Zum Inhalt springen

Informationssicherheit

Schad­code über Excel Power Query statt Makros

Der klas­si­sche Angriffs­weg: Schad­code über Makros in Office-Dokumenten

Das Angriff­sze­na­rio ken­nen wir zur Genü­ge. Eine Word- oder Excel-Datei ent­hält Makro-Code, der nach Öff­nen des Doku­ments und einen unacht­sa­men Klick des Nut­zers auf “Makros akti­vie­ren” den eigent­li­chen Schad­code (zumeist einen Ver­schlüs­se­lungs­tro­ja­ner) nach­lädt. Es soll sogar ganz Hart­ge­sot­te­ne geben, in deren Office-Instal­la­ti­on “Makros auto­ma­tisch aus­füh­ren” ein­ge­stellt ist, spart näm­lich viel Arbeitszeit 😉

Infor­mier­te Anwen­der und IT-Abtei­lun­gen kön­nen mit die­sem Risi­ko mitt­ler­wei­le recht gut umge­hen. Neben den tech­ni­schen Lösun­gen ist natür­lich auch die regel­mä­ßi­ge Sen­si­bi­li­sie­rung der Anwen­der zwin­gend nötig. Die­se sind näm­lich kei­ne Secu­ri­ty-Spe­zia­lis­ten und soll­ten recht­zei­tig und immer wie­der auf neue mög­li­chen Stol­per­fal­len für Sicher­heit und Daten­schutz hin­ge­wie­sen werden.

Rand­no­tiz: Im Rah­men der Ein­füh­rung eines ISMS nach ISIS12 wur­de uns der Begriff “regel­mä­ßig” mit zwi­schen 5 und 10 Jah­ren erklärt. Das kann man so sehen, soll­te aber aus Grün­den der eige­nen Orga­ni­sa­ti­ons­si­cher­heit dann doch zeit­lich eher etwas straf­fer aus­ge­legt sein. Begrün­dung war übri­gens: Schu­lun­gen hal­ten nur unnö­tig von der Arbeit ab. 😉

Makros bekom­men Kon­kur­renz durch Excels Power Query — neu­es Ein­falls­tor für Schadcode

For­scher haben eine Angriffs­tech­nik über Micro­softs Power Query ent­deckt (exter­ner Link), die sogar ohne Zutun des Anwen­ders nach dem Öff­nen eines prä­pa­rier­ten Excel-Sheets Schad­code nach­lädt und aus­führt. Betrof­fen sind Excel 2016, Excel 2019 und alle älte­ren Ver­sio­nen, in denen Power Query als Add-In nach­träg­lich instal­liert wur­de. Power Query wird lt. Micro­soft zur Ver­bin­dung mit exter­nen Daten­quel­len genutzt. Ein von Hei­se ent­spre­chend prä­pa­rier­tes Doku­ment schlug bei der Prü­fung durch Virus Total kei­nen Alarm. Wie die­se Sicher­heits­lü­cke kon­kret aus­ge­nutzt wer­den kann und wie ein­fach das geht, beschreibt Hei­se in einem Bei­trag (exter­ner Link) sehr konkret.

Aktu­ell soll die­ses Angriff­sze­na­rio noch nicht aus­ge­nutzt wer­den, Angrif­fe sind noch kei­ne bekannt. Zeit genug, sich dage­gen zu wapp­nen. Eine Mög­lich­keit besteht dar­in, Power Query kom­plett zu deak­ti­vie­ren (Regis­try). Wei­te­re Schutz­maß­nah­men beschreibt Micro­soft im Secu­ri­ty Advi­so­ry 4053440 (exter­ner Link).

