förderschwerpunkt IT-Sicherheit für Kritische Infrastrukturen gesammelt, strukturiert und aufbereitet. Die Erkenntnisse aus diesem Prozess fließen in einen Katalog möglicher Bedrohungen und entsprechender Gegenmaßnahmen ein. So werden die Betreiber Kritischer Infrastrukturen aus unterschiedlichen Anwendungsbereichen unterstützt und in die Lage versetzt, passende Schutzmaßnahmen zu ergreifen. Die Vernetzung der verschiedenen Förderprojekte spielt dabei eine zentrale Rolle: Ihre Erfahrungen und Lösungsansätze bilden den Grundstock für ein zentrales Regelwerk.
Vertrauen und Vertraulichkeit

Was verstehen wir unter Vertrauen und Vertraulichkeit?
Vertrauen und Vertraulichkeit stellen zwei Schlüsselbegriffe einer gelungenen Forschungszusammenarbeit dar – aber reichen auch darüber hinaus. Nur dann, wenn relevante Informationen vertraulich, das heißt geschützt und nach bestimmten Regeln verarbeitet werden, kann Vertrauen unter allen Beteiligten entstehen. Gerade wenn es um hochsensible Informationen geht, ist Vertrauen in die Vertraulichkeit der verarbeiteten Daten von allergrößter Wichtigkeit!
Was kann VeSiKi zur Vertrauensförderung leisten?
VeSiKi möchte Sie dabei unterstützen, über Ihr eigenes Konsortium hinaus eine Vertraulichkeits- und Vertrauenssphäre aufzubauen, um interdisziplinäre Forschungsfragen projekt- und domänenübergreifend organisieren zu können. Das Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) als Partner der Begleitforschung bietet Ihnen hierzu gerne verschiedene Leistungen an, um zur Förderung einer projektübergreifenden Vertrauens- und Vertraulichkeitskultur beizutragen. So haben Sie beispielsweise in Ihrem Verbund sowie verbundübergreifend die Möglichkeit:
● an einem Seminar zu Daten-, Geheimnisschutz und/oder Compliance teilzunehmen, um sich mit den rechtlichen Anforderungen an eine sichere Datenverarbeitung vertraut zu machen – insbesondere auch dann, wenn es um den Schutz von personenbezogenen Daten geht;
● konkrete datenschutzrechtliche Anfragen an die betreuende Stelle zu richten, um Ratschläge zum rechtskonformen Verhalten und zu dessen Einhaltung im Rahmen Ihrer Forschung zu bekommen;
● eine auf Sie und Ihre Bedürfnisse individuell zugeschnittene Vorlage eines Geheimhaltungsvertrags zu erhalten, um die Vertraulichkeit des wissenschaftlichen Informationsaustausches im Zweifelsfall auch rechtlich abzusichern.
Bei wem bekomme ich zusätzliche Unterstützung?
Für die oben genannten Veranstaltungsvorschläge können individuelle Termine deutschlandweit vereinbart werden – gerne kommen wir zu Ihnen! Falls Sie darüber hinaus weiteren individuellen Informationsbedarf haben, zögern Sie bitte nicht, sich an den zuständigen VeSiKi-Partner zu wenden:

Dr. Dennis-Kenji Kipker
Universität Bremen
Institut für Informations-, Gesundheits- und Medizinrecht (IGMR)
28359 Bremen
Tel.: 0421/218-66049
kipker@uni-bremen.de
Was könnte mich in diesem Zusammenhang noch interessieren?
Über die vorgenannten individuellen Beratungsleistungen zu Vertrauen und Vertraulichkeit hinaus stellt VeSiKi Ihnen auch allgemeine rechtliche Informationen im Rahmen seiner Ontologien, Wegweiser und Datenbanken der ITS|KRITIS-Plattform zur Verfügung. Soweit Sie Mitglied in der VeSiKi-Fachgruppe Recht sind, erhalten Sie darüber hinaus in regelmäßigen Abständen aktuelle IT-sicherheitsrechtliche Informationen und Veranstaltungseinladungen mit rechtlichem Schwerpunkt. Bei Interesse nehmen wir Sie gerne in den Verteiler auf.

Erste Jahreskonferenz in Augsburg
IT-Recht
Normung und Standardisierung

Was ist Normung?
Die DKE (Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE) bearbeitet im Begleitforschungsprojekt VeSiKi das Teilvorhaben Normung und Standardisierung.

Grundsätzlich ist die DKE der Normenausschuss von DIN, der für die Erarbeitung von Normen und Sicherheitsbestimmungen im Bereich der Elektrotechnik, Elektronik und Informationstechnik in Deutschland und Vertretung Deutschlands in der internationalen Normung auf diesem Gebiet ist, zuständig.

Normen sind anerkannte Regeln der Technik, sie bilden einen Maßstab für einwandfreies technisches Verhalten. Die Anwendung ist grundsätzlich freiwillig, allerdings kann sich über Rechtsvorschriften oder Verträge eine Anwendungspflicht ergeben.

Die fachliche Arbeit für eine Norm wird in den Normungsgremien von technischen Experten geleistet. Diese Experten stammen aus allen wesentlichen betroffenen Kreisen, z.B. Anwender, Behörden, Hochschulen, Handel, Prüfinstitute, Wissenschaft, selbstständige Sachverständige, Wirtschaft u.v.m.

Bei der Zusammensetzung der Gremien muss darauf geachtet werden, dass die betroffenen Kreise in einem angemessenen Verhältnis vertreten sind, die Experten werden zur Normungsarbeit berufen.

Norminhalte werden durch Konsensbildung im Gremium festgelegt.
Was ist das Ziel der Normung?
Durch die DKE wird sichergestellt, dass die Ergebnisse aus den Verbundprojekten in der Normung verstetigt werden. Bestehender Normungsbedarf wird in die entsprechenden Gremien weitergeleitet.

Ziel ist es, die für die deutschen interessierten Kreise relevante, branchenübergreifende und branchenspezifische Standardisierungsaktivitäten auf nationaler, europäischer und internationaler Ebene im Bereich der IT-Sicherheitstechnik zu koordinieren, unter dem Hauptaspekt der Erschließung von Harmonisierungspotenzialen.
Wie wird das Thema bearbeitet?
Die DKE hat die Fachgruppe Normung und Standardisierung mit Vertretern aus den einzelnen Verbundprojekten etabliert.

Diese Fachgruppe begleitet die Verbundprojekte kontinuierlich zum Thema Normung und Standardisierung, mit dem Ziel, eine gemeinsame Sicht auf die Normung von IT-Sicherheit für Kritische Infrastrukturen zu erarbeiten.

Im Detail werden in dieser Fachgruppe
  • Empfehlungen für neue Normen und Standards erarbeitet,
  • bestehende Normen und Standards in einer IT-Security Normenlandschaft erfasst, anwendbar gemacht und bewertet,
  • vorhandene Lücken in der Normung geschlossen
Betreiber sollen sich in Zukunft sicher sein, die Mindestanforderungen an IT-Sicherheit für ihre Anlagen zu erfüllen.
Wo kann ich mehr erfahren?
Ansprechpartnerin zum Thema Normung und Standardisierung im Förderschwerpunkt ist:

Sophia Harth
Deutsche Kommission Elektrotechnik Elektronik Informationstechnik
in DIN und VDE
Stresemannallee 15
60596 Frankfurt am Main
Tel.: 069/6308-395
sophia.harth@vde.com
IT-Recht

Wer leistet die IT-rechtliche Betreuung im Förderschwerpunkt?
Das Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen übernimmt im Rahmen des BMBF-Förderschwerpunkts IT-Sicherheit für Kritische Infrastrukturen als Partner der Begleitforschung VeSiKi die rechtliche Betreuung der unterschiedlichen Verbundprojekte.
Was leistet die IT-rechtliche Betreuung im Förderschwerpunkt?
Im Rahmen der IT-rechtlichen Begleitung werden verschiedene wissenschaftliche Leistungen angeboten, die darauf abzielen, einen Transfer des rechtlichen Wissens in die informationstechnische Anwendungspraxis zu ermöglichen. Im Folgenden finden Sie an dieser Stelle deshalb verschiedene juristische Informationen, die Sie bei Ihrer Forschungsarbeit unterstützen sollen. Daneben richten sich die hier publizierten Materialien ebenso explizit an die Betreiber von KRITIS und sollen dabei behilflich sein, einen ersten Orientierungspunkt im IT-Sicherheitsrecht zu finden.
An wen kann ich mich für IT-rechtliche Fragestellungen wenden?
Ihr Ansprechpartner in allen IT-sicherheitsrechtlichen sowie datenschutzrechtlichen Fragen rund um die wissenschaftliche Forschung im Förderschwerpunkt ist:

Dr. Dennis-Kenji Kipker
Universität Bremen
Institut für Informations-, Gesundheits- und Medizinrecht (IGMR)
28359 Bremen
Tel.: 0421/218-66049
kipker@uni-bremen.de
Was könnte in diesem Zusammenhang für mich noch interessant sein?
Soweit Sie Mitglied in der VeSiKi-Fachgruppe Recht sind, erhalten Sie in regelmäßigen Abständen aktuelle IT-sicherheitsrechtliche Informationen und Veranstaltungseinladungen mit rechtlichem Schwerpunkt. Bei Interesse nehmen wir Sie gerne in den Verteiler auf.

