Zum Inhalt springen

Informationssicherheit

Emo­tet: Eige­nen Mail­ser­ver auf Umgang mit poten­ti­ell schäd­li­chen Datei-Anhän­gen prüfen

Emo­tet rich­tet seit gerau­mer Zeit erheb­li­chen Scha­den an. Und es trifft nicht nur die Klei­nen. Der Hei­se-Ver­lag (als eines der pro­mi­nen­ten Opfer) stellt einen Online-Ser­vice zur Ver­fü­gung, um den eige­nen Mail­ser­ver und hof­fent­lich vor­han­de­ne Schutz­soft­ware auf den Umgang mit poten­ti­ell schäd­li­chen Datei-Anhän­gen zu testen.

Der Ser­vice funk­tio­niert ganz ein­fach. Zuerst wählt man die Art der Test-Email aus. Zur Aus­wahl ste­hen z.B. Anhän­ge als EXE-Datei oder Office-Doku­men­te mit und ohne Makros. Nach Ein­ga­be der eige­nen Email-Adres­se erhält man eine Akti­vie­rungs­mail. Erst wenn der Link in die­ser Akti­vie­rungs­mail geklickt wird, erfolgt der eigent­li­che Ver­sand der Email mit dem Datei-Anhang an die zuvor hin­ter­leg­te Email-Adres­se. Nach weni­gen Sekun­den schlägt die­se Test-Email auf dem eige­nen Mail-Ser­ver auf. Und jetzt zeigt sich, ob Ihr Mail­ser­ver und die Schutz­soft­ware so reagie­ren wie Sie sol­len. Cle­ve­re Instal­la­tio­nen unter­bin­den z.B. den Emp­fang von DOC Doku­men­ten und neh­men ledig­lich DOCX Doku­men­te an. Ande­re unter­sa­gen direkt jede Art von Office-Doku­ment, als Alter­na­ti­ve bleibt nur PDF. Sie kön­nen anhand der unter­schied­li­chen Datei-Anhän­ge bei der Aus­wahl der Test-Email prü­fen, ob Ihre Kon­fi­gu­ra­ti­on so funk­tio­niert wie sie soll. Bei uns tut sie das 🙂

Hin­weis: Bit­te for­dern Sie in Ihrem Fir­men­netz nicht ohne Rück­spra­che mit Ihrem Admi­nis­tra­tor nun zuhauf die­se Test-Emails an. Betrei­ben Sie einen eige­nen Mail­ser­ver, ist das natür­lich eine ande­re Sache. Inter­es­sant viel­leicht auch zu erfah­ren, was Ihr pri­va­ter Mail-Pro­vi­der an Schutz­maß­nah­men bie­tet — wenn er denn über­haupt wel­che bietet.

Link zum Hei­se-Check (exter­ner Link)

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Arbeits­hil­fe der Inno­va­ti­ons­stif­tung und Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Das Baye­ri­sche Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz LSI) bie­tet seit Mai 2019 ein Prüf­sie­gel für den Umset­zungs­stand der Infor­ma­ti­ons­si­cher­heit in baye­ri­schen Kom­mu­nen an. Auf Basis einer Selbst-Aus­kunft kann die Kom­mu­ne damit eine Min­destab­si­che­rung in der Infor­ma­ti­ons­si­cher­heit nach­wei­sen. Das Sie­gel ist unab­hän­gig vom ver­wen­de­ten ISMS-Stan­dard. Das Sie­gel hat eine Gül­tig­keits­dau­er von 2 Jah­ren. Eine Ver­län­ge­rung kann bean­tragt wer­den. Dazu muss die Kom­mu­ne jedoch die akti­ve Beschäf­ti­gung mit dem The­ma Infor­ma­ti­ons­si­cher­heit und den Betrieb des Infor­ma­ti­ons­si­cher­heits­kon­zepts nach­wei­sen. Wie bei “ech­ten” Zer­ti­fi­zie­run­gen kann ein erst­ma­lig erteil­tes Sie­gel also auch wie­der ent­zo­gen werden.