Emo­tet: Eige­nen Mail­ser­ver auf Umgang mit poten­ti­ell schäd­li­chen Datei-Anhän­gen prüfen

Emo­tet rich­tet seit gerau­mer Zeit erheb­li­chen Scha­den an. Und es trifft nicht nur die Klei­nen. Der Hei­se-Ver­lag (als eines der pro­mi­nen­ten Opfer) stellt einen Online-Ser­vice zur Ver­fü­gung, um den eige­nen Mail­ser­ver und hof­fent­lich vor­han­de­ne Schutz­soft­ware auf den Umgang mit poten­ti­ell schäd­li­chen Datei-Anhän­gen zu testen.

Der Ser­vice funk­tio­niert ganz ein­fach. Zuerst wählt man die Art der Test-Email aus. Zur Aus­wahl ste­hen z.B. Anhän­ge als EXE-Datei oder Office-Doku­men­te mit und ohne Makros. Nach Ein­ga­be der eige­nen Email-Adres­se erhält man eine Akti­vie­rungs­mail. Erst wenn der Link in die­ser Akti­vie­rungs­mail geklickt wird, erfolgt der eigent­li­che Ver­sand der Email mit dem Datei-Anhang an die zuvor hin­ter­leg­te Email-Adres­se. Nach weni­gen Sekun­den schlägt die­se Test-Email auf dem eige­nen Mail-Ser­ver auf. Und jetzt zeigt sich, ob Ihr Mail­ser­ver und die Schutz­soft­ware so reagie­ren wie Sie sol­len. Cle­ve­re Instal­la­tio­nen unter­bin­den z.B. den Emp­fang von DOC Doku­men­ten und neh­men ledig­lich DOCX Doku­men­te an. Ande­re unter­sa­gen direkt jede Art von Office-Doku­ment, als Alter­na­ti­ve bleibt nur PDF. Sie kön­nen anhand der unter­schied­li­chen Datei-Anhän­ge bei der Aus­wahl der Test-Email prü­fen, ob Ihre Kon­fi­gu­ra­ti­on so funk­tio­niert wie sie soll. Bei uns tut sie das 🙂

Hin­weis: Bit­te for­dern Sie in Ihrem Fir­men­netz nicht ohne Rück­spra­che mit Ihrem Admi­nis­tra­tor nun zuhauf die­se Test-Emails an. Betrei­ben Sie einen eige­nen Mail­ser­ver, ist das natür­lich eine ande­re Sache. Inter­es­sant viel­leicht auch zu erfah­ren, was Ihr pri­va­ter Mail-Pro­vi­der an Schutz­maß­nah­men bie­tet — wenn er denn über­haupt wel­che bietet.

Link zum Hei­se-Check (exter­ner Link)

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Arbeits­hil­fe der Inno­va­ti­ons­stif­tung und Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Das Baye­ri­sche Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz LSI) bie­tet seit Mai 2019 ein Prüf­sie­gel für den Umset­zungs­stand der Infor­ma­ti­ons­si­cher­heit in baye­ri­schen Kom­mu­nen an. Auf Basis einer Selbst-Aus­kunft kann die Kom­mu­ne damit eine Min­dest­ab­si­che­rung in der Infor­ma­ti­ons­si­cher­heit nach­wei­sen. Das Sie­gel ist unab­hän­gig vom ver­wen­de­ten ISMS-Stan­dard. Das Sie­gel hat eine Gül­tig­keits­dau­er von 2 Jah­ren. Eine Ver­län­ge­rung kann bean­tragt wer­den. Dazu muss die Kom­mu­ne jedoch die akti­ve Beschäf­ti­gung mit dem The­ma Infor­ma­ti­ons­si­cher­heit und den Betrieb des Infor­ma­ti­ons­si­cher­heits­kon­zepts nach­wei­sen. Wie bei “ech­ten” Zer­ti­fi­zie­run­gen kann ein erst­ma­lig erteil­tes Sie­gel also auch wie­der ent­zo­gen werden.

Kann mit dem Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne das Sie­gel erreicht werden?

