Seiten

Freitag, 6. Dezember 2019

Windows 7 ablösen - aber richtig! Tipps vom yourIT-Team

Der Countdown läuft bis zum 14. Januar 2020. An diesem Tag wird Microsoft die letzten Sicherheits-Patches für Windows 7 bereitstellen. Danach endet der Support für dieses Betriebssystem. Wenn Sie noch Windows 7 PCs verwenden, sollten Sie spätestens dann auf ein anderes Betriebssystem umsteigen. Was es dabei zu beachten gilt, zeigen wir Ihnen im nachfolgenden Beitrag.


Die Qual der Wahl? Windows 10 in 32-Bit oder 64-Bit-Version?


Grundsätzlich empfehlen wir die 64-Bit-Version. Das liegt daran, dass sie normalerweise ein wenig schneller als die 32-Bit-Variante ist. Programme, die nur in der 64-Bit-Version laufen, verwenden kann und den Speicher effektiver verwaltet. Schwierigkeiten können eigentlich nur die Treiber bei älteren Geräten machen. Betroffen sein können eigene Treiber des Rechners genauso wie die von Druckern, Scannern und anderen Peripheriegeräten. Meist stellen die Hersteller 64-Bit-Treiber für Windows 10 bereit. Ist dies nicht der Fall, empfiehlt es sich, den Umweg über Windows 8.1 zu gehen. Die entsprechenden 32-Bit-Treiber laufen oft auch unter Windows 10.

Windows 7 ablösen - aber richtig! Tipps vom yourIT-Team
Windows 7 ablösen - aber richtig! Tipps vom yourIT-Team

Wer allerdings Office 2010 verwenden will, der sollte unbedingt die 32-Bit-Variante von Office 2010 nehmen. Grund dafür sind Inkompatibilitäten der 64-Bit-Version von Office 2010. Zu beachten ist aber, dass es für Office 2010 nur noch bis Oktober 2020 Support gibt.

Welcher Migrationspfad ist der richtige?


Am einfachsten ist es natürlich, wenn Sie alle ihre Windows-7-Computer gegen neue mit Windows 10 eintauschen. Die Einführung von Windows 10 ist spürbar kostengünstiger als zuvor bei Windows 7. Allerdings müssen neue Rechner angeschafft werden, wenn man nicht Windows 10 auf den vorhandenen Geräten installieren will. Jedenfalls ist es angesichts der Kürze der Zeit bis Mitte Januar 2020 keine Option, einfach zu warten bis die Bestandscomputer einfach aus Altersgründen aussortiert werden.

Unabhängig davon, welche Hardware man wählt, sollte man auf die Migration Schritt für Schritt durchführen. Am einfachsten wird es, wenn man Skaleneffekte nutzen kann, z.B. weil Geräte mit viele gemeinsamen Eigenschaften gleichzeitig umgestellt werden. Auswahlkriterien dafür sind z.B. alle Geräte, auf denen ein und dieselbe wichtige Anwendung installiert ist oder alle Rechner einer Abteilung.

Was für Geräte gibt es eigentlich im Unternehmen – Inventarisierung!


Wer Windows 10 auf vorhandenen Computern installieren will, muss als erstes die Geräte erfassen und auflisten, die für Windows 10 geeignet sind. Hier empfiehlt sich das kostenlos von Microsoft bereit gestellte „Assessment and Planning Toolkit“. Wer mag, kann dafür den ebenfalls kostenlosen Windows 10 Check Report von Aagon verwenden. Der nächste Schritt ist die Inventarisierung der gesamten Software, die im Unternehmen Verwendung findet. Das ist eine Voraussetzung für die Neuinstallation aller Programme unter Windows 10.

Es bietet sich an, diesen Moment zu nutzen, und eine Gesamtinventur der Anwendungen im Unternehmen zu machen. Als Tool der Wahl kann die Softwareinventarisierung von Client-Management-Systemen dienen. Eine von deren Funktionen ist häufig eine Prüfung der vorhandenen Software dahingehend, ob die noch auf dem neusten Stand ist. Hinzu kommt, dass diese Systeme die Anwendungen aktualisieren, nachdem alle Komponenten neu installiert wurden.

Testen Sie die Kompatibilität, denken Sie an die Arbeitszeit und die Kollegen aus den Fachbereichen


Vor der Migration ist es unabdingbar, einen Test aller Anwendungen unter Windows 10 durchzuführen. Erliegen Sie nicht der „Versuchung“, die nur die IT-Mitarbeiter mit dem Test der Software zu beauftragen. Denn eine Anwendung sollte im Praxisbetrieb getestet werden, sprich „Poweruser“ sollten prüfen, ob „ihre“ Software auch unter Windows 10 alle Funktionen bietet. Wer versteckte Fehler noch gewissenhafter aufdecken will, sollte sogar Mitarbeiter, die im Umgang mit einer bestimmten Software wenig Erfahrung haben, an diese heranlassen. Sie arbeiten bei der der Suche nach einer Funktion oft mit Versuch und Irrtum, was eben zur zufälligen Entdeckung von Fehlern führt.

Der Test sollte sich auch auf Anwendungen erstrecken, die automatisch Daten miteinander austauschen wie zum Beispiel die CRM-Software mit dem Mailprogramm. Was passiert, wenn eine Software schon unter Windows 10 arbeitet, die andere jedoch noch nicht? Klappt der Datenaustausch reibungslos?

Hätten Sie’s gewusst? Wenn Sie Windows 7-ablösen, müssen Sie auch an den Server 2008 R2 denken!


