Schutz

“Ändere-Dein-Passwort-Tag” — Und jährlich grüßt das Murmeltier. Dann doch lieber 2FA

von Sascha Kuhrau
1. Februar 2022
2 Kommentare

Alle Jahre wieder, so auch heute zum 01.02.2022 hallt es aus diversen Nachrichtenkanälen “Leute, ändert regelmäßig euer Passwort. Beispielsweise heute, am sog. Ändere-Dein-Passwort-Tag.” Nun, kann man machen, ist aber nicht unbedingt sinnvoll. In Blogbeiträgen 2016 (aktualisiert 2018: “Über Bord mit veralteten starren Passwort-Richtlinien”), 2017 (“Ändere-Dein-Passwort-Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels”) und 2018 (Update 2020: “„Ich bereue den Passwort-Wahnsinn“ – weg mit den Passwort Mythen”) haben wir uns mit dieser Forderung zum regelmäßigen Passwortwechsel auseinandergesetzt und sind dabei — wie seit 2017 die NIST (National Institute of Standards and Technology) als eigentlicher Verursacher dieser “Angewohnheit” — zu einem anderen Schluss gekommen: Finger weg vom regelmäßigen Passwortwechsel. Lieber Zwei-Faktor-Authentifizierung (2FA) einrichten. Warum und wieso? Lesen Sie hier.

Warum bzw. wann sollte ich ein Passwort überhaupt ändern bzw. wechseln?

“Na, das ist doch sicher!” — “Und das haben wir ja schon immer so gemacht!” — Und im Zweifel verlangt es auch noch die Passwort-Richtlinie des einen oder anderen Unternehmens oder auch der Behörde. Doch sind das wirklich gute und belastbare Gründe für einen Passwortwechsel? Möglichst noch in Intervallen von 30–90 Tagen? Und für jedes Login noch ein anderes Passwort? Ende vom Lied: Passwörter werden alphabetisch oder numerisch hochgezählt oder schlimmstenfalls aufgeschrieben, abgelegt unter dem Schreibtischschoner. Das ist natürlich richtig sicher 🙂

Doch es gibt in der Tat wirklich 3 gute Gründe, das Passwort zu ändern:

Das Passwort wurde ausgespäht, zumindest besteht der Verdacht.
Das Passwort wurde unnötigerweise einer Kollegin oder einem Kollegen bekanntgegeben, obwohl dazu technisch normalerweise gar kein Grund besteht.
Es handelt sich um ein Initialisierungspasswort, das nach der Nutzung durch das eigentliche Passwort ersetzt werden muss.

Und Ende der Aufzählung.

Besser: Zwei-Faktor-Authentifizierung (2FA) aktivieren, statt Passwort zu ändern

Es ist keine allzu neue Erkenntnis, dass die Absicherung von Logins ausschließlich mit Benutzername und Passwort in den meisten Anwendungsfällen keinen ausreichenden Schutz bietet. Aus diesem Grund ist es mittlerweile üblich, wo es nur geht und vorgesehen ist, einen zusätzlichen Schutzfaktor einzubauen bzw. zu nutzen. Ein bewährtes Mittel ist die sog. Zwei-Faktor-Authentifizierung, kurz 2FA.

Die Zwei-Faktor-Authentisierung (2FA), häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden, oder Passphrase und Transaktionsnummer (TAN) beim Online-Banking. Die Zwei-Faktor-Authentisierung ist ein Spezialfall der Multi-Faktor-Authentisierung.

Für kritische Anwendungsbereiche wird die Zwei-Faktor-Authentisierung empfohlen, so beispielsweise vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutz- Katalogen. Im Bankwesen wurde mit der EU-Zahlungsdienste-Richtlinie die Zwei-Faktor- Authentisierung für den Europäischen Wirtschaftsraum 2018 sogar verpflichtend eingeführt. Mittlerweile gibt es sehr viele Anbieter, die für Ihre Webseiten / Login-Bereiche, aber auch andere Anmelde-Vorgänge eine 2FA nicht nur anbieten, sondern verbindlich machen.

