Windows XP - Das Geschäft mit dem Toten

Obwohl der Support für Windows XP eingestellt wurde, wird das Programm jedoch weiterhin noch immer fleißig genutzt. Hierbei kann man durchaus von einem sogenannten verschleppten Abschied sprechen, denn Schwarzmarkt und auch einige Unternehmen profitieren immer noch vom Verkauf des Programmes.

14 Jahre Erfolg ad acta gelegt

Eigentlich hatte der Hersteller Microsoft gehofft, dass mit dem Ende des Supports auch die Ära Windows XP am 08.04.2014 zu Ende sein würde. Auch viele aus der ITK-Branche waren dieser Meinung und wurden nun eines Besseren belehrt. Ein erfolgreiches Programm wie Windows XP, das über 14 Jahre mit Erfolg verkauft wurde, kann man nicht einfach so mir nichts dir nichts ad acta legen. Denn der geplante Tod des Programmes konnte nicht durchgeführt werden und die Realität sieht nun völlig anders aus.

Weltweit immer noch ein viertel aller Geräte auf Windows XP eingestellt

Weltweit werden immer noch ein viertel aller Geräte, wie Notebooks oder Desktops PCs mit Windows XP betrieben, das aktuelle Windows 8/8.1 hingegen kommt hier nur auf die Hälfte. Wenn das veraltete Betriebssystem weiter auf privaten Geräten zum Einsatz kommt, ist dies

nicht weiter schlimm und es wird für die Besitzer auch nicht weiter gefährlich. Bei dem professionellen Einsatz jedoch wird die Sicherheit des Systems nicht mehr gegeben und es können große Lücken entstehen, die von außen sehr angreifbar werden und so dem Betreiber enorme Schäden entstehen können. Gerade kleine Unternehmen und auch Behörden sind hiervon betroffen, die den rechtzeitigen Wechsel leider oft versäumt haben.

Umstellung auf ein anderes Betriebssystem kann teuer werden

Manche haben den Wechsel auf ein neues Betriebssystem einfach verschlafen, doch viele können  sich die Umstellung auch gar nicht leisten. Denn neben dem neuen Betriebssystem, das Windows XP ablöst, müssen häufig auch neue Rechner angeschafft und die bestehenden Programme umgeschrieben werden. Ansonsten können sie auf den neuen Windows Versionen nicht funktionieren. Das ist natürlich für viele kleine Unternehmen eine teure Angelegenheit, die sie nicht einfach so stemmen können.

Staatlich beschlossen, weiter Windows XP zu nutzen

Das größte Beispiel, dass die Umstellung auf andere Windows Versionen nicht so einfach funktioniert, ist China. Denn hier hat die Regierung die Entscheidung getroffen, dass Windows XP trotz aller Bedenken in den chinesischen Behörden weiter genutzt werden soll. So hat ein ganzes Land beschlossen, sich nicht an dem von Microsoft gewünschten Tod von Windows XP zu beteiligen. Der weltweit größte Computerhersteller Lenovo hat darauf bereits reagiert und stellt den öffentlichen Einrichtungen in China daher einen ganz eigenen Support zur Verfügung.


Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Office 365 - Die Tücken der Migration in die Cloud

"Software as a Service" gilt momentan als die Zukunft in der Lizenzierung von Software. Die Auslagerung in die Cloud macht es vollkommen überflüssig, einzelne Software-Lizenzen zu kaufen, wie dies bisher getätigt werden musste. Der Vorteil für die Unternehmen besteht vor allem in der Skalierbarkeit: Auftragsspitzen können durch eine einfache, stärkere Inanspruchnahme der Softwaredienstleistungen bewältigt werden, ohne das eigene Rechenzentren erweitert werden  müssen. Doch am Beispiel von Office 365 zeigt sich, dass eine Cloud-Lösung trotz der hohen Flexibilität auch ihre Tücken bereithält.

Historisch gewachsene Netzwerkstruktur schafft Herausforderungen

Diese Tücken liegen vor allem darin begründet, dass Benutzerkonten entweder komplett neu angelegt werden oder migriert werden müssen. Erfahrungen erster Unternehmen zeigen bereits, dass es dabei durchaus nicht immer reibungslos verläuft. Besonders bei kleinen Firmen ist das Active Directory nicht immer so strukturiert, wie es eigentlich möglich und wünschenswert ist. Nicht selten muss dann zunächst Ordnung in die Gliederung der eigenen Netzwerkstruktur gebracht werden. Einfacher ist es allerdings, bei dieser Gelegenheit ganz auf die Cloud-Lösung zu setzen: Wird mit der Umstellung auf Office 365 komplett auf die bestehenden,
lokalen Benutzerkonten verzichtet, vereinfacht sich der Umstieg.