Parallel zum Supportende für Windows 7 endet der Support für Windows Server 2008 und 2008 R2. Betroffen ist auch, wer einen Small Business Server 2011 im Einsatz hat. Denn dieser baut auf dem Server 2008 R2 auf. In der Konsequenz erhält auch er keine Updates mehr. Mehr noch: Microsoft bietet keinen kostengünstigen Nachfolger für den Small Business Server an, was bedeutet, dass zwangsläufig zu überlegen ist, wie der Exchange Server migriert wird. Der einfache, aber nicht die eher teurere Variante ist der Umstieg auf die aktuelle Version. Wer es kostengünstiger mag, kann die Exchange-Lösungen unter Office 365 wählen – oder gleich zu einer alternativen Lösung wechseln.

Was Windows 10 in einer Windows Domäne angeht, so funktioniert seit dem Server 2008 R2 das Zusammenspiel weitestgehend reibungslos. Wer einen WSUS einsetzt, braucht diesen in der Version 4 und damit mindestens einen Windows Server 2012. Damit das Updaten von Windows 10 funktioniert, ist hier noch etwas Handarbeit nötig. Ein Server-Update z.B. auf WinServer 2016, ist in jedem Fall dringend erforderlich, wenn man auch die Sicherheit seiner Unternehmens-IT nicht vernachlässigen will.

So umgehen Sie die Linzenzfalle Windows 10 und Virtualisierung


Erfreulich für alle, die Windows 7 virtualisiert haben: das geht auch bei Windows 10. Nur, wenn Sie das für das neue Betriebssystem auch planen, ist das nicht so einfach. Denn ohne ganz eigene Lizenzen, die so genannten VDA-Lizenzen geht das nicht. Bei einer Virtualisierung sind die Lizenzbedingungen von Server und Workstation extrem unterschiedlich. Zunächst einmal darf man eine Windows-Server-Standardlizenz auf einem virtuellen System zweimal installieren: damit erspart man sich kostenmäßig ungefähr die Hälfte. Aber: die Virtualisierung von Workstation-Betriebssystemen erfordert spezielle Lizenzen, die deutlich teurer kommen. Empfehlenswert, weil normalerweise günstiger, ist es daher einen Windows Terminal Server zu verwenden.

Vorsicht! Virtuelle Workstations ohne Lizenzen zu verwenden, kann unangenehm teuer werden, wenn dies bei einer Lizenzprüfung aufgedeckt wird.

Was tun mit lokalen Daten bei der Migration?


Gängige Praxis in vielen Unternehmen, wenn auch in ebenso vielen Unternehmen In der Regel verboten, ist das lokale Speichern von Daten. Und ja, bei der Migration zu Windows 10, dürften diese Daten zu einem Problem werden. Was tun, um dies zu vermeiden?

Der erste Schritt ist, das „User State Migration Tool“ (USMT) von Microsoft zur Hand zu nehmen. Es dient unter anderem dazu, lokal auf einem PC abgelegte Daten zu sichern und wiederherstellen. Da USMT auch automatisiert betrieben werden kann, haben Sie die Möglichkeit, es auch mit Client Management-Systemen zu steuern. Allerdings, und das ist der Pferdefuß bei USMT, muss die XML-Konfigurationsdatei für die Konfiguration manuell angepasst werden. Eine Variante ist der nicht so komplizierte Zugriff auf eine der angebotenen GUIs. In Frage kommt z.B. die USMT GUI aus dem Microsoft Scriptcenter.

Richtig komplex wird es, wenn USMT die Anforderungen nicht erfüllt oder wenn man zur Not auf den gesamten Ausgangsrechner zugreifen will.

Einfach ist es noch, wenn der alte PC gegen einen neuen ausgetauscht wird. Man kann ihn zum Übergang einlagern, um ihn bei Bedarf zu reaktivieren. Wer aber Windows 10 auf den vorhandenen Rechner aufspielt, muss, um für alle Fälle gerüstet zu sein, ein Backup erstellen. Drei kostenlos erhältliche und zuverlässige Produkte kommen hierfür in Frage: die im Betriebssystem enthaltene Windows Datensicherung, auch wbadmin genannt, Veeam Workstation Version, oder auch der VMware Converter. Wohin aber sollen die Daten gesichert werden? für einen kleinen Betrieb mit wenigen PCs genügt es sicherlich, dafür einfach USB- Platten zu verwenden

Meist aber findet für die Sicherung der Daten ein zentrales Speichermedium Verwendung, wofür der Platz auf den vorhandenen Servern aber nicht genügen wird. Empfohlen werden daher kostengünstige Alternativen wi NAS-Systeme, angebunden über iSCSI, und im Falle von erheblichen Datenmengen, ein dedizierter Backupserver.

Knifflig wird es, wenn man zum Beispiel für die Sicherung den VMware Converter nutzt und dabei den gesamten Rechner virtualisiert. Hier betritt man eine rechtliche Grauzone. Denn mit der Inbetriebnahme des virtualisierten Rechners wird strenggenommen eine Windows VDA-Lizenz fällig. Wer aber dennoch den VMware Converter verwendet, sollte vorher die Festplatten defragmentieren. Dies hilft, Konvertierungsfehler zu vermeiden. Die entsprechende Einstellung lässt sich auch über die Gruppenrichtlinien vornehmen, am besten geeignet für diese Aufgaben sind aber aber Client Management Systeme, wegen ihrer Bedienerfreundlichkeit.