Das Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne (Autor: Sascha Kuhr­au) ist selbst­ver­ständ­lich für den Erhalt des Sie­gels gerüs­tet. Jede Kom­mu­ne, die ihr Infor­ma­ti­ons­si­cher­heits­kon­zept auf Basis der Arbeits­hil­fe ein­ge­führt hat, kann bei ent­spre­chend kor­rek­ter Umset­zung die Vor­aus­set­zun­gen für den Erhalt des LSI Sie­gels erfüllen.

Als Autor der Arbeits­hil­fe und Lei­ter zahl­rei­cher kom­mu­na­ler Infor­ma­ti­ons­si­cher­heits­pro­jek­te sowie kom­mu­na­ler exter­ner Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter unter­stüt­zen wir von a.s.k. Daten­schutz Sascha Kuhr­au Sie ger­ne bei der Ein­füh­rung und dem Betrieb eines kom­mu­na­len Infor­ma­ti­ons­si­cher­heits­kon­zepts und dem Erhalt des LSI Siegels.

Wo fin­de ich Infor­ma­tio­nen zum Baye­ri­schen Sie­gel “Kom­mu­na­le IT-Sicherheit”?

Das LSI stellt auf sei­ner Web­sei­te aus­führ­li­che Infor­ma­tio­nen bereit (exter­ner Link).

Was hat es mit der “Arbeits­hil­fe” auf sich und wo kann ich die­se beziehen?

Die Arbeits­hil­fe ist eine aus dem IT-Grund­schutz des BSI abge­lei­te­te Sys­te­ma­tik, um klei­ne kom­mu­na­le Ein­rich­tun­gen (aber auch klei­ne Fir­men) bei der Ein­füh­rung und dem Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts zu unter­stüt­zen und zu beglei­ten. Sie wur­de im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne durch die a.s.k. Daten­schutz Bera­tung Sascha Kuhr­au ent­wi­ckelt. Die Arbeits­hil­fe steht inter­es­sier­ten Orga­ni­sa­tio­nen kos­ten­frei zur Ver­fü­gung. Wei­te­re Infor­ma­tio­nen fin­den Sie auf der Web­sei­te der Inno­va­ti­ons­stif­tung (exter­ner Link).

Im Lau­fe des Jah­res 2019 wird die Arbeits­hil­fe in einer Ver­si­on 3.o erschei­nen, in der kon­kre­te Anpas­sun­gen für das LSI Sie­gel ent­hal­ten sind.

Bis­her gab es ledig­lich für die “gro­ßen” ISMS wie ISO 27001, BSI IT-Grund­schutz oder ISIS12 die Mög­lich­keit im Rah­men einer Zer­ti­fi­zie­rung einen Nach­weis über eine kor­rek­te Umset­zung des ISMS zu erhal­ten. Mit­tels des LSI Sie­gels kann nun auch die Arbeits­hil­fe mit einer sol­chen Art Nach­weis aufwarten.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Infor­ma­ti­ons­si­cher­heit im Fokus: Gemein­de Haar ist ISIS12-zertifiziert

Nach einem knapp zwei­jäh­ri­gen Pro­zeß hat die Gemein­de Haar im Mai 2019 die ISIS12-Zer­ti­fi­zie­rung erreicht. ISIS12 ist ein Stan­dard für ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (kurz ISMS) und bil­det in 12 anschau­li­chen Schrit­ten auf Basis des bekann­ten IT-Grund­schutz des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) ein Infor­ma­ti­ons­si­cher­heits­kon­zept ab. ISIS12 wur­de expli­zit für klei­ne und mitt­le­re Unter­neh­men (KMU) und kom­mu­na­le Ein­rich­tun­gen ent­wi­ckelt, für die auf­grund per­so­nel­ler Anfor­de­run­gen der “gro­ße” IT-Grund­schutz nicht durch­führ­bar ist.

