Seiten

Posts mit dem Label Informationssicherheit werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Informationssicherheit werden angezeigt. Alle Posts anzeigen

Dienstag, 26. Oktober 2021

Plötzlich HomeOffice - 8 Tipps zur Einhaltung von Datenschutz & IT-Sicherheit

HomeOffice von heute auf morgen, wird zur Herausforderung für mittelständische Unternehmen und ihre Mitarbeiter. Vieles ist zu organisieren. Deshalb machen wir beim European Cyber Security Month (ECSM) mit und möchten einen verantwortungsbewussten Umgang im Cyber-Raum schaffen. Datenschutz und Informationssicherheit sollten Sie dabei auch mit im Blick haben. Mit nur wenigen einfachen Maßnahmen kann jeder Mitarbeiter enorm dazu beitragen. Das bewirkt oft erstaunlich viel.

Hier die wichtigsten 8 Tipps von unseren Datenschutz- & IT-Experten zum sicheren Verhalten im HomeOffice:

1. Einsatz privater Geräte nur nach Absprache

HomeOffice geht nicht ohne EDV. Wer dafür ein dienstliches Gerät zur Verfügung hat, darf nur dieses Gerät verwenden. Der Einsatz privater Geräte verlangt eine Absprache mit dem Arbeitgeber, zumindest mit dem unmittelbaren Vorgesetzten.

Das aktuelle Datenschutz Now! spezial zum Thema Corona-HomeOffice


Das muss nicht unbedingt schriftlich geschehen. Aber zumindest ein kurzer Mail-Austausch ist sinnvoll. Private Geräte können zusätzliche Risiken für den Datenschutz mit sich bringen, die am gewohnten Arbeitsplatz nicht bestehen würden.

Freitag, 23. Oktober 2020

Jetzt Digitalisierungsprämie Plus sichern!

Seit Donnerstag 15. Oktober 2020 sind speziell in Baden-Württemberg neue Fördermittel verfügbar. Ziel ist es, die Innovations- und Wettbewerbsfähigkeit von kleinen und mittleren Unternehmen zu stärken. Insbesondere folgende Vorhaben sollen damit gefördert werden:

  • Vorhaben zur Digitalisierung
  • Verbesserung von Datenschutz & Informationssicherheit
  • Anschaffung von Hard- und Software und damit verbundene Dienstleistungen

Die Beantragung dieser Fördermittel hat sich im Vergleich zu den Vorgänger-Programmen stark verbessert. Z.B. gibt es jetzt eine eigene Zuschussvariante, bei der man auch ohne Darlehen und die Hausbank an die Förderung gelangt.

Montag, 11. März 2019

Datenschutz & Informationssicherheit bei Geschäftspartnern: Worauf kommt es an?

Fehler bei einem Zulieferer können schwerwiegende Auswirkungen auf die eigenen Produkte haben. Das gilt nicht nur für das Qualitätsmanagement, sondern auch in Bezug auf Datenschutz & Informationssicherheit. Nicht nur der Einkauf sollte daran denken, sondern jeder einzelne Mitarbeiter im Unternehmen.


Teile und Schwachstellen zukaufen


Stellen Sie sich vor, ein Bauteil, das von einem Zulieferer stammt, ist fehlerhaft, und es wird trotzdem in das neue Fahrzeug eingefügt. Die Folge ist, dass das Fahrzeug nun einen Fehler aufweist, der je nach Art des Bauteils dramatische Auswirkungen haben kann. Denken Sie nur einmal an ein Bauteil wie einen Bremsklotz. Der zugekaufte Fehler kann Menschenleben bedrohen.

Datenschutz & Informationssicherheit in der Lieferkette

Die Gefahr, über eingekaufte Leistungen und Produkte den eigenen Produkten und Services Schwachstellen und Fehler zuzuführen, besteht in jeder Branche. Deshalb fordern Richtlinien für ein Qualitätsmanagement immer, dass auch die Qualität bei den Zulieferern geprüft und überwacht werden muss. Das Gleiche muss für Datenschutz & Informationssicherheit gelten.