Kann mit dem Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne das Sie­gel erreicht werden?

Das Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne (Autor: Sascha Kuhrau) ist selbst­ver­ständ­lich für den Erhalt des Sie­gels gerüs­tet. Jede Kom­mu­ne, die ihr Infor­ma­ti­ons­si­cher­heits­kon­zept auf Basis der Arbeits­hil­fe ein­ge­führt hat, kann bei ent­spre­chend kor­rek­ter Umset­zung die Vor­aus­set­zun­gen für den Erhalt des LSI Sie­gels erfüllen.

Als Autor der Arbeits­hil­fe und Lei­ter zahl­rei­cher kom­mu­na­ler Infor­ma­ti­ons­si­cher­heits­pro­jek­te sowie kom­mu­na­ler exter­ner Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter unter­stüt­zen wir von a.s.k. Daten­schutz Sascha Kuhrau Sie ger­ne bei der Ein­füh­rung und dem Betrieb eines kom­mu­na­len Infor­ma­ti­ons­si­cher­heits­kon­zepts und dem Erhalt des LSI Siegels.

Wo fin­de ich Infor­ma­tio­nen zum Baye­ri­schen Sie­gel “Kom­mu­na­le IT-Sicherheit”?

Das LSI stellt auf sei­ner Web­sei­te aus­führ­li­che Infor­ma­tio­nen bereit (exter­ner Link).

Was hat es mit der “Arbeits­hil­fe” auf sich und wo kann ich die­se beziehen?

Die Arbeits­hil­fe ist eine aus dem IT-Grund­schutz des BSI abge­lei­te­te Sys­te­ma­tik, um klei­ne kom­mu­na­le Ein­rich­tun­gen (aber auch klei­ne Fir­men) bei der Ein­füh­rung und dem Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts zu unter­stüt­zen und zu beglei­ten. Sie wur­de im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne durch die a.s.k. Daten­schutz Bera­tung Sascha Kuhrau ent­wi­ckelt. Die Arbeits­hil­fe steht inter­es­sier­ten Orga­ni­sa­tio­nen kos­ten­frei zur Ver­fü­gung. Wei­te­re Infor­ma­tio­nen fin­den Sie auf der Web­sei­te der Inno­va­ti­ons­stif­tung (exter­ner Link).

Im Lau­fe des Jah­res 2019 wird die Arbeits­hil­fe in einer Ver­si­on 3.o erschei­nen, in der kon­kre­te Anpas­sun­gen für das LSI Sie­gel ent­hal­ten sind.

Bis­her gab es ledig­lich für die “gro­ßen” ISMS wie ISO 27001, BSI IT-Grund­schutz oder ISIS12 die Mög­lich­keit im Rah­men einer Zer­ti­fi­zie­rung einen Nach­weis über eine kor­rek­te Umset­zung des ISMS zu erhal­ten. Mit­tels des LSI Sie­gels kann nun auch die Arbeits­hil­fe mit einer sol­chen Art Nach­weis aufwarten.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Infor­ma­ti­ons­si­cher­heit im Fokus: Gemein­de Haar ist ISIS12-zertifiziert

Nach einem knapp zwei­jäh­ri­gen Pro­zeß hat die Gemein­de Haar im Mai 2019 die ISI­S12-Zer­ti­fi­zie­rung erreicht. ISIS12 ist ein Stan­dard für ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (kurz ISMS) und bil­det in 12 anschau­li­chen Schrit­ten auf Basis des bekann­ten IT-Grund­schutz des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) ein Infor­ma­ti­ons­si­cher­heits­kon­zept ab. ISIS12 wur­de expli­zit für klei­ne und mitt­le­re Unter­neh­men (KMU) und kom­mu­na­le Ein­rich­tun­gen ent­wi­ckelt, für die auf­grund per­so­nel­ler Anfor­de­run­gen der “gro­ße” IT-Grund­schutz nicht durch­führ­bar ist.