In den 24 Mona­ten der Ein­füh­rung des Infor­ma­ti­ons­si­cher­heits­kon­zepts hat die Gemein­de Haar unter ande­rem Schu­lun­gen und Mit­ar­bei­ter­sen­si­bi­li­sie­run­gen in Sachen Infor­ma­ti­ons­si­cher­heit durch­ge­führt. Denn nicht nur das (tech­ni­sche) Sys­tem an sich muss in alle Rich­tun­gen sicher gemacht wer­den, son­dern auch die Men­schen, die mit den Daten umge­hen, müs­sen für das The­ma sen­si­bi­li­siert und geschult wer­den. Das reicht von der Akti­vie­rung der Bild­schirm­sper­re auch bei kür­zes­ter Abwe­sen­heit vom Arbeits­platz bis hin zur unacht­sa­men Frei­ga­be von Daten, wie etwa Pass­wör­ter offen am Schreib­tisch lie­gen zu lassen.
Zeit­gleich wur­den Pro­zes­se im Haus ver­bes­sert und Kon­zep­te erar­bei­tet, die IT-Struk­tur unter die Lupe genom­men und ein Not­fall­ma­nage­ment auf die Bei­ne gestellt. Denn Daten­schutz und Infor­ma­ti­ons­si­cher­heit müs­sen nicht nur im All­tag funk­tio­nie­ren – auch ech­te Not­fall-Sze­na­ri­en wur­den durch­ge­spielt und behan­delt: Was, wenn das Rat­haus mit all sei­nen Ser­vern abbrennt? Selbst dafür gibt es Lösungen.

Feder­füh­rend waren bei der Ein­füh­rung von ISIS12 die Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te der Gemein­de Haar Andrea Schmer­ber und die a.s.k. Daten­schutz Bera­tung unter Lei­tung von Sascha Kuhr­au. Sie waren es auch, die den Audi­tor Andre­as Mann bei der Erst­zer­ti­fi­zie­rung des Zer­ti­fi­zie­rungs­ver­bun­des – Rat­haus mit Bür­ger­haus und die Kita Casi­no­st­ra­ße – durch die Doku­men­te, Kon­zep­te und die Gebäu­de beglei­te­ten. Mit Erfolg, denn die Erst­zer­ti­fi­zie­rung hat geklappt.

Jetzt gilt es, das Infor­ma­ti­ons­si­cher­heits­kon­zept aktu­ell und am Lau­fen zu hal­ten. Daher wird jähr­lich über­prüft, ob die Infor­ma­ti­ons­si­cher­heits­richt­li­ni­en ein­ge­hal­ten wer­den – denn die Tech­nik ist schnel­le­big und auch im Per­so­nal gibt es von Zeit zu Zeit einen Wech­sel. Außer­dem wer­den nach und nach immer mehr der gemeind­li­chen Ein­rich­tun­gen in den Zer­ti­fi­zie­rungs­ver­bund inte­griert. In der Öffent­lich­keit wird der zeit­in­ten­si­ve und arbeits­auf­wen­di­ge Pro­zess kaum wahr­ge­nom­men – und den­noch ist er für jede ein­zel­ne Bür­ge­rin und jeden ein­zel­nen Bür­ger von hoher Wich­tig­keit. Denn es sind ihre Daten, die damit geschützt wer­den. Anlass für die Ein­füh­rung von ISIS12 in der Gemein­de Haar war das Baye­ri­sche E‑Go­vern­ment-Gesetz von 2016. Die­ses ver­pflich­tet aus­nahms­los alle kom­mu­na­len Ver­wal­tungs­ein­rich­tun­gen zur Ein­füh­rung und zum Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts. Die Gemein­de Haar, allen vor­an deren Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te Andrea Schmer­ber haben sich die­ser Her­aus­for­de­rung gestellt und das Ziel erreicht.