Mängel bei Datenschutz & Informationssicherheit in der Lieferkette


Stellt ein Dienstleister oder Lieferant Ihres Unternehmens Datenschutz & Informationssicherheit nicht angemessen sicher, wirkt sich dies auch auf den Datenschutz in Ihrem Unternehmen aus. Hat der Lieferant Zugang zu den Kundendaten Ihres Unternehmens und sorgt selbst nicht für Datenschutz & Informationssicherheit, kann es passieren, dass ein Datendieb über die Schwachstellen Ihres Lieferanten an die Daten in Ihrem Unternehmen kommt.

Oder ein Softwaremodul, das Ihr Unternehmen nutzt, hat eine kritische Schwachstelle. Wenn Sie das Modul nutzen oder in andere Programme Ihres Unternehmens einfügen, dann lässt sich diese Schwachstelle bei Ihnen selbst ausnutzen. Eigentlich ist dies kein Geheimnis, und trotzdem achten zu wenige Unternehmen darauf, Datenschutz & Informationssicherheit bei ihren Geschäftspartnern zu hinterfragen, um selbst Datenschutz & Informationssicherheit angemessen gewährleisten zu können.

Datenschutz-Aufsichtsbehörden sehen Klärungsbedarf


Datenschutz-Aufsichtsbehörden wie das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) haben festgestellt, dass Meldungen von Datenschutzverletzungen fast immer das jeweilige Unternehmen selbst als verantwortlich bezeichnen, kaum jedoch einen Geschäftspartner oder Dienstleister.

Da nach der EU-Datenschutzgrundverordnung (EU-DSGVO) auch Verletzungen der Sicherheit bei Dienstleistern (sogar bei weiterer Unterauftragsvergabe) eine Meldeverpflichtung auslöst, stellte sich dem BayLDA die Frage, wieso es kaum Meldungen gibt, die von (internationalen) Dienstleistern ausgelöst werden. Offensichtlich fehlt das Bewusstsein dafür, dass Datenschutzmängel bei Geschäftspartnern den eigenen Datenschutz betreffen.

Ursachen für Verletzungen im Bereich Datenschutz & Informationssicherheit werden fast immer nur intern gesehen. Das entspricht aber absolut nicht den Tatsachen! Deshalb sollte nicht nur der Einkauf, sondern jeder, der mit Dienstleistern und anderen Geschäftspartnern zu tun hat, daran denken, dass Datenschutz & Informationssicherheit auch dort stimmen müssen, damit Datenschutz & Informationssicherheit im eigenen Unternehmen gewährleistet sind.

Kein Generalverdacht, sondern mehr Aufmerksamkeit


Es geht dabei nicht darum, jeden Geschäftspartner als Ursache von Mängeln im Bereich Datenschutz & Informationssicherheit zu betrachten und bei Problemen die Schuld immer bei anderen zu suchen. Vielmehr geht es darum, Datenschutz & Informationssicherheit genau wie bei der Qualität immer die ganze Lieferkette im Auge zu behalten. Beziehungen zu Dienstleistern und Geschäftspartnern verdienen viel Aufmerksamkeit – auch im Sinne von Datenschutz & Informationssicherheit.

Ein kurzes Quiz zum Thema gefällig?


Frage 1: Probleme im Bereich Datenschutz & Informationssicherheit sind anders als Qualitätsmängel. Fehler im Bereich Datenschutz & Informationssicherheit pflanzen sich nicht fort. Stimmt das?

  1. Nein, Schwachstellen bei Datenschutz & Informationssicherheit eines Partnerunternehmens können den eigenen Datenschutz und die eigene Informationssicherheit bedrohen.
  2. Ja, wer selbst im Bereich Datenschutz & Informationssicherheit gut aufgestellt ist, muss die Fehler der Lieferanten nicht fürchten.
Lösung: Die Antwort 1. ist richtig. Doch obwohl es selbstverständlich sein sollte, dass sich Probleme im Bereich Datenschutz & Informationssicherheit über die Lieferkette hinweg ausbreiten können, achten viele Unternehmen zu wenig auf das Datenschutzniveau der Geschäftspartner.