Große Mailpostfächer kosten Zeit

Eine der wichtigsten Aufgaben der Migration ist der Umzug der Mailpostfächer. In den meisten Unternehmen gehört die Kommunikation per Mail immer noch zu den meist genutzten Kommunikationswegen - sowohl mit den Kunden als auch innerhalb des Betriebes. Aus diesem Grund steht der Umzug der Postfächer oft als erstes an. Die Umstellung auf Microsoft Exchange Online ist schon wegen der meist immensen Datenmengen eine Herausforderung. Statistiken haben längst bewiesen, dass jede Mail etwa zehn Mal im Unternehmen vorhanden ist - sei es als minimal veränderte, weitergeleitete Variation oder archiviertes Original. Ein Datenvolumen von 2 GB pro Nutzer ist deshalb keine Ausnahme mehr. In der Folge kann sich die Dauer der Migration erheblich erhöhen, weil das Nadelöhr Internetverbindung passiert werden muss. Microsoft hat mittlerweile allerdings Tools bereitgestellt, die diesen Vorgang automatisieren, sodass der Umstieg auf die Cloud-Lösung Office 365 auch außerhalb der Geschäftszeiten vorangetrieben werden kann.

Mitarbeiterschulung notwendig 

Die Leistungsfähigkeit der Datenanbindung sollte übrigens schon im Vorfeld bedacht werden. Entsprechende Programme ermöglichen dabei Simulationen, die eine Entscheidung vereinfachen. Zu guter Letzt lebt die Cloud-Lösung aber natürlich auch von der Akzeptanz der Anwender.
Damit es im Unternehmen nicht zu einem Verlust an Produktivität kommt, sollten Mitarbeiterschulungen in Office 365 rechtzeitig geplant und durchgeführt werden. Werden diese Punkte beachtet, steht einer erfolgreichen Einführung allerdings nichts mehr im Wege.

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Applikationssicherheit Die größten Schwachstellen in Web-Anwendungen

Technischer Fortschritt, Unmögliches möglich machen und immer mehr Komfort für Internet-User, sowie erweiterte Marketing-Strategien für Unternehmen, lassen immer mehr Web-Anwendungen ins Leben rufen. Doch werden Web-Anwendungen oftmals von Schwachstellen begleitet. Nur wer weiß, wo die Schwachstellen versteckt sind, kann agieren und sich zurücklehnen.

Projekte, die Schwachstellen aufdecken

Zu den Schwachstellen von Web-Anwendungen äußerte sich nun das Community Projekt "Open Web Applikation Security Projekt", kurz OWASP. Sie überprüfen im Rahmen von Teilprojekten regelmäßig Web-Anwendungen auf Schwachstellen. Damit sollen Entwickler, Web-Designer und Unternehmer die Möglichkeit gegeben werden, auf diese agieren und ausräumen zu können.
Das neuste Projekt stellt die aktuellen Schwachstellen in Web-Anwendungen vor, die nicht ignoriert werden sollten, wenn Sicherheitslücken geschlossen werden möchten.

Cross Site Scripting (XSS) - Injection Flaws - Malicious File Execution

Cross Site Scripting (XSS) führt die Liste der Sicherheitslücken in Web-Anwendungen an und bezieht sich auf fast alle Web-Anwendungen. Hier fehlt die Überprüfung von Zeichencodierungen, die für Sicherheit bei der Datenrücksendung an den Browser sorgen sollten. Dies erleichtert einen Angriff unter anderem ein Javascript-Code im Browser auszuführen, um so auf alle Website-Daten zugreifen zu können.
Ob Webscript Injection, OS Command Injection oder SQL-Injection, auch hier führen Injection-Fehler zu Sicherheitsrisiken. Insbesondere SQL-Injection stellt ein weitverbreitetes Risiko dar, da sich hier der Angreifer unter bestimmten Voraussetzungen mit der Übermittlung eines gültigen SQL-Code Zugang auf die Datenbank verschaffen, Systemkommandos ausführen und Daten einsehen, manipulieren oder sogar löschen kann.
Mit dem Malicious File Execution können eingehende Daten, die ein erhöhtes Sicherheitsrisiko bedeuten,  ohne Gültigkeits-prüfungen auf dem Web-Server gespeichert werden, indem sich schädliche Dateien darunter befinden, Codes auf dem Server integriert werden, die dann zur Ausführung verschiedenster Befehle genutzt werden können.

Insecure Direct Object Reference - Cross Site Request Forgery (CSRF) - Information Leakage and Improper Error Handling

Das Risiko bei Insecure Direct Object Reference besteht in einer Manipulationsmöglichkeit, indem auf Dateien und Informationen auf dem Webserver zugegriffen werden kann. Bei dem Cross Site Request Forgery (CSRF) kann der User einer Web-Anwendung zum Opfer werden, wenn er sich beispielsweise nicht ordnungsgemäß abgemeldet hat. Durch das Surfen auf einer präparierten Website schafft er die Möglichkeit, schädlichen Codes zu begegnen, die sich direkt in die geöffnete Web-Applikation setzen, um so unbefugt Funktionen zu aktivieren, wie beispielsweise Banküberweisungen. Hierbei handelt es sich um eine Schwachstelle, die rapide an Interessenten gewinnt. Über Information Leakage and Improper Error Handling können Informationen über Web-Anwendungen unautorisiert eingesehen und als Sicherheitslücken zum Vorteil von Angreifern genutzt werden.