Lokale Benutzereinstellungen und die Migration

Selbst im unwahrscheinlichen Fall, dass es in einem Unternehmen tatsächlich keine Geschäftsdaten auf lokalen Endgeräten gibt, dürften dennoch lokale Einstellungen zu übertragen sein. Hier kommt es darauf an, einen guten Plan zu entwickeln, denn diese Aufgabe kann durchaus eine Herausforderung darstellen. Für die Betriebssystemeinstellungen, Links zu Dateien und Anwendungen, und die Konfiguration der Office Produkte genügt das schon erwähnte Microsoft „User State Migration Tool“ (USMT). (siehe dazu im Detail: „Was tun mit lokalen Daten bei der Migration“).

Nicht außer Acht lassen sollte man auch die Anwendungen anderer Hersteller. Denn sie bergen häufig wichtige Informationen, die unbedingt übernommen werden sollten. So enthalten die Webbrowser der Mitarbeiter in der Regel eine Sammlung von Links, aber auch Kennwörtern für die automatische Anmeldung an Webportalen. Auch wenn dies aus Gründen der Informationssicherheit nicht sein sollte, ist es doch gängige Praxis. Und wer will ernsthaft, dass ein Mitarbeiter sich nach der Migration am Webshop des Lieferanten nicht mehr anmelden kann und damit den einen oder anderen Unternehmensprozess ausbremst? Hier gilt es, die von den jeweiligen Anbietern bereitgestellten Tools zu nutzen, wenn man diese Daten ohne Verluste in das neue System übertragen möchte.

Mehr Sicherheit vor Cyberattacken durch die Migration auf Windows 10

Noch anspruchsvoller kann es werden, wenn man Daten von Dokumentenmanagement-oder ERP-Systemen übernehmen möchte. Denn das geht selten ohne die aktive Mitarbeit des Herstellers. Damit das reibungslos funktioniert, sollte man sich frühzeitig vorbereiten und Schulungstermine oder eine externe Beratung vereinbaren. Eine Erfahrung aus der Ablösung von Windows XP ist, dass die Berater von Herstellern umso schwerer zu erreichen sind, desto näher der Termin der Umstellung kommt.

Ihr Werkzeugkasten – ein Client Management System hilft effizient


Eine große Hilfe bei der Migration auf Windows 10 sind die von Microsoft bereit gestellten Tools, die die Durchführung schon erheblich erleichtern. Allerdings sollten Sie dennoch zusätzliche Werkzeuge nutzen! Denn so vermeiden Sie den mit einer manuellen Zeitumstellung verbundenen manuellen Aufwand. Zudem ersparen Sie den IT-Mitarbeitern einen durch steigende Supportanfragen hervorgerufenen Stress. Die Migration bringt übrigens einen schönen „Nebeneffekt“ mit sich, der Ihrem Unternehmen auch nach dem Januar 2020 helfen wird: Die im Zuge dieses Prozesses erfolgten Datenerfassungen und Geschäftsprozess-Analysen eröffnen Ihnen Chance, interne Abläufe und Produkte so zu standardisieren, dass sie zu einer Arbeitserleichterung führen.

Wie hilft nun ein Client-Management-System im Einzelnen bei der Umstellung? Es inventarisiert jeden Rechner, sichert ihn automatisch und spielt dann, ebenso automatisch, das neue Betriebssystem mit allen Anwendungen, Treibern, Druckern und lokalen Einstellungen auf. Diese Automatisierung beschleunigt die Migration erheblich, zumal ja schon vorher - wie beschrieben - die Planung begonnen hat. Nach nur wenigen Stunden haben Sie umfassend Kenntnis darüber,

  • ... welche Geräte bereit sind für Windows 10 
  • ... welche Software auf den PCs installiert ist
  • ... inwieweit diese Software tauglich für Windows 10 
  • ... welche Treiber zusätzlich nötig sind für die Migration 
  • ... welcher PC an welche Drucker, Scanner, Kopierer etc. angeschlossen ist und welche Treiber dafür installiert sind
  • ... welche Client-Rechner aktuell schon nur noch freien Speicherplatz auf der Festplatte haben
  • ... welche Lizenzen vorhanden sind
  • ... wo Anwendungen im Unternehmen ungenutzt „herumliegen“, obwohl sie installiert sind
  • ... wie hoch der Bedarf an Datenvolumen für eventuelle Backups ist
  • ... ob eigentlich Sicherheitslücken bestehen, z.B. weil Sicherheits-Patches fehlen

Mit diesen Informationen können Sie die Windows 10-Migration besser planen. Das Client-Management -System hilft auch bei den Anwendertests und führt die meisten Installationsarbeiten selbsttätig durch.

Die „Gesamtinventur“, die dieses System ermöglicht, bietet die Basis für eine Neuorganisation und Standardisierung der „Software Policy“ in Ihrem Unternehmen. Das sollten Sie auf jeden Fall nutzen. Zusätzlich unterstützt es Sie bei der Pflege der Anwendungen, liefert nicht nur dem Helpdesk neue Informationen, sondern auch ständig neue Daten für die Ressourcenplanung. Das können z.B. Aktualisierungen zum Bedarf an Lizenzen sein. Diese Übersicht über die im Unternehmen verwendeten Lizenzen bietet eine verlässliche Grundlage, um eine jederzeit mögliche Lizenzprüfung einschätzen zu können.

Sie brauchen Hilfe? Wir unterstützen Sie gerne!


Mit dem  neuen Betriebssystem Windows 10 bleiben Sie immer auf dem neuesten Stand. Sie sind für die Zukunft abgesichert, denn eine so große Migration wird laut Microsoft künftig nicht mehr vorkommen.

Außerdem profitieren Sie durch den Umstieg auf Windows 10 von verbesserten Sicherheitsfunktionen.