Erste Jahreskonferenz in Augsburg
Vertrauen und Vertraulichkeit
Forschung und Forschungstransfer

Welche Themengebiete werden im Rahmen des Förderschwerpunkts erforscht?
Einen guten Überblick über die Forschung im Förderschwerpunkt bietet die Übersicht der aktuellen Publikationen.
 
Woher kann ich genaue Informationen über die Forschungsergebnisse beziehen?
Auch hier bietet sich ein Blick auf die Übersicht der aktuellen Publikationen an. Wenn Sie mit einem bestimmten Projekt Kontakt aufnehmen möchten, um genauere Informationen zu erhalten, finden Sie den Ansprechpartner auf der jeweiligen Projektseite. (z.B. VeSiKi)
 
Wie kann ich mein Forschungsgebiet sichtbar machen?
Die persönliche Profilseite bietet die Möglichkeit, die eigenen Forschungsgebiete und -themen zu präsentieren. Darüber hinaus können auch unsere Gelben Seiten nützlich sein, um das eigene Forschungsgebiet darzustellen und mit anderen Forschern in Kontakt zu treten. Die Gelben Seiten bieten u.a. Daten über den Forschungsschwerpunkt und eine Kontaktdatenbank mit Landkarte.
Wie kann mich die Begleitforschung bei meiner Forschung unterstützen?
Die Begleitforschung bietet vielfältige Angebote zur Unterstützung der Forscher. Ein Teil davon ist diese Plattform, die zu einem kollaborativen Forschungsprozess anregen soll. VeSiKi bietet außerdem regelmäßig Trainingsangebote zur Forschungsmethodik an. Details zu unserem zweiten Methodenseminar finden sich hier. Wenn Sie Fragen zu IT-rechtlichen Themen oder Normen und Standardisierung haben, helfen Ihnen unsere Experten gerne weiter. In diesem Themenfeld gibt es außerdem regelmäßige Treffen einer Fachgruppe. Weitere Workshops zu den Themen Datenschutz und Compliance sind zudem in Planung. Darüber hinaus werden durch die Begleitforschung auch Fallstudien durchgeführt und das Serious Game Format IT-Security Matchplay eingesetzt, um Technologien zu validieren und um Innovationen zu befördern.
Was geschieht mit den Forschungsergebnissen der Verbundprojekte?
Eines der Ziele der Begleitforschung ist die Entwicklung eines Rahmenwerks Vernetzte IT-Sicherheit Kritischer Infrastrukturen. Darin werden die Themenschwerpunkte Neue Ansätze zur Beurteilung von IT-Sicherheit und Neue Ansätze zur Verbesserung der IT-Sicherheit adressiert. Dazu führt das Begleitforschungsprojekt Ergebnisse der Verbundprojekte zusammen und bearbeitet sektorenübergreifende und sektorengemeinsame Fragestellungen. Dieses Rahmenwerk soll sektorenübergreifend Technologien systematisieren und sektorenübergreifende Gefährdungskataloge und Maßnahmenkataloge sowie speziell auf das Themenfeld IT-Sicherheit für Kritische Infrastrukturen zugeschnittene Referenzprozesse beinhalten.
An wen kann ich mich bei Fragen bzgl. der Forschung im Förderschwerpunkt wenden?
Bei Fragen oder Anmerkungen wenden Sie sich bitte an:

Dr. Dr. Albrecht Fritzsche
Friedrich-Alexander-Universität Erlangen-Nürnberg
Lehrstuhl Wirtschaftsinformatik 1, insb. Innovation & Wertschöpfung
Lange Gasse 20
90403 Nürnberg
Tel.: 0911/5302-158
albrecht.fritzsche@fau.de
 
Beirat

Welche Aufgaben hat der Beirat und wie konstituiert er sich?
Der Beirat unterstützt den kooperativen Forschungsprozess von Verbundprojekten und Begleitforschungsprojekt.
Die Aufgaben des Beirates sind die Sicherstellung der Außenwirkung des Förderschwerpunktes, die Verstärkung der empirischen Basis der Forschung sowie die Unterstützung des Transfers der Forschungsergebnisse von Verbundprojekten und Begleitforschung in die Anwendung. Nicht zuletzt soll durch die Tätigkeit des Beirates ebenfalls die Nachhaltigkeit der Forschungsergebnisse des Förderschwerpunktes gefördert werden. Um diesen Aufgaben gerecht zu werden, wird der Beirat unmittelbar in die Strategiedefinition einbezogen.
Den verschiedenen Aufgabenfeldern geschuldet konstituiert sich der Beirat aus Persönlichkeiten und Experten unterschiedlicher wissenschaftlicher Disziplinen und beruflichen Hintergründen. Das Gremium ist mit Vertreterinnen und Vertretern aus der Wissenschaft, der Industrie, der Wirtschaft und der Politik besetzt.
 
Wer sind die Mitglieder des Beirats?
Prof. Dr. Jens Braband
Jens Feddern
Dr. Waldemar Grudzien
Florian Haacke
Dr. Timo Hauschild
Prof. Dr. Dirk Heckmann
Dr. Monika John-Koch
Felix Lindner
Peter Möhring
Prof. Dr. Indra Spiecker
Prof. Dr. Michael Waidner
Prof. Dr. Martin Wirsing (Sprecher)
 
Vertreter Fördergeber
Holger Bodag
MinR Dr. Ulf Lange
Vertreter Projektträger
Dr. Joachim Lepping
Dr. Martin Weimer
Vertreter Begleitforschungsprojekt
Prof. Dr. Benedikt Buchner
Andreas Harner
Prof. Dr. Ulrike Lechner
Prof. Dr. Kathrin Möslein
Wie oft tritt der Beirat zusammen und wie häufig wird der Beirat informiert?
Der Beirat tritt ein Mal im Jahr im Rahmen der Jahreskonferenz zusammen. Dazu bietet sich jeweils die Jahreskonferenz an, auf welcher dem Beirat auch ein Forum zum Austausch zur Verfügung gestellt werden soll. Moderiert wird das Treffen von der Koordinatorin des Begleitforschungsprojektes, Frau Prof. Dr. Ulrike Lechner.
Zusätzlich wird der Beirat vierteljährlich durch das Begleitforschungsprojekt über den aktuellen Status und die Pläne des Forschungsprogramms mit Verbundprojekten und Begleitforschungsprojekt informiert.
Mitglieder des Beirats übernehmen eine Patenschaft für Verbundprojekte um bedarfsgerecht die Forschung in den Verbundprojekten zu unterstützen und die Anliegen der Verbundprojekte zielgerichtet zu vertreten.
 
Betreiber kritischer Infrastrukturen

Hier finden Sie als Betreiber einer kritischen Infrastruktur Antworten auf die wichtigsten Fragen.

Sie wollen wissen, welche Methoden Sie aus dem FSP nutzen können?
Im Rahmen des Forschungsschwerpunktes kommen u.a. Methoden wie Fallstudien, Open Innovation und IT-Security Matchplays zum Einsatz. Die durchführenden Personen bieten Ihnen die Methode gerne an, um Sie in der Optimierung Ihrer IT-Sicherheitsmaßnahmen zu unterstützen.

Fallstudien
Open Innovation
IT-Security Matchplays
 
Sie wollen wissen, welche Technologien Sie aus dem Forschungsschwerpunkt nutzen können?
Eine Übersicht über die verschiedenen Technologien finden Sie hier:

Technologie
Technologien und Ansätze

Welche Technologien und Ansätze werden im Förderschwerpunkt erforscht?
Projekt Ansatz / Ziel / Technologien
Aqua-IT-Lab
  • Lösungsansätze zur Selbsteinschätzung für kleine und mittlere Betreiber (Schwerpunkt Wasserversorgung)
  • Aufbau eines Piloten für ein hybrides Testlabor zur Simulation von kritischen Infrastrukturen
  • Ableitung angemessener Maßnahmen (technisch, organisatorisch und personell) zur Verbesserung der IT-Sicherheit
 
Cyber-Safe
  • Betrachtung von Verkehrsleitzentralen (z.B. für Tunnel)
  • Durchführung von Gefahrenanalysen und Ermittlung des Stands der Technik zu Maßnahmen
  • Durchführung von Schwachstellenanalysen
  • Leitfaden und Risikomanagement-Tool für Verkehrsinfrastrukturbetreiber
 
INDI
  • Schaffung neuer Sicherheitstechnologien für Industrienetze
  • Intelligente Angriffserkennung durch maschinelles Lernen (adaptive Protokollanalysen, Anomalieerkennung, Topologie-Exploration), Kopplung mit Schwachstellensuche und Implementierungen mit L4-Mikrokernen)
  • Herausforderungen: Heterogenität, Komplexität der Protokolle und Beschreibung des Normalbetriebs zur Abgrenzung von Angriffsmustern
 
ITS.APT
  • Einbeziehung des Faktors Mensch in die IT-Sicherheitsbewertung
  • Erarbeitung von Methoden zur Messung des IT-Sicherheitsbewusstseins
  • Bewertung des Zusammenhangs zwischen IT-Sicherheitsbewusstsein und (erfolgreichen) Angriffen
  • Herausforderungen: Psychologische Effekte, juristische Fragestellungen, Einbettung der Ergebnisse im industriellen Pentesting, technische Umsetzung und Metriken
 