Sicherheitsrisiken in der Kommunikation

Broken Authentication und Session-Management, Insecure Cryptographic Storage und Insecure Communications gehören zu den Schwachstellen von Web-Anwendungen, wenn es zum Beispiel um die sichere Datenübertragung durch Verschlüsselung geht. Zugangsdaten wie Passwörter oder Kreditkartennummern können durch die Sicherheitslücken schnell ausspioniert und Sitzungen übernommen werden. Auch das Fehlen von kryptografischen oder unsicheren Funktionen sorgen für ein Sicherheitsrisiko.

Schwachstellen jetzt überprüfen und Web-Anwendungen sichern

Damit sich Entwickler, Web-Designer, Programmierer und auch der User von Web-Anwendungen auf der sicheren Seite befinden und sich ohne Sorgen im Internet bewegen können, sollte schon beim Entwickeln von Web-Anwendungen auf Sicherheitslücken geachtet und dementsprechend gehandelt werden. Das Projekt "Top Ten" von OWASP bietet Warnungen, die man ernst nehmen sollte.

Jetzt professionell beraten lassen - und ESF-Fördermittel nutzen

Während des yourIT-Sicherheitsaudits "Webapplikationen" versetzen wir uns auch in die Lage eines Angreifers und prüfen Ihre ins Internet exponierten Systeme auf Schwachstellen. Dabei setzen wir auf modernste und automatisierte Schwachstellen-Scanner mit ausführlichen genormten Berichten statt manueller Suche mit subjektiv beeinflussten Ergebnissen. Ihr Vorteil: Das Sicherheitsaudit ist jederzeit wiederholbar und sie können dadurch Ihren kontinuierlichen Verbesserungsprozess (KVP) aufzeigen. Und es bleibt einfach viel mehr Zeit für die Beratung übrig - schließlich führt nur das zu einer tatsächlichen Optimierung.

yourIT - Beratungspaket Sicherheitsaudit "Webapplikationen" - sponsored by ESF

Geringe Kosten durch staatliche Förderung

Wir bieten Ihnen die Durchführung der Phasen A Bedarfsanalyse + B Konzeptentwicklung zum Festpreis von 990 EUR netto an. Darin enthalten sind die oben erwähnten Leistungen für bis zu 2 externe IP-Adressen. Jede weitere externe IP-Adressen kostet zusätzlich nur 350 EUR.

Abzüglich 50% ESF-Fördermittel bleibt ein Eigenanteil von nur 495 EUR.

Weitere Infos zu unseren ESF-geförderten Beratungspaketen haben wir Ihnen hier zusammengestellt:
www.mitgroup.eu.


Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Wie Kommunikation professioneller wird! E-Mails auf dem Rückzug

Der berufliche Alltag stellt gerade in Sachen Kommunikation viele Nutzer vor immense Herausforderungen. Die kleine Anfrage, die schnelle Information und die zielgenaue Informationsweitergabe sind unverzichtbar, wenn es darum geht, den Arbeitsalltag zu gestalten und mit den Kollegen effizient zu verwalten. Doch gerade die E-Mail macht deutlich: Information kann auch anstrengen, kann das Postfach verstopfen und so für berufliche Blockaden sorgen. An ihre Stelle treten immer häufiger Social Enterprise Networks, die alle Empfänger erreichen und zugleich für die zeitnahe Information sorgen.

Verschiedene Vorteile sorgen für verstärkte Nutzung

Was vor ein paar Jahren mit der Mail als dem Heilsbringer schlechthin funktionierte, ist heute in vielen Bereichen Geschichte. Social Enterprise Networks gewinnen zunehmend an Bedeutung, da sie alle im Intranet verbundenen Teilnehmer optimal erreicht. Die Vorteile gegenüber den klassischen E-Mails liegen auf der Hand.

1. Gleichzeitige Erreichbarkeit aller potenziellen Interessenten
2. Postfach bleibt leer
3. Große Datenmengen können publiziert werden
4. Empfänger wählen den Zeitpunkt der Bearbeitung selbst
5. Empfänger in großen Entfernungen haben ebenfalls Zugriff

Kommunikation im Unternehmen wird professionalisiert

Die Unternehmenskommunikation setzt diese Networks heute vielfach sehr gezielt ein. Dabei machen sie sich insbesondere bei jenen bezahlt, die über verschiedene Standorte und räumlich große Entfernungen verfügen. An die Stelle des digitalen Briefs tritt die Möglichkeit, zu einem gewünschten Zeitpunkt selbst auf die Informationsangebote zurückzugreifen. Auch fachliche Diskussionen mit den Anmerkungen der Teilnehmer können so binnen kürzester Zeit nachverfolgt werden. Der Vorteil liegt auf der Hand. Die Interessenten sind in der Lage, sich für das tatsächlich Interessante zu entscheiden und so wesentliche Zeitressourcen sinnvoll zu nutzen.