Pünktlich zum Umstieg helfen Ihnen die Experten von yourIT bei folgenden Aufgaben:
- Bestandsaufnahme Ihrer IT-Infrastruktur
- Auswahl des neuen Systems
- Identifizierung möglicher Konflikte bei der Migration
- Rollout des Betriebssystems auf alle Ihre Clients
- Installation der richtigen Software
- Verteilung zusätzlicher oder optionaler Programme

Und das schnell, kostengünstig und effizient.

Fragen Sie uns jetzt an unter https://www.yourit.de/kontakt. Wir unterbreiten Ihnen zeitnah ein Angebot.

P.S. 1: Seit dem 1. Januar 2018 gilt das neue Abschreibungsgesetz für geringwertige Wirtschaftsgüter. Demnach können diese bis zu einem Wert von 800 Euro sofort abgeschrieben werden. Eine gute Gelegenheit, noch in diesem Kalenderjahr neue PCs anzuschaffen und zu 100% bei der Steuererklärung anzusetzen.

P.S. 2: Ggf. stehen Ihrem Unternehmen in diesem Jahr noch Fördermittel für diese Optimierung Ihrer IT-Sicherheit zu. Wir prüfen das gerne für Sie. Nennen Sie uns bei Ihrer Anfrage einfach das Stichwort "Fördermittel".

Mittwoch, 25. September 2019

Drucker-Sicherheit: Wenn der Drucker zum Datenleck wird

Nicht nur wenn Sie einen vertraulichen Ausdruck am Drucker liegen lassen, ist der Datenschutz bedroht. Auch über das Internet erfolgen Attacken auf Drucker in Unternehmen und Privathaushalten. Drucker brauchen daher Aufmerksamkeit.


Drucker als Einfallstor


Drucker stehen schon so lange in Unternehmen und Home Offices, dass kaum jemand auf die Idee käme, sie als Teil des Internet of Things (IoT) zu sehen. Tatsächlich aber sind vernetzte Drucker nichts anderes als IoT-Geräte. Allein dieser Hinweis sollte aufschrecken lassen: Aktuell wird häufig über Schwachstellen in IoT-Systemen berichtet. Das Internet der Dinge zählt zu den besonders beliebten Angriffszielen. Also sollte man auch damit rechnen, dass Drucker mit Netzwerkanschluss angegriffen werden.

Drucker-Sicherheit: Wenn der Drucker zum Datenleck wird
Drucker-Sicherheit: Wenn der Drucker zum Datenleck wird

Tatsächlich geschieht genau das: Forscher von Microsoft haben kürzlich festgestellt, dass die russische Hackergruppe „Fancy Bear“ gezielt IoT-Systeme angreift, darunter zahlreiche Netzwerkdrucker. Doch das ist nur ein Beispiel von vielen.

Freitag, 14. Juni 2019

EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten

Die führenden Cloud-Anbieter AWS, Google und Microsoft stammen aus den USA. Es stellt sich daher die Frage, wie sich der Datenschutz in diesen Clouds gewährleisten lässt. Aufsichtsbehörden haben Hinweise dazu gegeben.


Das Trio der Public-Cloud-Anbieter


Geht es um den Einsatz von öffentlichen, gemeinsam genutzten Cloud-Diensten (Public Cloud), fällt die Wahl meist auf einen der drei großen US-Anbieter. Laut der aktuellen RightScale-Studie „State of the Cloud Report“ setzen 61 Prozent der weltweit befragten Firmen auf Amazon Web Services (AWS), 52 Prozent auf Microsoft Azure und 19 Prozent auf die Google Cloud. Offensichtlich nutzen Unternehmen sogar mehr als einen Cloud-Dienst aus den USA. Von den Cloud-Diensten versprechen sich Unternehmen eine flexible Nutzung von IT-Diensten, Kostenvorteile im Vergleich zur internen IT und weniger Aufwand für das eigene IT-Personal.

EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten
EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten

Doch Flexibilität, Kostenreduktion und ein geringerer Aufwand in der IT-Abteilung sind nicht alles, um was es gehen sollte. Denn bei Cloud-Diensten aus den USA können Unternehmen nicht einfach davon ausgehen, dass die Forderungen aus der EU-Datenschutzgrundverordnung (EU-DSGVO) der EU erfüllt sind.

Aufsichtsbehörden fordern ein angemessenes Datenschutzniveau


Bevor ein deutsches Unternehmen einen Cloud-Dienst aus den USA nutzt, muss es sicherstellen, dass der Anbieter die EU-DSGVO-Anforderungen erfüllt. Da nicht nur die IT-Abteilung, sondern vielfach auch die Fachbereiche und einzelne Nutzer zu Cloud-Services greifen, sollte jeder potenzielle Cloud-Nutzer daran denken, das Datenschutzniveau zu hinterfragen.

Beispiel: Vorgaben für Microsoft Azure


Eine Aufsichtsbehörde für den Datenschutz hat kürzlich Hinweise dazu veröffentlicht, worauf im Fall von Microsoft Azure zu achten ist. Das lässt sich auch als Beispiel für andere Cloud-Dienste aus den USA nutzen.

Als Voraussetzungen für einen datenschutzgerechten Einsatz nennt die Aufsicht:
  • eine wirksame Zusatzvereinbarung, die die Vorgaben für eine Auftragsverarbeitung (Artikel 28 EU-DSGVO) enthält,
  • eine Verschlüsselung der Daten unabhängig vom Cloud-Anbieter (HYOK, Hold Your Own Key, Hoheit über den Schlüssel beim Nutzer selbst) und
  • eine Möglichkeit, den Versand von Nutzungsdaten (Telemetriedaten) an den Cloud-Anbieter zu unterbinden.
Vor dem Einsatz eines Cloud-Dienstes aus den USA ist zudem eine Risikoanalyse (Datenschutz-Folgenabschätzung (kurz DS-FA) gemäß Artikel 35 EU-DSGVO) nötig. Ist es dem Unternehmen oder Nutzer nicht möglich, diese Voraussetzungen zu gewährleisten, empfiehlt es sich aus Sicht des Datenschutzes, auf entsprechende Cloud-Dienste aus den USA zu verzichten.

