Mausefalle

Das BSI warnt aktu­ell vor einem mög­li­chen Daten­schutz­ver­stoß bei Nut­zung von VirusTo­tal. Neben dem Daten­schutz­ri­si­ko sind aber auch ande­re schüt­zens­wer­te Infor­ma­tio­nen der eige­nen Orga­ni­sa­ti­on oder von Exter­nen in Gefahr, Drit­ten gegen­über offen­ge­legt zu werden.

Was ist VirusTotal?

VirusTo­tal ist ein Ser­vice von Goog­le und unter https://​www​.virusto​tal​.com erreich­bar. Über den Dienst kann man bei­spiels­wei­se ver­däch­ti­ge Web­adres­sen (URL) über­prü­fen, bevor man die­se selbst im Brow­ser auf dem eige­nen Sys­tem auf­ruft. Eine Emp­feh­lung, die wir bei­spiels­wei­se im Rah­men unse­rer Schu­lun­gen und Webi­na­re häu­fi­ger aussprechen.

Neben die­sem URL-Check bie­tet VirusTo­tal jedoch auch an, Datei­en zur Online-Über­prü­fung durch eine Viel­zahl bekann­ter Viren­scan­ner hoch­zu­la­den. Und da liegt auch der Hase im Pfef­fer. Neben der Nut­zung direkt im Brow­ser bie­tet VirusTo­tal auch Busi­ness-Ser­vices an, bei denen kein manu­el­ler Upload erfol­gen muss, son­dern die Prü­fung auto­ma­ti­siert im Hin­ter­grund durch­ge­führt wird.

“Die­ser Dienst wird von Pri­vat­per­so­nen und Unter­neh­men oft­mals zur Prü­fung von ver­däch­ti­gen Datei­en genutzt, um auf­grund der Viel­zahl von Anti­vi­ren­pro­gram­men ver­läss­li­che­re Ergeb­nis­se als mit nur einem Scan­ner zu erhal­ten.”, so das Bun­des­amt für Sicher­heit in der Informationstechnik.

Wo ist das Pro­blem bzw. der Daten­schutz­ver­stoß bei Nut­zung von VirusTotal?

Wer­den Datei­en mit per­so­nen­be­zo­ge­nen Daten hoch­ge­la­den bzw. geprüft, liegt für gewöhn­lich eine Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO vor. Die­se muss inkl. der TOM-Prü­fung kor­rekt VOR Nut­zung des Diens­tes gere­gelt und ver­ein­bart sein. Hin­zu kommt, dass lt. BSI Daten­wei­ter­ga­ben an zahl­rei­che AV-/Scan-Anbie­ter auch mit Sitz außer­halb der EU erfol­gen. Vor dem Hin­ter­grund der aktu­el­len Dis­kus­si­on um Dritt­staa­ten­über­mitt­lun­gen nicht ganz unproblematisch.

Und ganz neben­bei: Selbst dann, wenn Datei­en ohne per­so­nen­be­zo­ge­ne Daten hoch­ge­la­den wer­den, besteht ein nicht uner­heb­li­ches Risi­ko. Näm­lich dann, wenn es sich um ver­trau­li­che bzw. schüt­zens­wer­te Infor­ma­tio­nen der Orga­ni­sa­ti­on (oder eines Kun­den /​ Bür­gers /​ Auf­trag­ge­bers) han­delt. Die­se Datei wird mun­ter mit allen ange­schlos­se­nen Anbie­tern geteilt. Will man das für Geschäfts- bzw. Orga­ni­sa­ti­ons­ge­heim­nis­se? Eher nicht.

Was kann helfen?

  1. Mit­ar­bei­ter auf die­ses grund­le­gen­de Sicher­heits­pro­blem bei der Nut­zung des Diens­tes auf­merk­sam machen bzw. dafür aus­rei­chend sen­si­bi­li­sie­ren (Nein, Papier allei­ne reicht nicht!)
  2. Rege­lun­gen tref­fen, ob und wenn ja wel­che Datei­en mög­li­cher­wei­se doch einem Check durch den Ser­vice unter­zo­gen wer­den dür­fen (z.B. bei Ver­trau­lich­keits­sta­tus “Öffent­lich”)
  3. Oder wie das BSI rät, aus­schließ­lich mit Hash-Wer­ten der Datei­en zu arbei­ten (tri­cky, aber machbar)

Wei­te­re Unter­stüt­zung bie­ten die Fra­ge­stel­lun­gen an Sicher­heits­be­auf­trag­te auf Sei­te 3 der Stel­lung­nah­me des BSI zum The­ma, zu fin­den hier.

 

Trojanisches Pferd

Die Bun­des­an­stalt für Finanz­dienst­leis­tungs­auf­sicht, kurz BaFin warnt in einer aktu­el­len Pres­se­mit­tei­lung vor gefälsch­ten Zah­lungs­auf­for­de­run­gen. Der eine oder ande­re Email-Adres­sat mag sich schon ver­wun­dert die Augen gerie­ben haben, ob eines mög­li­chen Geld­se­gens. Es wer­den Rück­zah­lun­gen ange­kün­digt von Inves­ti­tio­nen in nicht-lizen­zier­te Online-Han­dels­platt­for­men. Zuvor müs­se man jedoch selbst erst eine Über­wei­sung täti­gen, um die Rück­zah­lung aus­zu­lö­sen. Als Beleg für die “Echt­heit” des Geld­ver­spre­chens wird ein sog. “Sicher­heits­ver­trag” der BaFin beigefügt.

Die BaFin betont, das sei erwar­tungs­ge­mäß Hum­bug und man sol­le als Emp­fän­ger einer sol­chen Email nicht auf die Masche her­ein­fal­len. Statt­des­sen sol­le man Anzei­ge bei der Poli­zei oder Staats­an­walt­schaft erstat­ten. Ver­brau­chern rät die BaFin, gene­rell äußerst wach­sam zu sein, wenn Drit­te unter dem Namen der BaFin agie­ren, denn sie wen­det sich nicht von sich aus an ein­zel­ne Personen.

Grü­ße von der Nige­ria-Con­nec­tion

Darth Vader droht mit Lichtschwert

BSI: War­nung vor Kas­pers­ky — Kein Ein­satz von Pro­duk­ten aus dem Hau­se Kas­pers­ky mehr

“Das BSI emp­fiehlt, Anwen­dun­gen aus dem Port­fo­lio von Viren­schutz­soft­ware des Unter­neh­mens Kas­pers­ky durch alter­na­ti­ve Pro­duk­te zu erset­zen.” Die­se War­nung vor Kas­pers­ky spricht das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik mit eini­ger Ver­zö­ge­rung und auch erst nach drän­gen­den Nach­fra­gen des Hei­se Ver­lags nun seit eini­gen Tagen offi­zi­ell aus.

War­nung vor Kas­pers­ky berech­tigt oder Panikmache?

Dazu kann man nun ste­hen wie man will. Wie­so erst jetzt? Wie­so nicht schon im Zuge der Anne­xi­on der Krim, als sich die tota­li­tä­ren Risi­ken bereits klar abzeich­ne­ten? Sei es drum. Ein Risi­ko ist nicht gene­rell von der Hand zu wei­sen, von daher ist Vor­beu­gen bes­ser als hin­ter­her schlau­er zu sein.

