:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/69/4f6904a6142ebe0d7976702b7c15b358/0118451654.jpeg "Das Sicherheitsupdate KB5034441 verursacht teilweise den Fehler 0x80070643, Microsoft wird dafür aber keinen Patch liefern. (Bild: EricPictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/8e/3e8e988f993f4ba20cce249a687c241a/0118481662.jpeg "Zero-Day-Schwachstellen stellen ein erhebliches Sicherheitsrisiko dar, da sie von Angreifern ausgenutzt werden können, bevor ein Patch oder eine Lösung verfügbar ist. (Bild: Duminda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6fa12509d231ae90bf82565b5380eb/0118478841.jpeg "Verletzungen der Datensicherheit stellen laut „Check Point Cloud Security Report 2024“ die häufigsten Cloud-Sicherheitsvorfälle dar. (Bild: Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/1f/711feeca53f58761a7d711bf317aec47/0118276223.jpeg "Cullen Childress von SolarWinds warnt davor, KI zu vorschnell einzusetzen – mahnt in Sachen KI aber auch Technologie- und Fortschrittsoffenheit an. (Bild: SolarWinds)")
:quality(80)/p7i.vogel.de/wcms/c3/02/c302cd9efb930246cc8bde485a6f83ec/0118446808.jpeg "Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/fe/ecfedd957eedeac7cc7065d618af1d28/0118442753.jpeg "Viele Unternehmen nutzen in ihren Netzen unverschlüsselte Protokolle wie HTTP, Telnet und SMBv1 oder v2, was Angreifern die Bewegung im Netzwerk ungemein erleichtert, wenn sie erst einmal eingedrungen sind. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0f/3a0f48a72d0ec33c3e9979f639caff9d/0118466573.jpeg "Mark Barcham, Head of Services Sales & Go-to-Market EMEA bei Arrow. (Bild: Arrow Electronics/Canva)")
:quality(80)/p7i.vogel.de/wcms/20/0a/200a0580874f1b3875df1b9bc65e8a39/0118421857.jpeg "Netbird verbindet die Sicherheit und Geschwindigkeit von WireGuard mit einer zentralen Zugriffssteuerung. Das Tool ist außerdem beim Einsatz mit bis zu 5 Personen und 100 Geräten kostenlos. (Bild: Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/0d/cf0dcef3b9de9eb898ff2e52367e3047/0118249659.jpeg "Microsoft stellt Hotfixes für Exchange 2016 und 2019 zur Verfügung. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/91/5491e2c59cbe3754d963cbdac6f6be13/0118349502.jpeg "Aktuell gibt es umfassende Phishing-Angriffe auf LastPass-Nutzer. (Bild: Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1f/941f77db5c1061ab5dafafb8d25a12b8/0118037871.jpeg "Cyberangriffe werden zunehmend als Bedrohung für die deutsche Wirtschaft wahrgenommen. In diesem Kontext bedeutet Glasfaserinternet für einen Großteil der Befragten Zuverlässigkeit und Stabilität. (Bild: 1&1 Versatel)")
:quality(80)/p7i.vogel.de/wcms/4b/c8/4bc87650edb2e4b320682b42c3000b8b/0118377216.jpeg "Der anhaltende Trend zum Hybrid Work bietet Cyberkriminellen neue Angriffsmöglichkeiten. (Bild: DuxX / Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e4/1ee4a9d2562c92bac2d083669724265c/0118433741.jpeg "Fast drei Viertel der deutschen Unternehmen befürwortet mehr Verantwortung für die Lieferkette, besonders KMU sehen sich aber hohem Aufwand gegenüber. (Bild: kentoh - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Beschleunigte Sicherheitszertifizierung von IT-Produkten BSI verschärft Anforderungen an E-Mail-Sicherheitslösungen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verschärft die Anforderungen an E-Mail-Sicherheitslösungen. Das ist gut für die Verwaltung, gut für die Bürgerinnen und Bürger und letztlich auch gut für die Hersteller. Neu ist, dass das BSI nun auch einzelne Softwareprodukte zur E-Mail-Sicherheit prüft und zertifiziert.
Verwaltungen aller föderalen Ebenen stehen im Visier von Cyberkriminellen. E-Mails sind dabei das häufigste Einfallstor für erfolgreiche Angriffe. Das BSI wird deshalb zu Recht nicht müde zu betonen, dass Landes- und Bundesbehörden sowie Kommunalverwaltungen und kommunale Betriebe insbesondere auf eine sichere E-Mail-Kommunikation achten sollten. Selbst in den vermeintlich sicheren, internen deutschen Regierungsnetzen waren laut aktuellem BSI-Lagebericht im vergangenen Jahr pro Tag rund 775 E-Mails mit Schadprogrammen unterwegs. Über die Anzahl der Schad-E-Mails in den Posteingängen der Verwaltung lässt sich nur spekulieren – aber die Liste gehackter Kommunen und andere öffentliche Einrichtungen ist lang.