Frage 2: Jeder ist für seinen Datenschutz und seine Informationssicherheit selbst verantwortlich. Stimmt das?

  1. Ja, das stimmt, deshalb gibt es z.B. eine verantwortliche Stelle für den Datenschutz in jedem Unternehmen.
  2. Nein, zusätzlich ist man auch verantwortlich dafür, nur mit solchen Dienstleistern zusammenzuarbeiten, die ein angemessenes Niveau in den Bereichen Datenschutz und Informationssicherheit haben (Auftragsverarbeitung).
Lösung: Die Antworten 1. und 2. sind gemeinsam richtig, die Antwort 1 ist falsch, wenn man sie allein stehen lässt. Die EU-DSGVO kennt neben der Verantwortung auch die gemeinsame Verantwortung und die Beschränkung auf solche Dienstleister für eine Auftragsverarbeitung, die einen angemessenen Datenschutz nachweisen können. Unter einer gemeinsamen Verantwortlichkeit versteht man: Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung personenbezogener Daten fest, so sind sie gemeinsam Verantwortliche. Dies kann in einer Kooperation entlang der Lieferkette schnell der Fall sein.

Fragen / Anregungen


Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.




Donnerstag, 12. Juli 2018

EU-Parlament stuft Kaspersky Lab als "böswillig" ein

In einer Empfehlung für die EU-Organe vom 25.05.2018 nennt das EU-Parlament explizit das Antiviren-Programm Kaspersky Lab als Beispiel für “böswillig” eingestufte Software. Ein Verbot der Verwendung von Kaspersky Lab in der Verwaltung ist geplant.


Der “Entwurf einer Entschließung des Europäischen Parlaments zur Cyberabwehr“ wurde am 13.06.2018 vom EU-Parlament mit großer Mehrheit verabschiedet.

EU-Parlament stuft Kaspersky Lab als "böswillig" ein
EU-Parlament stuft Kaspersky Lab als "böswillig" ein

Kaspersky Lab nicht nur in der EU unter Druck


Für Kaspersky Labs ist eine solche Situation im Übrigen nichts Neues:

  • Erst im Dezember 2017 hatte Donald Trump bzw. das US-Heimatschutzministerium den Hersteller auf eine schwarze Liste gesetzt und damit den US-Behörden die Nutzung der Produkte verboten. Der Versuch von Kaspersky,  gegen ein gesetzliches Verbot seiner Produkte auf dem Rechtsweg vorzugehen, blieb aber bisher erfolglos.
  • Ebenfalls im Dezember 2017 hat die britische Behörden die Nutzung der Programme der russischen IT-Firma "Kaspersky Lab" in den Ressorts untersagt, die für die nationale Sicherheit zuständig sind.
  • Im Mai 2018 hat die niederländische Regierung beschlossen, auf den Einsatz von Kaspersky-Software zu verzichten. Grundlage dafür sind bisher unbelegte Befürchtungen, Kaspersky Lab würde mit dem russischen Geheimdienst zusammenarbeiten.

Tipp von yourIT: Auch Unternehmen sollten den Einsatz von Kaspersky Lab überdenken


Laut Computerbild zählt Kaspersky Lab seit über 20 Jahren zu den beliebtesten Antivirus-Programmen der Welt und ist einer der bekanntesten Software-Exporte Russlands. Neben Privatleuten setzen noch viele Unternehmen aus Deutschland auf Kaspersky Lab.

Wir von yourIT empfehlen unseren Unternehmens-Kunden hingegen seit Langem, im Hinblick auf Informationssicherheit und Datenschutz wo möglich auf Deutsche und Europäische Softwareanbieter zu vertrauen.