Rat und Angebot beim IT-Systemhaus einholen

Ob Verein oder große Organisation, ob Unternehmen oder Behörde: Lassen Sie sich von uns mit den notwendigen Informationen versorgen. Egal, ob Sie sich zunächst einmal informieren möchten oder ob Sie bereits ein konkretes Angebot wünschen: In jedem Falle können Sie Social Enterprise Networks als deutliche Arbeitserleichterung nutzen. Mit der Hilfe dieser modernen Technik sind Sie inhaltlich und unternehmerisch auf der Höhe der Zeit.

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Intelligente Kommunikation: Unified Communications

In unserer modernen, miteinander vernetzten Welt, sind mobile Mitarbeiter in firmeninternen ebenso wie in sozialen Netzwerken ständig online und unterwegs. Es gibt eine Unmenge an Informationen, welche verarbeitet werden müssen. Daraus ergibt sich manchmal eine verwirrende Komplexität. Aus diesem Grund ist es wichtig, mit einem modernen System für Kommunikation den Überblick über alles zu behalten. Mit Unified Communications sind die Mitarbeiter in den Teams miteinander verbunden und können zusätzlich jederzeit auf alle Informationen zurückgreifen, die sie für ihre Arbeit benötigen. So können sie nicht nur flexibler und schneller arbeiten, sondern sparen deutlich an Zeit und somit auch Kosten ein.

Alle Kommunikation in einer einheitlichen Umgebung

Mit Unified Communications lassen sich alle Kanäle, die für eine reibungslose Kommunikation zwischen den Mitarbeitern genutzt werden müssen, einheitlich in einer Benutzeroberfläche zusammenführen. Die Informationen zur Präsenz zeigen zudem genau an, wann ein Mitarbeiter für die anderen gut erreichbar ist. Somit lassen sich sowohl Chats als auch Telefonate mit einem Mausklick zu einer Telefon- beziehungsweise Videokonferenz erweitern. Dank Unified Communications lassen sich alle Kanäle bündeln, über ein IP-Netz führen und zu einer homogenen Lösung vereinigen. Ebenso können alle Beteiligten gemeinsam mit Web-Conferencing Dokumente in Echtzeit bearbeiten. Hierzu erlaubt Unified Communications die Einbindung von Kollaborationswerkzeugen.

Wie lässt sich Unified Communications im Unternehmen nutzen?

 

• Projekte lassen sich unabhängig vom Standort der beteiligten Mitarbeiter völlig flexibel strukturieren und bearbeiten
• Mit dem professionellen Management wird das Wissen der Experten im Unternehmen besser für alle nutzbar: diese sind sowohl intern, als auch unternehmensübergreifend deutlich besser erreichbar.
• Die geschäftlichen Abläufe, welche auf Kommunikation beruhen, werden deutlich
• Selbst von unterwegs ist die Effizienz der Arbeit gewährleistet.
• Weil die Informationen schneller und gezielter gefunden werden können, lassen sich Entscheidungen schneller treffen und Projekte zielgerichteter bearbeiten.

Vor- und Nachteile von Unified Communications

Moderne Kommunikation nimmt in unserem Alltag einen großen Raum ein und das Mobiltelefon, mit dem der Mitarbeiter problemlos auch seine Mails abruft, ist längst allgegenwärtiger Begleiter. Im Hotelzimmer lässt sich die Präsentation fertigstellen - und im Netzwerk der Firma für alle sichtbar hinterlegen. Ob der Geschäftspartner in Übersee abends von zu Hause aus kontaktiert wird, oder die Reisezeit für eine Webkonferenz genutzt wird: Alles ist möglich. Dank der Lösungen, welche Unified Communications bietet, lassen sich die unterschiedlichen Kanäle zusammenfassen, neue Freiräume schaffen und die Kommunikation sinnvoll steuern. Der Nachteil dabei ist: Jeder muss seine frei gewordene Zeit auch dazu nutzen, um wirklich einmal abzuschalten und die gewonnene Freizeit auch als solche zu nutzen. gewählt.

Effektivität und Kundenbindung erhöhen

Aber nicht nur für die Kommunikation der Mitarbeiter untereinander bietet Unified Communications eine effiziente Arbeitsbasis, sondern auch für die Kunden. Unabhängig davon, wo sich ein Mitarbeiter befindet - er ist problemlos erreichbar und kann offene Fragen klären. Wenn Sie Ihre firmeninterne und -externe Kommunikation verbessern und optimieren wollen - sprechen Sie uns als IT-Systemhaus an. Wir finden eine Lösung.zum Bedarf entsprechend erweitert werden kann, ohne dass die Kosten überproportional mitwachsen.