Die Zwei-Faktor-Authentisierung ist nur dann erfolgreich, wenn beide festgelegten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Zugriffsberechtigung nicht zweifelsfrei feststellen und der Zugriff wird verweigert. Jetzt könnte man ja sagen, Benutzername und Passwort sind doch schon zwei Komponenten. Das ist so aber nicht ganz richtig. Denn aufgrund der meist vorgegebenen Benutzernamen wie die eigene Email-Adresse oder Vorname.Nachname ist dieser erste Faktor „verbrannt“. Es muss daher neben dem Passwort ein weiterer sicherer Faktor her. Korrekterweise würde man die Kombination Benutzername + Passwort + weiterer Faktor als Multifaktor- Authentifizierung bezeichnen. In der Praxis ist es dann doch nur eine 2FA aus dem zuvor genannten Grund.

In der Praxis greift man oft auf diese Kombination zurück:

Benutzername
Passwort
Authenticator / Authentificator (z.B. App auf dem Handy oder Programm auf dem Desktop)

Das Bundesamt für Sicherheit in der Informationstechnik hat das Thema in seiner Reihe “BSI für Bürger” das Thema anschaulich und mit einem kurzen Video aufbereitet, wer es noch mal genauer und anschaulicher wissen will (externer Link zum Beitrag des BSI).

2FA ist keine Raketenwissenschaft

Gelegentlich könnte man meinen, 2FA ist “rocket science” bzw. Raketenwissenschaft. Und da noch nicht ausreichend erforscht und mangels Erfahrungen damit, sollte man doch eher Abstand davon nehmen. Zumindest trifft man solche Tendenzen durchaus immer wieder bei IT-Verantwortlichen und / oder Anwendern. Fragt man jedoch genauer nach, resultiert die Abneigung doch eher daher, sich (als Mensch) oder etwas (die Technik) ändern bzw. den Erfordernissen der Zeit anpassen zu müssen. Und wir wissen bekanntlich alle, der Mensch ist ein Gewohnheitstier. Das wissen auch Angreifer und machen sich diese Schwachstelle gerne zunutze.

Vor vielen Jahren war 2FA nicht weit verbreitet, das ist wahr. Mittlerweile ist dem aber nicht mehr so. Die meisten täglich bzw. regelmäßig genutzten Logins lassen sich mittels 2FA zusätzlich absichern. Daher stuft das BSI 2FA auch nicht mehr als Kür ein, sondern empfiehlt die Nutzung von 2FA mittlerweile als Basistipp zur IT-Sicherheit. Gut, auch das hat viele Jahre gedauert, aber das BSI hat seine frühere nicht optimale Haltung zum Thema Passwortwechsel korrigiert und den BSI IT-Grundschutz ebenfalls dahingehend angepasst.

Es gibt daher keinen Grund, sich nicht mit dem Thema 2FA zu befassen und diese, sofern vorhanden, für die eigenen Logins zu aktivieren, wo möglich. Es schläft sich wirklich ruhiger. Das kann der Autor aus eigener Erfahrung berichten 🙂

“Ja, aber ..”