MoSaIK
  • Methoden zur Risikoanalyse und Bewertung des Sicherheitsniveaus insbesondere bei KRITIS Betreibern im kommunalen Umfeld
  • Domänenspezifische Modellierung und modellgetriebene Ansätze zur Erstellung geeigneter Werkzeuge
  • Herausforderungen: Ressourcen des Betreibers, Vereinfachung der Bewertung des Sicherheitsniveaus
 
PREVENT
  • Methoden und Techniken zur Integration von Risiko- und Compliance Management (durch systemische Modellierung in einer Schichtenarchitektur) in Rechenzentren
  • Indikatoren und Metriken zur Bewertung der IT-Sicherheit
  • Werkzeuge zur Risikodarstellung und managementorientierten Kommunikation
  • Test-, Simulations- und Messverfahren zur Bewertung von IT-Sicherheitseigenschaften
  • Identifikation regulatorischer und betrieblicher Faktoren beim Schutz von Bankenrechenzentren
 
RiskViz
  • Identifikation via Internet erreichbarer Industriesysteme und Schwachstellenidentifikation innerhalb abgeschotteter Systeme
  • Herausforderung: Sicherstellung der Scanverträglichkeit und juristische Zulässigkeit der Scans
  • Verknüpfung der gewonnenen Daten zur Risikodetermination und Erforschung von Versicherungsmöglichkeiten für Cyberrisiken
 
SecMaas
  • Sicherheitsanalysen und Identifikation von Angriffs- und Bedrohungsszenarien für kleine Behörden (wie z.B. der Bundesdruckerei)
  • Analyse von Ressourcen, Qualifikationen, Bedürfnissen und Sicherheitsbewusstsein
  • Identifikation von Vorgehensmodellen und einer geeigneten Systemarchitektur für eine Cloud-basierte Bündelung des Sicherheitsmanagements
  • Umsetzung der Sicherheitslösungen und -prozesse nach dem Prinzip „User-centered Security“
 
SICIA
  • Quantitative Sicherheitsbewertung auf Basis technischer Parameter und der Integration betreiberspezifischer Normen/Richtlinien (z.B. für Energieversorger)
  • Branchen und betreiberunabhängiger, einheitlicher Bewertungsprozess (Sicherheitsanalyse + Risikoanalyse), der systemspezifische Gegebenheiten einbezieht
  • Entwicklung von Software-Werkzeugen zur größtmöglichen Automation der Sicherheitsbewertung
 
SiDate
  • Ziel: Verbesserung der Selbsteinschätzung des Sicherheitsniveaus kleiner und mittlerer Energieversorger
  • Herausforderung: Kleine IT-Abteilungen, begrenzte Ressourcen, fehlende Qualifikation, Risikoanalyse und Auswahl geeigneter Maßnahmen
  • Entwicklung von Konzepten und Werkzeugen
    • mit Metriken zur kontinuierlichen Selbsteinschätzung und Auswahl angemessener Maßnahmen,
    • zur Einrichtung einer interorganisationalen Wissensdatenbank/Austauschplattform zur Vernetzung der Energieversorger untereinander und externen IT-Sicherheitsexperten
    • sowie zur Etablierung angepasster Prüfkriterien als Grundlage einer kosteneffizienten Zertifizierung.
 
SURF
  • Schaffung eines gemeinsamen Verständnisses für KRITIS Anforderungen als Fundament für Modelle, Analysen sowie Soft- und Hardwarekomponenten
  • Ganzheitlicher systemischer Ansatz mit Schutzkonzepten ohne Einschränkung der Verfügbarkeit
  • Kombination von Hard- und Softwarelösungen sowie der verlässlichen Sammlung und Bündelung von Informationen (z.B. mittels TPM) zur Situationsabschätzung der Netzsicherheit mit Hilfe eines Assistenzsystems und Reaktionsunterstützung
  • Herausforderungen: seltene Wartungsfenster, erschwerter Zugriff auf Informationen zum Gerätestatus
 
Welche Technologieanbieter sind im Förderschwerpunkt vertreten?
Folgende Liste gibt einen Überblick über die im Projekt vertretenen Technologieanbieter:

● Airbus Defence
● Bundesdruckerei GmbH
● DÜRR Group GmbH
● ERNW Enno
● genua mbH
● Hirschmann A&C
● HiSolutions AG
● Infineon Technologies AG
● KORAMIS GmbH
● m-privacy
● Pretherm GmbH
● Recurity Labs
● TÜV Rheinland i-sec
● Wincor NIXDORF
● XIV-Consult

Die Partner in den Projekten – seien es die Technologieanbieter, Forschungseinrichtungen oder Betreiber sind auch über die Gelben Seiten abfragbar.
 
Wir sind selbst Technologieanbieter und möchten uns bzw. unsere Entwicklungen einbringen. Auf welche Weise ist dies am besten möglich?
Die Vernetzung nach Außen ist ein wichtiger Aspekt. Durch neue Kooperationen, durch die Teilnahme oder Durchführung von Workshops und Konferenzen sowie die Beteiligung an Aktivitäten, wie den Fallstudien oder Fachgruppen, wird ein bidirektionaler Wissenstransfer unterstützt und damit auch der Anwendungsbezug verstärkt.
 
Welche Normen und Standards gelten in meinem Themenfeld?
Die Arbeitsgruppe Normung und Standardisierung beschäftigt sich mit der Analyse und Kategorisierung der bestehenden Normenlandschaft zur IT-Sicherheit in Kritischen Infrastrukturen. Informationen zur Fachgruppe und den entsprechenden Ansprechpartnern des DKE finden Sie hier.
Presse und Öffentlichkeit

Wen kann ich kontaktieren, wenn ich allgemeine Informationen benötige?
Das Begleitforschungsprojekt wird von der Universität der Bundeswehr in München geleitet. Bei Fragen jeglicher Art zum Förderschwerpunkt und der Begleitforschung können Sie sich an Steffi Rudel wenden.

Steffi Rudel
Universität der Bundeswehr München
Professur für Wirtschaftsinformatik
Werner-Heisenberg-Weg 39
85577 Neubiberg
Tel.: 089/6004-2207
steffi.rudel@unibw.de

Ansonsten finden Sie auch auf der Seite des Projektträgers und auf dieser Plattform allgemeine Informationen zum Förderschwerpunkt.
 
Wen kann ich kontaktieren, wenn ich genauere Informationen (z.B. zu einzelnen Projekten) benötige?
Wenn Sie sich konkret für ein Projekt des Förderschwerpunktes interessieren, finden Sie hier eine Übersicht aller Verbundprojekte. Die Ansprechpartner finden Sie auf der jeweiligen Projektseite. (z.B. VeSiKi)
 
Mit welchen Fragestellungen befassen sich die Verbundprojekte?
Wenn Sie einen Überblick über die Themen- und Fragestellungen der Verbundprojekte gewinnen wollen, ist die Übersicht aller Verbundprojekte ein guter Startpunkt. Zu jedem Forschungsprojekt finden sich allgemeine Informationen auf der jeweiligen Projektseite. (z.B.VeSiKi)
 
Ich benötige Materialien (zum Beispiel Fotos, Logos oder Texte) an wen kann ich mich wenden?
Steffi Rudel
Universität der Bundeswehr München
Professur für Wirtschaftsinformatik
Werner-Heisenberg-Weg 39
85577 Neubiberg
Tel.: 089/6004-2207
steffi.rudel@unibw.de
Eigene Veranstaltungen von ITS|KRITIS

Eigene Veranstaltungen von ITS|KRITIS

23.11.2016: IT-Sicherheitsforum (Berlin)

23.11.2016: High Potential Seminar im Vorfeld des IT-Sicherheitsforums

20.-21.06.2016: Jahreskonferenz: IT-Sicherheit für Kritische Infrastrukturen mit 150 Teilnehmerinnen und Teilnehmern (Bremen, Haus der Wissenschaft)

9.-11. März 2016: Mitorganisation der Teilkonferenz „IT‐Sicherheit für Kritische Infrastrukturen“ auf der Multikonferenz Wirtschaftsinformatik an der Technischen Universität Ilmenau im März 2016

8. Oktober 2015: Workshop in FFM zu „CERTs“, Vortrag zu den rechtlichen Rahmenbedingungen für ein gemeinsames, infrastrukturübergreifendes CERT innerhalb der KRITIS‐Domänen.


15.-17. Juli 2015: Jahreskonferenz: IT-Sicherheit für Kritische Infrastrukturen mit 150 Teilnehmerinnen und Teilnehmern (Augsburg, SGL Arena)

15. Juli 2015: High Potential Seminar im Vorfeld der Jahreskonferenz (Augsburg, SGL Arena)
 
Handlungen des Beirats von ITS|KRITIS

Handlungen des Beirats von ITS|KRITIS

21.06.2016: Besprechung Beirat im Rahmen der Jahreskonferenz 2016

15. Juli 2015: Etablierung des Beirats, Erste Sitzung des Beirats IT-Sicherheit für Kritische Infrastrukturen
 
Pressemeldungen von VeSiKi

Pressemeldungen von VeSiKi

02.09.2016: VDE|DKE und DIN starten Online-Plattform für Normen zum Thema IT-Sicherheit. Pressemeldung des VDE/DKE http://www.vde.com/de/Verband/Pressecenter/Pressemeldungen/Fach-und-Wirtschaftspresse/2016/Seiten/55-2016.aspx

Kipker, D. & Preuß, M. (2016). Tagungsbericht der 2. Jahreskonferenz. In Datenschutz und Datensicherheit (DuD), Seite 625

10.06.2016: Jahrestagung im Förderschwerpunkt IT-Sicherheit in Kritischen Infrastrukturen - Forschungsprojekte des BMBF stellen in Bremen ihre Ergebnisse vor. Pressemeldung auf Pressebox
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, BBK (2016). Im Fokus: Das Forschungsrahmenprogramm der Bundesregierung zur IT-Sicherheit. In Bevölkerungsschutz, Vol. 2/2016, Cyber-Sicherheit.