Wichtig ist es nun, auf weitere Hinweise der Aufsichtsbehörden zu achten und in Zu-kunft solche Cloud-Dienste zu verwenden, die ein Datenschutzzertifikat vorweisen können, das der EU-DSGVO entspricht. Hier wird es in naher Zukunft zahlreiche Cloud-Angebote geben.

Was können wir für Sie tun?


Unser yourIT-Datenschutz-Team unterstützt Sie gerne bei der Anforderung bzw. der Erarbeitung der erforderlichen Datenschutzvereinbarungen (Verarbeitung zur Auftragsverarbeitung (AVV), Verarbeitungs-Dokumentation, DS-FA).

Angebote DSGVO-konformer Private-Cloud-Anbieter sowie Unterstützung bei der technischen Auswahl des zu Ihrem Unternehmen und Ihren Anforderungen passenden Anbieters erhalten Sie von unserem yourIT-Technik-Team.

Ist Ihr Unternehmen fit für die EU-DSGVO? Jetzt Fördermittel nutzen!


Die Umsetzung der EU-DSGVO stellt viele Unternehmen vor große Herausforderungen. Nach einer Umfrage des Digitalverbands Bitkom haben drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. Auch jetzt noch sind bei Weitem nicht alle Unternehmen mit der Umsetzung fertig, wie der Digitalverband erklärt. Durch die vielfältigen formalen Vorgaben müssen bestehende Prozesse umgestellt und neue Prozesse eingeführt werden.

Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.

Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen

Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.

Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.

Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.

Ich freue mich auf Ihre Anfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Hätten Sie gerne unser Meldeformular für Datenpannen? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.



Verantwortlich für diesen Beitrag: yourIT GmbH, Balingen, Zollernalbkreis


Das könnte Sie auch interessieren:


Datenschutz-Dienstag, 13. Juli 2021
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Datenschutz-Dienstag, 06. Juli 2021
Internationale Datentransfers - Das How-To

Datenschutz-Dienstag, 29. Juni 2021
Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Datenschutz-Dienstag, 22. Juni 2021
Microsoft 365 rechtskonform einsetzen - auf die Konfiguration kommt es an!

Datenschutz-Dienstag, 15. Juni 2021
Datentransfer in die USA – eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Freitag, 4. Juni 2021
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Donnerstag, 8. April 2021
Office 365: Was sagt der Datenschutz?

Montag, 3. August 2020
Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Samstag, 18. Juli 2020
Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA

Freitag, 14. Juni 2019
EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten

Donnerstag, 9. Februar 2017
Was ist der Privacy Shield?

Donnerstag, 28. März 2019

Navigieren per Smartphone - Praktisch oder riskant?

Das Smartphone hat die bisherigen Navigationsgeräte nahezu verdrängt. Egal ob man beruflich oder privat unterwegs ist – das Smartphone zeigt den Weg. Die Frage ist allerdings, wer alles diesen Weg nachverfolgen kann.


Smartphones als Multifunktionsgeräte


„Das Smartphone ist zu dem Gerät für alle Lebenslagen geworden. Andere Geräte, wie etwa Navigationsgeräte und digitale Kompaktkameras, sind dadurch für viele Nutzer überflüssig geworden“, so Dr. Bernhard Rohleder, Hauptgeschäftsführer des Digitalverbands Bitkom.

Navigieren per Smartphone - Praktisch oder riskant
Navigieren per Smartphone - Praktisch oder riskant?


Möglich geworden ist dies zum einen durch die leistungsstarke Hardware der Smartphones, die in aller Regel auch über GPS-Sensoren verfügen, die früher Navigationsgeräten vorbehalten waren.


Freitag, 15. März 2019

Einmal-Passwörter per SMS: Sind sie wirklich sicher?

Ein Passwort allein reicht als Schutz vor unberechtigtem Zugang zu IT-Systemen oftmals nicht aus. Deshalb nutzen viele Online-Dienste zusätzlich Einmal- oder auch One-Time-Passwörter (OTP), die sie per SMS an den Nutzer schicken und die als zweiter Sicherheitsfaktor dienen. Doch wie sicher ist das?


Zugangsdaten werden gestohlen oder geknackt


Stellen Sie sich vor, ein Freund teilt Ihnen mit, dass er eine Spam-Mail von Ihnen bekommen hat. Entweder jemand benutzt Ihren Namen für Spam, oder Ihr Web-Mail-Konto wurde missbraucht. Sie versuchen, sich bei Ihrem Web-Mail-Zugang anzumelden, doch Ihr Passwort wird nicht mehr akzeptiert. Der Grund: Ihr Mail-Provider hat den Spam-Versand von Ihrem Web-Mail-Konto festgestellt und Ihr Konto deshalb sicherheitshalber deaktiviert.

Wie konnte das geschehen?


Einmal-Passwörter per SMS: Sind sie wirklich sicher?

Montag, 11. März 2019

Datenschutz & Informationssicherheit bei Geschäftspartnern: Worauf kommt es an?

Fehler bei einem Zulieferer können schwerwiegende Auswirkungen auf die eigenen Produkte haben. Das gilt nicht nur für das Qualitätsmanagement, sondern auch in Bezug auf Datenschutz & Informationssicherheit. Nicht nur der Einkauf sollte daran denken, sondern jeder einzelne Mitarbeiter im Unternehmen.