“Dann muss ich ja immer mein Smartphone mit mir rumtragen?” — “Ja und? Machen Sie doch eh!” 🙂
“Wenn ich das privat gar nicht nutze und kein Diensthandy habe, dann muss ich die 2FA-App dennoch auf meinem Privatgerät installieren!” — “Ja, und? Die Abnutzung dadurch hält sich in Grenzen und es wird niemand bei Sinn und Verstand auf die Idee kommen, das nun als BYOD (bring your own device) einzustufen und zu regeln. Und Sie haben doppelten Nutzen: Ein mal installiert, können Sie nun auch gleich ihre privaten Logins damit absichern!”
“Unsere IT will das nicht!” — “Salopp: https://de.wikipedia.org/wiki/Einlauf_(Medizin)” oder “Verweisen Sie auf gängige Standards für Informationssicherheit sowie das BSI. Diese erklären und fordern 2FA. Es muss schon sehr triftige Gründe geben, davon Abstand zu nehmen. Diese müssen dokumentiert sein, wieso und durch wen es zu der Ablehnung gekommen ist. Für den Fall, dass dann doch etwas passiert, weiß man ja, wen man ansprechen muss :-)”
“Isch abe gar kein Handy!” — “Ja, und? Es gibt die Software-Lösungen auch für den Desktop der gängigen Betriebssysteme. Unpraktischer, wenn das Gerät gerade nicht an ist, aber besser als nichts.”
Bitte ergänzen Sie die Aufzählung mit zahlreichen weiteren Argumenten, warum 2FA nicht genutzt werden kann und verwerfen Sie diese augenblicklich wieder 🙂

2FA: Backup-Codes nicht vergessen

Selbst gestandene IT-Koryphäen tun sich mit 2FA gelegentlich schwer. Die Installation und Einrichtung geht noch locker von der Hand, aber dann wird eins schnell vergessen: Das Abspeichern der oder des sog. Backup-Codes. Diese sind notwendig, wenn man den Zugriff auf das Gerät verliert, auf dem der Generator (Authenticator) für 2FA installiert ist z.B. bei Defekt oder Verlust des Smartphones oder Ausfall der Festplatte (bei Desktop-Installationen). Denn ohne gültigen 2FA-Code kommt man nicht an / in den Account. Sprich man kann dann auch kein neues Gerät für die 2FA hinterlegen. Das ist vergleichbar mit das Haus verlassen, Tür hinter sich zuziehen und dann merken, der Haustürschlüssel liegt noch drinnen auf der Kommode. Der Prozess, um jetzt den Account wieder zugänglich zu machen ist aufwendig und zeitraubend z.B. durch Identitätsnachweise etc. Und das liegt in der Natur der Dinge. Sollte sich 2FA nämlich durch eine einfache Email oder einen Anruf beim Support deaktivieren lassen, wäre der Schutzwert von 2FA verloren. Es könnte sich ja jeder als Sie ausgeben und den Schutzmechanismus deaktivieren.

Von daher die Bitte: Immer nach Einrichtung eines 2FA für einen Login den angebotenen Backup-Code kopieren / herunterladen und sicher verwahren. Dazu eignen sich bestens sog. Passwort-Tresore (siehe Ende des Beitrags).

“Ich bereue den Passwort-Wahnsinn”

In einem Interview hat sich der für die Empfehlung Passwörter regelmäßig zu wechseln verantwortliche Mitarbeiter der NIST nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Das NIST hat im Sommer 2017 diese damals 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit eigentlich gestoppt. Der “Ändere-Dein-Passwort-Tag” ist leider nicht totzukriegen.

Abschließender Tipp: Passwort-Tresore nutzen

Bei der Vielzahl an Passwörtern, die sich im Laufe eines aktiven Nutzerlebens so ansammeln, darf man ruhig auf Helferlein zurückgreifen, die das Leben etwas leichter machen. Dazu gehören u.a. die sog. Passwort-Tresore. Hierbei sollte man jedoch nicht unbedingt auf Anbieter aus der Cloud (“Bei uns sind Ihre Passwörter zentral gespeichert und sicher”) setzen. Wer mal etwas nach Sicherheitsvorfällen bei den einschlägig bekannten Online-Anbietern solcher Lösungen sucht, wird schnell fündig. Es gibt kostenfreie Alternativen, die auch für weniger technisch versierte Nutzer leicht zu installieren und zu bedienen sind. Und der Tresor mit den eigenen wichtigen Passwörtern verbleibt bei einem selbst. Eine Lösung dafür ist beispielsweise Keepass. Mehr zu diesem Tool inkl. einer bebilderten Anleitung zur Einrichtung und Nutzung finden Sie in unserem Blogbeitrag “Sichere und komfortable Passwort-Verwaltung mit Keepass”.