10. Oktober 2015: VDE ist Partner in der Forschung zur IT-Sicherheit für kritische Infrastrukturen. Pressemeldung des VDE/DKE https://www.vde.com/de/Verband/Pressecenter/Pressemeldungen/Fach-und-Wirtschaftspresse/2015/Seiten/49-2015.aspx; http://www.pressebox.de/inaktiv/vde-verband-der-elektrotechnik-elektronik-informationstechnik-ev/VDE-ist-Partner-in-der-Forschung-zur-IT-Sicherheit-fuer-kritische-Infrastrukturen/boxid/750408; http://www.it-production.com/index.php?seite=einzel_artikel_ansicht&id=62666

09. Januar 2015: „Bundesforschungsministerium fördert Projekt zur IT-Sicherheit kritischer Infrastrukturen“. Pressemeldung der UniBremen http://www.uni-bremen.de/de/universitaet/presseservice/pressemitteilungen/archiv-2015/views/einzelanzeige-2015/news/detail/News/bundesforschungsministerium-foerdert-projekt-zur-it-sicherheit-kritischer-infrastrukturen.html?sword_list[]=Vesiki&no_cache=1
 
Beiträge von VeSiKi für Konferenzen, Workshops und Seminare

Beiträge von VeSiKi für Konferenzen, Workshops und Seminare

2016

28./30.11.2016: Konferenz IT-Sicherheit – Energie in Berlin. Vortrag von Lechner Ulrike und Steffi Rudel am 30.11.2016.
 
10./12.10.2016: Beitrag „Towards a Cybersecurity Game: Operation Digital Chameleon“ für CRITIS 2016 von Andreas und Ulrike
 
22./23.09.2016: Beitrag „Angriff & Abwehr – Recht & Technik: IT-Security interdisziplinär“ für ISD 2016 von Andreas und Dennis; leider nicht angenommen
 
12.09.2016: Workshop „Gesetzesanalyse für Techniker“ auf der ICS Cybersecurity DACH in Düsseldorf.
 
17./19.08.2016: Beitrag „Operation Digital Chameleon – Towards an Open Cybersecurity Method“ für OpenSym von Andreas und Ulrike
 
13./14.07.2016: TechDays 2016 in München, Vertretung des Förderschwerpunktes ITS|KRITIS mit einem Stand & kurze öffentliche Präsentation des Förderschwerpunktes durch einen Pitch

15./16.06.2016: Jahrestagung Forschungszentrum CODE, Universität der Bundeswehr, Neubiberg, Vertretung des Förderschwerpunktes ITS|KRITIS mit einem Stand

1./2. Juni 2016: Kongress Medizin 4.0, Klinikum Charité Berlin, Vortrag und Diskussion zur IT‐ Sicherheit (Datenschutz & Datensicherheit) im Gesundheitswesen.


28. April 2016: Hannover Messe 2016; Vorstellung des VeSiKi-Projekts; http://www.hannovermesse.de/veranstaltung/vesiki- vernetzte-it-sicherheit-fuer-kritische-infrastrukturen/VOR/72868

18. April 2016: Vortrag „Mehr Sicherheit durch Offenheit - kollaborative Wege zum Schutz von IT-Systemen“ im Rahmen der WebWeek in Nürnberg

3./4. März 2016: Seminar bei der Betreibervereinigung ASEW in Köln zur Rolle des Datenschutz‐ und IT‐Sicherheitsbeauftragten im Unternehmen (Compliance).


26. Februar 2016: IT’S Breakfast des eco‐Verbands bei G‐Data in Bochum, Kompetenzgruppe Sicherheit, Seminar „IT‐Sicherheitsrecht für KRITIS“.

3. Februar 2016: Fachtagung „IT‐Security in der Praxis der Netz‐ und Stationsleittechnik“ bei der DKE in FFM, Vortrag zu den rechtlichen Spezialanforderungen der IT‐Sicherheit im Energiebereich und für Smart Grids, Kollision von Datenschutz‐ und IT‐Sicherheitsrecht.
 Bild unter http://www.dke.de/de/std/Informationssicherheit/PublishingImages/IT-Security-733.jpg

11. März 2016: Vortrag „Ein Rahmenwerk zur Erfassung von IT-Sicherheit als Service-System“ auf der MKWI 2016 in Ilmenau

 

2015

12. – 14. November 2015: KEOD 2015 - Towards Automated Integrity Constraints Modelling and Validation: A Survey and Approach.

12. – 14. November 2015: Präsentation Ontologie KRITIS auf dem European Project Space (Lissabon) der IC3K und KEOD. http://www.keod.ic3k.org/EuropeanProjectSpace.aspx?y=2015

10. November 2015: Vortrag „Opening up engineering for better IT security” im Kolloquium an der Fakultät für Technology, Policy and Management der TU Delft.

5./6. November 2015: Seminar bei der Betreibervereinigung ASEW in Köln, IT‐SiG und der IT‐ Sicherheitskatalog gem. § 11 Abs. 1a) EnWG.


3. November 2015: Eingeladener Vortrag „Forschungsagenda VeSiKi“ auf der Tagung Vfs- Gefahrgutmanagement (Nürnberg). https://www.unibw.de/wi/team/wissenschaftliche_mitarbeiter/riedl/talks/fachtagung_gms_vesiki.pdf

15.-17. Oktober 2015: Besuch der APSEC in Kobe mit Vortrag „Open strategies for security of critical infrastructures”.


7. Oktober 2015: DKE‐Workshop „Konformitätsbewertungsbedarf Informationssicherheit“ in FFM, Vortrag zum IT‐SiG und zur NIS‐RL, anschließende Podiumsdiskussion.


13.‐15. September 2015: Posterpräsentation VeSiKi auf der Future Security 2015 in Berlin (mit Veröffentlichung und Poster), Auszeichnung VeSiKi mit dem 2nd Best Poster Award.


27. Mai 2015: Vorstellung des Projekts auf dem DIN‐Themenforum 2015 in FFM.


26. März 2015: Präsentation VeSiKi beim DIN – Normenausschuss Informationstechnik und Anwendungen (NIA).


26. März 2015: Offen für mehr Sicherheit - kollaborative Wege zum Schutz von IT-Systemen. Vortrag auf dem Open-Up Camp, Nürnberg.

25./26. März 2015: Posterpräsentation auf der CODE Jahreskonferenz 2015 (ca. 200 Teilnehmerinnen und Teilnehmer, UniBw München, Neubiberg).

4. Februar 2015: Vortrag „Komplexität – ein schillernder Begriff“ (IT-Sicherheit als Praxisbeispiel) auf dem Workshop „Innovation & Komplexität“ am Fraunhofer IIS in Fürth.
Wissenschaftliche Veröffentlichungen von VeSiKi

Wissenschaftliche Veröffentlichungen von VeSiKi

Lechner, U. und Rieb, A. (2016). Towards a Cybersecurity Game: Operation Digital Chameleon. CRITIS2016

Lechner, U. und Rieb, A. (2016). Operation Digital Chameleon – Towards an Open Cybersecurity Method (Ulrike Lechner, Andreas Rieb). OpenSym 2016

Kipker, D. (2016). Die NIS-RL der EU im Vergleich zum deutschen IT-Sicherheitsgesetz In ZD-Akutell, Ausgabe 16, beck-online. URL https://beck-online.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fzdaktuell%2F2016%2Fcont%2Fzdaktuell.2016.05261.htm&showParallelFundstellenReadable=False.

August 2016: Zitat einer Stellungnahme von Dennis Kipker für heise-online (IT-Security Anforderungen an die neue Vorratsdatenspeicherung): http://www.heise.de/newsticker/meldung/EU-Kommission-prueft-geplante-Umsetzung-der-deutschen-Vorratsdatenspeicherung-3278858.html

Networked IT‐Security for Critical Infrastructures ‐ The Research Agenda of VeSiKi (Sandra Bergner, Benedikt Buchner, Sebastian Dännart, Albrecht Fritzsche, Andreas Harner, Sophia Harth, Max Jalowski, Dennis‐Kenji Kipker, Ulrike Lechner, Kathrin Möslein, Andreas Rieb, Martin Riedl), in: Beyerer/Meissner/Geisler (Hrsg.), SECURITY RESEARCH CONFERENCE

Privacy by Default und Privacy by Design, Dennis‐Kenji Kipker, DuD 2015, 410 (Aufsatz).

Die neue Vorratsdatenspeicherung ‐ Schnellschuss gegen die Europäische Grundrechtecharta: Plädoyer für eine ausführliche öffentliche Debatte (Alexander Dix, Dennis‐ Kenji Kipker, Peter Schaar), ZD 2015, 300 (Aufsatz).

Die Neuauflage der Vorratsdatenspeicherung ‐ Lösungsansätze für zentrale Kritikpunkte am aktuellen Gesetzentwurf (Hauke Gärtner, Dennis‐Kenji Kipker), DuD 2015, 593 (Aufsatz).