In den 24 Mona­ten der Ein­füh­rung des Infor­ma­ti­ons­si­cher­heits­kon­zepts hat die Gemein­de Haar unter ande­rem Schu­lun­gen und Mit­ar­bei­ter­sen­si­bi­li­sie­run­gen in Sachen Infor­ma­ti­ons­si­cher­heit durch­ge­führt. Denn nicht nur das (tech­ni­sche) Sys­tem an sich muss in alle Rich­tun­gen sicher gemacht wer­den, son­dern auch die Men­schen, die mit den Daten umge­hen, müs­sen für das The­ma sen­si­bi­li­siert und geschult wer­den. Das reicht von der Akti­vie­rung der Bild­schirm­sper­re auch bei kür­zes­ter Abwe­sen­heit vom Arbeits­platz bis hin zur unacht­sa­men Frei­ga­be von Daten, wie etwa Pass­wör­ter offen am Schreib­tisch lie­gen zu lassen.
Zeit­gleich wur­den Pro­zes­se im Haus ver­bes­sert und Kon­zep­te erar­bei­tet, die IT-Struk­tur unter die Lupe genom­men und ein Not­fall­ma­nage­ment auf die Bei­ne gestellt. Denn Daten­schutz und Infor­ma­ti­ons­si­cher­heit müs­sen nicht nur im All­tag funk­tio­nie­ren – auch ech­te Not­fall-Sze­na­ri­en wur­den durch­ge­spielt und behan­delt: Was, wenn das Rat­haus mit all sei­nen Ser­vern abbrennt? Selbst dafür gibt es Lösungen.

Feder­füh­rend waren bei der Ein­füh­rung von ISIS12 die Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te der Gemein­de Haar Andrea Schmer­ber und die a.s.k. Daten­schutz Bera­tung unter Lei­tung von Sascha Kuhrau. Sie waren es auch, die den Audi­tor Andre­as Mann bei der Erst­zer­ti­fi­zie­rung des Zer­ti­fi­zie­rungs­ver­bun­des – Rat­haus mit Bür­ger­haus und die Kita Casi­no­stra­ße – durch die Doku­men­te, Kon­zep­te und die Gebäu­de beglei­te­ten. Mit Erfolg, denn die Erst­zer­ti­fi­zie­rung hat geklappt.

Jetzt gilt es, das Infor­ma­ti­ons­si­cher­heits­kon­zept aktu­ell und am Lau­fen zu hal­ten. Daher wird jähr­lich über­prüft, ob die Infor­ma­ti­ons­si­cher­heits­richt­li­ni­en ein­ge­hal­ten wer­den – denn die Tech­nik ist schnel­le­big und auch im Per­so­nal gibt es von Zeit zu Zeit einen Wech­sel. Außer­dem wer­den nach und nach immer mehr der gemeind­li­chen Ein­rich­tun­gen in den Zer­ti­fi­zie­rungs­ver­bund inte­griert. In der Öffent­lich­keit wird der zeit­in­ten­si­ve und arbeits­auf­wen­di­ge Pro­zess kaum wahr­ge­nom­men – und den­noch ist er für jede ein­zel­ne Bür­ge­rin und jeden ein­zel­nen Bür­ger von hoher Wich­tig­keit. Denn es sind ihre Daten, die damit geschützt wer­den. Anlass für die Ein­füh­rung von ISIS12 in der Gemein­de Haar war das Baye­ri­sche E‑Go­vernment-Gesetz von 2016. Die­ses ver­pflich­tet aus­nahms­los alle kom­mu­na­len Ver­wal­tungs­ein­rich­tun­gen zur Ein­füh­rung und zum Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts. Die Gemein­de Haar, allen vor­an deren Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te Andrea Schmer­ber haben sich die­ser Her­aus­for­de­rung gestellt und das Ziel erreicht.