Vor diesem Hintergrund nimmt sich das BSI des Themas E-Mail-Sicherheit verstärkt an. Es gibt deutlich präzisere Empfehlungen und Richtlinien heraus. So wurde mit der Technischen Richtlinie TR-03108 „Sicherer E-Mail-Transport“ jüngst das Angebot geschaffen, für E-Mail-Dienste nach einer Konformitätsprüfung ein BSI-Zertifikat zu erhalten, das die Einhaltung dieser Richtlinie bescheinigt. Das IT-Sicherheitskennzeichen des BSI umfasst auch E-Mail-Client-Software – hat aber Consumer-Produkte im Fokus und ist als reine Hersteller-Konformitätserklärung für Verwaltungen nicht von Relevanz.
Deutlich darüber hinaus geht die „Beschleunigte Sicherheitszertifizierung“ (BSZ). Das BSI hat nun erstmals ein Mail-Security-Softwareprodukt nach diesem besonders strengen Verfahren zertifiziert. Dabei werden im Gegensatz zu anderen Zertifizierungen eine intensive Prüfung mit realen Angriffsszenarien sowie intensive Penetrationstests vorgenommen. Auch die Implementierung der im Produkt verwendeten kryptographischen Funktionen und Verfahren wurde durch die vom BSI anerkannte Prüfstelle Secuvera – ein unabhängiger Spezialist für IT-Sicherheit mit anerkannt hoher Reputation – auf Fehler und Schwachstellen untersucht. Bisher wurden im BSZ-Rahmen ausschließlich Hardware-basierte Produkte, sogenannte Security-Appliances, zertifiziert. Nun wurde erstmals ein Security-Produkt getestet, das als Software auf der Basis von Windows Server ausgeliefert wird und als On-Premises- sowie als Cloud-Lösung verfügbar ist.
Das BSZ-Zertifikat wird jeweils für zwei Jahre erteilt und beinhaltet auch die Verpflichtung des Herstellers, bekannt gewordene Schwachstellen umgehend zu schließen. Für die öffentliche Verwaltung bedeutet das, dass jetzt ein geprüftes Produkt bereitsteht, das die Richtlinien des BSI verlässlich erfüllt. Kommunalverwaltungen, öffentliche Unternehmen, Landes- und Bundesbehörden, sowie insbesondere die IT-Dienstleister in der Verwaltung können die Empfehlungen des BSI zur E-Mail-Sicherheit kaum ignorieren. Potenzielle Unsicherheiten bei der Auswahl von Produkten oder dem sogenannten Stand der Technik, der umzusetzen ist, gehören durch die Zertifizierung von Produkten der Vergangenheit an. Die Forderung einer Zertifizierung nach BSZ durch das BSI sollte zukünftig in keiner Ausschreibung für E-Mail-Sicherheit fehlen.
Mit der dedizierten Zertifizierung von Produkten liefert das BSI einen wichtigen Beitrag, von dem alle Akteure im Markt profitieren werden, und wird seiner Rolle als führende Institution für Sicherheit in der Informationstechnik gerecht. Für öffentliche Verwaltungen und Organisationen bedeutet das einen wesentlichen Schritt in Richtung mehr Sicherheit und Vertraulichkeit in der E-Mail-Kommunikation, sowie eine rechtlich gestützte Grundlage für Entscheidungen. Bürgerinnen und Bürger können verlässlich auf einen sicheren Umgang mit ihren Daten vertrauen und werden von wochenlangen Ausfällen öffentlicher Einrichtungen durch erfolgreiche Ransomware-Attacken verschont. Auch für Hersteller und Dienstleister bietet das BSI damit Klarheit über die geforderte Leistung, wenn sie im Public Sector und im KRITIS-Umfeld erfolgreich E-Mail-Security anbieten wollen.
Besonders erfreulich ist, dass die nun als weltweit erste vom BSI nach dem BSZ zertifizierte Mail-Security-Software aus Deutschland kommt. Für Spitzentechnologie im Softwarebereich muss man also nicht immer über den großen Teich schauen. Das Gute liegt oft so nah – in diesem Fall in Paderborn mit NoSpamProxy von Net at Work.
Über den Autor: Bernd Hoeck ist freier Journalist und IT-Experte.
(ID:50011578)
:quality(80)/p7i.vogel.de/wcms/6a/e4/6ae43ba5c2e9c7acfc3bb0afcb48b2c6/0118130926.jpeg "Gehärtete VPN-Lösungen mit BSI-Zulassung für VS-NfD sichern Behörden und Ämter stets verlässlich ab – sowohl im Büro als auch im Homeoffice. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/6a/d86a6974cb05acab0d09b237ab41b388/0115786247.jpeg "Der aktualisierte Cyber Resilience Act beinhaltet präzisere Definitionen durch die Rechtsunsicherheiten und Überregulierung vermieden werden sollen. (© vege – Getty Images via Canva.com)")