Stellungnahme zum Entwurf des People's Republic of China Cybersecurity Law (Dennis‐Kenji Kipker), MMR‐Aktuell 2015, 370972 sowie MMR FOKUS VIII‐X (Aufsatz).

Das IT‐Sicherheitsgesetz (IT‐SiG): Wesentliche Gesetzesänderungen und neue rechtliche Rahmenbedingungen (Dennis‐Kenji Kipker), BMBF‐Begleitforschung VeSiKi, November 2015 (Working Paper).

Der Entwurf eines Zweiten Gesetzes zur Änderung des Telemediengesetzes ‐ Hat die Bundesregierung eine zeitgemäße Angleichung des TMG verfehlt? (Dennis‐Kenji Kipker, Valerie Müller), im Erscheinen, MMR 2016 (Aufsatz).

Datenschutzrelevante Themen in der IT: Das neue IT‐Sicherheitsgesetz, in: Praxishandbuch Datenschutz im Gesundheitswesen (Benedikt Buchner, Dennis‐Kenji Kipker), AOK‐Verlag 2016, (Buchbeitrag).

Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der EU- Datenschutzgrundverordnung (Benedikt Buchner), im Erscheinen, DuD 2016 (Aufsatz)

Der Referentenentwurf des BMI zur BSI‐Kritisverordnung (BSI‐KritisV) vom 13.01.2016 (Dennis‐Kenji Kipker), MMR-Aktuell 2016, 375759 (Aufsatz).

Terhaag, Michael: IT-Sicherheitsgesetz. Auswirkungen, Entwicklung und Materialien für die Praxis, Bundesanzeiger-Verlag Köln, 2015, DuD 2016, im Erscheinen (Rezension)

Willems, Eddy: Cybergefahr. Wie wir uns gegen Cyber-Crime und Online-Terror wehren können, Springer Vieweg Wiesbaden, 2015, ZD 2016, im Erscheinen (Rezension)
 
Bergner S. (2015). Towards Automated Integrity Constraints Modelling and Validation - A Survey and Approach.In Proceedings of the 7th International Joint Conference on Knowledge Discovery, Knowledge Engineering and Knowledge ManagementISBN 978-989-758-158-8, pages 453-461. DOI: 10.5220/0005647204530461.
 
Nichtwissenschaftliche Veröffentlichungen von VeSiKi

Nichtwissenschaftliche Veröffentlichungen von VeSiKi

Albrecht Fritzsche, Macht Festungen zu Marktplätzen, Mittelstandswiki online, 15.9.2015. https://www.mittelstandswiki.de/wissen/IT-Sicherheit

DKE Jahresbericht 2015, März 2016: http://www.wandel-wird-standard.de/Information3.aspx

DIN-Mitteilungen April 2016: IT-Sicherheit in Deutschland und Europa. (Vorstellung VeSiKi) Beitrag von Dennis-Kenji Kipker, Sophia Harth und Volker Jacumeit (Zeitschrift kostenpflichtig)
Sonstiges von VeSiKi

Sonstiges von VeSiKi

Im Berichtszeitraum 2015 entstand die Idee eines Mittelstands‐CERTs im VDE. Hierfür gab es eine enge Zusammenarbeit zwischen der DKE und dem Projektpartner Universität Bremen im Hinblick auf die rechtlichen Hintergründe und Vorgaben, die ein solches Mittelstands‐CERT betreffen. Der Projektpartner erarbeitete unter anderem die bestehenden rechtlichen Vorgaben für ein solches CERT und die Anwendbarkeit des IT‐Sicherheitsgesetzes für ein solches Vorhaben. Gemeinsam wurde außerdem geprüft, ob und welche Relevanz KRITIS‐Domänen für ein solches CERT spielen werden und inwiefern ein Austausch mit dem BSI stattfinden muss. VDE und DKE haben die Koordinierung des Projektes übernommen, die Universität Bremen die rechtliche Betreuung.
Ferner wurden in Vorbereitung zur langfristigen Fortschreibung des IT‐Sicherheitsrechts bereits zahlreiche Kontakte zu den Legislativorganen, IT‐Sicherheits‐ und Datenschutzbehörden auf Bundes‐ wie auf Landesebene geknüpft, die planmäßig und gezielt einen weiteren Ausbau erfahren. Unter anderem findet eine Kooperation mit der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin statt, deren Vorsitzender der ehemalige Bundesdatenschutzbeauftragte Peter Schaar ist. In diesem Rahmen ist mittelfristig ebenfalls eine allgemeine Vortragstätigkeit zum Themenfeld der IT‐Sicherheit geplant, um die Öffentlichkeitswirksamkeit des Förderschwerpunkts zu erhöhen.
 
Veröffentlichungen aus den Verbundprojekten

Veröffentlichungen aus den Verbundprojekten

DIN-Mitteilungen Juli 2016:  IT-Sicherheit in Deutschland und Europa. (Vorstellung SecMaaS, MoSaIK) (Zeitschrift kostenpflichtig)

DIN-Mitteilungen August 2016:  IT-Sicherheit in Deutschland und Europa. (Vorstellung PREVENT) (Zeitschrift kostenpflichtig)
 

MoSaIK

S. Renatus; C. Teichmann; Eichler, J.: Method Selection and Tailoring for Agile Threat Assessment and Mediation, Agile Secure Software Development (ASSD), IEEE, 2015 

S. Renatus, C. Bartelheimer, J. Eichler: Improving prioritization of software weaknesses using security models with AVUS, Source Code Analysis and Manipulation (2015)

C. Teichmann; S. Renatus; A. Nieding: Modellgestützte Risikoanalyse der Sicherheit Kritischer Infrastrukturen für kleine und mittlere Unternehmen: Eine Übersicht,MKWI Teilkonferenz IT-Sicherheit für Kritische Infrastrukturen (2016), to be published

C. Teichmann; S. Renatus; J. Eichler: Agile Threat Assessment and Mitigation: An Approach for Method Selection and Tailoring, International Journal of Secure Software Engineering (IJSSE) Special Issue (2015), IGI Global
 

SiDate

J. Dax, D. Hamburg, M. Kreusch, B. Ley, S. Pape, V. Pipek, K. Rannenberg, C. Schmitz, and F. Terhaag, „Sichere Informationsinfrastrukturen für kleine und mittlere Energieversorger,“ in Multikonferenz Wirtschaftsinformatik, Research-in-Progress, 2016, pp. 59-65. 
 
Ergebnisse

Hier finden Sie Informationen, Links und Unterlagen zu den bisherigen Aktivitäten des Förderschwerpunkts

Normenlandschaft
Durch die zunehmende Vernetzung durch Informationstechnik gewinnt das Thema Informationssicherheit immer mehr an Bedeutung. Normen und Standards helfen dabei die Informationstechnik sicherer zu gestalten, indem sie einheitliche Anforderungen und Lösungsansätze beschreiben.
Allerdings existieren auf dem Gebiet der Informationssicherheit unzählige nationale sowie internationale Normen, Standards und Richtlinien, teilweise generischer, teilweise domänenspezifischer Natur. Dem Anwender fällt es dadurch schwer, die für seinen eigenen Bereich relevanten Standards zu identifizieren.
Aus diesem Grund entstand im „TBINK-AK IT-Security“ der DKE die Idee, eine Übersicht existierender sicherheitsrelevanter Normen und Richtlinien in Form einer Landschaft zu schaffen, um folgende Ziele zu erreichen:

• Die Landschaft soll Hilfsmittel für Anwender von IT-Security-Normen sein.
• Dem Anwender soll ein schnelles Auffinden relevanter IT-Security-Normen durch entsprechende Filtermöglichkeiten ermöglicht werden.
• Die Relevanz einzelner Normen und Richtlinien soll visualisiert werden, damit ein Durcharbeiten der entsprechenden Dokumente unnötig wird.
Lücken und Überlappungen ähnlicher Normen (Doppelnormung) sollen erkennbar werden.

In den relevanten Expertengremien bei DKE und DIN wurden daher die entsprechenden Normen, Richtlinien und Standards identifiziert und im Rahmen des Begleitforschungsprojekts „Vernetzte IT-Sicherheit für Kritische Infrastrukturen (VeSiKi)“ des BMBF entsprechend aufbereitet und in der vorliegenden Online-Plattform umgesetzt.
Natürlich ist die Normenlandschaft weder vollständig noch fehlerfrei! Daher sind wir auf Ihre Mitarbeit angewiesen, um mit „Schwarmintelligenz“ einen stetigen Zyklus der Verbesserung und Erweiterung der Normenlandschaft etablieren zu können! So sollen auch Standards anderer Standardisierungsorganisationen (ETSI, IETF, OASIS…) hinzugefügt werden.
Daher laden wir Sie ein, uns Ihre Verbesserungsvorschläge zur Plattform, aber auch zu neuen oder fehlerhaften Standards in der Liste unter folgender Mailadresse mitzuteilen:
IT-SECURITYSTANDARDS@VDE.COM

Die Normenlandschaft finden Sie unter folgender Adresse: https://www.security-standards.de/
Rechtliche Informationen im Themenfeld
 
Jahreskonferenzen
Informationen und Unterlagen zu den vergangen Jahreskonferenzen finden Sie hier:
Jahreskonferenz 2015
Jahreskonferenz 2016
Pressespiegel Datenschutz und IT-Sicherheit 12/16
Monatliches Themenupdate aus den Bereichen Datenschutz & Cybersecurity: Dezember 2016
 