Moderne Plattform zu Einführung und Betrieb eines Informationssicherheitskonzepts (Basis Arbeitshilfe) für kleine Organisationen gestartet

von Sascha Kuhrau
18. September 202119. September 2021
1 Kommentar

Software-Unterstützung für die Arbeitshilfe

Endlich nun auch für einen der kleinen Standards für Informationssicherheit verfügbar: Software-Unterstützung für die Arbeitshilfe 4.0

Doch der Reihe nach.

Wieso ein Informationssicherheitskonzept?

Viele Organisationen stehen vor der Herausforderung, entweder aufgrund gesetzlicher Vorschriften ein Informationssicherheitskonzept zu benötigen, damit den Nachweis zur Wirksamkeit der eigenen technischen und organisatorischen Maßnahmen im Sinne der Belegpflicht der DSGVO erbringen zu wollen, weil es der eine oder andere Auftraggeber für die Teilnahme an Ausschreibungen fordert oder schlicht, weil sie festgestellt haben, dass nur ein gesamtheitlicher Ansatz schützenswerte Informationen und personenbezogene Daten in der eigenen Organisation absichern kann. Gründe gibt es also viele, sich um die Einführung und den Betrieb eines Informationssicherheitskonzepts zu kümmern.

Welchen Standard zur Informationssicherheit wählen?

Informationssicherheitsmanagementsysteme (kurz ISMS) nach den Standards wie die ISO 27001 oder der BSI IT-Grundschutz sind bewährte Umsetzungsmöglichkeiten. Sagt man der ISO 27001 ein etwas erhöhtes Maß an Abstraktheit nach, leidet der IT-Grundschutz durchaus an seiner Ausführlichkeit (zumindest in 100‑x Standards). Hinzu kommt, dass der Aufwand an Zeit und Kosten gerade für kleine und mittlere Unternehmen (KMU) und Kommunen weit über die gegebenen Möglichkeiten hinausgeht.

Einen Teil dieser Lücke nach unten hat vor einigen Jahren der Standard Informationssicherheit in 12 Schritten (kurz ISIS12) schließen können. Dieser kommt seither in vielen deutschen Unternehmen und Kommunen zum Einsatz, teilweise inklusive der möglichen Zertifizierung durch die DQS GmbH (Und hier reden wir von einer vollwertigen, unabhängigen Zertifizierung, nicht von den durch die beratende Gesellschaft als Zertifikat angepriesenen Testate.) ISIS12 leitet sich aus dem IT-Grundschutz ab und wird derzeit in Richtung der Vorgehensweise der ISO 27001 weiterentwickelt.

Für die drei bisher genannten Standards stehen bewährte Softwarelösungen zur Verfügung. Generell sind diese Standards auch nach unten skalierbar, stellen dennoch gerade kleinere Einrichtungen nach wie vor vor ein Zeit- und Kostenproblem. Diese immer noch bestehende Lücke für kleinere und kleinste Einrichtungen lässt sich mit zwei weiteren Standards in angemessenem Kosten- und Aufwandsrahmen schließen. Die Rede ist vom Standard VdS 10000 (früher 3473) sowie der unter dem Projektnamen “Arbeitshilfe” bekannt gewordenen Systematik der Innovationsstiftung Bayerische Kommune aus München.

Gerade kleine und kleinste Organisationen finden hier einen Werkzeugkasten, um sich dem Thema systematisch zu nähern, vorhandene technische und organisatorische Schwachstellen zu identifizieren und danach kontinuierlich abzustellen und ein Sicherheitskonzept zu betreiben. Die Möglichkeit besteht jederzeit, in die höheren Systematiken upzugraden.