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Passwortsicherheit: Schutz vor Cyberkriminalität

In Zeiten der Cyberkriminalität ist die Passwortsicherheit eine der größten Herausforderungen, um sich und seine Technik vor entsprechenden Angriffen zu schützen. Nach Erkenntnissen des Bundeskriminalamtes nimmt der Computerbetrug als ein Teil der Cyberkriminalität kontinuierlich zu. Pro Jahr werden knapp 70.000 Delikte registriert - diese Zahl hat sich damit seit 2008 verdoppelt. Nachdem jüngst bekannt wurde, dass in Deutschland 18 Millionen Zugangsdaten von Internet-nutzern gestohlen wurden, war die Empörung, aber auch die Sorge groß. Klar ist: Es gibt verschiedene Möglich-keiten, sich vor Cyberkriminalität zu schützen.

Schutz vor Cyberkriminalität

 

Die wichtigste Möglichkeit besteht in einer umfassenden Passwortsicherheit. Je komplexer ein Passwort ist, desto sicherer sind auch Rechner und E-Mail-Account. Sinnvoll ist es, ein Passwort alphanumerisch anzulegen, also Zahlen und Buchstaben zu kombinieren. Wer darüber hinaus noch die Groß- und Kleinschreibung innerhalb des Passwortes berücksichtigt, der wird jeden Kriminellen eher abschrecken. Darüber hinaus sollte der Kreis derer, die zum Passwort Zugang haben, kleinstmöglich gehalten werden.

Kriminelle versuchen, über den Zugang zu den individuellen Kommunikationsdaten sich einen Vorteil zu verschaffen - beispielsweise über den bargeldlosen Zahlungsverkehr. Im geschäftlichen Umfeld wird versucht, Zugang auf E-Mail- Konten und komplette Rechnersysteme zu erlangen. Internet-kriminelle versuchen an Benutzerdaten zu gelangen um dort beispielsweise E-Mail-Inhalte oder Kreditkartendaten abzurufen. Notwendig ist deshalb ein Schutz der Systeme nach innen und außen.

Passwortsicherheit: So einfach geht es

 

Nach Auskunft des Bundesamtes für Sicherheit in der Informationstechnik sollten Passwörter mindestens zwölf Zeichen lang sein. Sie sollten aus Groß- und Kleinbuchstaben bestehen und Zahlen und Buchstaben sowie Sonderzeichen bestehen. Namen von Angehörigen gelten als Tabu. Passwörter sollten möglichst so erstellt werden, dass sie keinen Bezug zur eigenen Verwandtschaft haben und in Wörterbüchern nicht vorkommen. Es sollten außerdem keinerlei aneinandergereihte fortlaufende Buchstaben oder Zahlen genutzt werden. Auch die mehrfache Verwendung von Passwörtern sollte vermieden werden. Schließlich sollten Passwörter regelmäßig geändert werden.

Software hilft in Sachen Sicherheit

 

Eine besondere Möglichkeit, Passwörter zu verwalten, sind spezielle Programme. So ist es möglich, dank dieser Software-Programme die Vielzahl verschiedener Passwörter gerade im gewerblichen Bereich regelmäßig zu ändern und damit ein Maximum an Sicherheit zu gewährleisten. Wer das tut, der kann seine verschiedenen Accounts sicher nutzen und ist vor kriminellen Attacken geschützt. Sprechen Sie Ihr IT-Systemhaus darauf an.

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Zahlreiche Router angegriffen

300.000 Router weisen manipulierte DNS-Einstellungen auf. Schwachstellen von Routern werden von Hackern ausgenutzt. Gerade Heimnetzwerke oder Netzwerke kleinerer Unternehmen sind betroffen. Vor allem Europa und Asien waren Ziel des Angriffs. Man rechnet mit rund 300.000 betroffenen Routern.

Verlauf des Angriffs und seine Folgen

 