Netzwerk von Cyberkriminellen zerschlagen:
Nach jahrelanger Ermittlungsarbeit ist es Behörden gelungen, ein weltweit agierendes Cybercrime-Netzwerk zu zerschlagen. Die Kriminellen haben mit ihren Betrugstaten Schäden von mehreren Millionen Euro verursacht. Entscheidend für den Durchbruch war die internationale Zusammenarbeit der Ermittler. Der Schlag gegen die Cyberkriminalität wird außerdem angesprochen unter: http://www.dw.com/de/schlag-gegen-cyberkriminalit%C3%A4t/a-36606912, http://www.tagesschau.de/inland/avalanche-zerschlagen-101.html, http://www.golem.de/news/avalanche-botnetz-weltweites-cybercrime-netzwerk-zerschlagen-1612-124829.html
 
Fahrkartenautomaten in San Francisco gehackt:
In San Francisco wurden die Computer eines Verkehrsbetriebes gehackt. Der Hacker hat die Fahrkartenautomaten außer Betrieb gesetzt, sodass die Fahrgäste nur ohne gültiges Ticket fahren konnten. Für die Freigabe der Rechner forderte er ein Lösegeld. Näheres zum Vorfall auch unter: http://www.spiegel.de/netzwelt/web/san-francisco-hacker-blockiert-fahrkartenautomaten-a-1123366.html, https://www.wired.de/collection/tech/san-franciscos-oeffentliche-verkehrsmittel-wurden-gehackt
 
Thyssenkrupp Opfer eines Hacker-Angriffs:
Bereits im Frühjahr hat ein massiver Angriff auf die IT-Systeme des Konzerns stattgefunden. Nach sechs Monaten ist es dem Unternehmen schließlich gelungen, den Angriff abzuwehren. Die Täter haben aufgrund der hochgerüsteten Angriffstechniken vermutlich mit staatlicher Hilfe gehandelt. Näheres zu dem Vorfall auch unter: https://www.heise.de/newsticker/meldung/Massiver-Hacker-Angriff-auf-Thyssenkrupp-3565857.html, http://www.zeit.de/digital/internet/2016-12/thyssenkrupp-cyber-angriff-hacker-datendiebstahl, https://www.welt.de/wirtschaft/webwelt/article160100149/Sechsmonatige-Abwehrschlacht-bei-ThyssenKrupp.html
 
Massiver Datenklau bei Yahoo:
Der Internetkonzern hat bekannt gegeben, dass im Jahr 2013 mehr als eine Milliarde Nutzerkonten gehackt wurden. Dabei wurden persönliche Daten entwendet. Dies ist der womöglich größte Datenklau aller Zeiten. Weitere Informationen zu dem Vorfall auch unter: http://www.handelsblatt.com/unternehmen/it-medien/hackerangriff-yahoo-meldet-groessten-datenklau-aller-zeiten/14981528.html, http://www.handelsblatt.com/technik/it-internet/hackerangriff-auf-yahoo-erste-hilfe-nach-dem-daten-gau/14982634.html, http://www.zeit.de/digital/datenschutz/2016-12/hackerangriff-yahoo-milliarde-nutzer, http://www.spiegel.de/netzwelt/netzpolitik/yahoo-hackerangriff-2013-betraf-mehr-als-eine-milliarde-nutzerkonten-a-1125964.html
 
Russische Zentralbank verliert Millionenbetrag durch Hacker-Angriff:
Die russische Zentralbank ist Opfer eines Hacker-Angriffs geworden. Mittels gefälschter Zugangscodes wurden 29,2 Millionen Euro von verschiedenen Konten erbeutet. Es waren zudem weitere Angriffe auf das gesamte Bankensystem Russlands geplant. Diese wurden jedoch vom russischen Inlandsgeheimdienst verhindert. Weiteres zu dem Thema auch unter: http://www.zeit.de/gesellschaft/zeitgeschehen/2016-12/russland-zentralbank-hacker-cyberangriff-fsb, http://www.n-tv.de/wirtschaft/Hacker-nehmen-russische-Zentralbank-aus-article19242586.html
 
Datenpanne bei der Telekom:
Aufgrund eines Datenlecks in der Telekom-Cloud hatten mehrere Kunden Zugriff auf fremde Adressbücher mit persönlichen Daten. Ursache der Datenpanne waren Software-Updates und darauffolgende temporäre technische Fehler. Näheres zum Vorfall auch unter: https://www.heise.de/security/meldung/Datenleck-in-der-Telekom-Cloud-ermoeglicht-Zugriff-auf-fremde-Adressbuecher-3564967.html, http://www.wiwo.de/technologie/digitale-welt/deutsche-telekom-neue-brisante-datenlecks-bei-cloud-dienst/14949042.html 
 
Google warnt prominente Persönlichkeiten vor staatlichen Hackern:
Einige Journalisten und Forscher haben von Google Warnungen erhalten, dass mutmaßliche Hacker mit Regierungshintergrund ihre Accounts attackiert haben könnten. Nähere Einzelheiten dazu wurden den Nutzern jedoch nicht bekannt gegeben. Weiteres zu dem Thema auch unter: http://arstechnica.com/security/2016/11/google-warns-journalists-and-professors-your-account-is-under-attack/, https://www.heise.de/newsticker/meldung/Google-warnt-Professoren-und-Journalisten-vor-staatlichen-Hackern-3502344.html, http://www.spiegel.de/netzwelt/web/google-warnseite-google-warnt-nutzer-vor-regierungs-hackern-a-1123082.html
 
Künstliche Intelligenz erkennt Kriminelle anhand des Gesichts:
Zwei chinesische Forscher haben einen Algorithmus programmiert und  einer Künstlichen Intelligenz beigebracht, Kriminelle anhand von Gesichtsmerkmalen zu identifizieren. Die Trefferquote des Projekts lag bei knapp 90 %. Über das Projekt wird auch berichtet unter: http://t3n.de/news/ki-kriminelle-fotos-erkennen-769867/, https://www.welt.de/kmpkt/article159903370/Dein-Gesicht-soll-verraten-ob-du-kriminell-bist.html
 
Geleakte Dokumente aus TiSA-Verhandlungen:
Vertrauliche Dokumente über die Verhandlungen zum Dienstleistungsabkommen TiSA sind an die Öffentlichkeit gelangt. Aus den Papieren ergibt sich, dass die strikten EU-Datenschutzvorschriften aufgeweicht oder gar unwirksam werden könnten. Weiteres zu dem Thema auch unter: http://www.zeit.de/digital/datenschutz/2016-11/tisa-abkommen-datenschutz-dokumente-leak, http://www.spiegel.de/wirtschaft/soziales/tisa-leaks-wie-das-dienstleistungsabkommen-den-datenschutz-gefaehrdet-a-1122844.html, https://www.heise.de/newsticker/meldung/Leaks-zum-Dienstleistungsabkommen-TiSA-Mehr-private-Zensur-und-Spam-weniger-IT-Sicherheit-3504682.html
 
Merkel lobt BND:
Angela Merkel plädiert am 60. Geburtstag des BND für eine Stärkung und vertiefte Zusammenarbeit der Geheimdienste. Sie hält die Arbeit der Nachrichtendienste für unverzichtbar, betont jedoch auch die Bedeutung der Kontrolle dieser Arbeit. Näheres zu Merkels Rede auf dem Festakt unter: http://www.faz.net/aktuell/politik/inland/angela-merkel-plaediert-fuer-staerkung-der-geheimdienste-14549083.html, http://www.handelsblatt.com/politik/deutschland/vorschlag-von-merkel-bnd-soll-mit-anderen-geheimdiensten-zusammenarbeiten/14904526.html
 
Einführung einer einheitlichen Polizei-Datenbank:
Auf der Innenministerkonferenz wurde beschlossen, dass die Polizei in Deutschland erstmals eine gemeinsame Datenbank erhält. Sie soll die Bekämpfung von Straftaten über die Ländergrenzen hinweg verbessern. Bisher gibt es bundesweit 19 unterschiedliche Systeme. Weiteres zu dem Thema auch unter: https://www.welt.de/regionales/rheinland-pfalz-saarland/article159860901/Polizei-bekommt-erste-gemeinsame-Datenbank.html, http://www.sueddeutsche.de/news/panorama/kriminalitaet-imk-beschluss-polizei-bekommt-erste-gemeinsame-datenbank-dpa.urn-newsml-dpa-com-20090101-161130-99-367397  
 
WikiLeaks- Veröffentlichungen zum NSA-Untersuchungsausschuss:
Die Enthüllungsplattform WikiLeaks hat vertrauliche Dokumente aus dem NSA-Untersuchungsausschuss veröffentlicht. Durch diese wird die Arbeitsweise der Nachrichtendienste für Außenstehende nachvollziehbar. Zunächst wurden russische Geheimdienste für den Vorfall verantwortlich gemacht. Mittlerweile wird im Bundestag selbst nach einer undichten Stelle gesucht. Näheres zu dem Vorfall auch unter: http://www.zeit.de/digital/datenschutz/2016-12/wikileaks-veroeffentlichung-nsa-untersuchungsausschuss-dokumente, http://www.tagesschau.de/inland/wikileaks-ermittlungen-103.html, http://www.zeit.de/politik/deutschland/2016-12/nsa-akten-russland-hack-fas-cyber-angriff-wikileaks, https://www.heise.de/newsticker/meldung/Wikileaks-Dokumente-aus-NSA-Ausschuss-Quelle-im-Bundestag-vermutet-3574085.html?wt_mc=rss.ho.beitrag.atom
 