Übri­gens ist ein Infor­ma­ti­ons­si­cher­heits­kon­zept (ein­ge­führt und in Betrieb natür­lich) auch für das The­ma Daten­schutz inter­es­sant. Betrach­tet man Art. 32 DSVGO Sicher­heit der Ver­ar­bei­tung (exter­ner Link) genau­er, so fin­det man dar­in im Absatz 1 fol­gen­de Aussagen:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:
- die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
- die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
- die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
- ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Und genau das stellt ein funk­tio­nie­ren­des Infor­ma­ti­ons­si­cher­heits­kon­zept sicher. Dabei beschränkt sich der Schutz eines sol­chen Kon­zepts nicht nur auf per­so­nen­be­zo­ge­ne Daten, son­dern schließt alle schüt­zens­wer­ten Daten Ihrer Orga­ni­sa­ti­on mit ein. Geni­al, oder?

Sie wol­len in Ihrer Orga­ni­sa­ti­on eben­falls ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­füh­ren? BSI IT-Grund­schutz und ISO 27001 sind unpas­send? Spre­chen Sie uns an.

Zur Mel­dung der Gemein­de Haar (exter­ner Link)

RTF-Doku­ment nutzt älte­re Office Schwach­stel­le aus und bringt Back­door-Tro­ja­ner mit

Micro­soft mel­det (exter­ner Link zu Twit­ter) eine aktu­el­le Bedro­hung mit Schwer­punkt Euro­pa über eine älte­re Schwach­stel­le in Micro­soft Office. Mit­tels eines prä­pa­rier­ten RTF Doku­ments infi­ziert sich das Win­dows-Sys­tem mit einem Back­door-Tro­ja­ner, der das Aus­füh­ren wei­te­ren Codes auf dem befal­le­nen Sys­tem zulässt. Die Schwach­stel­le wur­de bereits 2017 im CVE-2017–1182 (exter­ner Link) beschrie­ben. Micro­soft emp­fiehlt allen Office-Anwen­dern, das aktu­el­le Patch-Level zu prü­fen. Die not­wen­di­gen Update für Office 2007–2016 fin­den Sie im unte­ren Teil der CVE.

Siche­re und kom­for­ta­ble Pass­wort-Ver­wal­tung mit Keepass

Pass­wör­ter — zu vie­le, zu kom­plex, kaum zu merken

Es gibt zahl­rei­che Mythen rund um die The­men Pass­wort und Sicher­heit, die sich hart­nä­ckig hal­ten. Und das obwohl allen Akteu­ren eigent­lich klar sein soll­te, dass die Ideen dahin­ter aus dem Bereich Fan­ta­sy ent­stam­men, jedoch nicht zur Pass­wort-Sicher­heit bei­tra­gen. Anhän­ger der Theo­rien “Pass­wör­ter müs­sen immer Son­der­zei­chen und Zah­len ent­hal­ten” und “Pass­wör­ter muss man regel­mä­ßig wech­seln” las­sen sich davon eh nicht abbrin­gen. Die Ver­nünf­ti­gen der Zunft haben die Zei­chen der Zeit erkannt und drang­sa­lie­ren die Nut­zer nicht mehr mit die­sem Bal­last, der kon­kret beleuch­tet eher Unsi­cher­heit statt Sicher­heit bringt. Doch hier sol­len kei­ne Glau­bens­krie­ge aus­ge­foch­ten wer­den. Wen es inter­es­siert, hier haben wir wei­te­re Details dazu zusammengetragen:

Fakt ist, unter­schied­li­che Log­ins /​ Accounts soll­ten auch unter­schied­li­che Pass­wör­ter nut­zen. Damit ist sicher­ge­stellt, dass ein ein­zel­ner kom­pro­mit­tier­ter Zugang nicht zum Öff­nen aller ande­ren Zugän­ge genutzt wer­den kann. Unab­hän­gig von Pass­wort­län­ge und Kom­ple­xi­tät kom­men hier für einen Anwen­der im Lau­fe der digi­ta­len Nut­zung zig Log­in-Daten zusam­men (PC Anmel­dung, Pro­gramm Anmel­dung, Cloud-Spei­cher Anmel­dung, diver­se Accounts bei Online-Shops, PINs und und und). Und alle Zugän­ge haben ein unter­schied­li­ches Pass­wort. Wer soll sich das alles mer­ken? Abhil­fe schaf­fen soge­nann­te Pass­wort-Tre­so­re wie Keepass.