Teile und Schwachstellen zukaufen


Stellen Sie sich vor, ein Bauteil, das von einem Zulieferer stammt, ist fehlerhaft, und es wird trotzdem in das neue Fahrzeug eingefügt. Die Folge ist, dass das Fahrzeug nun einen Fehler aufweist, der je nach Art des Bauteils dramatische Auswirkungen haben kann. Denken Sie nur einmal an ein Bauteil wie einen Bremsklotz. Der zugekaufte Fehler kann Menschenleben bedrohen.

Datenschutz & Informationssicherheit in der Lieferkette

Die Gefahr, über eingekaufte Leistungen und Produkte den eigenen Produkten und Services Schwachstellen und Fehler zuzuführen, besteht in jeder Branche. Deshalb fordern Richtlinien für ein Qualitätsmanagement immer, dass auch die Qualität bei den Zulieferern geprüft und überwacht werden muss. Das Gleiche muss für Datenschutz & Informationssicherheit gelten.

Mängel bei Datenschutz & Informationssicherheit in der Lieferkette


Stellt ein Dienstleister oder Lieferant Ihres Unternehmens Datenschutz & Informationssicherheit nicht angemessen sicher, wirkt sich dies auch auf den Datenschutz in Ihrem Unternehmen aus. Hat der Lieferant Zugang zu den Kundendaten Ihres Unternehmens und sorgt selbst nicht für Datenschutz & Informationssicherheit, kann es passieren, dass ein Datendieb über die Schwachstellen Ihres Lieferanten an die Daten in Ihrem Unternehmen kommt.

Oder ein Softwaremodul, das Ihr Unternehmen nutzt, hat eine kritische Schwachstelle. Wenn Sie das Modul nutzen oder in andere Programme Ihres Unternehmens einfügen, dann lässt sich diese Schwachstelle bei Ihnen selbst ausnutzen. Eigentlich ist dies kein Geheimnis, und trotzdem achten zu wenige Unternehmen darauf, Datenschutz & Informationssicherheit bei ihren Geschäftspartnern zu hinterfragen, um selbst Datenschutz & Informationssicherheit angemessen gewährleisten zu können.

Datenschutz-Aufsichtsbehörden sehen Klärungsbedarf


Datenschutz-Aufsichtsbehörden wie das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) haben festgestellt, dass Meldungen von Datenschutzverletzungen fast immer das jeweilige Unternehmen selbst als verantwortlich bezeichnen, kaum jedoch einen Geschäftspartner oder Dienstleister.

Da nach der EU-Datenschutzgrundverordnung (EU-DSGVO) auch Verletzungen der Sicherheit bei Dienstleistern (sogar bei weiterer Unterauftragsvergabe) eine Meldeverpflichtung auslöst, stellte sich dem BayLDA die Frage, wieso es kaum Meldungen gibt, die von (internationalen) Dienstleistern ausgelöst werden. Offensichtlich fehlt das Bewusstsein dafür, dass Datenschutzmängel bei Geschäftspartnern den eigenen Datenschutz betreffen.

Ursachen für Verletzungen im Bereich Datenschutz & Informationssicherheit werden fast immer nur intern gesehen. Das entspricht aber absolut nicht den Tatsachen! Deshalb sollte nicht nur der Einkauf, sondern jeder, der mit Dienstleistern und anderen Geschäftspartnern zu tun hat, daran denken, dass Datenschutz & Informationssicherheit auch dort stimmen müssen, damit Datenschutz & Informationssicherheit im eigenen Unternehmen gewährleistet sind.

Kein Generalverdacht, sondern mehr Aufmerksamkeit


Es geht dabei nicht darum, jeden Geschäftspartner als Ursache von Mängeln im Bereich Datenschutz & Informationssicherheit zu betrachten und bei Problemen die Schuld immer bei anderen zu suchen. Vielmehr geht es darum, Datenschutz & Informationssicherheit genau wie bei der Qualität immer die ganze Lieferkette im Auge zu behalten. Beziehungen zu Dienstleistern und Geschäftspartnern verdienen viel Aufmerksamkeit – auch im Sinne von Datenschutz & Informationssicherheit.

Ein kurzes Quiz zum Thema gefällig?


Frage 1: Probleme im Bereich Datenschutz & Informationssicherheit sind anders als Qualitätsmängel. Fehler im Bereich Datenschutz & Informationssicherheit pflanzen sich nicht fort. Stimmt das?

  1. Nein, Schwachstellen bei Datenschutz & Informationssicherheit eines Partnerunternehmens können den eigenen Datenschutz und die eigene Informationssicherheit bedrohen.
  2. Ja, wer selbst im Bereich Datenschutz & Informationssicherheit gut aufgestellt ist, muss die Fehler der Lieferanten nicht fürchten.
Lösung: Die Antwort 1. ist richtig. Doch obwohl es selbstverständlich sein sollte, dass sich Probleme im Bereich Datenschutz & Informationssicherheit über die Lieferkette hinweg ausbreiten können, achten viele Unternehmen zu wenig auf das Datenschutzniveau der Geschäftspartner.

Frage 2: Jeder ist für seinen Datenschutz und seine Informationssicherheit selbst verantwortlich. Stimmt das?

