Connect with us

Datenschutz & Sicherheit

Mit „IT-Notfallkarte“ und Co.: BSI hilft Arztpraxen bei IT-Sicherheit


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Arztpraxen sollen die Vorgaben der neuen IT-Sicherheitsrichtlinie leichter umsetzen können. Dafür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Materialien veröffentlicht. Sie sollen den Einrichtungen helfen, die Vorgaben der IT-Sicherheitsrichtlinie im Praxisalltag umzusetzen.

Weiterlesen nach der Anzeige

Das Angebot des BSI umfasst unter anderem einen Selbsttest, einen Kurzleitfaden sowie eine IT-Notfallkarte für den Ernstfall. Die Materialien richten sich vor allem an kleinere Praxen, die häufig keine eigene IT-Abteilung haben.

„Der Satz ‚Unsere Praxis ist zu klein, um Ziel von Hackern zu werden‘ ist leider ein gefährlicher Irrtum. Gerade haus- und allgemeinärztliche Praxen arbeiten mit hochsensiblen Gesundheitsdaten und sind deshalb attraktive Ziele. Umso wichtiger ist es, Mitarbeitende für typische Angriffsmuster zu sensibilisieren und IT-Sicherheit fest im Praxisalltag zu verankern“, sagt Pascal Jeschke aus dem Referat für Gesundheits- und Finanzwesen des BSI. Erfolgreiche Ransomware-Angriffe, unbefugte Zugriffe und Datenverluste könnten den Praxisbetrieb „erheblich stören oder zum Stillstand bringen“, warnt das BSI.

Die zusammen mit der Kassenärztlichen Bundesvereinigung (KBV) und der Kassenzahnärztlichen Bundesvereinigung (KZBV) überarbeitete IT-Sicherheitsrichtlinie schreibt unter anderem organisatorische Maßnahmen, regelmäßige Schulungen der Beschäftigten sowie technische Mindeststandards vor. Dazu gehören ein geregeltes Patch-Management, regelmäßige Datensicherungen, der Schutz von Endgeräten und Netzwerken sowie Vorgaben für den Einsatz von Cloud-Diensten.

Die neuen Materialien greifen Situationen aus dem Praxisalltag auf und geben beispielsweise Empfehlungen für den Umgang mit Phishing-Mails, den Einsatz externer IT-Dienstleister oder das Onboarding neuer Beschäftigter. Zudem verweist das BSI beim Austausch sensibler Patientendaten auch auf den Kommunikationsdienst KIM (Kommunikation im Medizinwesen), der E-Mails verschlüsselt innerhalb der Telematikinfrastruktur verschickt und sich bereits etabliert habe.

Weiterlesen nach der Anzeige


(mack)



Source link

Datenschutz & Sicherheit

Next.js strukturiert Sicherheitsmeldungen neu | heise online


Das JavaScript-Framework Next.js hat angekündigt, Sicherheitswarnungen künftig regelmäßig etwa einmal im Monat herauszugeben. Wichtige Updates kommen aber nach wie vor sofort. Das soll die Update-Planung für die Next-Anwenderinnen und -Anwender vereinfachen.

Weiterlesen nach der Anzeige

Die neuen monatlichen Sicherheitsnachrichten im Blog liefern einen Zeitplan, für welche Next-Versionen wann Updates zu erwarten sind. Die angekündigten Fixes sind außerdem nach Relevanz sortiert. Vor kritischen und schon verwendeten Lücken warnt Next nach wie vor ad hoc im Blog. Diese Lücken sollten Anwender sofort beseitigen.

Die erste Meldung soll am 20. Juli erscheinen und über kommende Updates für Next 15.5 und 16.2 mit hoher und mittlerer Relevanz informieren.

Next.js reagiert mit der Umstrukturierung wie viele andere Open-Source-Projekte auch auf die durch LLM-Reviews gesteigerte Menge an Sicherheits-Pull-Requests. Im Gegensatz zu anderen Teams hält der Next-Herausgeber Vercel aber am Bug-Bounty-Programm auf Hackerone fest.