Unsere Empfehlung: Unternehmen sollten den Einsatz von Kaspersky Labs jetzt überdenken und schnellstmöglich zur Antiviren-Software von ESET wechseln.

ESET ist ein europäischer Hersteller für Sicherheitssoftware mit Hauptsitz in Bratislava (Slowakei). Es befindet sich in Privatbesitz und hat Niederlassungen in mehreren Ländern. Die exklusive Distribution von ESET-Produkten in Deutschland wird von der ESET Deutschland GmbH in Jena wahrgenommen.

Fragen / Anregungen


Gerne liefern wir Ihnen weitere Informationen und begleiten Sie bei Ihrem Umstellungsprozess. Fordern Sie uns!


Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.



Dienstag, 17. Oktober 2017

Kritische Schwachstelle WLAN - Sicherheitslücke in WPA2-Sicherheitsstandard entdeckt

Hechingen, 17.10.2017, 08:38 Uhr: Heute morgen das ganz große Thema in Presse, Funk und Fernsehen: Die Warnung vor einer Sicherheitslücke im Sicherheitsstandard WPA2, der eigentlich WLAN-Verbindungen absichern soll.


Wie z.B. heise.de meldet, haben Forscher mehrere kritische Schwachstelle entdeckt.


Wie aus verschiedenen Medienberichten hervorgeht, warnen diverse Sicherheitsforscher warnen, dass mittels der KRACK getauften Attacke Angreifer WPA2 aufbrechen, belauschen und manipulieren können.

Maßnahmen-Empfehlung des yourIT-Security-Teams:


Die WPA2-Verschlüsselung steht schon lange in der Kritik, nicht wirklich sicher zu sein. Daher raten wir seit einiger Zeit zu zusätzlichen Sicherheitsmaßnahmen und vor Allem zu regelmäßigen Firmware-Updates.
  1. Vorerst wenn möglich lieber auf WLAN-Verbindungen verzichten und auf Kabelverbindungen (LAN) zurückgreifen (nur falls machbar und praktikabel).
  2. WLAN-Router so konfigurieren, dass er automatisch nach Sicherheitspatches sucht . Falls Sie hierbei Hilfe benötigen, unterstützen wir Sie gerne.
  3. Weitere Meldungen von yourIT und anderer Medien verfolgen. Vielleicht die Gelegenheit, jetzt unseren Blog oder unseren Newsletter zu abonnieren?

Bis entsprechende Patches der Hersteller verfügbar sind, sollten Sie davon ausgehen, dass Dritte mitlesen können. Sie sollten daher bei der Übertragung von persönlichen und vertraulichen Informationen darauf achten, dass eine Extra-Verschlüsselung wie HTTPS zum Einsatz kommt. Alternativ kann auch der Einsatz eines VPNs helfen.

Achtung: Auch in anderen Bereichen Ihres Unternehmens-IT-Netzwerkes lauern dauernd Gefahren. Wir helfen Ihnen gerne dabei, diese Aufzuspüren, ein funktionierenses Patchmanagement zu etablieren und ein regelmäßiges Monitoring mit entsprechenden Reports einzurichten.

Übrigens: Das yourIT-ISMS ist ISO-27001-zertifiziert. Vergleichen Sie uns gerne mit dem Wettbewerb.

Hier der ursprüngliche Artikel auf heise.de.

Update [17.10.2017 18:30 Uhr]: Erste Patches sind verfügbar


Mittlerweile haben einige von der WPA2-Lücke KRACK betroffene Hersteller Stellungnahmen ond Patches veröffentlicht, die die Risiken abwehren.

Hier die aktuelle Liste der Stellungnahmen und Patches der Hersteller: Link zu heise.de

Dienstag, 23. Mai 2017

Investitionen in die Informationssicherheit zahlen sich schnell aus

Wie steht es derzeit um die Investitionsbereitschaft mittelständischer Unternehmen in Datenschutz & Informationssicherheit? Was gibt es über das Risiko interner Sicherheitslücken zu berichten? Wer hier spart, spart definitiv an der falschen Stelle.