Die “Arbeitshilfe” wurde im Auftrag der Bayerischen Kommunalen Spitzenverbände durch a.s.k. Datenschutz für die Innovationsstiftung Bayerische Kommune entwickelt und ist mittlerweile in Version 4.0 erschienen. Trotz dieses Ursprungs richtet sich die Arbeitshilfe nicht ausschließlich an kommunale Einrichtungen. Informationssicherheit ist universell. Von daher sind lediglich einige Begrifflichkeiten für den Einsatz in Unternehmen anzupassen (Geschäftsführer statt Bürgermeister), das war es schon. Und jetzt mit auch Software-Unterstützung für die Arbeitshilfe.

Informationssicherheitskonzepte besser mit Software-Unterstützung

Selbstverständlich lassen sich Informationssicherheitskonzepte auch mit Papier und Stift oder etwas moderner mittels Word-Formularen und Excel-Tabellen abbilden. Bei der Einführung mag das auch noch ausreichend sein. Doch im späteren Betrieb des Informationssicherheitskonzepts wird es schnell a) unüberschaubar und b) nicht mehr handhabbar, z.B. um Wiedervorlagefristen einzuhalten. Auch in Bezug auf das jederzeitige Reporting / Berichtswesen ist eine geeignete Softwareunterstützung unschlagbar.

Die drei großen Standards ISO 27001, BSI IT-Grundschutz und ISIS12 können aus einem großen Angebot geeigneter Softwarelösungen wählen. Bei den kleineren Standards wird die Luft sehr schnell dünn bis hin zu fehlender Software-Unterstützung.

Software-Unterstützung für die Arbeitshilfe von a.s.k. Datenschutz

Gerade für kleine Organisationen sind leicht verständliche und bedienbare Software-Lösungen ein Muß. Zeit für langwierige Software-Schulungen und Einarbeitungen ist im Zweifel Mangelware. Oftmals werden kleine Einrichtungen bei der Einführung von externen Dienstleistern unterstützt, nutzen möglicherweise auch die Möglichkeit eines externen Informationssicherheitsbeauftragten (sofern sinnvoll umsetzbar).

Hier setzt die Software-Lösung für unsere (potentiellen) Kunden konkret an:

Verschlüsselung bei Übertragung und Speicherung
Mehrfaktor-Authentifizierung
Browserbasiert, Apps für Desktop und mobile Geräte
Bearbeitung und gleichzeitig fortlaufende Dokumentation aller Prüffragen der Arbeitshilfe und deren Umsetzung
Erstellen von notwendigen Unteraufgaben
Zuweisen von Aufgaben und Unteraufgaben an zuständige Personen in der Organisation
Diskussionsmöglichkeit zwischen den Beteiligten direkt in einem Prüfpunkt und damit nachvollziehbare Dokumentation der Entscheidungsfindung und des Umsetzungsstatus sowie dessen Weiterentwicklung
Email-Benachrichtungen über Änderungen und Aufgabenzuweisungen (Hinweise, keine Übermittlung der konkreten Inhalte, die sollen ja verschlüsselt auf der Plattform bleiben 🙂 )
Termin-Erinnerungen
Dokumentenversionierung
Jederzeit um weitere Aufgaben zu ergänzen (z.B. weitere identifizierte Schwachstellen außerhalb der Fragen der Arbeitshilfe, Dokumentation der Bearbeitung von Datenpannen etc.)
Ausführliches Berichtswesen nach Kapiteln, über das gesamte Informationssicherheitskonzept oder nach Zuständigkeiten
Übersichten über erledigte / offene Aufgaben bzw. beseitigte / noch vorhandene Schwachstellen
Diskussionsplattform zur Klärung von offenen Fragen
Betrieb in deutschen Rechenzentren (Ehrensache)
uvm.

Interesse geweckt an der Arbeitshilfe oder der Software-Lösung? Oder Fragen zum Thema Informationssicherheitskonzept oder Informationssicherheitsbeauftragte? Sprechen Sie uns an.