(who)



Source link

Weiterlesen

Datenschutz & Sicherheit

Alte Cisco-Lücke attackiert: Leitfaden zum Schutz


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor aktuell beobachteten Angriffen auf eine Cisco-IOS-Schwachstelle, die bereits 18 Jahre auf dem Buckel hat. Zusammen mit zahlreichen internationalen IT-Sicherheitsbehörden hat die CISA zudem einen Leitfaden veröffentlicht, der helfen soll, Router gegen Angriffe insbesondere von staatlichen Akteuren aus Russland abzusichern.

Weiterlesen nach der Anzeige

Die IT-Sicherheitsbeamten der CISA haben die Cisco-IOS-Sicherheitslücke jetzt in den „Known Exploited Vulnerabilities“-Katalog aufgenommen. Es handelt sich um eine Schwachstelle vom Typ „Cross-Site Request Forgery“, bei der eine bösartige Webseite den Browser von angemeldeten Nutzern dazu bringt, Aktionen im Sinne der Angreifer auf der verwundbaren Webseite auszuführen. Betroffen ist die Web-Management-Oberfläche von Cisco IOS 12.4. Die Lücke ist seit 2008 bekannt und wurde damals bereits gefixt (CVE-2008-4128, CVSS 4.3, Risiko „mittel“).

In welchem Umfang die Angriffe ablaufen und wie sie konkret aussehen, nennt die CISA wie üblich nicht. IT-Verantwortliche sollten jedoch prüfen, ob sie noch verwundbare Geräte im Einsatz haben und diese aktualisieren, sofern das noch möglich ist, oder durch noch vom Hersteller unterstützte Geräte und Softwareversionen ersetzen.

Möglicherweise handelt es sich um Angriffe aus dem russisch verorteten Dunstkreis. Zusammen mit zahlreichen anderen internationalen Strafverfolgungs- und IT-Sicherheitsbehörden hat die CISA am Montag dieser Woche einen Leitfaden herausgegeben, der Admins helfen soll, Router vor Angriffen russisch-staatlicher Akteure zu schützen.

Insbesondere Mitglieder der Gruppe „Center 16“ des russischen Geheimdienstes FSB greifen schlecht konfigurierte und verwundbare Netzwerkgeräte auf globaler Ebene an und kompromittieren diverse kritische Infrastruktur-Netzwerke opportunistisch. Eine Grafik stellt den Aktionen der Agenten Gegenmaßnahmen gegenüber, etwa die Implementierung von SNMPv3 anstatt der anfälligen und unsichereren Versionen SNMPv1 und SNMPv2. Zudem sollen sichere Passwörter zum Einsatz kommen. Admins sollen demnach zudem Ciscos „Smart Install“ deaktivieren und SNMP-, TFTP- sowie SMI-Traffic auf der Firewall blockieren. Eine PDF-Datei geht etwas mehr in die Details und erwähnt explizit auch die nun als angegriffen gemeldete Cisco-IOS-Schwachstelle sowie die zuvor ausgenutzte Smart-Install-Lücke CVE-2018-0171.

Schwachstellen in Cisco-Produkten stehen bei Cyberkriminellen hoch im Kurs, ermöglichen sie doch regelmäßig Zugang zu Netzwerken. Zuletzt wurden etwa Angriffe auf Ciscos Unified CM Ende Juni beobachtet.

Weiterlesen nach der Anzeige


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Gegenwind für Bundesregierung: Mehr als eine halbe Million Menschen wollen Informationsfreiheit retten


Der Widerstand gegen die kürzlich im Koalitionsausschuss von Schwarz-Rot verabredete De-Facto-Abschaffung der Informationsfreiheit wächst weiter. Nicht nur haben sich mehr als 120 Organisationen aus der Zivilgesellschaft gegen die Pläne gestellt und zahlreiche Medien für das wichtige Gesetz Partei ergriffen, auch eine Petition von FragDenStaat hat ungewöhnlich viel Zulauf erreicht: Sie hat innerhalb einer guten Woche gerade die Marke von 500.000 Unterzeichner:innen geknackt.