Mitarbeiter des IT-Sicherheitsanbieters Team Cymru verzeichneten einen groß angelegten Hacker-Angriff. Dieser begann im Dezember 2013 und hatte vor allem Geräte aus Europa und Asien zum Ziel. Hier wurden bevorzugt die Länder Vietnam, Thailand, Italien und Indien Opfer des Angriffs, wobei der Angriff sich nicht gezielt auf diese Länder konzentriert, vielmehr wurden hier erhöhte Angriffe verzeichnet. Die Hacker änderten Routereinträge und die DNS-Server wurden auf die IP-Adressen 5.45.75.11 und 5.45.75.36 geändert.
Durch die Änderung der IP-Adressen der angefragten Domains, konnten die User durch sogenannte Man-in-the-Middle-Attacken auf die beiden oben genannten IP-Adressen umgeleitet werden. Die Mitarbeiter von Team Cymru entdeckten in einem Zeitraum von zwei Wochen etwa 300.000 so gehackte IP-Adressen. Aufgrund dieser Beobachtung rechnet man auch mit einer etwa gleich hohen Zahl von betroffenen Geräten. Man kann daher davon ausgehen, dass der wahre Angriff wahrscheinlich noch bevorsteht und es sich hierbei nur um einen Test handelte. Gehackt wurden vor allem Geräte von den Herstellern D-Link, TP-Link und Zyxel. Es wird vermutet, dass bei diesen Modellen nicht mehr die vom Werk her eingestellten Passwörter benutzt worden sind. Die Experten von Team Cymru sehen den Grund für diese Anfälligkeit darin, dass der User nicht sehr gut mit der Konfiguration solcher Geräte vertraut ist und die Standardeinstellungen oftmals einen zu hohen Unsicherheitsfaktor darstellen.

In der Vergangenheit konnte man in Polen bereits schon einmal einen solchen Angriff beobachten. Damals wurden die Online-Banking-Daten von Usern ausgespäht, die auf solche manipulierten Seiten weitergeleitet worden sind. Somit hatten die Hacker die Möglichkeit, diese Daten für ihre Zwecke zu missbrauchen.

Was kann man tun?

Zunächst sollten die lokalen Einstellungen der Router überprüft werden und darüber hinaus der Zugriff von außen bzw. ein Fernzugriff nicht gestattet - also deaktiviert - werden. Der Fernzugriff bietet den Hackern ungeahnte Möglichkeiten, die eigenen Ressourcen auszuspionieren. Des Weiteren empfiehlt es sich, die Firmware regelmäßig zu aktualisieren und immer auf dem neuesten Stand zu halten.

Es sollte stets beachtet werden, dass Sicherheitslücken bei jedem Hersteller lauern können. So sind jüngst Sicherheitslücken bei AVM und Cisco aufgedeckt worden. Gerade in den WLAN-Routern schleichen sich oft diese Lücken ein. Hauptursache hierfür sind mangelnde Sicherungen bei Zugangs-beschränkungen.

Ein Problem liegt in der Tatsache, dass es für die meisten Router keine automatische Aktualisierung gibt und die User sich dazu selbst einloggen müssten. Die meisten User sehen dieses Sicherheitsrisiko aber nicht und lassen den Router nach der ersten Einrichtung arbeiten, ohne von Zeit zu Zeit die erforderlichen Updates durchzuführen.

Fazit

Damit der eigene Router und somit auch die eigenen Daten vor Hacker-Angriffen geschützt sind, ist die regelmäßige Durchführung von Updates unumgänglich. Diese Maßnahme kann jeder User in der Regel selber durchführen. Für alle Fragen ist es aber ratsam, ein IT-Systemhaus zu kontaktieren. Dieses steht mit Beratung, Unterstützung und Ausführung zur Verfügung.

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

IT im Unternehmen: Ein bisschen sicher ist nicht sicher genug

Nicht erst seit den Enthüllungen über die Datensammelwut der amerikanischen NSA steht das Thema Datensicherheit im Fokus des öffentlichen Interesses. Dabei drohen insbesondere Unternehmen auch ohne spektakuläre Überwachungsmaßnahmen ausländischer Dienste in der ganz alltäglichen Nutzung ihrer IT mannigfache Sicherheitsgefahren von innen und außen, die häufig noch immer grob fahrlässig unterschätzt werden.

Viele Firmen arbeiten noch immer ohne ausgearbeitetes Sicherheitskonzept. Schlampiger Umgang mit Passwörtern und Emails, zu demokratisches Verfahren bei Admin-Rechten, ungeschützte Server und ähnliche Fahrlässig-keiten öffnen Wirtschaftsspionage von Mitarbeitern und bösartigen Interessenten an sensiblen Daten Tür und Tor. So manchem Unternehmen ist das bereits teuer zu stehen bekommen.

yourIT empfiehlt: Klären Sie jetzt Ihre Mitarbeiter zum Thema Passwortsicherheit auf!

Gefahren und Verluste drohen durch Hacker, Social Engineering, Online- Betrüger, aber auch durch Spammer, Würmer, Viren und andere Schadprogramme. Dabei sind Sicherheitsmaßnahmen in diesem Bereich nicht nur persönlicher Umsicht der Firmeninhaber geschuldet. Im Bereich der Kapitalgesellschaften sehen einzelne Gesetze wie etwa das GmbH-Gesetz, das Gesetz zur Kontrolle und Transparenz oder auch Kreditvergaberegelungen verschärfte Haftungen von Organen bei Vernachlässigung der IT- Sicherheit vor.