Übri­gens ist ein Infor­ma­ti­ons­si­cher­heits­kon­zept (ein­ge­führt und in Betrieb natür­lich) auch für das The­ma Daten­schutz inter­es­sant. Betrach­tet man Art. 32 DSVGO Sicher­heit der Ver­ar­bei­tung (exter­ner Link) genau­er, so fin­det man dar­in im Absatz 1 fol­gen­de Aussagen:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:
- die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
- die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
- die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
- ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Und genau das stellt ein funk­tio­nie­ren­des Infor­ma­ti­ons­si­cher­heits­kon­zept sicher. Dabei beschränkt sich der Schutz eines sol­chen Kon­zepts nicht nur auf per­so­nen­be­zo­ge­ne Daten, son­dern schließt alle schüt­zens­wer­ten Daten Ihrer Orga­ni­sa­ti­on mit ein. Geni­al, oder?

Sie wol­len in Ihrer Orga­ni­sa­ti­on eben­falls ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­füh­ren? BSI IT-Grund­schutz und ISO 27001 sind unpas­send? Spre­chen Sie uns an.

Zur Mel­dung der Gemein­de Haar (exter­ner Link)

RTF-Doku­ment nutzt älte­re Office Schwach­stel­le aus und bringt Back­door-Tro­ja­ner mit

Micro­soft mel­det (exter­ner Link zu Twit­ter) eine aktu­el­le Bedro­hung mit Schwer­punkt Euro­pa über eine älte­re Schwach­stel­le in Micro­soft Office. Mit­tels eines prä­pa­rier­ten RTF Doku­ments infi­ziert sich das Win­dows-Sys­tem mit einem Back­door-Tro­ja­ner, der das Aus­füh­ren wei­te­ren Codes auf dem befal­le­nen Sys­tem zulässt. Die Schwach­stel­le wur­de bereits 2017 im CVE-2017–1182 (exter­ner Link) beschrie­ben. Micro­soft emp­fiehlt allen Office-Anwen­dern, das aktu­el­le Patch-Level zu prü­fen. Die not­wen­di­gen Update für Office 2007–2016 fin­den Sie im unte­ren Teil der CVE.

Siche­re und kom­for­ta­ble Pass­wort-Ver­wal­tung mit Keepass

Pass­wör­ter — zu vie­le, zu kom­plex, kaum zu merken

Es gibt zahl­rei­che Mythen rund um die The­men Pass­wort und Sicher­heit, die sich hart­nä­ckig hal­ten. Und das obwohl allen Akteu­ren eigent­lich klar sein soll­te, dass die Ideen dahin­ter aus dem Bereich Fan­ta­sy ent­stam­men, jedoch nicht zur Pass­wort-Sicher­heit bei­tra­gen. Anhän­ger der Theo­rien “Pass­wör­ter müs­sen immer Son­der­zei­chen und Zah­len ent­hal­ten” und “Pass­wör­ter muss man regel­mä­ßig wech­seln” las­sen sich davon eh nicht abbrin­gen. Die Ver­nünf­ti­gen der Zunft haben die Zei­chen der Zeit erkannt und drang­sa­lie­ren die Nut­zer nicht mehr mit die­sem Bal­last, der kon­kret beleuch­tet eher Unsi­cher­heit statt Sicher­heit bringt. Doch hier sol­len kei­ne Glau­bens­krie­ge aus­ge­foch­ten wer­den. Wen es inter­es­siert, hier haben wir wei­te­re Details dazu zusammengetragen:

Fakt ist, unter­schied­li­che Log­ins /​ Accounts soll­ten auch unter­schied­li­che Pass­wör­ter nut­zen. Damit ist sicher­ge­stellt, dass ein ein­zel­ner kom­pro­mit­tier­ter Zugang nicht zum Öff­nen aller ande­ren Zugän­ge genutzt wer­den kann. Unab­hän­gig von Pass­wort­län­ge und Kom­ple­xi­tät kom­men hier für einen Anwen­der im Lau­fe der digi­ta­len Nut­zung zig Log­in-Daten zusam­men (PC Anmel­dung, Pro­gramm Anmel­dung, Cloud-Spei­cher Anmel­dung, diver­se Accounts bei Online-Shops, PINs und und und). Und alle Zugän­ge haben ein unter­schied­li­ches Pass­wort. Wer soll sich das alles mer­ken? Abhil­fe schaf­fen soge­nann­te Pass­wort-Tre­so­re wie Keepass.