Das BSI schreibt dazu:

“Viren­schutz­soft­ware hat tief­ge­hen­de Ein­griffs­rech­te in PCs, Smart­pho­nes, Lap­tops und ande­re IT-Infra­struk­tu­ren. Ver­trau­en in die Zuver­läs­sig­keit und den Eigen­schutz des jewei­li­gen Her­stel­lers sowie sei­ner authen­ti­schen Hand­lungs­fä­hig­keit ist daher ent­schei­dend für den siche­ren Ein­satz sol­cher Systeme.”

Schwach­stel­len in der eigent­li­chen Soft­ware kön­nen daher schnell zur Kom­pro­mit­tie­rung ein­zel­ner Gerä­te, aber auch gan­zer Sys­tem­land­schaf­ten füh­ren. Das ist kein gene­rel­les Pro­blem der Kas­pers­ky-Pro­duk­te, son­dern von jeder Soft­ware, die so tief in die Betriebs­sys­te­me ver­zahnt ist. In die­sem kon­kre­ten Fall führt das BSI in sei­ner War­nung vor Kas­pers­ky wei­ter aus:

“Im Kon­text des Krie­ges, den Russ­land gegen die Ukrai­ne führt, könn­te ein rus­si­scher IT-Her­stel­ler selbst offen­si­ve Ope­ra­tio­nen durch­füh­ren, oder gegen sei­nen Wil­len dazu gezwun­gen wer­den, Ziel­sys­te­me anzu­grei­fen, oder als Opfer einer Cyber-Ope­ra­ti­on ohne sei­ne Kennt­nis aus­spio­niert oder als Werk­zeug für Angrif­fe gegen sei­ne eige­nen Kun­den miss­braucht werden.”

Guter Rat ist teuer

Was heißt die­se War­nung vor Kas­pers­ky jetzt kon­kret? Je weni­ger kom­plex die betrof­fe­ne Sys­tem­um­ge­bung ist und gera­de auf einem Ein­zel­ge­rät zuhau­se, des­to leich­ter fällt der Umstieg auf einen ande­ren Anbie­ter. In grö­ße­ren Sys­tem­um­ge­bun­gen wer­den jedoch sel­ten nur Viren­schutz­pro­duk­te, son­dern meist gan­ze Sicher­heits­sui­ten der Anbie­ter genutzt. Damit fal­len dann schnell auch wich­ti­ge Schutz­me­cha­nis­men wie Spam-Fil­te­rung, Schutz der USB-Ports und vie­le mehr weg. Da ist es mit einer ein­fa­chen De-Instal­la­ti­on und Neu-Instal­la­ti­on eines ande­ren Pro­dukts nicht mal eben so getan. Dazu kom­men lau­fen­de Lizenz­ge­büh­ren, die wei­ter­hin bis zum Ende der Ver­trags­lauf­zeit zu leis­ten sind. Son­der­kün­di­gungs­recht? Sieht aktu­ell nicht so aus, aber dar­über sol­len die Juris­ten strei­ten. D.h. durch den Umstieg auf eine ande­re Lösung bzw. einen ande­ren Anbie­ter fal­len zusätz­lich Lizenz­ge­büh­ren an, von der not­wen­di­gen Arbeits­zeit für Pla­nung und Kon­zep­ti­on sowie Roll-Out ganz zu schweigen.

Die jeweils aktua­li­sier­te FAQ des BSI für Unter­neh­men und Pri­vat­an­wen­der ist hier zu fin­den: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Warnungen-nach-Par‑7/FAQ-Kaspersky/faq_node.html

 

Schutzschild

Alle Jah­re wie­der, so auch heu­te zum 01.02.2022 hallt es aus diver­sen Nach­rich­ten­ka­nä­len “Leu­te, ändert regel­mä­ßig euer Pass­wort. Bei­spiels­wei­se heu­te, am sog. Ände­re-Dein-Pass­wort-Tag.” Nun, kann man machen, ist aber nicht unbe­dingt sinn­voll. In Blog­bei­trä­gen 2016 (aktua­li­siert 2018: “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”), 2017 (“Ände­re-Dein-Pass­wort-Tag: Über Sinn und Unsinn des regel­mä­ßi­gen Pass­wort­wech­sels”) und 2018 (Update 2020: “„Ich bereue den Pass­wort-Wahn­sinn“ – weg mit den Pass­wort Mythen”) haben wir uns mit die­ser For­de­rung zum regel­mä­ßi­gen Pass­wort­wech­sel aus­ein­an­der­ge­setzt und sind dabei — wie seit 2017 die NIST (Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy) als eigent­li­cher Ver­ur­sa­cher die­ser “Ange­wohn­heit” — zu einem ande­ren Schluss gekom­men: Fin­ger weg vom regel­mä­ßi­gen Pass­wort­wech­sel. Lie­ber Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) ein­rich­ten. War­um und wie­so? Lesen Sie hier.

War­um bzw. wann soll­te ich ein Pass­wort über­haupt ändern bzw. wechseln?

“Na, das ist doch sicher!” — “Und das haben wir ja schon immer so gemacht!” — Und im Zwei­fel ver­langt es auch noch die Pass­wort-Richt­li­nie des einen oder ande­ren Unter­neh­mens oder auch der Behör­de. Doch sind das wirk­lich gute und belast­ba­re Grün­de für einen Pass­wort­wech­sel? Mög­lichst noch in Inter­val­len von 30–90 Tagen? Und für jedes Log­in noch ein ande­res Pass­wort? Ende vom Lied: Pass­wör­ter wer­den alpha­be­tisch oder nume­risch hoch­ge­zählt oder schlimms­ten­falls auf­ge­schrie­ben, abge­legt unter dem Schreib­tisch­scho­ner. Das ist natür­lich rich­tig sicher 🙂

Doch es gibt in der Tat wirk­lich 3 gute Grün­de, das Pass­wort zu ändern:

  1. Das Pass­wort wur­de aus­ge­späht, zumin­dest besteht der Verdacht.
  2. Das Pass­wort wur­de unnö­ti­ger­wei­se einer Kol­le­gin oder einem Kol­le­gen bekannt­ge­ge­ben, obwohl dazu tech­nisch nor­ma­ler­wei­se gar kein Grund besteht.
  3. Es han­delt sich um ein Initia­li­sie­rungs­pass­wort, das nach der Nut­zung durch das eigent­li­che Pass­wort ersetzt wer­den muss.

Und Ende der Aufzählung.

Bes­ser: Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) akti­vie­ren, statt Pass­wort zu ändern

Es ist kei­ne all­zu neue Erkennt­nis, dass die Absi­che­rung von Log­ins aus­schließ­lich mit Benut­zer­na­me und Pass­wort in den meis­ten Anwen­dungs­fäl­len kei­nen aus­rei­chen­den Schutz bie­tet. Aus die­sem Grund ist es mitt­ler­wei­le üblich, wo es nur geht und vor­ge­se­hen ist, einen zusätz­li­chen Schutz­fak­tor ein­zu­bau­en bzw. zu nut­zen. Ein bewähr­tes Mit­tel ist die sog. Zwei-Fak­tor-Authen­ti­fi­zie­rung, kurz 2FA.