Passwörter - eine unendliche Geschichte

Obwohl die Anforderungen an ein sicheres Passwort bekannt sind (Mindestens acht Zeichen, Groß- und Kleinbuchstaben, Ziffern und anderen Zeichen), wird diesem wichtigen Thema zu wenig Aufmerksamkeit gewidmet. Immer noch vereinfacht der einzelne User das Passwort häufig so, dass es Hackern sehr leicht fällt, dass Passwort herauszufinden.

Bereits im Jahr 1987 veräppelt Mel Brooks im Film Spaceballs den zu laschen Umgang mit wichtigen Zugangs-Passwörtern. Lord Helmchen entführt Prinzessin Vespa und erpresst damit von deren Vater König Roland den Zugangscode zum Kraftfeld seines Planeten. Zögerlich nennt der König das wichtigste Passwort seiner Welt. Es lautet 1-2-3-4-5. Selbst Lord Helmchen ist baff und meint: "Also, so eine dämliche Kombination hab ich noch nie vernommen! Nur ein Idiot würde für seinen Koffer so"n Code verwenden!" Wenig später bestätigt sein eigener Präsident Skroob: ""Was der Code lautet 1-2-3-4-5? Das ist ja derselbe wie auf meinen Koffer. Ändern Sie den!" Mel Brook konnte damals ja nicht wissen, dass im Jahr 2012 - also 25 Jahre später - das Passwort des syrischen Präsident Assad von Hackern geknackt werden würde. Es lautete ebenfalls 1-2-3-4-5.

Nutzergenerierte Passwörter zeichnen sich heute leider immer noch sehr häufig dadurch aus, dass aus Gründen der besseren Merkbarkeit sinnvolle Begriffskombinationen, Geburtsdaten und ähnliches verwendet werden. Für mehrere Vorgänge wird häufig auch dasselbe Passwort hinterlegt - fatal, wenn z.B. das Facebook/Whatsapp-Passwort identisch ist mit dem Firmenzugangscode.

Dies erleichtert Hackern die Arbeit. Auch die Verwaltung von Passwörtern ist oft nicht zureichend gegen Zugriffe Dritter geschützt, wenn diese nicht verschlüsselt sind.

Ein ausgefeiltes Sicherheitskonzept wird daher zukünftig dem Schutz durch Passwörter noch weitere Instrumentarien wie Fingerabdruck, Iris-Scan oder zusätzliche persönliche Fragen beiordnen.

Daneben muss im Unternehmen immer wieder auf die Wichtigkeit der Passwörter hingewiesen und auf deren möglichst sichere Ausgestaltung eingewirkt werden.

Admin-Rechte für alle - Demokratie an der falschen Stelle

Administratoren Rechte ermöglichen dem Anwender den Zugriff auf Daten, Programme, erlauben Downloads aller möglichen Daten und Manipulationen an Daten. Deshalb ist es grob fahrlässig, wenn die Admin-Rechte im Unternehmen nicht besonderen IT-Mitarbeitern vorbehalten sind, sondern quasi jeder Mitarbeiter über diese Rechte verfügt. Hier wird eine Einladung ausgesprochen, nach Bedarf sensible Daten zu ziehen.

Maßgeschneidertes Konzept

Bereits diese kurzen Ausführungen lassen erkennen, dass jedes Unternehmen ein auf seine Bedürfnisse zugeschnittenes, professionelles Konzept im Bereich der IT- Sicherheit mit Daten- und Virenschutz benötigt. Wenden Sie sich hierzu vertrauensvoll an uns von yourIT.

Achtung Mittelständler: Nutzen Sie jetzt unser ESF-gefördertes Beratungspaket

Schaffen Sie Klarheit in Ihrem Unternehmen: Mit unserem Beratungspaket Sicherheitsaudit IT-Infrastruktur erstellen wir Ihnen unter anderem auch eine Liste der schwachen Passwörter in Ihrem Unternehmen. Wir bieten Ihnen persönliche Beratung zum Fixpreis - sponsored by ESF.

yourIT Sicherheitsaudit IT-Infrastruktur

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Dringende Warnung: Erhöhtes Aufkommen von Cryptolocker

Unser Partner Norman meldet soeben, dass aktuell in deren Datenzentren von Norman SecureSurf und SecureMail eine erhöhte Menge bösartiger E-Mails wahrgenommen wird, die Cryptolocker Malware enthalten. Diese kann die Daten Ihres Unternehmens verschlüsseln.

Der Großteil dieses Traffics erreicht die Benutzer durch vertrauenswürdige Filesharing-Programme, die als Voicemail-Nachrichten oder Faxe verkleidet kommen. Norman SecureMail blockiert alle bekannten Varianten solcher E-Mails, allerdings können Spammer derartige Mails schnell verändern.

Informieren Sie jetzt Ihre Mitarbeiter

Daher ist es unglaublich wichtig, dass Sie Ihre Benutzer jetzt darauf hinweisen, absolut keine unbekannten E-Mails zu öffnen und keine Dateien herunterzuladen, ohne deren Quelle zu kennen. Außerdem ist es unumgänglich, häufiger ein Backup Ihrer Dateien durchzuführen. Wenn Sie ein Drittanbieter-Backup-System verwenden, stellen Sie sicher, dass Ihr Backup nicht mit den verschlüsselten Dateien überschrieben wird.