Corona App und Datenschutz — ein Update und viele Grüße

von Sascha Kuhrau
23. April 20209. Dezember 2020

Vor allem anderen möchten wir Sie liebe Leute, liebe Leser, liebe Kunden herzlich grüßen. Wir hoffen, dass es Ihnen und den Ihrigen gut geht und dass Ihr Einstieg in das Home-Office bzw. in die Corona bedingten Sondersituationen ok bis gut war. Abgesehen von den international schwierigen Zuständen in Pflege und Logistik — wie etwa das kollektive Maskenbasteln in Industrieländern — können insbesondere Ungewissheiten, subjektive Interpretationen und Ungenauigkeiten in Berichterstattungen dieser Tage schon ziemlich nerven. Wenn Sie also zu Corona, Corona App, Datenschutz oder Home-Office im Allgemeinen etwas schreiben möchten, nutzen Sie gerne das Kommentarfeld zu diesem Post.

Ihr Team von a.s.k. Datenschutz.

P.S. Wir sind gesund und munter und halten unsere Porsche Design Pyjamas modegemäß 😉 Wir freuen uns, Sie bald wieder zu sehen. Und wenn Sie sich zu Datenschutz etc. kurzfristig besprechen möchten, lassen Sie uns einfach gerne per Video Call in Verbindung treten.

App Lösungen gegen Corona

Um der Corona Pandemie besser Herr zu werden, sind verschiedene Ansätze für softwarebasierte Lösungen entwickelt worden, wie zum Beispiel die Konzepte DP-3T und PEPP-PT, die auf personenbezogene Daten zurückgreifen. Eine derzeit besonders prominente Variante ist das Contact Tracing, bei der man als Nutzer der zugehörigen App gewarnt wird, welche anderen App Nutzer im Umkreis x infiziert sein können. Die EU-Kommission befasst sich mit dem Thema.

EU-Kommission zu der Verarbeitung von sensiblen Daten und der Corona App

Der Datenschutzausschuss der EU-Kommission (EDPB) ist bestrebt, den Entwicklungsprozess von Apps und Software zur Corona Bekämpfung nach datenschutzgerechten Maßgaben zu fördern. In diesem Kontext hat der Ausschuss am Dienstag, den 21.04.2020 eine Richtlinie zum Einsatz von Ortungsdaten und Softwarelösungen / Apps, wie etwa zur personenbezogenen Kontaktnachverfolgung, herausgegeben, welche die nationalen Behörden und die Developer Einrichtungen adressiert.

Inhaltliche Anforderungen

Bei der Auswertung sensibler Daten und dem Einsatz von Corona Apps seien Zweckbindung, Transparenz und Datensparsamkeit unerlässlich — alles zentrale Postulate der DSGVO. In der auf Masse angelegten Analyse von Bewegungsdaten sei ein erheblicher Eingriff in die Freiheitsrechte zu sehen, daher sei hier das Prinzip der Freiwilligkeit (Abschnitt zu 2020-02) zu wahren.

Standortdaten seien grundsätzlich nicht zu erfassen, da sie für Mitteilungen über mögliche Infektionsketten nicht benötigt würden und ferner die Aufhebung der Anonymisierung erleichterten. Ferner sei eine Datenschutzfolgeabschätzung für den Einsatz solcher Apps durchzuführen und zu veröffentlichen.

Empfehlungen auch zu Gestaltung einer Corona App

Die App könnte über ein zentrales Serversystem betrieben werden mit restriktiven Zugriffsberechtigungen und geräteorientierten, nativen Sicherheitsmaßgaben. Es bestand große Uneinigkeit betreffend die Frage des zentralen oder dezentralen App-Betriebs. Der Schwerpunkt solle darauf gelegt werden, dass Daten eher lokal gespeichert werden.

Krisenbedingter Umgang mit sensiblen personenbezogenen Daten

Die Richtlinie definiert auch Ausnahmen für den Ermessensspielraum der nationalen Behörden, im Rahmen der Gesetzgebung Ausnahmen von DSGVO-Grundsätzen zu machen. So kann etwa das Erfordernis der Einwilligung für die Verarbeitung von Gesundheitsdaten entfallen, bzw. die Rechtsgrundlage durch Wahrnehmung einer Aufgabe des öffentlichen Interesses oder die Ausübung öffentlicher Gewalt gegeben sein.