Kee­pass — oder das letz­te Pass­wort, dass Sie sich mer­ken müssen

Wenn Sie die Such­ma­schi­ne Ihrer Wahl bemü­hen, wer­den Sie mit den Such­be­grif­fen “Pass­wort Tre­sor” unzäh­li­ge Tref­fer fin­den. Über die Sinn­haf­tig­keit vie­ler Ange­bo­te lässt sich treff­lich strei­ten. Es bleibt immer zu hin­ter­fra­gen, ob Sie Ihre Zugangs­da­ten einem frem­den Dienst /​ Anbie­ter anver­trau­en (mög­li­cher­wei­se noch aus den USA oder Russ­land) oder nicht doch lie­ber Herr über Ihre eige­nen Pass­wör­ter blei­ben wol­len. Ein Tool hier­zu ist Kee­pass. Kee­pass steht für eigent­lich alle gän­gi­gen Platt­for­men wie Win­dows, Linux, MacOS, iOS, Android und ande­re zur Ver­fü­gung. Somit ist sicher­ge­stellt, den eige­nen Pass­wort-Tre­sor auch platt­form­über­grei­fend nut­zen zu kön­nen. Ein Tre­sor an einer zen­tra­len Stel­le erleich­tert den Aktua­li­sie­rungs­auf­wand enorm. Wir haben unse­re Pass­wort-Tre­so­re bei­spiels­wei­se in einem Cloud-Spei­cher abge­legt. Bevor jetzt jemand den Kopf schüt­telt, die­ser Spei­cher­platz ist zusätz­lich noch mal mit einem sepa­ra­ten und platt­form­un­ab­hän­gi­gen Tool verschlüsselt 🙂

In einem mit einem guten Mas­ter­pass­wort ver­schlüs­sel­ten Pass­wort-Tre­sor mit Kee­pass haben Sie ab sofort eine zen­tra­le Zugriffs­mög­lich­keit auf  alle Ihre schüt­zens­wer­ten Infor­ma­tio­nen begin­nend mit Log­in-Infor­ma­tio­nen (Benut­zer­na­men und Pass­wör­ter), aber auch für PIN oder Lizenz­schlüs­sel für gekauf­te Soft­ware. Die Ein­satz­zwe­cke eines sol­chen Tre­sors mit Kee­pass sind sehr umfang­reich. Was und wie erfah­ren Sie in in unse­rer PDF Anleitung.

Doch jetzt genug geschrie­ben. Am Ende die­ses Bei­trags fin­den Sie eine kon­kre­te Anlei­tung zur Instal­la­ti­on und Nut­zung von Kee­pass sowohl für den geschäft­li­chen /​ dienst­li­chen als auch pri­va­ten Ein­satz. Ger­ne dür­fen Sie das Doku­ment intern und extern wei­ter­ge­ben. Wir wür­den uns freu­en, wenn Sie die Hin­wei­se auf unse­re Urhe­ber­schaft nicht ent­fer­nen. Ver­hin­dern kön­nen und wol­len wir das nicht. Was wir aber ungern sehen wür­den, wäre die­ses Doku­ment im Rah­men von Bezahl­an­ge­bo­ten online oder Print wie­der­zu­fin­den. Fair play!