  1. Ja, das stimmt, deshalb gibt es z.B. eine verantwortliche Stelle für den Datenschutz in jedem Unternehmen.
  2. Nein, zusätzlich ist man auch verantwortlich dafür, nur mit solchen Dienstleistern zusammenzuarbeiten, die ein angemessenes Niveau in den Bereichen Datenschutz und Informationssicherheit haben (Auftragsverarbeitung).
Lösung: Die Antworten 1. und 2. sind gemeinsam richtig, die Antwort 1 ist falsch, wenn man sie allein stehen lässt. Die EU-DSGVO kennt neben der Verantwortung auch die gemeinsame Verantwortung und die Beschränkung auf solche Dienstleister für eine Auftragsverarbeitung, die einen angemessenen Datenschutz nachweisen können. Unter einer gemeinsamen Verantwortlichkeit versteht man: Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung personenbezogener Daten fest, so sind sie gemeinsam Verantwortliche. Dies kann in einer Kooperation entlang der Lieferkette schnell der Fall sein.

Fragen / Anregungen


Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.




Mittwoch, 13. Februar 2019

Wie Sie Datenschutzfallen bei Word- und PDF-Dokumenten richtig umgehen

Sie müssen ein Word-Dokument weiterleiten? Sie wollen dabei Ärger mit dem Datenschutz vermeiden? Sie wandeln das Word-Dokument deshalb in ein PDF-Dokument um? An sich eine gute Idee. Gerade deshalb sollten Sie wissen, was dabei an Details zu beachten ist. Leider kosten manche wichtigen Hilfsmittel etwas.


PDF: ein guter Ansatz!


Word-Dokumente gehören zum Alltag im Büro. Oft ist es nötig, sie weiterzuleiten, etwa als Anhang einer E-Mail. Nachteil dabei: Der Empfänger kann alle möglichen Veränderungen sichtbar machen, die das Dokument erfahren hat. Dabei kann er meist auch erkennen, von wem die Veränderung stammt. Der Name oder zumindest ein Kürzel stehen dabei.

Wie Sie Datenschutzfallen bei Word- und PDF-Dokumenten richtig umgehen
Wie Sie Datenschutzfallen bei Word- und PDF-Dokumenten richtig umgehen

Tückisch: Die Zusatzdaten bei Word


Solange das Dokument intern zwischen Kollegen ausgetauscht wird, die daran arbeiten – kein Problem! Denn dann soll ja gerade jeder wissen, wer was verändert hat. Anders sieht es aus, wenn das Dokument nach außen geht. Dann ist das nicht akzeptabel. Für solche Fälle gilt der Tipp: Wandeln Sie Word in PDF um!

Vorteile einer Umwandlung in PDF


Dieser Ratschlag ist ebenso häufig wie richtig. Die Umwandlung hat durchaus einige Vorteile. Ein PDF-Dokument kann nur noch mit relativ aufwendigen Mitteln verändert werden. Damit ist das, was Sie verschickt haben, gewissermaßen fixiert. Außerdem ist nicht mehr festzustellen, wer wann etwas am Word-Dokument verändert hat. Die Nachweise hierfür gehen bei der Umwandlung in ein PDF-Dokument verloren.

Einige typische Fallen


So weit, so gut. Dennoch bleiben einige Tücken, die man kennen sollte:

  • Folgende Daten übernimmt ein PDF-Dokument vom Word-Dokument: Name der Word-Datei, Angaben zum Bearbeiter (falls sein Name drin steht, also auch der!) und verwendete Software. Wenn es sinnvoll ist, sollte man daher den Dateinamen und die Angaben zum Bearbeiter ändern.
  • Manchmal sollen Teile eines PDF-Textes geschwärzt werden. Keine gute Idee ist es dagegen, den Text lediglich mit einem schwarzen Feld zu überlagern. Ein solches Feld kann der Empfänger problemlos wieder entfernen. Dafür bietet Adobe Acrobat das Werkzeug „Inhalt schwärzen und entfernen“. Es ist kostenpflichtig. Das Tool beseitigt den Text, der geschwärzt wird.
  • Wenn Teile eines PDF-Dokuments nachträglich „weggeschnitten“ werden, sind sie in Wirklichkeit nur ausgeblendet. Der Empfänger des Dokuments kann diese Teile problemlos wiederherstellen.


Selbst Pentagon-Mitarbeiter schwärzen manchmal nicht richtig!


Selbst Mitarbeiter des Pentagon haben im Mai 2005 gezeigt, wie man es nicht machen sollte. In einem veröffentlichten PDF-Dokument fanden sich geschwärzte Stellen. Durch einfaches Kopieren und Einfügen über die Zwischenablage ließen sich die geschwärzten Daten wieder sichtbar machen. Im ursprünglichen Word-Dokument hatte das Pentagon die Passagen nur mit einem schwarzen Hintergrund versehen. Beim PDF-Export bleibt der darunterliegende Text jedoch i.d.R. erhalten.

Eine besonders wichtige – aber kostenpflichtige – Funktion


Am zuverlässigsten ist es, das PDF-Dokument mit der (kostenpflichtigen) Funktion „vertrauliche Dokumente veröffentlichen“ zu bearbeiten, bevor man es weitergibt. Diese Funktion erzeugt das Dokument komplett neu. Alle unerwünschten Inhalte sind danach beseitigt.

Freitag, 25. Januar 2019

2019 - Neues Jahr - Neue Datenrisiken

Auch für 2019 haben IT-Sicherheitsexperten wieder ihre Prognosen veröffentlicht über neue Risiken, die sowohl personenbezogene Daten als auch Betriebs- und Geschäftsgeheimnisse bedrohen. Es wäre aber falsch, sich nun ausschließlich auf diese Risiken zu konzentrieren.