Die Zwei-Fak­tor-Authen­ti­sie­rung (2FA), häu­fig auch Zwei-Fak­tor-Authen­ti­fi­zie­rung genannt, bezeich­net den Iden­ti­täts­nach­weis eines Nut­zers mit­tels der Kom­bi­na­ti­on zwei­er unter­schied­li­cher und ins­be­son­de­re unab­hän­gi­ger Kom­po­nen­ten (Fak­to­ren). Typi­sche Bei­spie­le sind Bank­kar­te plus PIN beim Geld­au­to­ma­ten, Fin­ger­ab­druck plus Zugangs­code in Gebäu­den, oder Pass­phra­se und Trans­ak­ti­ons­num­mer (TAN) beim Online-Ban­king. Die Zwei-Fak­tor-Authen­ti­sie­rung ist ein Spe­zi­al­fall der Multi-Faktor-Authentisierung.

Für kri­ti­sche Anwen­dungs­be­rei­che wird die Zwei-Fak­tor-Authen­ti­sie­rung emp­foh­len, so bei­spiels­wei­se vom deut­schen Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) in sei­nen IT-Grund­schutz- Kata­lo­gen. Im Bank­we­sen wur­de mit der EU-Zah­lungs­diens­te-Richt­li­nie die Zwei-Fak­tor- Authen­ti­sie­rung für den Euro­päi­schen Wirt­schafts­raum 2018 sogar ver­pflich­tend ein­ge­führt. Mitt­ler­wei­le gibt es sehr vie­le Anbie­ter, die für Ihre Web­sei­ten /​ Log­in-Berei­che, aber auch ande­re Anmel­de-Vor­gän­ge eine 2FA nicht nur anbie­ten, son­dern ver­bind­lich machen.

Die Zwei-Fak­tor-Authen­ti­sie­rung ist nur dann erfolg­reich, wenn bei­de fest­ge­leg­ten Fak­to­ren zusam­men ein­ge­setzt wer­den und kor­rekt sind. Fehlt eine Kom­po­nen­te oder wird sie falsch ver­wen­det, lässt sich die Zugriffs­be­rech­ti­gung nicht zwei­fels­frei fest­stel­len und der Zugriff wird ver­wei­gert. Jetzt könn­te man ja sagen, Benut­zer­na­me und Pass­wort sind doch schon zwei Kom­po­nen­ten. Das ist so aber nicht ganz rich­tig. Denn auf­grund der meist vor­ge­ge­be­nen Benut­zer­na­men wie die eige­ne Email-Adres­se oder Vorname.Nachname ist die­ser ers­te Fak­tor „ver­brannt“. Es muss daher neben dem Pass­wort ein wei­te­rer siche­rer Fak­tor her. Kor­rek­ter­wei­se wür­de man die Kom­bi­na­ti­on Benut­zer­na­me + Pass­wort + wei­te­rer Fak­tor als Mul­ti­fak­tor- Authen­ti­fi­zie­rung bezeich­nen. In der Pra­xis ist es dann doch nur eine 2FA aus dem zuvor genann­ten Grund.

In der Pra­xis greift man oft auf die­se Kom­bi­na­ti­on zurück:

  1. Benut­zer­na­me
  2. Pass­wort
  3. Authen­ti­ca­tor /​ Authen­ti­fi­ca­tor (z.B. App auf dem Han­dy oder Pro­gramm auf dem Desktop)

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik hat das The­ma in sei­ner Rei­he “BSI für Bür­ger” das The­ma anschau­lich und mit einem kur­zen Video auf­be­rei­tet, wer es noch mal genau­er und anschau­li­cher wis­sen will (exter­ner Link zum Bei­trag des BSI).

2FA ist kei­ne Raketenwissenschaft

Gele­gent­lich könn­te man mei­nen, 2FA ist “rocket sci­ence” bzw. Rake­ten­wis­sen­schaft. Und da noch nicht aus­rei­chend erforscht und man­gels Erfah­run­gen damit, soll­te man doch eher Abstand davon neh­men. Zumin­dest trifft man sol­che Ten­den­zen durch­aus immer wie­der bei IT-Ver­ant­wort­li­chen und /​ oder Anwen­dern. Fragt man jedoch genau­er nach, resul­tiert die Abnei­gung doch eher daher, sich (als Mensch) oder etwas (die Tech­nik) ändern bzw. den Erfor­der­nis­sen der Zeit anpas­sen zu müs­sen. Und wir wis­sen bekannt­lich alle, der Mensch ist ein Gewohn­heits­tier. Das wis­sen auch Angrei­fer und machen sich die­se Schwach­stel­le ger­ne zunutze.

Vor vie­len Jah­ren war 2FA nicht weit ver­brei­tet, das ist wahr. Mitt­ler­wei­le ist dem aber nicht mehr so. Die meis­ten täg­lich bzw. regel­mä­ßig genutz­ten Log­ins las­sen sich mit­tels 2FA zusätz­lich absi­chern. Daher stuft das BSI 2FA auch nicht mehr als Kür ein, son­dern emp­fiehlt die Nut­zung von 2FA mitt­ler­wei­le als Basis­tipp zur IT-Sicher­heit. Gut, auch das hat vie­le Jah­re gedau­ert, aber das BSI hat sei­ne frü­he­re nicht opti­ma­le Hal­tung zum The­ma Pass­wort­wech­sel kor­ri­giert und den BSI IT-Grund­schutz eben­falls dahin­ge­hend angepasst.

Es gibt daher kei­nen Grund, sich nicht mit dem The­ma 2FA zu befas­sen und die­se, sofern vor­han­den, für die eige­nen Log­ins zu akti­vie­ren, wo mög­lich. Es schläft sich wirk­lich ruhi­ger. Das kann der Autor aus eige­ner Erfah­rung berichten 🙂

“Ja, aber ..”