Schon in der letzten Woche war ein Positionspapier aus der SPD-Bundestagsfraktion bekannt geworden, das netzpolitik.org im Volltext veröffentlicht hat. In diesem Papier der AG Inneres, AG Digitales und AG Recht heißt es deutlich: „Es darf nicht zu einer Reduzierung der bestehenden Auskunftsansprüche für Bürgerinnen und Bürger, für Presse und Zivilgesellschaft kommen.“

Gegenüber der eigenen Koalition machen die SPD-Abgeordneten eine klare Ansage: „Für eine Abschaffung des bisherigen Transparenzniveaus des Informationsfreiheitsgesetzes wird es keine Zustimmung der SPD-Bundestagsfraktion geben.“

„Völlig überfahren“

Der Tagesspiegel hatte zudem erfahren, dass die SPD-Politiker:innen von dem Vorstoß des Koalitionsausschusses offenbar überrascht wurden. „Wir wurden völlig überfahren“, sagte einer gegenüber dem Medium.

Johannes Schätzl, der für die SPD-Fraktion im Innenausschuss sitzt, sagte dem Medium: „Die Beschlüsse des Koalitionsausschusses sehen vor, Kernelemente dieses Gesetzes so einzuschränken, dass es einer De-facto-Abschaffung des IFG gleichkäme“. Weiter erklärte der Abgeordnete: „Ich werde einer solchen Gesetzesänderung meine Zustimmung verweigern.“. Auch andere SPD-Abgeordnete haben laut dem Bericht angekündigt, dass die Pläne mit ihnen „nicht zu machen“ seien.

Der Tagesspiegel berichtet zudem von Vermutungen, die Bundesregierung sei vom Ausmaß des Widerstandes überrascht worden. Man munkle im Regierungsviertel, sie habe die Sprengkraft des Themas unterschätzt und wohl gehofft, dass die Sache zwischen all den anderen Großvorhaben untergehe.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Behörden stellen sich gegen Bundesregierung

Kritik an den Plänen kommt auch von den für die Informationsfreiheit zuständigen Behörden. Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) sowie die Konferenz der Informationsfreiheitsbeauftragten hatten die Pläne mit deutlichen Worten abgelehnt. Letztere bezeichneten die Argumente für die Einschränkung der Transaprenz wie etwa Bürokratieabbau und Sicherheit als Vorwand.

Die BfDI Louisa Specht-Riemenschneider sieht in dem Vorhaben nicht nur „im Ergebnis die Abschaffung“ der Informationsfreiheit, sondern kritisiert auch, dass der Grundgedanke eines grundsätzlich voraussetzungslosen Zugangs zu amtlichen Informationen in sein Gegenteil verkehrt würde. Denn in Zukunft sollen Anfragende ein „berechtigtes Interesse“ an den abgefragten Dokumenten darlegen. Bislang muss der Staat begründen, wenn er Informationen nicht herausgeben will.

Specht-Riemenschneider kritisiert zudem, dass die Pläne in Zukunft eine große Anzahl von Menschen in Deutschland ausschließen würde. Die Koalition plant das Auskunftsrecht auf Deutsche und EU-Bürger:innen zu beschränken. Die BfDI sagt, dies führe zu einer undemokratischen Zwei-Klassen-Informationsfreiheit.

Auch international Befürchtungen

Die Pläne der Bundesregierung lösen nun auch international Befürchtungen aus. Die Menschenrechtsorganisation Human Rights Watch fordert die Bundesregierung in scharfen Worten auf, die geplante Abschaffung der Informationsfreiheit zu stoppen. Die Pläne würden „grundlegende Menschenrechte gefährden, die für Transparenz und die Beteiligung der Öffentlichkeit in einer rechtsstaatlichen Demokratie unerlässlich sind.“

Der Südwestrundfunk berichtet, dass Deutschland bei der Transparenz schon heute nur auf Platz 127 rangiere – oftmals sogar noch hinter autoritären Staaten. Die Pläne der Bundesregierung würden hier zu einem weiteren Absinken des Standards führen.



Source link

Weiterlesen

Beliebt