Kee­pass — oder das letz­te Pass­wort, dass Sie sich mer­ken müssen

Wenn Sie die Such­ma­schi­ne Ihrer Wahl bemü­hen, wer­den Sie mit den Such­be­grif­fen “Pass­wort Tre­sor” unzäh­li­ge Tref­fer fin­den. Über die Sinn­haf­tig­keit vie­ler Ange­bo­te lässt sich treff­lich strei­ten. Es bleibt immer zu hin­ter­fra­gen, ob Sie Ihre Zugangs­da­ten einem frem­den Dienst /​ Anbie­ter anver­trau­en (mög­li­cher­wei­se noch aus den USA oder Russ­land) oder nicht doch lie­ber Herr über Ihre eige­nen Pass­wör­ter blei­ben wol­len. Ein Tool hier­zu ist Kee­pass. Kee­pass steht für eigent­lich alle gän­gi­gen Platt­for­men wie Win­dows, Linux, MacOS, iOS, Android und ande­re zur Ver­fü­gung. Somit ist sicher­ge­stellt, den eige­nen Pass­wort-Tre­sor auch platt­form­über­grei­fend nut­zen zu kön­nen. Ein Tre­sor an einer zen­tra­len Stel­le erleich­tert den Aktua­li­sie­rungs­auf­wand enorm. Wir haben unse­re Pass­wort-Tre­so­re bei­spiels­wei­se in einem Cloud-Spei­cher abge­legt. Bevor jetzt jemand den Kopf schüt­telt, die­ser Spei­cher­platz ist zusätz­lich noch mal mit einem sepa­ra­ten und platt­form­un­ab­hän­gi­gen Tool verschlüsselt 🙂

In einem mit einem guten Mas­ter­pass­wort ver­schlüs­sel­ten Pass­wort-Tre­sor mit Kee­pass haben Sie ab sofort eine zen­tra­le Zugriffs­mög­lich­keit auf  alle Ihre schüt­zens­wer­ten Infor­ma­tio­nen begin­nend mit Log­in-Infor­ma­tio­nen (Benut­zer­na­men und Pass­wör­ter), aber auch für PIN oder Lizenz­schlüs­sel für gekauf­te Soft­ware. Die Ein­satz­zwe­cke eines sol­chen Tre­sors mit Kee­pass sind sehr umfang­reich. Was und wie erfah­ren Sie in in unse­rer PDF Anleitung.

Doch jetzt genug geschrie­ben. Am Ende die­ses Bei­trags fin­den Sie eine kon­kre­te Anlei­tung zur Instal­la­ti­on und Nut­zung von Kee­pass sowohl für den geschäft­li­chen /​ dienst­li­chen als auch pri­va­ten Ein­satz. Ger­ne dür­fen Sie das Doku­ment intern und extern wei­ter­ge­ben. Wir wür­den uns freu­en, wenn Sie die Hin­wei­se auf unse­re Urhe­ber­schaft nicht ent­fer­nen. Ver­hin­dern kön­nen und wol­len wir das nicht. Was wir aber ungern sehen wür­den, wäre die­ses Doku­ment im Rah­men von Bezahl­an­ge­bo­ten online oder Print wie­der­zu­fin­den. Fair play!

Kri­ti­sche Stim­me zu Passwort-Tresoren

Alles was Licht hat, wirft auch Schat­ten. Auch Pass­wort-Tre­so­re haben Schwä­chen. Einen sehr emp­feh­lens­wer­ten Bei­trag gibt es von Ralph Dom­bach hier zu lesen:

https://​www​.secu​ri​ty​-insi​der​.de/​p​a​s​s​w​o​r​d​-​m​a​n​a​g​e​r​-​n​e​i​n​-​d​a​n​k​e​-​a​-​6​8​9​7​95/

Doch hier der Down­load “Anlei­tung und Ein­satz­mög­li­chen­k­ei­ten Keepass”

Siche­re Pass­wort­ver­wal­tung mit Keepass
1882 Downloads
Die mobile Version verlassen