  • “Dann muss ich ja immer mein Smart­pho­ne mit mir rum­tra­gen?” — “Ja und? Machen Sie doch eh!” 🙂
  • “Wenn ich das pri­vat gar nicht nut­ze und kein Dienst­han­dy habe, dann muss ich die 2FA-App den­noch auf mei­nem Pri­vat­ge­rät instal­lie­ren!” — “Ja, und? Die Abnut­zung dadurch hält sich in Gren­zen und es wird nie­mand bei Sinn und Ver­stand auf die Idee kom­men, das nun als BYOD (bring your own device) ein­zu­stu­fen und zu regeln. Und Sie haben dop­pel­ten Nut­zen: Ein mal instal­liert, kön­nen Sie nun auch gleich ihre pri­va­ten Log­ins damit absichern!”
  • “Unse­re IT will das nicht!” — “Salopp: https://​de​.wiki​pe​dia​.org/​w​i​k​i​/​E​i​n​l​a​u​f​_​(​M​e​d​i​zin)” oder “Ver­wei­sen Sie auf gän­gi­ge Stan­dards für Infor­ma­ti­ons­si­cher­heit sowie das BSI. Die­se erklä­ren und for­dern 2FA. Es muss schon sehr trif­ti­ge Grün­de geben, davon Abstand zu neh­men. Die­se müs­sen doku­men­tiert sein, wie­so und durch wen es zu der Ableh­nung gekom­men ist. Für den Fall, dass dann doch etwas pas­siert, weiß man ja, wen man anspre­chen muss :-)”
  • “Isch abe gar kein Han­dy!” — “Ja, und? Es gibt die Soft­ware-Lösun­gen auch für den Desk­top der gän­gi­gen Betriebs­sys­te­me. Unprak­ti­scher, wenn das Gerät gera­de nicht an ist, aber bes­ser als nichts.”
  • Bit­te ergän­zen Sie die Auf­zäh­lung mit zahl­rei­chen wei­te­ren Argu­men­ten, war­um 2FA nicht genutzt wer­den kann und ver­wer­fen Sie die­se augen­blick­lich wieder 🙂

2FA: Back­up-Codes nicht vergessen

Selbst gestan­de­ne IT-Kory­phä­en tun sich mit 2FA gele­gent­lich schwer. Die Instal­la­ti­on und Ein­rich­tung geht noch locker von der Hand, aber dann wird eins schnell ver­ges­sen: Das Abspei­chern der oder des sog. Back­up-Codes. Die­se sind not­wen­dig, wenn man den Zugriff auf das Gerät ver­liert, auf dem der Gene­ra­tor (Authen­ti­ca­tor) für 2FA instal­liert ist z.B. bei Defekt oder Ver­lust des Smart­pho­nes oder Aus­fall der Fest­plat­te (bei Desk­top-Instal­la­tio­nen). Denn ohne gül­ti­gen 2FA-Code kommt man nicht an /​ in den Account. Sprich man kann dann auch kein neu­es Gerät für die 2FA hin­ter­le­gen. Das ist ver­gleich­bar mit das Haus ver­las­sen, Tür hin­ter sich zuzie­hen und dann mer­ken, der Haus­tür­schlüs­sel liegt noch drin­nen auf der Kom­mo­de. Der Pro­zess, um jetzt den Account wie­der zugäng­lich zu machen ist auf­wen­dig und zeit­rau­bend z.B. durch Iden­ti­täts­nach­wei­se etc. Und das liegt in der Natur der Din­ge. Soll­te sich 2FA näm­lich durch eine ein­fa­che Email oder einen Anruf beim Sup­port deak­ti­vie­ren las­sen, wäre der Schutz­wert von 2FA ver­lo­ren. Es könn­te sich ja jeder als Sie aus­ge­ben und den Schutz­me­cha­nis­mus deaktivieren.

Von daher die Bit­te: Immer nach Ein­rich­tung eines 2FA für einen Log­in den ange­bo­te­nen Back­up-Code kopie­ren /​ her­un­ter­la­den und sicher ver­wah­ren. Dazu eig­nen sich bes­tens sog. Pass­wort-Tre­so­re (sie­he Ende des Beitrags).

“Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der für die Emp­feh­lung Pass­wör­ter regel­mä­ßig zu wech­seln ver­ant­wort­li­che Mit­ar­bei­ter der NIST nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. „Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.“ Das NIST hat im Som­mer 2017 die­se damals 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit kom­plett über­ar­bei­tet. Und die­sen Wahn­sinn damit eigent­lich gestoppt. Der “Ände­re-Dein-Pass­wort-Tag” ist lei­der nicht totzukriegen.

Abschlie­ßen­der Tipp: Pass­wort-Tre­so­re nutzen

Bei der Viel­zahl an Pass­wör­tern, die sich im Lau­fe eines akti­ven Nutzer­le­bens so ansam­meln, darf man ruhig auf Hel­fer­lein zurück­grei­fen, die das Leben etwas leich­ter machen. Dazu gehö­ren u.a. die sog. Pass­wort-Tre­so­re. Hier­bei soll­te man jedoch nicht unbe­dingt auf Anbie­ter aus der Cloud (“Bei uns sind Ihre Pass­wör­ter zen­tral gespei­chert und sicher”) set­zen. Wer mal etwas nach Sicher­heits­vor­fäl­len bei den ein­schlä­gig bekann­ten Online-Anbie­tern sol­cher Lösun­gen sucht, wird schnell fün­dig. Es gibt kos­ten­freie Alter­na­ti­ven, die auch für weni­ger tech­nisch ver­sier­te Nut­zer leicht zu instal­lie­ren und zu bedie­nen sind. Und der Tre­sor mit den eige­nen wich­ti­gen Pass­wör­tern ver­bleibt bei einem selbst. Eine Lösung dafür ist bei­spiels­wei­se Kee­pass. Mehr zu die­sem Tool inkl. einer bebil­der­ten Anlei­tung zur Ein­rich­tung und Nut­zung fin­den Sie in unse­rem Blog­bei­trag “Siche­re und kom­for­ta­ble Pass­wort-Ver­wal­tung mit Kee­pass”.

Daten­schutz und Infor­ma­ti­ons­si­cher­heit gefordert

Seit März 2020 beschäf­ti­gen sich die meis­ten Orga­ni­sa­tio­nen auf­grund der Coro­na-Pan­de­mie mit den The­men Heim­ar­beit und Mobi­les Arbei­ten. Doch dabei wur­de bzw. wird sich oft­mals auf die tech­ni­sche Zur­ver­fü­gung­stel­lung sowie Zusät­ze zum Arbeits­ver­trag fokus­siert. Das ist auch kein Wun­der. Denn es galt ja vor­ran­gig, schnell arbeits­fä­hig zu wer­den und zu blei­ben. Und dann war ja noch das Pro­blem mit dem Klo­pa­pier zu lösen.

Und selbst wenn bereits bei der ers­ten Ein­füh­rung bzw. Umset­zung die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit berück­sich­tigt wur­den, ist es nun ein guter Zeit­punkt an dem The­ma dran zu blei­ben. So gilt es, vor­han­de­ne tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men auf den Prüf­stand zu stel­len. Art. 32 DSGVO for­dert in Absatz 1 Buch­sta­be d vor­han­de­ne Schutz­maß­nah­men einer “regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit […] zur Gewähr­leis­tung der Sicher­heit der Ver­ar­bei­tung” zu unter­zie­hen. Wer sich neben Daten­schutz mit der Infor­ma­ti­ons­si­cher­heit aus­ein­an­der­ge­setzt hat, wird die­ses Prin­zip schon län­ger ken­nen. Wirk­sam­keits­kon­trol­le und kon­ti­nu­ier­li­che Ver­bes­se­rung für vor­han­de­ne Schutz­maß­nah­men sind Tages­ge­schäft in der Informationssicherheit.

Das Rad nicht neu erfin­den: Tools der Infor­ma­ti­ons­si­cher­heit nutzen

Glück­li­cher­wei­se müs­sen Daten­schutz­be­auf­trag­te das Rad hier­für nicht neu erfin­den. Denn jahr­zehn­te­lang bewähr­te Stan­dards wie der BSI IT-Grund­schutz (in aktu­el­ler Fas­sung des Kom­pen­di­ums 2020) bie­ten kon­kre­te Maß­nah­men und Emp­feh­lun­gen zu Heim­ar­beit und mobi­lem Arbei­ten an. Die­se kön­nen wun­der­bar mit den eige­nen getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men abge­gli­chen wer­den. Dar­auf­hin mög­li­che Lücken zu schlie­ßen und vor­han­de­ne Maß­nah­men zu opti­mie­ren, fällt im Nach­gang umso leich­ter. Sicher mit ein Grund, war­um Daten­schutz­ge­set­ze und Kom­men­ta­re immer häu­fi­ger die­se Prin­zi­pi­en und Hil­fe­stel­lun­gen der Infor­ma­ti­ons­si­cher­heit ein­bin­den und erwähnen.

Wir haben Ihnen in die­sem Bei­trag die unse­rer Mei­nung nach wich­tigs­ten Bau­stei­ne aus dem aktu­el­len BSI IT-Grund­schutz Kom­pen­di­um zusam­men­ge­stellt. Die­se befas­sen sich ent­we­der direkt mit Heim­ar­beit und mobi­lem Arbei­ten oder sind zumin­dest damit eng ver­knüpft. Dar­über hin­aus haben wir noch eini­ge wei­te­re Emp­feh­lun­gen für Sie her­aus­ge­sucht. The­men wie Email-Sicher­heit, Mit­ar­bei­ter­sen­si­bi­li­sie­rung, Umgang mit Sicher­heits­vor­fäl­len und Not­fall­ma­nage­ment wer­den ger­ne ver­nach­läs­sigt. Gera­de, wenn es wie im März 2020 schnell gehen muss.

Exkurs zum Grund­ver­ständ­nis und Auf­bau des BSI IT-Grundschutz

Der IT-Grund­schutz beschreibt in sei­nem Komep­di­um “stan­dar­di­sier­te Sicher­heits­an­for­de­run­gen für typi­sche Geschäfts­pro­zes­se, Anwen­dun­gen, IT-Sys­te­me, Kom­mu­ni­ka­ti­ons­ver­bin­dun­gen und Räu­me in ein­zel­nen Bau­stei­nen”. Die­se Auf­zäh­lung zeigt deut­lich, der IT-Grund­schutz befasst sich ent­ge­gen sei­nes Namens nicht nur mit IT-Sicher­heit. Das wäre auch grob fahr­läs­sig, denn schließ­lich pas­siert ein Groß­teil der Sicher­heits­vor­fäl­le (quan­ti­ta­tiv) im orga­ni­sa­to­ri­schen Bereich. Der Fak­tor Mensch stellt uns ger­ne und oft ein Bein in der Infor­ma­ti­ons­si­cher­heit und damit am Ende auch im Daten­schutz. Die­se zuvor erwähn­ten Bau­stei­ne sind nach Schich­ten (The­men­be­rei­che) unterteilt:

So gibt es in der Schicht ISMS bei­spiels­wei­se einen Bau­stein mit der Bezeich­nung “ISMS.1 Sicher­heits­ma­nage­ment”. Die­ser beschreibt sehr kon­kret, wel­che Anfor­de­run­gen an Infor­ma­ti­ons­si­cher­heit und das Manage­ment von Infor­ma­ti­ons­si­cher­heit in einer Orga­ni­sa­ti­on gestellt wer­den, wenn man den Stan­dard BSI IT-Grund­schutz als Grund­la­ge her­an­zieht. Mit kon­kre­ten Umset­zungs­emp­feh­lun­gen wer­den die­se Anfor­de­run­gen wei­ter detail­liert und unter­stüt­zen mit wert­vol­len Details zu mög­li­chen tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men. Damit man auch weiß, woher die­se Emp­feh­lun­gen rüh­ren, ent­hält jeder Bau­stein übli­cher­wei­se eine sehr kon­kre­te Beschrei­bung der Gefah­ren­la­ge. Dar­in wer­den mög­li­che Risi­ken beschrie­ben, wel­che für das The­ma des Bau­steins rele­vant sind und denen man mit den Schutz­maß­nah­men im wei­te­ren Ver­lauf des Bau­steins begeg­nen will. 

In der Schicht INF fin­den sich als wei­te­res Bei­spiel Bau­stei­ne zur Absi­che­rung von Gebäu­den und diver­sen Räu­men inner­halb von Gebäu­den, je nach deren Nut­zungs­art. Wer sich für den Umgang mit Smart­pho­nes und Tablets inter­es­siert oder gar mit einer MDM-Lösung (Mobi­le Device Manage­ment) lieb­äu­gelt, der wird in der Schicht SYS fündig.

Der IT-Grund­schutz ist ver­gleich­bar mit einem Werk­zeug­kas­ten im All­tag eines Heim­wer­kers. Will unser Bob einen Nagel in die Wand schla­gen, fin­det er den pas­sen­den Ham­mer in sei­nem Kas­ten. Benö­tigt er dage­gen einen Schlag­boh­rer samt Dübel und Schrau­be zur Befes­ti­gung, so kann er die­se ein­zel­nen Tools aus sei­nem Werk­zeug­kas­ten zum Errei­chen sei­nes Ziels eben­falls aus­wäh­len und mit­ein­an­der kombinieren.

Umset­zungs­emp­feh­lun­gen zu tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men — MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT

Um die Anfor­de­run­gen des BSI IT-Grund­schutz zu erfül­len, soll­te man wis­sen, was es mit die­sen in der Über­schrift genann­ten Modal­ver­ben MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT auf sich hat. Gene­rell sind die Umset­zungs­emp­feh­lun­gen erst­mal nur rei­ne Emp­feh­lun­gen an eine Orga­ni­sa­ti­on, wie das Schutz­ni­veau durch geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Schutz­maß­nah­men erreicht oder ver­bes­sert wer­den kann. Geht es jedoch um eine nach­weis­li­che Umset­zung oder Zer­ti­fi­zie­rung, gilt es bestimm­te Emp­feh­lun­gen zwin­gend umzu­set­zen oder zumin­dest kon­kret geprüft zu haben, ob und wie man die­se zukünf­tig umge­setzt haben könn­te. Es gibt also dann klas­si­sche Muss- und Kann-Anfor­de­run­gen. Eben­so gibt es auch Sach­ver­hal­te, die defi­ni­tiv aus­ge­schlos­sen wer­den müs­sen. Für die wei­ter unten ange­führ­ten Bau­stei­ne zu Heim­ar­beit und mobi­lem Arbei­ten soll es erst mal aus­rei­chen, MUSS und SOLLTE näher zu betrach­ten. Wei­te­re Details zu den Modal­ver­ben fin­den Sie hier.

MUSS

“Die­ser Aus­druck bedeu­tet, dass es sich um eine Anfor­de­rung han­delt, die unbe­dingt erfüllt wer­den muss (unein­ge­schränk­te Anforderung).”

SOLLTE

“Die­ser Aus­druck bedeu­tet, dass eine Anfor­de­rung nor­ma­ler­wei­se erfüllt wer­den muss, es aber Grün­de geben kann, dies doch nicht zu tun. Dies muss aber sorg­fäl­tig abge­wo­gen und stich­hal­tig begrün­det wer­den, bes­ten­falls schriftlich.”

Die Unter­schei­dun­gen inner­halb des IT-Grund­schut­zes in Basis‑, Stan­dard- und Kern-Absi­che­rung las­sen wir an die­ser Stel­le zur Ver­ein­fa­chung außer Acht. Es geht ja hier nicht um die Ein­füh­rung eines ISMS auf Basis des IT-Grund­schut­zes. Nor­ma­ler­wei­se macht es Sinn und reicht aus, sich mit den sog. Basis- und Stan­dard-Anfor­de­run­gen in den unten ange­führ­ten Bau­stei­nen zu befas­sen. Soll­te Ihre Orga­ni­sa­ti­on jedoch einer kri­ti­schen Geschäfts­tä­tig­keit nach­ge­hen oder Infor­ma­tio­nen mit sehr hohem Schutz­be­darf ver­ar­bei­ten, lohnt durch­aus auch ein Blick in den Abschnitt “Anfor­de­run­gen bei erhöh­tem Schutz­be­darf” des jewei­li­gen Bausteins.

Kon­kre­te IT-Grund­schutz Bau­stei­ne für Ihre tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen

OPS.1.2.4 Tele­ar­beit — The­men sind hier u.a. Rege­lun­gen zur Tele­ar­beit gene­rell, Rege­lun­gen zur Pri­vat-Nut­zung von Equi­pe­ment und Anwen­dun­gen, Schu­lung der Mit­ar­bei­ter für die in den Richt­li­ni­en skiz­zier­ten Anfor­de­run­gen im Tele­ar­beit-Ein­satz, Erreich­bar­keit und Ein­bin­dung von Mit­ar­bei­tern am Tele­ar­beits­platz sowie das Tref­fen geeig­ne­ter Sicher­heits­maß­nah­men (IT-Betrieb und organisatorisch).

INF.8 Häus­li­cher Arbeits­platz — Schwer­punkt: Ein­rich­tung und Betrieb eines häus­li­chen Arbeits­plat­zes. The­men u.a.: Rege­lun­gen für den Arbeits­platz, Zutritts- und Zugriffs­be­schrän­kun­gen, IT-Nut­zung und deren Absi­che­rung, Trans­port sowie Ver­nich­tung /​ Ent­sor­gung von Papier­ak­ten und digi­ta­len Daten­trä­gern, Mani­pu­la­ti­ons- und Dieb­stahl­ri­si­ken am häus­li­chen Arbeits­platz, sowie Gefähr­dun­gen durch Fami­li­en­mit­glie­der /​ Besu­cher. Ger­ne wird hier in dem Kon­text auf den sepa­rat abschließ­ba­ren Arbeits­raum zu Hau­se ver­wie­sen. Wohl dem, der die­sen Luxus hat und über aus­rei­chend Platz und Zim­mer ver­fügt. Aber auch für alle ande­ren Fäl­le hält die­ser Bau­stein sinn­vol­le Emp­feh­lun­gen bereit.

INF.9 Mobi­ler Arbeits­platz — Nicht immer wird ein fes­ter häus­li­cher Arbeits­platz ein­ge­rich­tet. Dank Lap­top und ande­rer mobi­ler Gerä­te dann aber den­noch aus dem Home-Office gear­bei­tet. Um die­se Aspek­te küm­mert sich die­ser Bau­stein: Rege­lun­gen und Anwei­sun­gen zum Arbei­ten am mobi­len Arbeits­platz, tech­ni­sche Absi­che­rung der Gerä­te (Ver­schlüs­se­lung, Sicht­schutz­fil­ter etc.), Akten- und Daten­trä­ger­trans­port, Ent­sor­gung von ana­lo­gen und digi­ta­len Daten­trä­gern, Dieb­stahl und Ver­lust der Gerä­te (Mel­dung, Sofort­re­ak­tio­nen), Sicher­heit unter­wegs (Ein­seh­bar­keit, Ver­hal­ten bei Tele­fo­na­ten etc.)

NET.3.3 VPN — Anfor­de­run­gen zu Pla­nung und Ein­rich­tung siche­rer Vir­tu­el­ler Pri­va­ter Netz­wer­ke (VPN) zur Sicher­stel­lung der Ver­trau­lich­keit und Inte­gri­tät. Dabei geht es nicht nur um tech­ni­sche Aspek­te, son­dern auch um orga­ni­sa­to­ri­sche Maß­nah­men. So ist das Ver­bot zur Abspei­che­rung von VPN Zugangs­da­ten im Cli­ent mehr als sinn­voll und ange­bracht. Macht ja auch Sinn, ansons­ten ist die Stand­lei­tung in das inter­ne Netz fest ein­ge­rich­tet 🙂 Ist uns eh ein Rät­sel, wie­so Anbie­ter von VPN Soft­ware eine sol­che Opti­on zur Abspei­che­rung von Zugangs­da­ten über­haupt als Funk­ti­on programmieren.

NET.2.2 WLAN-Nut­zung — Unab­hän­gig, ob Nut­zung des pri­va­ten WLAN oder von WLAN Hot Spots unter­wegs, sind tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu ergrei­fen wie Sicher­stel­len eines aus­rei­chen­den Ver­schlüs­se­lungs­stan­dards WPA2 und höher) oder auch Sen­si­bi­li­sie­rung der Mit­ar­bei­ter im Hin­blick auf sog. Rogue Access Points. Letz­te­res ken­nen Sie nicht? Neh­men Sie ein­fach mal einen belie­bi­gen LTE WLAN Rou­ter mit Akku, benen­nen das WLAN nach “Tele­kom” oder “Wifio­nI­CE”, gehen in ein Café Ihrer Wahl und stau­nen Sie: Inner­halb weni­ger Sekun­den haben sich zahl­rei­che WLAN Gerä­te in Ihren Rou­ter ein­ge­loggt. Bes­ser und ein­fa­cher kann man kei­ne Man-in-the-Midd­le-Atta­cken starten.

OPS.1.2.5 Fern­war­tung — Kommt es am häus­li­chen Arbeits­platz oder mit dem Mobil­ge­rät zu tech­ni­schen Pro­ble­men, wird schnell eine Fern­war­tung durch die eige­ne IT-Abtei­lung oder den exter­nen Dienst­leis­ter z.B. für Anwen­dungs­sup­port not­wen­dig. Rege­lun­gen zur Vor­ge­hens­wei­se, aber auch zur tech­ni­schen Absi­che­rung sind unab­ding­bar. Die ent­spre­chen­den Emp­feh­lun­gen zu Soft­ware­aus­wahl, Pro­to­kol­lie­rung der War­tungs­tä­tig­kei­ten etc. fin­den Sie in die­sem Baustein.

OPS.2.2 Cloud-Nut­zung — Gera­de jetzt wer­den häu­fi­ger Cloud-Ser­vices ein­ge­setzt als noch in 2019. Sei es zum rei­nen Daten­aus­tausch oder Ver­la­ge­rung gan­zer Ver­ar­bei­tungs­tä­tig­kei­ten im Zuge von SaaS (Soft­ware as a Ser­vice). Den­ken Sie ein­fach nur an die Zunah­me bei der Nut­zung von Web­kon­fe­renz-Diens­ten oder auch ande­rer Kom­mu­ni­ka­ti­ons­platt­for­men, um die Zusam­men­ar­beit zwi­schen Intern und Extern oder auch gegen­über Kun­den zu erleich­tern. Neben der tech­ni­schen Sicher­heit wie ver­schlüs­sel­te Über­tra­gung und ver­schlüs­sel­te Daten­hal­tung ste­hen auch orga­ni­sa­to­ri­sche Aspek­te im Fokus. Wel­che Daten dür­fen über­haupt in die Cloud? Wie sind die Cloud-Ser­vices zu nut­zen, was ist erlaubt, was nicht? Migriert in die Cloud ist schnell. Aber hat sich auch jemand Gedan­ken gemacht, was bei einem mög­li­chen Ende der Ser­vice-Nut­zung gesche­hen muss? Gibt es ver­trag­li­che Rege­lun­gen hier­zu? Wie kom­men Daten wie­der zurück? Mög­lichst kom­pa­ti­bel für eine ande­re Anwendung.

OPS.1.1.4 Schutz vor Schad­pro­gram­men — Ver­än­der­ter oder neu­er Tech­no­lo­gie-Ein­satz bringt neue Ein­falls­tü­ren für Schad­pro­gram­me mit sich. Sind die Anfor­de­run­gen an einen kon­se­quen­ten Schutz vor Schad­pro­gram­men tech­nisch und orga­ni­sa­to­risch berück­sich­tigt? Klas­si­ker: Lap­tops, die sich Signa­tur-Updates für den Viren­scan­ner aus­schließ­lich über einen Update-Ser­ver im inter­nen Netz besor­gen. Nun sind die­se Gerä­te aber im län­ge­ren Außen­ein­satz und viel­leicht auch ohne VPN Ver­bin­dung ins inter­ne Netz im unter­wegs. Woher kom­men jetzt die Aktua­li­sie­run­gen, wenn zuvor aus­schließ­lich der inter­ne Update-Ser­ver als Bezugs­quel­le zuge­las­sen wur­de? Ganz schnell ist der Viren­scan­ner out of date und eine wei­te­re Sicher­heits­lü­cke geschaf­fen. Das ist aber natür­lich nicht der ein­zi­ge Aspekt die­ses Bausteins.

ORP.4 Iden­ti­täts- und Berech­ti­gungs­ma­nage­ment — Wie wer­den Benut­zer­rech­te ver­ge­ben für die not­wen­di­gen Zugrif­fe von außen? Auf wel­che Datei­en /​ Anwen­dun­gen muss von außen zuge­grif­fen wer­den kön­nen? Die sel­be Fra­ge­stel­lung jedoch auch zu den Cloud-Ser­vices: Wer darf /​ muss auf was zugrei­fen kön­nen? Wie sieht der Rech­te­ver­ga­be-Pro­zess dazu aus? Wer­den über­all wo mög­lich wei­te­re Sicher­heits­maß­nah­men ergrif­fen wie Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA)? Sind die dazu not­wen­di­gen Appli­ka­tio­nen (Apps) instal­liert und die Nut­zer in deren Hand­ha­bung ein­ge­wie­sen? Auch an die Back­up-Codes für die 2FA gedacht und die­se gesi­chert, soll­te das Gerät mit der 2FA-App nicht mehr ein­satz­fä­hig sein? Nein? Dann viel Spaß. Denn ohne den eigent­li­chen 2FA-Token oder einen Back­up-Code kom­men Sie so schnell nicht mehr an Ihren Account — wenn überhaupt.

ORP.3 Sen­si­bi­li­sie­rung und Schu­lung — Mit­ar­bei­ter sind ein gro­ßer (Un-) Sicher­heits­fak­tor in einer Orga­ni­sa­ti­on. Das sind sie jedoch sel­ten mit Absicht. Haupt­ur­sa­chen sind feh­len­de Kennt­nis von Rege­lun­gen und Vor­ge­hens­wei­sen sowie feh­len­de Sen­si­bi­li­sie­rung. Ist ja auch kein Wun­der, denn Schu­lun­gen und Sen­si­bi­li­sie­run­gen brin­gen kei­nen Umsatz und hal­ten noch dazu die Mit­ar­bei­ter von deren Kern­tä­tig­kei­ten ab. Paart sich das noch mit gestei­ger­tem Selbst­be­wußt­sein — “Ich weiß eh alles (bes­ser)”, dann ist der Boden für den nächs­ten Sicher­heits­vor­fall bes­tens berei­tet. Von daher ist auch die­ses The­ma im Kon­text Heim­ar­beit und mobi­les Arbei­ten von gro­ßer Bedeutung.

Wenn dann doch mal was schief­geht: “Hal­lo, ich bin’s. Der Sicherheitsvorfall”

Unse­re Empfehlungen:

  • Sor­gen Sie für kla­re Pro­zes­se, was im Fall von Sicher­heits­vor­fäl­len und Daten­pan­nen durch Mit­ar­bei­ter und alle wei­te­ren not­wen­di­gen Betei­lig­ten (DSB, ISB, IT, Orga­ni­sa­ti­ons­lei­tung) zu tun. 
  • Machen Sie die­se Pro­zes­se bekannt und leicht zugäng­lich, egal ob Papier­for­mu­la­re, Ticket-Sys­tem oder ander­wei­ti­ge Lösung.
  • Neh­men Sie Ihren Mit­ar­bei­tern die Angst, einen (mög­li­cher­wei­se selbst ver­ur­sach­ten) Sicher­heits­vor­fall sofort zu mel­den. Es geht nicht dar­um, einen mög­li­chen Schul­di­gen zu bestra­fen, son­dern das ein­ge­tre­te­ne Risi­ko in den Begriff zu bekommen.
  • Fokus­sie­ren Sie sich auf das “Wie konn­te das pas­sie­ren?” statt “Wer hat das ver­ur­sacht?”. Aus­nah­me: Wenn ein und der sel­be Mit­ar­bei­ter trotz guter Sen­si­bi­li­sie­rung zum The­ma Kryp­to­tro­ja­ner in einer Woche bereits zum fünf­ten Mal “Makros akti­vie­ren” anklickt und das Dra­ma sei­nen Lauf nimmt. 🙂

Ein guter Ein­stieg könn­te die sog. IT-Not­fall­kar­te “Ver­hal­ten bei IT-Not­fäl­len” der Alli­anz für Cyber­si­cher­heit sein. Bit­te dar­an den­ken, die Hin­wei­se und Abläu­fe mit dem inter­nen Mel­de­pro­zess von Daten­pan­nen him Hin­blick auf Art. 33 und 34 DSGVO zu verzahnen.

Aber auch ein Blick zurück in den IT-Grund­schutz kann nicht scha­den, spe­zi­ell in die Schicht DER: Detek­ti­on und Reak­ti­on und deren Bausteine.

Wenn sen­si­bi­li­sie­ren nicht aus­reicht: wei­ter sensibilisieren

Eben­falls von der Alli­anz für Cyber­si­cher­heit gibt es in deren Infor­ma­ti­ons­pool, aber auch vom Bür­ger-CERT prak­ti­sche und anschau­li­che Tipps, Mus­ter und Vor­la­gen zur Sen­si­bi­li­sie­rung von Mit­ar­bei­tern. Auch gut anzu­wen­den im Kon­text Heim­ar­beits­platz und mobi­les Arbei­ten. Rein­schnup­pern lohnt auf jeden Fall -> Link zu Awa­reness.

Die VBG hat zum The­ma Mobi­les Arbei­ten einen leicht ver­ständ­li­chen Fly­er ver­öf­fent­licht, der nicht nur die Aspek­te Arbeits­schutz beleuch­tet, son­dern auch auf Sicher­heits­pro­ble­me und mög­li­che Lösun­gen eingeht.

Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit hat ein Falt­blatt “Tele­ar­beit und Mobi­les Arbei­ten” und deren daten­schutz­ge­rech­te Aus­ge­stal­tung veröffentlicht.

Ja, es kann ner­ven. Aber sowohl der Daten­schutz als auch die Infor­ma­ti­ons­si­cher­heit lie­ben geschul­te und sen­si­bi­li­sier­te Mit­ar­bei­ter. Deren Arbeit­ge­ber soll­ten das auch so hal­ten. Wer sich mal mit den Nach­wir­kun­gen und Auf­wän­den von grö­ße­ren Daten­pan­nen und Sicher­heits­vor­fäl­len beschäf­tigt hat bzw. die­se selbst aus­ba­den muss­te, der weiß: “Vor­beu­gen ist bes­ser als Nach­sor­gen.” — Haben Sie jetzt etwa mit einem ande­ren Spruch gerechnet?

Und es muss ja nicht immer die klas­si­sche Face-2-Face-Ver­an­stal­tung sein. Bes­ten­falls noch 100 Mit­ar­bei­ter oder mehr in einem Raum. Abge­se­hen davon, dass dies aktu­ell auf­grund der Abstands­re­geln eh kaum geht. Außer Sie mie­ten eine Mes­se­hal­le. In der Pra­xis lau­fen sol­che Groß-Schu­lungs­ver­an­stal­tun­gen nach einem bekann­ten Sche­ma ab. Einer steht vor­ne und spricht. Das Audi­to­ri­um schläft zu 50%, die ande­re Hälf­te spielt (natür­lich voll­kom­men unbe­merkt unter dem Tisch) mit dem Smartphone.

Pixabay: Ger­alt

Nut­zen Sie ande­re Mög­lich­kei­ten und bil­den Sie einen Mix, einen bun­ten Blu­men­strauß aus ver­schie­de­nen Wegen, Ihre Ziel­grup­pe Mit­ar­bei­ter zu errei­chen. Online-Schu­lun­gen, Webi­na­re, Rund­mails, wit­zi­ge Fly­er und Pla­ka­te. Wit­zig? Wie sind die bei a.s.k. Daten­schutz denn drauf? Das The­ma ist viel zu ernst. Genau. Und des­we­gen wit­zi­ge Kom­mu­ni­ka­ti­on. Eine posi­ti­ve Emo­ti­on wie ein freund­li­ches Lachen, die Sie mit Ihrer Akti­on aus­ge­löst haben, sorgt dafür, dass die über­mit­tel­te Bot­schaft viel tie­fer in die Ziel­grup­pe ein­si­ckert als Vor­trä­ge bei Ker­zen­schein mit erho­be­nem Zei­ge­fin­ger. Wobei auch das, einen abge­dun­kel­ten Raum vor­aus­ge­setzt, der Refe­rent in Kut­te und mit Beglei­tung von Cho­ral-Musik sei­nen Platz vor­ne ein­neh­mend, durch­aus ein bewuß­tes Stil­mit­tel zum Erzeu­gen der not­wen­di­gen Auf­merk­sam­keit sein kann. Nur nicht jede Ver­an­stal­tung so durch­füh­ren, nutzt sich ab 🙂

Hand in Hand: Daten­schutz und Informationssicherheit

Daten­schutz und Infor­ma­ti­ons­si­cher­heit sind nicht iden­tisch, was jetzt kei­ne neue Erkennt­nis dar­stellt (hof­fent­lich!). Es gibt aber durch­aus Schnitt­men­gen bzw. Werk­zeu­ge, die in bei­den The­men zur Anwen­dung kom­men kön­nen. Eines die­ser Instru­men­te sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men. Und hier­zu bie­tet gera­de der BSI IT-Grund­schutz (aber auch der frü­her dar­aus abge­lei­te­te Stan­dard ISIS12) in gro­ßem Umfang prak­ti­sche Unter­stüt­zung. So hilft die­ser nicht nur bei der Iden­ti­fi­ka­ti­on mög­li­cher Risi­ken (Gefähr­dun­gen), son­dern bringt zugleich recht umfang­reich Hand­lungs­emp­feh­lun­gen /​ Maß­nah­men ein, mit­tels derer man Ein­tritts­wahr­schein­lich­keit und /​ oder Scha­dens­aus­maß begren­zen kann. Von daher bie­tet es sich aus Sicht des Daten­schut­zes an, einen wei­ten Blick über den Tel­ler­rand in das Feld der Infor­ma­ti­ons­si­cher­heit zu wer­fen. Die Mühe lohnt sich ganz schnell.

Hilfe Hürde

Wir hof­fen, Sie haben einen guten ers­ten Ein­druck gewin­nen kön­nen, wie man am Bei­spiel Tele­ar­beits­platz /​ Mobi­les Arbei­ten den Werk­zeug­kof­fer der Infor­ma­ti­ons­si­cher­heit auch im Daten­schutz bes­tens ein­set­zen kann. Die Details zu Risi­ken und Hand­lungs­emp­feh­lun­gen aus dem IT-Grund­schutz haben wir hier im Bei­trag nicht ange­führt. Wenn Sie die oben genann­ten und ver­link­ten Bau­stei­ne des BSI IT-Grund­schutz ankli­cken, kom­men Sie direkt zu den wei­ter­füh­ren­den Infor­ma­tio­nen auf der Web­sei­te des BSI. Und hof­fen wir mal, dass die Links für eine Wei­le von Bestand sein. Das war in der Ver­gan­gen­heit lei­der nicht immer der Fall. Gell, lie­bes BSI Team? Aber dan­ke für eure Mühe und die­sen tol­len Stan­dard. Der IT-Grund­schutz hat lei­der oft einen schlech­ten Ruf. Nach unse­rem Dafür­hal­ten zu Unrecht. Gera­de im deutsch­spra­chi­gen Raum, aber nicht nur da, der “hei­ße Scheiß” der Informationssicherheit 😉