Kri­ti­sche Stim­me zu Passwort-Tresoren

Alles was Licht hat, wirft auch Schat­ten. Auch Pass­wort-Tre­so­re haben Schwä­chen. Einen sehr emp­feh­lens­wer­ten Bei­trag gibt es von Ralph Dom­bach hier zu lesen:

https://​www​.secu​ri​ty​-insi​der​.de/​p​a​s​s​w​o​r​d​-​m​a​n​a​g​e​r​-​n​e​i​n​-​d​a​n​k​e​-​a​-​6​8​9​7​95/

Doch hier der Down­load “Anlei­tung und Ein­satz­mög­li­chen­kei­ten Keepass”

Siche­re Pass­wort­ver­wal­tung mit Keepass
1882 Downloads

Kos­ten­lo­se Check­lis­te Mul­ti­funk­ti­ons­ge­rä­te Daten­schutz und Informationssicherheit

Risi­ko auf dem Flur — Multifunktionsgeräte

Mul­ti­funk­ti­ons­ge­rä­te – eier­le­gen­de Woll­mi­ch­sau und nicht uner­heb­li­ches Sicher­heits­ri­si­ko. Heut­zu­ta­ge sind die­se Gerä­te aus fast kei­nem Büro mehr weg­zu­den­ken. Egal ob klei­ne­re Gerä­te direkt am Arbeits­platz oder wuch­ti­ge Stand­ge­rä­te an zen­tra­len Stel­len im Haus. Es wird flei­ßig gedruckt, gescannt, gefaxt und kopiert. Doch bei all dem Kom­fort soll­ten die Sicher­heits­aspek­te nicht außer Acht gelas­sen wer­den. Gro­ße Druck­auf­trä­ge, die noch eine Wei­le bis zum Abho­len im Druck­aus­gang ver­blei­ben; Fehl­aus­dru­cke, die im Papier­korb neben dem Gerät ent­sorgt wer­den; Faxe, zen­tral ein­ge­gan­gen und durch ver­schie­de­ne Hän­de gegan­gen, bevor sie den eigent­li­chen Emp­fän­ger errei­chen. Das sind nur eini­ge Pro­ble­me und Risi­ken, denen aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit mit geeig­ne­ten tech­ni­schen und orga­ni­sa­to­ri­schen Mit­teln begeg­net wer­den muss.

Kos­ten­lo­se Check­lis­te Daten­schutz und Informationssicherheit

Unse­re Check­lis­te soll hel­fen, vor­han­de­ne Schwach­stel­len zu iden­ti­fi­zie­ren und mög­lichst zeit­nah zu schlie­ßen. Auch wenn hier haupt­säch­lich von Mul­ti­funk­ti­ons­ge­rä­ten die Rede ist, so kön­nen die Schwach­stel­len auch bei Ein­zel­funk­ti­ons­ge­rä­ten vor­han­den sein. Prü­fen Sie bit­te penibel.

Grund­la­ge der Check­lis­te: BSI IT-Grund­schutz 200–2 Bau­stein SYS 4.1 sowie Ori­en­tie­rungs­hil­fe Foto­ko­pie­rer der Lan­des­da­ten­schutz­be­hör­de Freie Han­se­stadt Bremen.

Wir emp­feh­len, die Check­lis­te von dem Fach­be­reich (oder den Fach­be­rei­chen) aus­fül­len zu las­sen, der oder die für Beschaf­fung, Kon­fi­gu­ra­ti­on, Inbe­trieb­nah­me und Betreu­ung wäh­rend des Betriebs sowie die Außer­be­trieb­nah­me zustän­dig ist bzw. sind. Im Anschluss soll­ten die Ergeb­nis­se vom Daten­schutz­be­auf­trag­ten (DSB) und /​ oder Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (ISB) auf­ge­grif­fen wer­den, um durch Nach­jus­tie­rung oder Ergän­zung geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men das Risi­ko für Daten­pan­nen zu min­dern bzw. deren Kon­se­quen­zen zu begrenzen.

Über­prü­fung Wirk­sam­keit tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men (TOM)

Je nach Ernst­haf­tig­keit der Bear­bei­tung die­ser Check­lis­te kann die­se durch­aus als ein Nach­weis (von vie­len) über Prü­fung der Wirk­sam­keit von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men in Ihrer Orga­ni­sa­ti­on dienen.

Viel Erfolg bei der Umset­zung wünscht das
Team von a.s.k. Datenschutz

Check­lis­te Sicher­heit Daten­schutz Mul­ti­funk­ti­ons­ge­rä­te 2019 V1_​​0_​​quer Webversion
956 Downloads

a.s.k. Daten­schutz und GKDS Mün­chen — Ihre star­ken kom­mu­na­len Part­ner für Daten­schutz und Informationssicherheit

Gera­de klei­ne­re Kom­mu­nen wün­schen ger­ne die The­men Infor­ma­ti­ons­si­cher­heit und Daten­schutz aus einer Hand. Dabei wird ger­ne über­se­hen, dass hier­bei ein klas­si­scher Inter­es­sens­kon­flikt ent­steht. Die­ser ist nicht nur auf­grund recht­li­cher Vor­schrif­ten zu vermeiden.

Durch unse­re Zusam­men­ar­beit mit der GKDS in Mün­chen haben wir für Kom­mu­nen die opti­ma­le Lösung im Angebot.

a.s.k. Daten­schutz und GKDS Mün­chen — Ihre star­ken kom­mu­na­len Part­ner für Daten­schutz und Informationssicherheit

  • Daten­schutz und Informations­sicherheit aus einer Hand
  • Qua­li­fi­zier­tes Per­so­nal mit jah­re­lan­ger Kommunalerfahrung
  • Zer­ti­fi­zier­te Kom­mu­ni­ka­ti­ons­- und Dokumentationsplattform
  • Struk­tu­rier­te Doku­men­ta­ti­on im vir­tu­el­len Aktenschrank
  • Fach­li­cher Informationsaustausch
  • Per­sön­li­che Ansprechpartner
  • Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe Inno­va­ti­ons­stif­tung Baye­ri­sche Kommune
  • ISMS ISIS12 mit Zertifizierung
  • BSI IT­-Grund­schutz 200x

Die GKDS unter­stützt Sie mit

  • Datenschutz­analyse
  • Umset­zung der DSGVO
  • Exter­ne Daten­ schutzbeauf­tragte
  • Datenschutz­beratung

a.s.k. Daten­schutz steht Ihnen zur Sei­te mit

  • Schwach­stellenanalyse Informationssicherheit
  • Informations­sicherheits­konzept
  • Kom­mu­na­le Informationssicherheitsbeauftragte

Und das alles auf einer Platt­form und mit direk­tem Aus­tausch der Betei­lig­ten unter­ein­an­der. Kei­ne Inter­es­sens­kon­flik­te, kei­ne lee­ren Ver­spre­chun­gen, son­dern genau die benö­tig­te Unter­stüt­zung im kom­mu­na­len Bereich — gera­de für klei­ne­re Kommunen.

Unser gemein­sa­mer Fly­er zum Download

[wpfi­le­ba­se tag=file path=‘flyer/1902ask-GKDS_Flyer_DIN-A4_DD.pdf’ tpl=simple /​]

Müs­sen baye­ri­sche Kom­mu­nen ein Infor­ma­ti­ons­si­cher­heits­kon­zept einführen?

Letz­te Woche haben wir die­se Fra­ge in unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit behan­delt: “Müs­sen baye­ri­sche Kom­mu­nen ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­füh­ren?”, die­se Fra­ge wird nach wie vor oft bei Semi­na­ren, Ver­an­stal­tun­gen, tele­fo­nisch und per Mail an uns her­an­ge­tra­gen. Und die Ant­wort ist ganz ein­fach: Ja, steht so im Gesetz.

Die mobile Version verlassen