Merkel setzt auf Ausbau der staatlichen Überwachung:
In ihrer Rede auf dem CDU-Parteitag hebt Merkel hervor, künftig auf Datenreichtum und den Ausbau der technischen Überwachung anstatt auf Datensparsamkeit zu bauen. Über die Rede wird auch berichtet unter: https://netzpolitik.org/2016/cdu-parteitag-merkel-preist-datenreichtum-und-ueberwachung/
 
Verbraucherrecht 2.0 – Forderung nach mehr Sicherheit im Netz:
Der Sachverständigenrat für Verbraucherfragen hat ein Gutachten zur Nutzung digitaler Dienste vorgelegt. Die Forscher fordern mehr Sicherheit und Transparenz bei der Nutzung digitaler Dienste. Über das Thema wird auch berichtet unter: http://www.zeit.de/news/2016-12/01/deutschland-sachverstaendige-fordern-mehr-verbraucherschutz-im-internet-01141009, https://www.bmjv.de/SharedDocs/Artikel/DE/2016/12012016_SVRV_Gutachten.html 
 
FBI bekommt Recht zum Hacken:
Das FBI hat weitreichende Befugnisse erhalten, per Fernzugriff Computer von Verdächtigen zu durchsuchen. Davon können auch Europäer betroffen sein. Aufgrund der neuen Regeln ist es US-Richtern möglich, Durchsuchungsbefehle für Computer außerhalb ihres Zuständigkeitsbereichs auszustellen. Weiteres dazu auch unter: http://www.zeit.de/digital/datenschutz/2016-12/rule-41-fbi-computer-weltweit-hacken,  http://www.spiegel.de/netzwelt/netzpolitik/ueberwachung-in-den-usa-fbi-bekommt-mehr-rechte-zum-hacken-a-1123943.html
 
Mindeststandards des IT-Sicherheitsgesetzes schwer erfüllbar:
Viele Unternehmen sind nicht in der Lage, die Anforderungen des IT-Sicherheitsgesetzes zum Schutz von Daten und Systemen einzuhalten. Nur ein Viertel der Unternehmen erfüllt die Mindeststandards. Näheres dazu auch unter: https://www.springerprofessional.de/it-sicherheitsgesetze/datensicherheit/unternehmen-erfuellen-it-sicherheitsgesetz-noch-nicht/11102502?cm_mmc=ecircleNL-_-LM_GI-Radar+177-_-S_Nachrichten+aus+GI+und+Informatik+vom+06.12.2016-_-L_38, http://www.crn.de/security/artikel-112155.html
 
Entwurf der ePrivacy-Verordnung geleakt:
Der Entwurf für eine neue ePrivacy-Verordnung der Europäischen Kommission wurde veröffentlicht. Diese soll das Verhältnis zwischen der EU-Datenschutzgrundverordnung und den bereichsspezifischen Regelungen zum Datenschutz in der elektronischen Kommunikation regeln und ersetzt die bisher geltende Datenschutzrichtlinie für elektronische Kommunikation. Näheres zum Entwurf unter: https://dsgvo.expert/entwurf-der-eprivacy-verordnung-wurde-geleakt/, http://www.politico.eu/wp-content/uploads/2016/12/POLITICO-e-privacy-directive-review-draft-december.pdf
 
Ausweitung der Videoüberwachung beschlossen:
Die Bundesregierung hat die umstrittene Verschärfung der Videoüberwachung auf den Weg gebracht. Datenschützer kritisieren das Vorhaben und halten es aufgrund des erheblichen Eingriffs in das Recht auf informationelle Selbstbestimmung für verfassungsrechtlich bedenklich. Der Anschlag auf einen Berliner Weihnachtsmarkt befeuert die Forderungen nach schärferen Gesetzen nun jedoch besonders. Dieses Thema wird auch behandelt unter: http://www.sueddeutsche.de/news/politik/innere-sicherheit-kabinett-bringt-ausbau-der-videoueberwachung-auf-den-weg-dpa.urn-newsml-dpa-com-20090101-161221-99-620783,  http://www.n-tv.de/politik/Regierung-will-Videoueberwachung-ausweiten-article19386176.html, http://www.faz.net/aktuell/politik/anschlag-in-berlin/anschlag-in-berlin-dpolg-fordert-mehr-videoueberwachung-14585709.html, http://www.sueddeutsche.de/politik/antwort-auf-terrorismus-csu-gefaehrder-sollen-in-abschiebehaft-1.3309533, http://www.n-tv.de/politik/Berliner-Anschlag-befeuert-Streit-article19420191.html
 
EuGH urteilt über Vorratsdatenspeicherung:
Der EuGH untersagt eine unterschiedslose und allgemeine Vorratsdatenspeicherung. Nur bei einer konkreten Bedrohung der öffentlichen Sicherheit und zur Bekämpfung schwerer Straftaten können Ausnahmen gemacht werden. Nun muss geprüft werden, ob Nachbesserungsbedarf für das deutsche Gesetz zur Vorratsdatenspeicherung besteht. Weiteres zum Urteil und dessen Auswirkungen auch unter: https://www.tagesschau.de/ausland/vorratsdatenspeicherung-157.html, http://www.spiegel.de/netzwelt/netzpolitik/vorratsdatenspeicherung-eugh-erteilt-ueberwachungs-gesetz-eine-absage-a-1126926.html, http://www.faz.net/aktuell/wirtschaft/wirtschaftspolitik/eugh-will-vorratsdatenspeicherung-und-ueberwachung-verringern-14586452.html, http://curia.europa.eu/jcms/upload/docs/application/pdf/2016-12/cp160145de.pdf
 
Pressespiegel Datenschutz und IT-Sicherheit 11/16
Monatliches Themenupdate aus den Bereichen Datenschutz & Cybersecurity: 11/2016
 
EU-Kommission billigt Anforderungen der Bundesnetzagentur an die Vorratsdatenspeicherung:
Die EU-Kommission hat den umstrittenen Entwurf der Bundesnetzagentur für technische Leitlinien zur Umsetzung des Gesetzes zur Vorratsdatenspeicherung gebilligt. Innerhalb einer dreimonatigen Frist wurden von der Kommission und auch von den übrigen Mitgliedsstaaten keine Änderungen gefordert. Dazu Näheres unter: http://www.golem.de/news/vorratsdatenspeicherung-eu-billigt-hohe-anforderungen-an-provider-1610-124147.html, http://www.heise.de/newsticker/meldung/Gruenes-Licht-aus-Bruessel-fuer-Vorgaben-zu-Vorratsdatenspeicherung-3412968.html
 
Verfassungsbeschwerde gegen die Vorratsdatenspeicherung:
Ein Bündnis aus Politikern, Bürgerrechtlern (unter anderem auch dem „Arbeitskreis Vorratsdatenspeicherung“) und Gewerkschaftern geht gegen das Gesetz zur Vorratsdatenspeicherung vor. Die Verfassungsbeschwerde wird von 30.000 Bürgern mit ihrer Unterschrift unterstützt. Weiteres zu dem Thema unter: http://www.heise.de/newsticker/meldung/Verfassungsbeschwerde-30-000-Buerger-wehren-sich-gegen-die-Vorratsdatenspeicherung-3505100.html, http://www.golem.de/news/bundesverfassungsgericht-30-000-unterschriften-gegen-die-vorratsdatenspeicherung-1611-124700.html
 
Bundeswehr greift auf IT-Experten der freien Wirtschaft zurück:
Um den Herausforderungen der Cyber-Kriegsführung zu genügen, will die Bundeswehr eine hochqualifizierte Cyber-Reserve aufbauen. Dabei will sie sich besonders um Seiteneinsteiger bemühen. Hierzu zählen auch Studierende, Freiberufler oder sonstige Freiwillige mit herausragenden Programmierfähigkeiten. Das Thema wird auch angesprochen unter: http://www.sueddeutsche.de/digital/bundeswehr-hacker-der-reserve-1.3227098, https://www.heise.de/newsticker/meldung/Bundeswehr-will-fuer-Cyber-Kriegfuehrung-zivile-Experten-anwerben-3383121.html
 
Bundesregierung plant ein Gesetz gegen die Manipulation von Kassensystemen:
Mit einem neuen Gesetz will die Bundesregierung Kassensysteme manipulationssicher machen und damit den Steuerbetrug bekämpfen. Die Pläne in der jetzigen Form hält der Bundesrat jedoch für unzureichend. Dieses Thema wird auch behandelt von: https://www.springerprofessional.de/rechnungswesen/besteuerungsverfahren/elektronische-kassensysteme-sollen-sicherer-werden/10915784?cm_mmc=ecircleNL-_-LM_GI-Radar+172-_-S_Nachrichten+aus+GI+und+Informatik+vom+01.11.2016-_-L_23, https://www.haufe.de/steuern/gesetzgebung-politik/gesetz-gegen-manipulation-an-kassensystemen-umstritten_168_381336.html
 