Dringende Warnung aus der yourIT-securITy-Abteilung zu E-Mails mit Cryptolocker

Zur Erinnerung: Cryptolocker ist ein besonders zerstörerischer Virus, der es schafft, alle Ihre Daten zu verschlüsseln. Cyber-Kriminelle zwingen Sie dann zur Zahlung, um die Daten wieder zu bekommen. Solchen Zahlungsaufforderungen sollten Sie keinesfalls nachkommen. Sie können sich nicht sicher sein, ob Sie Ihre Dateien tatsächlich wieder bekommen.

Unsere Empfehlung: Stellen Sie sicher, dass Ihre Kunden mit Norman SecureMail und SecureSurf geschützt sind.

Was macht Cryptolocker genau?

1. Ein Autostart-Objekt wird hinzugefügt und die Malware automatisch ausgeführt.

2. Die Malware ändert Registrierungseinträge, damit sie sich beim Systemneustart ausführen kann. Des Weiteren deaktiviert die Malware den abgesicherten Modus von Windows und kopiert ausführbare Dateien in das Anwendungsdatenverzeichnis des Windows Benutzers.

3. Cryptolocker erstellt eine sich selbst zerstörende Batch-Datei, welche das Skript enthält, damit die Malware ausgeführt werden kann.
    
Da diese Malware Dokumente mit dem komplexen RSA 1024-Bit Schlüssel verschlüsselt , sind wir nicht in der Lage, die Dateien wieder zu entschlüsseln. Aber wir werden dieser Malware auf der Spur bleiben und versuchen, alle seine Varianten zu erkennen.

Aktuelle Varianten des Cryptolockers werden von Norman als Cribit.A erkannt

Fragen? Wir sind für Sie da. Schreiben Sie einfach eine E-Mail an support@yourit.de

simplify yourIT empfiehlt den neuen Sicherheitsstandard ISA+ für KMU

Ihr Unternehmen benötigt ein Informationssicherheits-Managementsystem (ISMS). Dann müssen Sie sich entscheiden. Neben den bereits bekannten und am Markt angebotenen IT-Sicherheits-Standards ISO 27001, BSI IT-Grundschutz und ISIS12 gibt es seit letzter Woche einen neuen Standard: ISA+

Wozu noch ein Informationssicherheits-Management-System (ISMS)?

Angesichts der vielfältigen Gefährdungspotentiale nimmt die Informations-Sicherheit eine immer wichtigere Rolle ein. Wie sicher ist die verwendete IT-Infrastruktur? Welche technischen und organisatorischen Maßnahmen müssen konkret in der Organisation umgesetzt werden? Hierzu standen auch bisher schon eine Reihe von Sicherheitsstandards zur Verfügung:

• ISO 27001
• BSI IT-Grudschutz
• ISIS12

Aus bisherigen Projekten wissen wir, dass die Einstiegshürden für diese ISMS für kleine und mittelständische Unternehmen (KMU) meist zu hoch sind. Vorbereitung, Durchführung und Zertifizierung überfordern diese schnell. Die erforderlichen Ressourcen und Spezialisten fehlen und müssen teuer zugekauft werden. Aus diesen und weiteren Gründen verzichten viele KMU daher auf die Einführung eines ISMS - auch wenn Ihnen die Risiken bewußt sind. Das führt dazu, dass KMU in der Regel bereits an den ISMS-Einstiegsfragen scheitern, weil z.B.  Datenschutzrichtline, Informationssicherheitsleitlinie, Notfallplan, etc. fehlen.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+

Aus diesem Grund halten wir ISA+ für das sinnvolle ISMS bei kleinen und mittelständischen Unternehmen - vor allem, wenn diese sich das erste Mal an solch ein Projekt heranwagen. Eine spätere Erweiterung auf die größeren Standards ISIS12, BSI IT-Grundschutz und sogar ISO 27001 ist später problemlos machbar. Der Grundgedanke ist derselbe - und passt zu unserem Konzept des "simplify yourIT".

Und das Beste: Sponsored by ESF

Die im Rahmen der Informations-Sicherheits-Analyse ISA+ erforderliche Beratungsleistung bei kleinen und mittelständischen  Unternehmen (KMU) bildet ab sofort und noch für das restliche Jahr 2014 unser nächstes ESF-gesponsortes Beratungspaket.

yourIT - ESF-gefördertes Beratungskonzept Informations-Sicherheits-Analyse ISA+

Weitere vom Europäischen Sozialfonds (ESF) geförderte yourIT-Beratungspakete finden Sie hier: http://www.mitgroup.eu/unsere-beratungspakete

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele