Informationssicherheit Archive

Alle Jahre wieder, so auch heute zum 01.02.2022 hallt es aus diversen Nachrichtenkanälen “Leute, ändert regelmäßig euer Passwort. Beispielsweise heute, am sog. Ändere-Dein-Passwort-Tag.” Nun, kann man machen, ist aber nicht unbedingt sinnvoll. In Blogbeiträgen 2016 (aktualisiert 2018: “Über Bord mit veralteten starren Passwort-Richtlinien”), 2017 (“Ändere-Dein-Passwort-Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels”) und 2018 (Update 2020: “„Ich bereue den Passwort-Wahnsinn“ – weg mit den Passwort Mythen”) haben wir uns mit dieser Forderung zum regelmäßigen Passwortwechsel auseinandergesetzt und sind dabei — wie seit 2017 die NIST (National Institute of Standards and Technology) als eigentlicher Verursacher dieser “Angewohnheit” — zu einem anderen Schluss gekommen: Finger weg vom regelmäßigen Passwortwechsel. Lieber Zwei-Faktor-Authentifizierung (2FA) einrichten. Warum und wieso? Lesen Sie hier.

Warum bzw. wann sollte ich ein Passwort überhaupt ändern bzw. wechseln?

“Na, das ist doch sicher!” — “Und das haben wir ja schon immer so gemacht!” — Und im Zweifel verlangt es auch noch die Passwort-Richtlinie des einen oder anderen Unternehmens oder auch der Behörde. Doch sind das wirklich gute und belastbare Gründe für einen Passwortwechsel? Möglichst noch in Intervallen von 30–90 Tagen? Und für jedes Login noch ein anderes Passwort? Ende vom Lied: Passwörter werden alphabetisch oder numerisch hochgezählt oder schlimmstenfalls aufgeschrieben, abgelegt unter dem Schreibtischschoner. Das ist natürlich richtig sicher 🙂

Doch es gibt in der Tat wirklich 3 gute Gründe, das Passwort zu ändern:

Das Passwort wurde ausgespäht, zumindest besteht der Verdacht.
Das Passwort wurde unnötigerweise einer Kollegin oder einem Kollegen bekanntgegeben, obwohl dazu technisch normalerweise gar kein Grund besteht.
Es handelt sich um ein Initialisierungspasswort, das nach der Nutzung durch das eigentliche Passwort ersetzt werden muss.

Und Ende der Aufzählung.

Besser: Zwei-Faktor-Authentifizierung (2FA) aktivieren, statt Passwort zu ändern

Es ist keine allzu neue Erkenntnis, dass die Absicherung von Logins ausschließlich mit Benutzername und Passwort in den meisten Anwendungsfällen keinen ausreichenden Schutz bietet. Aus diesem Grund ist es mittlerweile üblich, wo es nur geht und vorgesehen ist, einen zusätzlichen Schutzfaktor einzubauen bzw. zu nutzen. Ein bewährtes Mittel ist die sog. Zwei-Faktor-Authentifizierung, kurz 2FA.

Die Zwei-Faktor-Authentisierung (2FA), häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden, oder Passphrase und Transaktionsnummer (TAN) beim Online-Banking. Die Zwei-Faktor-Authentisierung ist ein Spezialfall der Multi-Faktor-Authentisierung.

Für kritische Anwendungsbereiche wird die Zwei-Faktor-Authentisierung empfohlen, so beispielsweise vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutz- Katalogen. Im Bankwesen wurde mit der EU-Zahlungsdienste-Richtlinie die Zwei-Faktor- Authentisierung für den Europäischen Wirtschaftsraum 2018 sogar verpflichtend eingeführt. Mittlerweile gibt es sehr viele Anbieter, die für Ihre Webseiten / Login-Bereiche, aber auch andere Anmelde-Vorgänge eine 2FA nicht nur anbieten, sondern verbindlich machen.

Die Zwei-Faktor-Authentisierung ist nur dann erfolgreich, wenn beide festgelegten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Zugriffsberechtigung nicht zweifelsfrei feststellen und der Zugriff wird verweigert. Jetzt könnte man ja sagen, Benutzername und Passwort sind doch schon zwei Komponenten. Das ist so aber nicht ganz richtig. Denn aufgrund der meist vorgegebenen Benutzernamen wie die eigene Email-Adresse oder Vorname.Nachname ist dieser erste Faktor „verbrannt“. Es muss daher neben dem Passwort ein weiterer sicherer Faktor her. Korrekterweise würde man die Kombination Benutzername + Passwort + weiterer Faktor als Multifaktor- Authentifizierung bezeichnen. In der Praxis ist es dann doch nur eine 2FA aus dem zuvor genannten Grund.

In der Praxis greift man oft auf diese Kombination zurück:

Benutzername
Passwort
Authenticator / Authentificator (z.B. App auf dem Handy oder Programm auf dem Desktop)

Das Bundesamt für Sicherheit in der Informationstechnik hat das Thema in seiner Reihe “BSI für Bürger” das Thema anschaulich und mit einem kurzen Video aufbereitet, wer es noch mal genauer und anschaulicher wissen will (externer Link zum Beitrag des BSI).

2FA ist keine Raketenwissenschaft

Gelegentlich könnte man meinen, 2FA ist “rocket science” bzw. Raketenwissenschaft. Und da noch nicht ausreichend erforscht und mangels Erfahrungen damit, sollte man doch eher Abstand davon nehmen. Zumindest trifft man solche Tendenzen durchaus immer wieder bei IT-Verantwortlichen und / oder Anwendern. Fragt man jedoch genauer nach, resultiert die Abneigung doch eher daher, sich (als Mensch) oder etwas (die Technik) ändern bzw. den Erfordernissen der Zeit anpassen zu müssen. Und wir wissen bekanntlich alle, der Mensch ist ein Gewohnheitstier. Das wissen auch Angreifer und machen sich diese Schwachstelle gerne zunutze.

Vor vielen Jahren war 2FA nicht weit verbreitet, das ist wahr. Mittlerweile ist dem aber nicht mehr so. Die meisten täglich bzw. regelmäßig genutzten Logins lassen sich mittels 2FA zusätzlich absichern. Daher stuft das BSI 2FA auch nicht mehr als Kür ein, sondern empfiehlt die Nutzung von 2FA mittlerweile als Basistipp zur IT-Sicherheit. Gut, auch das hat viele Jahre gedauert, aber das BSI hat seine frühere nicht optimale Haltung zum Thema Passwortwechsel korrigiert und den BSI IT-Grundschutz ebenfalls dahingehend angepasst.

Es gibt daher keinen Grund, sich nicht mit dem Thema 2FA zu befassen und diese, sofern vorhanden, für die eigenen Logins zu aktivieren, wo möglich. Es schläft sich wirklich ruhiger. Das kann der Autor aus eigener Erfahrung berichten 🙂

“Ja, aber ..”

“Dann muss ich ja immer mein Smartphone mit mir rumtragen?” — “Ja und? Machen Sie doch eh!” 🙂
“Wenn ich das privat gar nicht nutze und kein Diensthandy habe, dann muss ich die 2FA-App dennoch auf meinem Privatgerät installieren!” — “Ja, und? Die Abnutzung dadurch hält sich in Grenzen und es wird niemand bei Sinn und Verstand auf die Idee kommen, das nun als BYOD (bring your own device) einzustufen und zu regeln. Und Sie haben doppelten Nutzen: Ein mal installiert, können Sie nun auch gleich ihre privaten Logins damit absichern!”
“Unsere IT will das nicht!” — “Salopp: https://de.wikipedia.org/wiki/Einlauf_(Medizin)” oder “Verweisen Sie auf gängige Standards für Informationssicherheit sowie das BSI. Diese erklären und fordern 2FA. Es muss schon sehr triftige Gründe geben, davon Abstand zu nehmen. Diese müssen dokumentiert sein, wieso und durch wen es zu der Ablehnung gekommen ist. Für den Fall, dass dann doch etwas passiert, weiß man ja, wen man ansprechen muss :-)”
“Isch abe gar kein Handy!” — “Ja, und? Es gibt die Software-Lösungen auch für den Desktop der gängigen Betriebssysteme. Unpraktischer, wenn das Gerät gerade nicht an ist, aber besser als nichts.”
Bitte ergänzen Sie die Aufzählung mit zahlreichen weiteren Argumenten, warum 2FA nicht genutzt werden kann und verwerfen Sie diese augenblicklich wieder 🙂

2FA: Backup-Codes nicht vergessen

Selbst gestandene IT-Koryphäen tun sich mit 2FA gelegentlich schwer. Die Installation und Einrichtung geht noch locker von der Hand, aber dann wird eins schnell vergessen: Das Abspeichern der oder des sog. Backup-Codes. Diese sind notwendig, wenn man den Zugriff auf das Gerät verliert, auf dem der Generator (Authenticator) für 2FA installiert ist z.B. bei Defekt oder Verlust des Smartphones oder Ausfall der Festplatte (bei Desktop-Installationen). Denn ohne gültigen 2FA-Code kommt man nicht an / in den Account. Sprich man kann dann auch kein neues Gerät für die 2FA hinterlegen. Das ist vergleichbar mit das Haus verlassen, Tür hinter sich zuziehen und dann merken, der Haustürschlüssel liegt noch drinnen auf der Kommode. Der Prozess, um jetzt den Account wieder zugänglich zu machen ist aufwendig und zeitraubend z.B. durch Identitätsnachweise etc. Und das liegt in der Natur der Dinge. Sollte sich 2FA nämlich durch eine einfache Email oder einen Anruf beim Support deaktivieren lassen, wäre der Schutzwert von 2FA verloren. Es könnte sich ja jeder als Sie ausgeben und den Schutzmechanismus deaktivieren.

Von daher die Bitte: Immer nach Einrichtung eines 2FA für einen Login den angebotenen Backup-Code kopieren / herunterladen und sicher verwahren. Dazu eignen sich bestens sog. Passwort-Tresore (siehe Ende des Beitrags).

“Ich bereue den Passwort-Wahnsinn”

In einem Interview hat sich der für die Empfehlung Passwörter regelmäßig zu wechseln verantwortliche Mitarbeiter der NIST nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Das NIST hat im Sommer 2017 diese damals 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit eigentlich gestoppt. Der “Ändere-Dein-Passwort-Tag” ist leider nicht totzukriegen.

Abschließender Tipp: Passwort-Tresore nutzen

Bei der Vielzahl an Passwörtern, die sich im Laufe eines aktiven Nutzerlebens so ansammeln, darf man ruhig auf Helferlein zurückgreifen, die das Leben etwas leichter machen. Dazu gehören u.a. die sog. Passwort-Tresore. Hierbei sollte man jedoch nicht unbedingt auf Anbieter aus der Cloud (“Bei uns sind Ihre Passwörter zentral gespeichert und sicher”) setzen. Wer mal etwas nach Sicherheitsvorfällen bei den einschlägig bekannten Online-Anbietern solcher Lösungen sucht, wird schnell fündig. Es gibt kostenfreie Alternativen, die auch für weniger technisch versierte Nutzer leicht zu installieren und zu bedienen sind. Und der Tresor mit den eigenen wichtigen Passwörtern verbleibt bei einem selbst. Eine Lösung dafür ist beispielsweise Keepass. Mehr zu diesem Tool inkl. einer bebilderten Anleitung zur Einrichtung und Nutzung finden Sie in unserem Blogbeitrag “Sichere und komfortable Passwort-Verwaltung mit Keepass”.

Arbeitshilfe Informationssicherheit Informationssicherheitsbeauftragter ISIS12 ISMS Software

Moderne Plattform zu Einführung und Betrieb eines Informationssicherheitskonzepts (Basis Arbeitshilfe) für kleine Organisationen gestartet

18. September 202119. September 2021 Sascha Kuhrau

Software-Unterstützung für die Arbeitshilfe

Endlich nun auch für einen der kleinen Standards für Informationssicherheit verfügbar: Software-Unterstützung für die Arbeitshilfe 4.0

Doch der Reihe nach.

Wieso ein Informationssicherheitskonzept?

Viele Organisationen stehen vor der Herausforderung, entweder aufgrund gesetzlicher Vorschriften ein Informationssicherheitskonzept zu benötigen, damit den Nachweis zur Wirksamkeit der eigenen technischen und organisatorischen Maßnahmen im Sinne der Belegpflicht der DSGVO erbringen zu wollen, weil es der eine oder andere Auftraggeber für die Teilnahme an Ausschreibungen fordert oder schlicht, weil sie festgestellt haben, dass nur ein gesamtheitlicher Ansatz schützenswerte Informationen und personenbezogene Daten in der eigenen Organisation absichern kann. Gründe gibt es also viele, sich um die Einführung und den Betrieb eines Informationssicherheitskonzepts zu kümmern.

Welchen Standard zur Informationssicherheit wählen?

Informationssicherheitsmanagementsysteme (kurz ISMS) nach den Standards wie die ISO 27001 oder der BSI IT-Grundschutz sind bewährte Umsetzungsmöglichkeiten. Sagt man der ISO 27001 ein etwas erhöhtes Maß an Abstraktheit nach, leidet der IT-Grundschutz durchaus an seiner Ausführlichkeit (zumindest in 100‑x Standards). Hinzu kommt, dass der Aufwand an Zeit und Kosten gerade für kleine und mittlere Unternehmen (KMU) und Kommunen weit über die gegebenen Möglichkeiten hinausgeht.

Einen Teil dieser Lücke nach unten hat vor einigen Jahren der Standard Informationssicherheit in 12 Schritten (kurz ISIS12) schließen können. Dieser kommt seither in vielen deutschen Unternehmen und Kommunen zum Einsatz, teilweise inklusive der möglichen Zertifizierung durch die DQS GmbH (Und hier reden wir von einer vollwertigen, unabhängigen Zertifizierung, nicht von den durch die beratende Gesellschaft als Zertifikat angepriesenen Testate.) ISIS12 leitet sich aus dem IT-Grundschutz ab und wird derzeit in Richtung der Vorgehensweise der ISO 27001 weiterentwickelt.

Für die drei bisher genannten Standards stehen bewährte Softwarelösungen zur Verfügung. Generell sind diese Standards auch nach unten skalierbar, stellen dennoch gerade kleinere Einrichtungen nach wie vor vor ein Zeit- und Kostenproblem. Diese immer noch bestehende Lücke für kleinere und kleinste Einrichtungen lässt sich mit zwei weiteren Standards in angemessenem Kosten- und Aufwandsrahmen schließen. Die Rede ist vom Standard VdS 10000 (früher 3473) sowie der unter dem Projektnamen “Arbeitshilfe” bekannt gewordenen Systematik der Innovationsstiftung Bayerische Kommune aus München.

Gerade kleine und kleinste Organisationen finden hier einen Werkzeugkasten, um sich dem Thema systematisch zu nähern, vorhandene technische und organisatorische Schwachstellen zu identifizieren und danach kontinuierlich abzustellen und ein Sicherheitskonzept zu betreiben. Die Möglichkeit besteht jederzeit, in die höheren Systematiken upzugraden.

Die “Arbeitshilfe” wurde im Auftrag der Bayerischen Kommunalen Spitzenverbände durch a.s.k. Datenschutz für die Innovationsstiftung Bayerische Kommune entwickelt und ist mittlerweile in Version 4.0 erschienen. Trotz dieses Ursprungs richtet sich die Arbeitshilfe nicht ausschließlich an kommunale Einrichtungen. Informationssicherheit ist universell. Von daher sind lediglich einige Begrifflichkeiten für den Einsatz in Unternehmen anzupassen (Geschäftsführer statt Bürgermeister), das war es schon. Und jetzt mit auch Software-Unterstützung für die Arbeitshilfe.

Informationssicherheitskonzepte besser mit Software-Unterstützung

Selbstverständlich lassen sich Informationssicherheitskonzepte auch mit Papier und Stift oder etwas moderner mittels Word-Formularen und Excel-Tabellen abbilden. Bei der Einführung mag das auch noch ausreichend sein. Doch im späteren Betrieb des Informationssicherheitskonzepts wird es schnell a) unüberschaubar und b) nicht mehr handhabbar, z.B. um Wiedervorlagefristen einzuhalten. Auch in Bezug auf das jederzeitige Reporting / Berichtswesen ist eine geeignete Softwareunterstützung unschlagbar.

Die drei großen Standards ISO 27001, BSI IT-Grundschutz und ISIS12 können aus einem großen Angebot geeigneter Softwarelösungen wählen. Bei den kleineren Standards wird die Luft sehr schnell dünn bis hin zu fehlender Software-Unterstützung.

Software-Unterstützung für die Arbeitshilfe von a.s.k. Datenschutz

Gerade für kleine Organisationen sind leicht verständliche und bedienbare Software-Lösungen ein Muß. Zeit für langwierige Software-Schulungen und Einarbeitungen ist im Zweifel Mangelware. Oftmals werden kleine Einrichtungen bei der Einführung von externen Dienstleistern unterstützt, nutzen möglicherweise auch die Möglichkeit eines externen Informationssicherheitsbeauftragten (sofern sinnvoll umsetzbar).

Hier setzt die Software-Lösung für unsere (potentiellen) Kunden konkret an:

Verschlüsselung bei Übertragung und Speicherung
Mehrfaktor-Authentifizierung
Browserbasiert, Apps für Desktop und mobile Geräte
Bearbeitung und gleichzeitig fortlaufende Dokumentation aller Prüffragen der Arbeitshilfe und deren Umsetzung
Erstellen von notwendigen Unteraufgaben
Zuweisen von Aufgaben und Unteraufgaben an zuständige Personen in der Organisation
Diskussionsmöglichkeit zwischen den Beteiligten direkt in einem Prüfpunkt und damit nachvollziehbare Dokumentation der Entscheidungsfindung und des Umsetzungsstatus sowie dessen Weiterentwicklung
Email-Benachrichtungen über Änderungen und Aufgabenzuweisungen (Hinweise, keine Übermittlung der konkreten Inhalte, die sollen ja verschlüsselt auf der Plattform bleiben 🙂 )
Termin-Erinnerungen
Dokumentenversionierung
Jederzeit um weitere Aufgaben zu ergänzen (z.B. weitere identifizierte Schwachstellen außerhalb der Fragen der Arbeitshilfe, Dokumentation der Bearbeitung von Datenpannen etc.)
Ausführliches Berichtswesen nach Kapiteln, über das gesamte Informationssicherheitskonzept oder nach Zuständigkeiten
Übersichten über erledigte / offene Aufgaben bzw. beseitigte / noch vorhandene Schwachstellen
Diskussionsplattform zur Klärung von offenen Fragen
Betrieb in deutschen Rechenzentren (Ehrensache)
uvm.

Interesse geweckt an der Arbeitshilfe oder der Software-Lösung? Oder Fragen zum Thema Informationssicherheitskonzept oder Informationssicherheitsbeauftragte? Sprechen Sie uns an.

Datenschutz Datensicherheit Informationssicherheit Tipps

Tipps aus der Informationssicherheit: Technische und organisatorische Maßnahmen für Heimarbeit und mobiles Arbeiten

27. November 20203. Dezember 2020 Sascha Kuhrau

Datenschutz und Informationssicherheit gefordert

Seit März 2020 beschäftigen sich die meisten Organisationen aufgrund der Corona-Pandemie mit den Themen Heimarbeit und Mobiles Arbeiten. Doch dabei wurde bzw. wird sich oftmals auf die technische Zurverfügungstellung sowie Zusätze zum Arbeitsvertrag fokussiert. Das ist auch kein Wunder. Denn es galt ja vorrangig, schnell arbeitsfähig zu werden und zu bleiben. Und dann war ja noch das Problem mit dem Klopapier zu lösen.

Und selbst wenn bereits bei der ersten Einführung bzw. Umsetzung die Themen Datenschutz und Informationssicherheit berücksichtigt wurden, ist es nun ein guter Zeitpunkt an dem Thema dran zu bleiben. So gilt es, vorhandene technische und organisatorische Maßnahmen auf den Prüfstand zu stellen. Art. 32 DSGVO fordert in Absatz 1 Buchstabe d vorhandene Schutzmaßnahmen einer “regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit […] zur Gewährleistung der Sicherheit der Verarbeitung” zu unterziehen. Wer sich neben Datenschutz mit der Informationssicherheit auseinandergesetzt hat, wird dieses Prinzip schon länger kennen. Wirksamkeitskontrolle und kontinuierliche Verbesserung für vorhandene Schutzmaßnahmen sind Tagesgeschäft in der Informationssicherheit.

Das Rad nicht neu erfinden: Tools der Informationssicherheit nutzen

Glücklicherweise müssen Datenschutzbeauftragte das Rad hierfür nicht neu erfinden. Denn jahrzehntelang bewährte Standards wie der BSI IT-Grundschutz (in aktueller Fassung des Kompendiums 2020) bieten konkrete Maßnahmen und Empfehlungen zu Heimarbeit und mobilem Arbeiten an. Diese können wunderbar mit den eigenen getroffenen technischen und organisatorischen Schutzmaßnahmen abgeglichen werden. Daraufhin mögliche Lücken zu schließen und vorhandene Maßnahmen zu optimieren, fällt im Nachgang umso leichter. Sicher mit ein Grund, warum Datenschutzgesetze und Kommentare immer häufiger diese Prinzipien und Hilfestellungen der Informationssicherheit einbinden und erwähnen.

Wir haben Ihnen in diesem Beitrag die unserer Meinung nach wichtigsten Bausteine aus dem aktuellen BSI IT-Grundschutz Kompendium zusammengestellt. Diese befassen sich entweder direkt mit Heimarbeit und mobilem Arbeiten oder sind zumindest damit eng verknüpft. Darüber hinaus haben wir noch einige weitere Empfehlungen für Sie herausgesucht. Themen wie Email-Sicherheit, Mitarbeitersensibilisierung, Umgang mit Sicherheitsvorfällen und Notfallmanagement werden gerne vernachlässigt. Gerade, wenn es wie im März 2020 schnell gehen muss.

Exkurs zum Grundverständnis und Aufbau des BSI IT-Grundschutz

Der IT-Grundschutz beschreibt in seinem Komepdium “standardisierte Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume in einzelnen Bausteinen”. Diese Aufzählung zeigt deutlich, der IT-Grundschutz befasst sich entgegen seines Namens nicht nur mit IT-Sicherheit. Das wäre auch grob fahrlässig, denn schließlich passiert ein Großteil der Sicherheitsvorfälle (quantitativ) im organisatorischen Bereich. Der Faktor Mensch stellt uns gerne und oft ein Bein in der Informationssicherheit und damit am Ende auch im Datenschutz. Diese zuvor erwähnten Bausteine sind nach Schichten (Themenbereiche) unterteilt:

So gibt es in der Schicht ISMS beispielsweise einen Baustein mit der Bezeichnung “ISMS.1 Sicherheitsmanagement”. Dieser beschreibt sehr konkret, welche Anforderungen an Informationssicherheit und das Management von Informationssicherheit in einer Organisation gestellt werden, wenn man den Standard BSI IT-Grundschutz als Grundlage heranzieht. Mit konkreten Umsetzungsempfehlungen werden diese Anforderungen weiter detailliert und unterstützen mit wertvollen Details zu möglichen technischen und organisatorischen Schutzmaßnahmen. Damit man auch weiß, woher diese Empfehlungen rühren, enthält jeder Baustein üblicherweise eine sehr konkrete Beschreibung der Gefahrenlage. Darin werden mögliche Risiken beschrieben, welche für das Thema des Bausteins relevant sind und denen man mit den Schutzmaßnahmen im weiteren Verlauf des Bausteins begegnen will.

In der Schicht INF finden sich als weiteres Beispiel Bausteine zur Absicherung von Gebäuden und diversen Räumen innerhalb von Gebäuden, je nach deren Nutzungsart. Wer sich für den Umgang mit Smartphones und Tablets interessiert oder gar mit einer MDM-Lösung (Mobile Device Management) liebäugelt, der wird in der Schicht SYS fündig.

Der IT-Grundschutz ist vergleichbar mit einem Werkzeugkasten im Alltag eines Heimwerkers. Will unser Bob einen Nagel in die Wand schlagen, findet er den passenden Hammer in seinem Kasten. Benötigt er dagegen einen Schlagbohrer samt Dübel und Schraube zur Befestigung, so kann er diese einzelnen Tools aus seinem Werkzeugkasten zum Erreichen seines Ziels ebenfalls auswählen und miteinander kombinieren.

Umsetzungsempfehlungen zu technischen und organisatorischen Maßnahmen — MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT

Um die Anforderungen des BSI IT-Grundschutz zu erfüllen, sollte man wissen, was es mit diesen in der Überschrift genannten Modalverben MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT auf sich hat. Generell sind die Umsetzungsempfehlungen erstmal nur reine Empfehlungen an eine Organisation, wie das Schutzniveau durch geeignete technische und organisatorische Schutzmaßnahmen erreicht oder verbessert werden kann. Geht es jedoch um eine nachweisliche Umsetzung oder Zertifizierung, gilt es bestimmte Empfehlungen zwingend umzusetzen oder zumindest konkret geprüft zu haben, ob und wie man diese zukünftig umgesetzt haben könnte. Es gibt also dann klassische Muss- und Kann-Anforderungen. Ebenso gibt es auch Sachverhalte, die definitiv ausgeschlossen werden müssen. Für die weiter unten angeführten Bausteine zu Heimarbeit und mobilem Arbeiten soll es erst mal ausreichen, MUSS und SOLLTE näher zu betrachten. Weitere Details zu den Modalverben finden Sie hier.

MUSS

“Dieser Ausdruck bedeutet, dass es sich um eine Anforderung handelt, die unbedingt erfüllt werden muss (uneingeschränkte Anforderung).”

SOLLTE

“Dieser Ausdruck bedeutet, dass eine Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig begründet werden, bestenfalls schriftlich.”

Die Unterscheidungen innerhalb des IT-Grundschutzes in Basis‑, Standard- und Kern-Absicherung lassen wir an dieser Stelle zur Vereinfachung außer Acht. Es geht ja hier nicht um die Einführung eines ISMS auf Basis des IT-Grundschutzes. Normalerweise macht es Sinn und reicht aus, sich mit den sog. Basis- und Standard-Anforderungen in den unten angeführten Bausteinen zu befassen. Sollte Ihre Organisation jedoch einer kritischen Geschäftstätigkeit nachgehen oder Informationen mit sehr hohem Schutzbedarf verarbeiten, lohnt durchaus auch ein Blick in den Abschnitt “Anforderungen bei erhöhtem Schutzbedarf” des jeweiligen Bausteins.

Konkrete IT-Grundschutz Bausteine für Ihre technischen und organisatorischen Maßnahmen

OPS.1.2.4 Telearbeit — Themen sind hier u.a. Regelungen zur Telearbeit generell, Regelungen zur Privat-Nutzung von Equipement und Anwendungen, Schulung der Mitarbeiter für die in den Richtlinien skizzierten Anforderungen im Telearbeit-Einsatz, Erreichbarkeit und Einbindung von Mitarbeitern am Telearbeitsplatz sowie das Treffen geeigneter Sicherheitsmaßnahmen (IT-Betrieb und organisatorisch).

INF.8 Häuslicher Arbeitsplatz — Schwerpunkt: Einrichtung und Betrieb eines häuslichen Arbeitsplatzes. Themen u.a.: Regelungen für den Arbeitsplatz, Zutritts- und Zugriffsbeschränkungen, IT-Nutzung und deren Absicherung, Transport sowie Vernichtung / Entsorgung von Papierakten und digitalen Datenträgern, Manipulations- und Diebstahlrisiken am häuslichen Arbeitsplatz, sowie Gefährdungen durch Familienmitglieder / Besucher. Gerne wird hier in dem Kontext auf den separat abschließbaren Arbeitsraum zu Hause verwiesen. Wohl dem, der diesen Luxus hat und über ausreichend Platz und Zimmer verfügt. Aber auch für alle anderen Fälle hält dieser Baustein sinnvolle Empfehlungen bereit.

INF.9 Mobiler Arbeitsplatz — Nicht immer wird ein fester häuslicher Arbeitsplatz eingerichtet. Dank Laptop und anderer mobiler Geräte dann aber dennoch aus dem Home-Office gearbeitet. Um diese Aspekte kümmert sich dieser Baustein: Regelungen und Anweisungen zum Arbeiten am mobilen Arbeitsplatz, technische Absicherung der Geräte (Verschlüsselung, Sichtschutzfilter etc.), Akten- und Datenträgertransport, Entsorgung von analogen und digitalen Datenträgern, Diebstahl und Verlust der Geräte (Meldung, Sofortreaktionen), Sicherheit unterwegs (Einsehbarkeit, Verhalten bei Telefonaten etc.)

NET.3.3 VPN — Anforderungen zu Planung und Einrichtung sicherer Virtueller Privater Netzwerke (VPN) zur Sicherstellung der Vertraulichkeit und Integrität. Dabei geht es nicht nur um technische Aspekte, sondern auch um organisatorische Maßnahmen. So ist das Verbot zur Abspeicherung von VPN Zugangsdaten im Client mehr als sinnvoll und angebracht. Macht ja auch Sinn, ansonsten ist die Standleitung in das interne Netz fest eingerichtet 🙂 Ist uns eh ein Rätsel, wieso Anbieter von VPN Software eine solche Option zur Abspeicherung von Zugangsdaten überhaupt als Funktion programmieren.

NET.2.2 WLAN-Nutzung — Unabhängig, ob Nutzung des privaten WLAN oder von WLAN Hot Spots unterwegs, sind technische und organisatorische Maßnahmen zu ergreifen wie Sicherstellen eines ausreichenden Verschlüsselungsstandards WPA2 und höher) oder auch Sensibilisierung der Mitarbeiter im Hinblick auf sog. Rogue Access Points. Letzteres kennen Sie nicht? Nehmen Sie einfach mal einen beliebigen LTE WLAN Router mit Akku, benennen das WLAN nach “Telekom” oder “WifionICE”, gehen in ein Café Ihrer Wahl und staunen Sie: Innerhalb weniger Sekunden haben sich zahlreiche WLAN Geräte in Ihren Router eingeloggt. Besser und einfacher kann man keine Man-in-the-Middle-Attacken starten.

OPS.1.2.5 Fernwartung — Kommt es am häuslichen Arbeitsplatz oder mit dem Mobilgerät zu technischen Problemen, wird schnell eine Fernwartung durch die eigene IT-Abteilung oder den externen Dienstleister z.B. für Anwendungssupport notwendig. Regelungen zur Vorgehensweise, aber auch zur technischen Absicherung sind unabdingbar. Die entsprechenden Empfehlungen zu Softwareauswahl, Protokollierung der Wartungstätigkeiten etc. finden Sie in diesem Baustein.

OPS.2.2 Cloud-Nutzung — Gerade jetzt werden häufiger Cloud-Services eingesetzt als noch in 2019. Sei es zum reinen Datenaustausch oder Verlagerung ganzer Verarbeitungstätigkeiten im Zuge von SaaS (Software as a Service). Denken Sie einfach nur an die Zunahme bei der Nutzung von Webkonferenz-Diensten oder auch anderer Kommunikationsplattformen, um die Zusammenarbeit zwischen Intern und Extern oder auch gegenüber Kunden zu erleichtern. Neben der technischen Sicherheit wie verschlüsselte Übertragung und verschlüsselte Datenhaltung stehen auch organisatorische Aspekte im Fokus. Welche Daten dürfen überhaupt in die Cloud? Wie sind die Cloud-Services zu nutzen, was ist erlaubt, was nicht? Migriert in die Cloud ist schnell. Aber hat sich auch jemand Gedanken gemacht, was bei einem möglichen Ende der Service-Nutzung geschehen muss? Gibt es vertragliche Regelungen hierzu? Wie kommen Daten wieder zurück? Möglichst kompatibel für eine andere Anwendung.

OPS.1.1.4 Schutz vor Schadprogrammen — Veränderter oder neuer Technologie-Einsatz bringt neue Einfallstüren für Schadprogramme mit sich. Sind die Anforderungen an einen konsequenten Schutz vor Schadprogrammen technisch und organisatorisch berücksichtigt? Klassiker: Laptops, die sich Signatur-Updates für den Virenscanner ausschließlich über einen Update-Server im internen Netz besorgen. Nun sind diese Geräte aber im längeren Außeneinsatz und vielleicht auch ohne VPN Verbindung ins interne Netz im unterwegs. Woher kommen jetzt die Aktualisierungen, wenn zuvor ausschließlich der interne Update-Server als Bezugsquelle zugelassen wurde? Ganz schnell ist der Virenscanner out of date und eine weitere Sicherheitslücke geschaffen. Das ist aber natürlich nicht der einzige Aspekt dieses Bausteins.

ORP.4 Identitäts- und Berechtigungsmanagement — Wie werden Benutzerrechte vergeben für die notwendigen Zugriffe von außen? Auf welche Dateien / Anwendungen muss von außen zugegriffen werden können? Die selbe Fragestellung jedoch auch zu den Cloud-Services: Wer darf / muss auf was zugreifen können? Wie sieht der Rechtevergabe-Prozess dazu aus? Werden überall wo möglich weitere Sicherheitsmaßnahmen ergriffen wie Zwei-Faktor-Authentifizierung (2FA)? Sind die dazu notwendigen Applikationen (Apps) installiert und die Nutzer in deren Handhabung eingewiesen? Auch an die Backup-Codes für die 2FA gedacht und diese gesichert, sollte das Gerät mit der 2FA-App nicht mehr einsatzfähig sein? Nein? Dann viel Spaß. Denn ohne den eigentlichen 2FA-Token oder einen Backup-Code kommen Sie so schnell nicht mehr an Ihren Account — wenn überhaupt.

ORP.3 Sensibilisierung und Schulung — Mitarbeiter sind ein großer (Un-) Sicherheitsfaktor in einer Organisation. Das sind sie jedoch selten mit Absicht. Hauptursachen sind fehlende Kenntnis von Regelungen und Vorgehensweisen sowie fehlende Sensibilisierung. Ist ja auch kein Wunder, denn Schulungen und Sensibilisierungen bringen keinen Umsatz und halten noch dazu die Mitarbeiter von deren Kerntätigkeiten ab. Paart sich das noch mit gesteigertem Selbstbewußtsein — “Ich weiß eh alles (besser)”, dann ist der Boden für den nächsten Sicherheitsvorfall bestens bereitet. Von daher ist auch dieses Thema im Kontext Heimarbeit und mobiles Arbeiten von großer Bedeutung.

Wenn dann doch mal was schiefgeht: “Hallo, ich bin’s. Der Sicherheitsvorfall”

Unsere Empfehlungen:

Sorgen Sie für klare Prozesse, was im Fall von Sicherheitsvorfällen und Datenpannen durch Mitarbeiter und alle weiteren notwendigen Beteiligten (DSB, ISB, IT, Organisationsleitung) zu tun.
Machen Sie diese Prozesse bekannt und leicht zugänglich, egal ob Papierformulare, Ticket-System oder anderweitige Lösung.
Nehmen Sie Ihren Mitarbeitern die Angst, einen (möglicherweise selbst verursachten) Sicherheitsvorfall sofort zu melden. Es geht nicht darum, einen möglichen Schuldigen zu bestrafen, sondern das eingetretene Risiko in den Begriff zu bekommen.
Fokussieren Sie sich auf das “Wie konnte das passieren?” statt “Wer hat das verursacht?”. Ausnahme: Wenn ein und der selbe Mitarbeiter trotz guter Sensibilisierung zum Thema Kryptotrojaner in einer Woche bereits zum fünften Mal “Makros aktivieren” anklickt und das Drama seinen Lauf nimmt. 🙂

Help Button — Pixabay: OpenClipart-Vectors

Ein guter Einstieg könnte die sog. IT-Notfallkarte “Verhalten bei IT-Notfällen” der Allianz für Cybersicherheit sein. Bitte daran denken, die Hinweise und Abläufe mit dem internen Meldeprozess von Datenpannen him Hinblick auf Art. 33 und 34 DSGVO zu verzahnen.

Aber auch ein Blick zurück in den IT-Grundschutz kann nicht schaden, speziell in die Schicht DER: Detektion und Reaktion und deren Bausteine.

Wenn sensibilisieren nicht ausreicht: weiter sensibilisieren

Ebenfalls von der Allianz für Cybersicherheit gibt es in deren Informationspool, aber auch vom Bürger-CERT praktische und anschauliche Tipps, Muster und Vorlagen zur Sensibilisierung von Mitarbeitern. Auch gut anzuwenden im Kontext Heimarbeitsplatz und mobiles Arbeiten. Reinschnuppern lohnt auf jeden Fall -> Link zu Awareness.

Die VBG hat zum Thema Mobiles Arbeiten einen leicht verständlichen Flyer veröffentlicht, der nicht nur die Aspekte Arbeitsschutz beleuchtet, sondern auch auf Sicherheitsprobleme und mögliche Lösungen eingeht.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat ein Faltblatt “Telearbeit und Mobiles Arbeiten” und deren datenschutzgerechte Ausgestaltung veröffentlicht.

Ja, es kann nerven. Aber sowohl der Datenschutz als auch die Informationssicherheit lieben geschulte und sensibilisierte Mitarbeiter. Deren Arbeitgeber sollten das auch so halten. Wer sich mal mit den Nachwirkungen und Aufwänden von größeren Datenpannen und Sicherheitsvorfällen beschäftigt hat bzw. diese selbst ausbaden musste, der weiß: “Vorbeugen ist besser als Nachsorgen.” — Haben Sie jetzt etwa mit einem anderen Spruch gerechnet?

Und es muss ja nicht immer die klassische Face-2-Face-Veranstaltung sein. Bestenfalls noch 100 Mitarbeiter oder mehr in einem Raum. Abgesehen davon, dass dies aktuell aufgrund der Abstandsregeln eh kaum geht. Außer Sie mieten eine Messehalle. In der Praxis laufen solche Groß-Schulungsveranstaltungen nach einem bekannten Schema ab. Einer steht vorne und spricht. Das Auditorium schläft zu 50%, die andere Hälfte spielt (natürlich vollkommen unbemerkt unter dem Tisch) mit dem Smartphone.

Nutzen Sie andere Möglichkeiten und bilden Sie einen Mix, einen bunten Blumenstrauß aus verschiedenen Wegen, Ihre Zielgruppe Mitarbeiter zu erreichen. Online-Schulungen, Webinare, Rundmails, witzige Flyer und Plakate. Witzig? Wie sind die bei a.s.k. Datenschutz denn drauf? Das Thema ist viel zu ernst. Genau. Und deswegen witzige Kommunikation. Eine positive Emotion wie ein freundliches Lachen, die Sie mit Ihrer Aktion ausgelöst haben, sorgt dafür, dass die übermittelte Botschaft viel tiefer in die Zielgruppe einsickert als Vorträge bei Kerzenschein mit erhobenem Zeigefinger. Wobei auch das, einen abgedunkelten Raum vorausgesetzt, der Referent in Kutte und mit Begleitung von Choral-Musik seinen Platz vorne einnehmend, durchaus ein bewußtes Stilmittel zum Erzeugen der notwendigen Aufmerksamkeit sein kann. Nur nicht jede Veranstaltung so durchführen, nutzt sich ab 🙂

Hand in Hand: Datenschutz und Informationssicherheit

Datenschutz und Informationssicherheit sind nicht identisch, was jetzt keine neue Erkenntnis darstellt (hoffentlich!). Es gibt aber durchaus Schnittmengen bzw. Werkzeuge, die in beiden Themen zur Anwendung kommen können. Eines dieser Instrumente sind die technischen und organisatorischen Maßnahmen. Und hierzu bietet gerade der BSI IT-Grundschutz (aber auch der früher daraus abgeleitete Standard ISIS12) in großem Umfang praktische Unterstützung. So hilft dieser nicht nur bei der Identifikation möglicher Risiken (Gefährdungen), sondern bringt zugleich recht umfangreich Handlungsempfehlungen / Maßnahmen ein, mittels derer man Eintrittswahrscheinlichkeit und / oder Schadensausmaß begrenzen kann. Von daher bietet es sich aus Sicht des Datenschutzes an, einen weiten Blick über den Tellerrand in das Feld der Informationssicherheit zu werfen. Die Mühe lohnt sich ganz schnell.

Wir hoffen, Sie haben einen guten ersten Eindruck gewinnen können, wie man am Beispiel Telearbeitsplatz / Mobiles Arbeiten den Werkzeugkoffer der Informationssicherheit auch im Datenschutz bestens einsetzen kann. Die Details zu Risiken und Handlungsempfehlungen aus dem IT-Grundschutz haben wir hier im Beitrag nicht angeführt. Wenn Sie die oben genannten und verlinkten Bausteine des BSI IT-Grundschutz anklicken, kommen Sie direkt zu den weiterführenden Informationen auf der Webseite des BSI. Und hoffen wir mal, dass die Links für eine Weile von Bestand sein. Das war in der Vergangenheit leider nicht immer der Fall. Gell, liebes BSI Team? Aber danke für eure Mühe und diesen tollen Standard. Der IT-Grundschutz hat leider oft einen schlechten Ruf. Nach unserem Dafürhalten zu Unrecht. Gerade im deutschsprachigen Raum, aber nicht nur da, der “heiße Scheiß” der Informationssicherheit 😉

E‑Privacy und der gelebte Datenschutz

16. November 20209. Dezember 2020 Lin Henry Qiu

Am 04.11.2020 wurde ein Entwurf für eine E‑Privacy Verordnung von der EU-Ratspräsidentschaft den Mitgliedsstaaten vorgelegt. Diesem zufolge sind die Verarbeitung etwa von Standort- und Zugriffsdaten / das Setzen von cookies, die auf den Endgeräten von ‘visitors´ gespeichert werden, unter dem pauschalen Verweis auf berechtigtes Interesse und ohne fundierte(re) Rechtsgrundlage nicht zulässig.

Ausnahmen dieser E-Privacy Aspekte

Für vertretbare Verarbeitungen, die aus Sicht der Entwerfenden ohne Rechtsgrundlage zulässig bleiben müssten, sind Erlaubnistatbestände in den E‑Privacy Entwurf eingeflossen. Hier kamen etwa IT-Sicherheit, fraud prevention, Direktwerbung in Betracht. Auch für messaging- und (andere) Telekommunikationsanbieter ist die Verarbeitung der Daten ihrer Nutzer unter Einwilligung weiterhin eingeräumt. Wenn Inhalte auf einer website unentgeltlich angeboten werden und die Finanzierung dessen über Werbebanner erfolgt, dürfe die Nutzung durch die visitors weiterhin an das Setzen von cookies ohne Einwilligung / Genehmigung gekoppelt werden, soweit ihm verschiedene Optionen mittels ‘präziser Informationen´ aufgezeigt würden. In seinem Beitrag zu diesem Thema führt heise.de ein Beispiel dieser Praxis mit “Spiegel Online” an, wonach man der Verarbeitung seiner Daten im vorgenannten Sinne nur durch Abonnement entgehen könne.

Integrität und Vertraulichkeit

Im Fokus steht auch die mit der geplanten E‑Privacy Verordnung den Mitgliedstaaten einzuräumende Möglichkeit der ‘rechtmäßigen Überwachung´ elektronischer Kommunikation, d.h. Telekommunikationsanbieter entsprechend in die Pflicht zur Herausgabe von Standort- und Verbindungsdaten nehmen zu können. Gesetzen zur Vorratsdatenspeicherung auf nationaler Ebene soll in bestimmten Grenzen ebenfalls Raum gegeben werden.

E‑Privacy und das Nutzerverhalten

Hand aufs Herz — wer kennt die ‘do not track´ Funktionalität und wer nutzt sie? Lassen Sie es uns im Kommentarfeld wissen und was Sie davon halten. Der Ansatz, die Verarbeitung von Userdaten einzugrenzen scheiterte, u.a. weil Werbeindustrie & Co. ihn nicht anerkannte. Wie kann man nur so gemein sein? 🙂 Auch in der vorliegenden E‑Privacy Verordnung in spe ist eine ersetzende oder verbessernde Regelung nicht enthalten. Indes wurde der EDSA (Europäischer Datenschutzausschuss) ersucht, entsprechende Richtlinien sowie Empfehlungen zu fassen.

Weitere Ausnahmen von dem Einwilligungsgebot könnten sich bei Warenkörben, der im Hintergrund ablaufenden Prüfung der Identität von Personen bei online Transaktionen und zum Zwecke des Webdesigns und der Werbung ergeben.

Die vorgeschlagene E‑Privacy Verordnung erstreckt sich auch auf das IoT über öffentliche Netze. Intelligente Habseligkeiten wie medizinische Geräte, Autos, Waschmaschinen etc dürfen auch weiterhin in Datenverarbeitungen durch Anbieter involviert werden, ohne dass eine Einwilligung / Kenntnis des Besitzers notwendig wäre. Indes dürfen die ‘Funktionalitäten´ der hard- und softwares nicht abgeändert werden. Das ist schon eine Beruhigung, wenn man die Futurama Folge kennt, in der die (Nutz-)Roboter rebellieren 😉 Liebe Verschwörungstheoretiker — dies ist ein Scherz und bitte nutzen Sie diesen nicht weiter.

Behörde Informationssicherheit ISIS12 ISMS IT Sicherheit Kommune Unternehmen

a.s.k. Datenschutz erfolgreich Informationssicherheit (ISMS) nach ISIS12 zertifiziert

14. November 2020 Sascha Kuhrau

Nach nur knapp 6 Monaten Einführung eines Informationssicherheitsmanagementsystems, kurz ISMS wurde das Team von a.s.k. Datenschutz für die investierte Zeit und Nerven belohnt. Nach einem erfolgreichen Vor-Ort-Audit Mitte Oktober durch die DQS GmbH haben wir zum 31.10.2020 das Zertifikat über die erfolgreiche Einführung und den nachweislichen Betrieb unseres ISMS auf Basis des Standards ISIS12 2.0 erhalten. Damit sind wir die erste Organisation, die im neuen Katalog 2.0 zertifiziert wurde. Das freut uns natürlich gleich noch etwas mehr.

Neben den rein formalen Anforderungen haben diese 6 Monate auch einige Veränderungen an Arbeitsprozessen und eingesetzten Softwarelösungen z.B. für den Bereich Mobile Device Management und Hardware-Verwaltung mit sich gebracht. So konnten wir bereits die Phase der Einführung zur weiteren Verbesserung der technischen und organisatorischen Schutzmaßnahmen nutzen. Weiterer Vorteil: Der Nachweis geeigneter technischer und organisatorischer Maßnahmen im Sinne von Art. 32 DSGVO wird durch die Zertifizierung deutlich erleichtert.

ISIS12 (Informationssicherheit in 12 Schritten) ist eine aus dem BSI IT-Grundschutz abgeleitete Vorgehensweise, welche es kleinen und mittleren Organisationen ermöglicht, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und zu betreiben. a.s.k. Datenschutz berät und unterstützt seit vielen Jahren zahlreiche Kommunen und Unternehmen bei Einführung und Betrieb eines ISMS auf Basis von ISIS12, aber auch anderer Standards wie dem BSI IT-Grundschutz selbst. Für uns war es daher ein logischer Schritt, unseren Kunden nicht nur gute Ratschläge zur Einführung und Betrieb von ISIS12 zu geben und sie dabei zu begleiten, sondern uns selbst diesen Regularien zu unterwerfen und das Ganze auch mit Zertifizierung abzuschließen.

Nachdem die ISIS12-Katalogreihe 1.x zu April 2022 abgekündigt wurde, war es für uns selbstverständlich, den Nachfolge-Katalog 2.0 einzuführen. Die überarbeitete Struktur sowie deutliche Aktualisierung der Bausteine und Maßnahmen im Katalog 2.0 gegenüber den früher aus dem IT-Grundschutz-Katalog entnommenen Elementen haben eine zügige, nachvollziehbare und transparente Einführung sehr unterstützt.

Wir können daher aus eigener Erfahrung nur empfehlen, neue Projekte generell nur noch im Katalog 2.0 zu starten bzw. vorhandene ISMS auf Basis der 1.x Kataloge bei nächster passender Gelegenheit umzustellen. Die Upgrade-Pfade sind gut dokumentiert und für unsere Kunden haben wir weitere Systematiken zur einfachen Konvertierung entwickelt.

Wie sagte unser Auditor so schön: “Nach dem Audit ist vor dem Audit!” Und so haben wir die letzten Tage bereits genutzt, um uns weiterzuentwickeln. Denn in 12 Monaten müssen wir uns dem ersten Überwachungsaudit (Ü1) stellen und auch das wollen wir mit einem sehr guten Ergebnis abschließen.

Das ISIS12 Zertifikat hat eine Gültigkeit von 3 Jahren und kann hier eingesehen bzw. als PDF abgerufen werden. Wenn Sie mehr über den Standard ISIS12 erfahren wollen, können Sie hier in unserem Blog oder auf der Webseite des IT-Sicherheitsclusters Regensburg weitere Details nachlesen.

Kategorie: Informationssicherheit

“Ändere-Dein-Passwort-Tag” — Und jährlich grüßt das Murmeltier. Dann doch lieber 2FA

Warum bzw. wann sollte ich ein Passwort überhaupt ändern bzw. wechseln?