Bundesinnenminister plant Gesetzesänderung, um Videoüberwachung auszubauen:
Bundesinnenminister de Maizière legt einen Gesetzesentwurf zur Ausweitung der Videoüberwachung auf öffentlichen Plätzen vor. Begründet werden die Pläne mit der Vorbeugung von Terroranschlägen. Datenschützer kritisieren das Vorhaben und halten es für verfassungsrechtlich bedenklich. Weiteres zu dem Thema auch unter:
https://netzpolitik.org/2016/mehr-videoueberwachung-minister-de-maiziere-plant-gesetzesaenderung/, https://www.tagesschau.de/inland/videoueberwachung-111.html, http://www.zeit.de/politik/deutschland/2016-10/innere-sicherheit-terrorbekaempfung-thomas-de-maizi-re-videoueberwachung, https://www.heise.de/newsticker/meldung/Datenschuetzer-protestieren-gegen-de-Maizieres-Plan-fuer-mehr-Videoueberwachung-3457955.html
https://www.eaid-berlin.de/?page_id=1453
 
Bundestag beschließt BND-Gesetz:
Der Bundestag hat neue Regeln beschlossen, welche die Befugnisse des BND zur Datensammlung ausdehnen. Mit einem Eilbeschluss hat nun auch der Bundesrat die Reform befürwortet. Das Gesetz könnte daher schon dieses Jahr in Kraft treten. Die FDP will gegen das Gesetz klagen. Weiteres zum Thema auch unter http://www.tagesschau.de/inland/bnd-gesetz-reform-103.html, http://www.tagesspiegel.de/politik/neues-bnd-gesetz-totale-transparenz-waere-ein-witz/14722966.html, http://www.tagesspiegel.de/politik/nach-bundestags-beschluss-fdp-will-gegen-bnd-gesetz-klagen/14721106.html, http://www.sueddeutsche.de/politik/neues-bnd-gesetz-bnd-bekommt-eine-lizenz-zum-datensammeln-1.3212099, https://www.heise.de/newsticker/meldung/Neue-BND-Befugnisse-Endstation-Bundesverfassungsgericht-3357209.html, http://www.heise.de/newsticker/meldung/Eilverfahren-Bundesrat-winkt-BND-Netzueberwachung-im-NSA-Stil-durch-3456437.html
 
Edward Snowden kritisiert die Bundesregierung:
Whistleblower Edward Snowden kritisiert die beschlossene Reform des BND. Er ist der Meinung, die Reform legalisiere eine Massenüberwachung. Dies wird auch behandelt von: http://www.golem.de/news/geheimdienste-snowden-haelt-keine-verschluesselung-fuer-absolut-sicher-1610-124069.html
 
Handel  mit Nutzerdaten:
Die Browser-Erweiterung „Web of Trust“ soll laut einer NDR-Recherche Nutzerdaten sammeln und verkaufen. Die verkauften Datensätze konnten sogar Einzelpersonen zugeordnet werden. Betroffen sind unter anderem auch Politiker, die nun Aufklärung fordern. Der Datenskandal wird auch angesprochen von: http://www.spiegel.de/netzwelt/web/datenhandel-und-bundestag-abgeordnete-verlangen-aufklaerung-a-1119604.html, http://www.spiegel.de/netzwelt/web/web-of-trust-browser-add-on-spioniert-angeblich-nutzer-aus-a-1119236.html, http://www.tagesspiegel.de/politik/diskussion-ueber-datenhandel-politiker-sind-auch-nackt-im-netz/14792802.html, http://www.golem.de/news/browsererweiterungen-ploetzlich-nackt-im-netz-1611-124235.html
 
Polizei in Bremen testet Body-Cams:
Die Polizei Bremen testet im Rahmen eines Pilotprojekts ein Jahr lang die sog. Body-Cams. Die kleinen, am Körper getragenen Videokameras sollen dem Schutz der Polizisten und der Beweismittelsicherung dienen. Näheres dazu auch unter: http://www.weser-kurier.de/bremen/bremen-stadtreport_artikel,-Bremer-Polizei-testet-Body-Cams-_arid,1488591.html, http://www.weser-kurier.de/bremen/bremen-politik-wirtschaft_artikel,-Bremen-testet-Bodycams-_arid,1375340.html, http://www.focus.de/regional/bremen/bremen-polizei-polizei-bremen-startet-probelauf-der-body-cam_id_6151275.html
 
Schwachstellen der IT-Systeme auf BKA-Herbsttagung festgestellt:
Der Präsident des BKA fordert einen Ausbau der IT zur Bekämpfung des islamistischen Terrors. Er kritisiert, dass die derzeitigen Informationssysteme den wachsenden Herausforderungen nicht genügen. Weiteres zu den Feststellungen auf der BKA-Herbsttagung auch unter: https://www.heise.de/newsticker/meldung/BKA-Herbsttagung-Unsere-IT-muss-besser-werden-3486337.html, http://www.tagesspiegel.de/politik/herbsttagung-des-bundeskriminalamts-datensysteme-sind-dem-islamistischen-terror-nicht-gewachsen/14852002.html
 
Sicherheitslücke bei Windows:
Microsoft hat eine Sicherheitslücke in seinem Betriebssystem eingeräumt. Diese ermöglicht es Hackern, sich Zugang zu Rechnern zu verschaffen und Daten auszuspähen. Nun hat das Unternehmen entsprechende Updates bereitgestellt, damit das Problem behoben werden kann. Nähere Informationen zum Vorfall auch unter: http://www.n-tv.de/technik/Microsoft-warnt-und-schimpft-auf-Google-article18987351.html, http://www.golem.de/news/patch-tuesday-microsoft-verteilt-patch-fuer-ausgenutzte-kernel-luecke-1611-124349.html
 
Neuer Reformanlauf für Anpassung des BDSG an die EU-Datenschutz-Grundverordnung:
Bundesinnenminister de Maizière hat einen zweiten Entwurf zur Anpassung des BDSG an die Datenschutz-Grundverordnung der Europäischen Union vorgelegt. Jüngst wurden die entsprechenden Verbände zur Stellungnahme hierzu aufgefordert. Auch in diesem Referentenentwurf des ABDSG versucht de Maizière, die verfassungsrechtlich bedenkliche Ausweitung der Videoüberwachung zu verankern. Weiteres zu dem neuen Gesetzesentwurf auch unter: https://www.heise.de/newsticker/meldung/Datenschutzverhinderungsgesetz-De-Maiziere-macht-neuen-Reformanlauf-3496930.html, https://netzpolitik.org/2016/neues-bundesdatenschutzgesetz-weniger-kontrolle-weniger-auskunftsansprueche-mehr-videoueberwachung/
 
Pressespiegel Datenschutz und IT-Sicherheit 10/16
Monatliches Themenupdate aus den Bereichen Datenschutz & Cybersecurity: 10/2016
 
Speicherung von IP Adressen durch Ministerien:
EuGH-Richter qualifizieren IP-Adressen zwar als personenbezogene Daten, sie dürfen unter Umständen jedoch dennoch auch von Ministerien gespeichert werden. Dieses Thema wird auch behandelt von http://www.zeit.de/digital/datenschutz/2016-10/eugh-urteil-ip-adressen-personenbezogene-daten 

Bundestag beschließt BND-Gesetz:
Der Bundestag hat neue Regeln beschlossen, welche die Befugnisse des BND zur Datensammlung ausdehnen. Die neue Reform begegnet vielen Bedenken. Die FDP will gegen das Gesetz klagen. Weiteres zum Thema auch unter http://www.tagesschau.de/inland/bnd-gesetz-reform-103.html, http://www.tagesspiegel.de/politik/neues-bnd-gesetz-totale-transparenz-waere-ein-witz/14722966.html, http://www.tagesspiegel.de/politik/nach-bundestags-beschluss-fdp-will-gegen-bnd-gesetz-klagen/14721106.html, http://www.sueddeutsche.de/politik/neues-bnd-gesetz-bnd-bekommt-eine-lizenz-zum-datensammeln-1.3212099

BKA will Einsatz des Staatstrojaners ausweiten:
Die Ausspähung von Kommunikation durch den Einsatz des sog. Bundestrojaner soll jetzt auch auf mobile Geräte, wie Smartphones und Tablets ausgedehnt werden. Die neue Software soll unbemerkt auf Geräten Verdächtiger installiert werden können. Das Thema wird auch angesprochen von https://www.tagesschau.de/inland/bka-trojaner-smartphones-tablets-101.html, http://www.sueddeutsche.de/politik/bundeskriminalamt-bundestrojaner-fuer-smartphones-und-tablets-1.3186711, http://www.sueddeutsche.de/news/politik/innere-sicherheit-medien-bundestrojaner-auch-fuer-smartphones-und-tablets-dpa.urn-newsml-dpa-com-20090101-161001-99-659970

DDoS-Angriff auf Internet-Dienstleister Dyn:
Der Internet-Dienstleister Dyn wurde von IP-Adressen im zweistelligen Millionenbereich angegriffen. Aufgrund des Angriffs waren populäre Internetfirmen wie Netflix und Amazon zeitweise nicht erreichbar. Weiteres zum Vorfall auch unter: http://www.golem.de/news/mirai-botnetz-dyndns-bestaetigt-angriff-von-zig-millionen-ip-adressen-1610-123981.html, http://www.security-insider.de/mirai-botnet-attackiert-dns-anbieter-dyncom-a-555345/, https://www.welt.de/wirtschaft/webwelt/article158986045/Diese-Attacke-war-der-Testlauf-einer-maechtigen-Cyberwaffe.html