Die Zeichen stehen auf Sturm - Gefährdungslage auf neuem Niveau


Gleich, ob Sie sich die Vorhersagen der Sicherheitsbehörden oder der Sicherheitsanbieter für 2019 ansehen: Kaum ein Security-Experte ist der Meinung, dass die Risiken für personenbezogene und andere zu schützende Daten geringer werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer "Gefährdungslage auf neuen Niveau". Cyber-Angriffe werden 2019 noch intelligenter und ausgereifter, erklären auch die Forscher von Fortinet. Zieht man Parallelen zu den Wetterprognosen, lässt sich sagen, die Sicherheitsspezialisten erwarten eine Zunahme von schweren Unwettern.

Die Zeichen stehen auf Sturm - Gefährdungslage auf neuem Niveau
Datenrisiken 2019 - Die Zeichen stehen auf Sturm

Nicht an die steigenden Risiken gewöhnen


Die Berichte der Security-Experten rund um den Jahreswechsel bekommen in den Medien immer viel Aufmerksamkeit. Doch besteht die Gefahr, dass wir Menschen uns daran gewöhnen, dass die Gefahren aus dem Internet und für unsere Daten immer größer werden. Tatsächlich nehmen die Risiken für personenbezogene Daten stetig zu. Die Prognosen der McAfee Labs für 2019 besagen zum Beispiel: Neue mobile Malware wird Smartphones, Tablets und Router austesten, um Zugang zu den digitalen Assistenten, die sie kontrollieren, und zu heimischen IoT-Geräten (IoT = Internet of Things) zu erhalten. Smart Homes werden verstärkt zum Angriffsziel. Was bedeutet das nun konkret für den Datenschutz im neuen Jahr?

Die Risiken folgen der Digitalisierung


Nutzen Unternehmen und Privatpersonen vermehrt Dienste aus der Cloud, werden Smartphones und Tablets für immer mehr Menschen zum stetigen Begleiter und die Wohnungen immer vernetzter, dann zieht das Angriffswellen auf sich. Überall, wo neue Bereiche digitalisiert werden, ist mit Angriffen von Hackern zu rechnen.

Doch auch abseits der digitalen Technik lauern Gefahren


Man darf aber nicht vergessen, dass Staat, Wirtschaft und Gesellschaft bei Weitem noch nicht angekommen sind an dem Ziel der digitalen Transformation. Viele Verfahren und Prozesse sind seit Jahren unverändert im Einsatz. Dadurch sind sie aber nicht aus dem Fokus der Angreifer. Die Sicherheitsexperten stellen vermehrt fest, dass Internetkriminelle mit den klassischen Kriminellen zusammenarbeiten. Jede der kriminellen Seiten lernt und profitiert von der anderen. Deshalb muss weiterhin damit gerechnet werden, dass klassische Einbrüche stattfinden, um an vertrauliche Informationen zu kommen, und nicht nur Hacker-Attacken.

Nur weil die Sicherheitsprognosen die neuen Technologien und ihre Risiken betonen, nehmen die Gefahren in den klassischen Bereichen nicht ab. Im Jahr 2019 muss mit allen bisherigen Bedrohungen gerechnet werden, die wir schon seit vielen Jahren kennen – die neuen Bedrohungen kommen hinzu. Sehen Sie deshalb jede Sicherheitsprognose wie eine Fortsetzungsgeschichte: Es werden neue Kapitel geschrieben, ohne dass man die alten einfach zuschlagen dürfte.


Sicherheitsrisiken und Schwachstellen identifizieren, bevor es zum Schaden kommt


Die für eine Situations-Verbesserung erforderlichen "Coolen Tools" sind bei mittelständischen Unternehmen meist nicht im Einsatz und noch nicht einmal bekannt. Intelligente Sicherheitsinformations- und Ereignis-Management (SIEM) Lösungen könnten hier Abhilfe schaffen.

yourIT Beratungspaket Sicherheitsaudit IT-Infrastruktur
yourIT Beratungspaket Sicherheitsaudit IT-Infrastruktur


Moderne IT-Systemhäuser wie yourIT können hier aushelfen, indem diese erstmal ein IT-Sicherheitsaudit durchführen. Ein entsprechendes Beratungspaket "Sicherheitsaudit IT-Infrastruktur" für den Mittelstand steht bereit. Hierbei werden sogar die mittelständischen Unternehmen zustehenden Fördermittel ausgenutzt. So kann sich das jedes Unternehmen leisten.

Wenn Unternehmen feststellen, dass interne Sicherheitslücken bestehen, sollten diese unverzüglich geschlossen werden. Gegebenenfalls muss überprüft werden, ob und was bereits passiert ist. Hier sind Forensiker und Vergleichsdaten gefragt. Ein Spezialist muss die Daten der vergangenen Tage und Wochen mit dem aktuellen Stand abgleichen und analysieren

  • wo der Angreifer überall war;
  • welchen Schaden er angerichtet hat;
  • ob es ein Außen- oder ein Innentäter war.
Evtl. hat ein Mitarbeiter versehentlich eine Schadsoftware verwendet und wurde so zum Innentäter. Durch die Nutzung des Beratungspakets "Sicherheitsaudit IT-Infrastruktur" lässt sich in diesem Fall der Client identifizieren, über den der Schaden zustande kam. Jetzt muss die Sicherheit wieder hergestellt werden. Manuell ist das eine mühsame Arbeit. Mit den "Coolen Tools" der yourIT lassen sich Sicherheitsrisiken und Anomalien schon im Vorfeld aufspüren.

Werden Sie jetzt aktiv: Das Investment in Datenschutz- & Informationssicherheits-Projekte zahlt sich für mittelständische Unternehmen schnell aus - meist schon beim ersten verhinderten Schaden. Testen Sie jetzt unser Beratungspaket "Sicherheitsaudit IT-Infrastruktur". Sie werden begeistert sein!