Die Themen Datenschutz & Informationssicherheit brennen den IT-Verantwortlichen im Mittelstand unter den Nägeln. Aktuell verspüren wir ein großes Interesse an neuen Sicherheitstechnologien. Leider fällt es mittelständischen Unternehmen manchmal schwer, die erforderlichen Budgets bereitzustellen. Dies liegt vor allem daran, dass sie in erster Linie die Investitionskosten sehen und der Bedarf unterschätzt wird. Die für uns von yourIT offensichtliche Wertschöpfung von Datenschutz- & Informationssicherheits-Projekten ist leider nicht sofort für jeden ersichtlich. Das ändert sich spontan, wenn ein konkreter Schaden wie z.B. der Einschlag eines Erpressungs-Trojaners eintritt.

Investitionen in Datenschutz & Informationssicherheit zahlen sich schnell aus
Investitionen in Datenschutz & Informationssicherheit zahlen sich schnell aus


Dabei nehmen mittelständische Unternehmen Angriffe von außen oder von innen oft gar nicht wahr - oder nur mit erheblicher Zeitverzögerung. Über 50% der Unternehmen merken gar nicht, dass sie jetzt gerade angegriffen werden. Die Verzögerung bis zur Erkenntnis des Angriffs liegt im Durchschnitt bei mehr als 200 Tagen. Was genau passiert ist, finden die meisten Mittelständler nicht heraus. Wurden Daten gestohlen, wurden sie manipuliert, etc.?

Sicherheitsrisiken und Schwachstellen identifizieren, bevor es zum Schaden kommt


Die für eine Situations-Verbesserung erforderlichen "Coolen Tools" sind meist nicht im Einsatz und noch nicht einmal bekannt. Intelligente Sicherheitsinformations- und Ereignis-Management (SIEM) Lösungen könnten hier Abhilfe schaffen.

yourIT Beratungspaket Sicherheitsaudit IT-Infrastruktur
yourIT Beratungspaket Sicherheitsaudit IT-Infrastruktur


Moderne IT-Systemhäuser wie yourIT können hier aushelfen, indem diese erstmal ein IT-Sicherheitsaudit durchführen. Ein entsprechendes Beratungspaket "Sicherheitsaudit IT-Infrastruktur" für den Mittelstand steht bereit. Hierbei werden sogar die mittelständischen Unternehmen zustehenden Fördermittel ausgenutzt. So kann sich das jedes Unternehmen leisten.

Wenn Unternehmen feststellen, dass interne Sicherheitslücken bestehen, sollten diese unverzüglich geschlossen werden. Gegebenenfalls muss überprüft werden, ob und was bereits passiert ist. Hier sind Forensiker und Vergleichsdaten gefragt. Ein Spezialist muss die Daten der vergangenen Tage und Wochen mit dem aktuellen Stand abgleichen und analysieren

  • wo der Angreifer überall war;
  • welchen Schaden er angerichtet hat;
  • ob es ein Außen- oder ein Innentäter war.
Evtl. hat ein Mitarbeiter versehentlich eine Schadsoftware verwendet und wurde so zum Innentäter. Durch die Nutzung des Beratungspakets "Sicherheitsaudit IT-Infrastruktur" lässt sich in diesem Fall der Client identifizieren, über den der Schaden zustande kam. Jetzt muss die Sicherheit wieder hergestellt werden. Manuell ist das eine mühsame Arbeit. Mit den "Coolen Tools" der yourIT lassen sich Sicherheitsrisiken und Anomalien schon im Vorfeld aufspüren.

Werden Sie jetzt aktiv: Das Investment in Datenschutz- & Informationssicherheits-Projekte zahlt sich für mittelständische Unternehmen schnell aus - meist schon beim ersten verhinderten Schaden. Testen Sie jetzt unser Beratungspaket "Sicherheitsaudit IT-Infrastruktur". Sie werden begeistert sein.