Eine Corona App in der Praxis

Brillante Entwicklungen wie das Contact Tracing und die KI-basierte Auswertung von Daten zur intelligenten Gesundheitsvorsorge sind als wahrer Fortschritt in der notwendigen Digitalisierung zu sehen. Dass der konstruktive Erfolg indes mit der effektiven Ausführung in allen organisatorischen Ebenen steht und fällt, beschäftigt die Datenschutzexperten weltweit.

Fachleute wie die des EU-Ausschusses und der Datenschutzbehörde Schleswig-Holstein sehen den Erfolg dieses konkreten Projekts auch insbesondere vom Vertrauen des Anwenders in die professionelle Verarbeitung seiner Daten abhängig

Oft wird in diesem Kontext ausdrücklich darauf hingewiesen, dass der Datenschutz weder der Pandemiebekämpfung noch der Forschung im Wege steht.

Was kostet ein externer Datenschutzbeauftragter?

von Sascha Kuhrau
22. April 202030. November 2020
4 Kommentare

“Es kommt darauf an” — Was kostet ein externer Datenschutzbeauftragter?

“Was kostet ein externer Datenschutzbeauftragter?”, diese Frage wird desöfteren per Email oder als Blog-Kommentar an uns herangetragen. Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

Was kostet ein Auto?
Wie teuer ist es, ein Haus zu bauen?
Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: “Es kommt darauf an!”

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Datenschutz ist kein Produkt von der Stange, auch wenn das eine oder andere reißerische Billigheimer-Angebot das glauben machen will. Datenschutz ist stets eine individuelle Leistung maßgeschneidert auf Ihre Organisation. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und Art der personenbezogenen Daten in der Organisation.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung und Betreuung im Rahmen der Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso wichtiger ist es, möglichst viele dieser Aspekte zu kennen, um die eingangs genannte Frage seriös und vor allem ohne spätere Preisnachverhandlungen beantworten zu können. Zu diesem Zweck können Sie unser komfortables Online-Formular nutzen und damit Ihr Angebot anfordern. Ihre Angaben werden selbstverständlich vertraulich behandelt.

Wussten Sie schon, dass zahlreiche unserer Leistungen aus offiziellen Fördermitteln bezuschusst werden können? Hier erfahren Sie mehr über Fördermöglichkeiten und Zuschüsse für Beratungsleistungen Datenschutz & Informationssicherheit von a.s.k. Datenschutz. Ein weiterer Faktor, der Sie unterstützt, die Belastung für die Kosten eines externen Datenschutzbeauftragten gering zu halten.

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Im Rahmen eines ein- bis mehrtägigen Datenschutz-Audits vor Ort (zu Corona-Zeiten erst mal nur remote) wird der Status Quo des Datensicherheit- und Datenschutz-Niveaus Ihrer Organisation ermittelt. Klar definierte Fragenkataloge zusammen mit Einzel- und Gruppengesprächen ergeben ein deutliches Bild und bilden die Grundlage für alle weiteren Aktivitäten. Nach Auswertung des Audits und der Gespräche steht ein Katalog von Maßnahmen und Empfehlungen fest, mit dessen Umsetzung die gesetzlich vorgeschriebenen Notwendigkeiten in Ihrem Unternehmen sichergestellt werden. Der Katalog wird in der sog. “Einführungsphase” gemeinsam unter Zuhilfenahme eines Online Projekt Tools umgesetzt. Der Aufwand für diese Phase wird in Manntagen gemäß Ihren Angaben kalkuliert und abgerechnet. Zumeist ist ein Pauschalpreis vereinbart, der alle Leistungen dieser Phase umfasst. Beachten Sie mögliche Fördermittel und Zuschüsse.

Nachdem in der Einführungsphase die notwendige Basis geschafften wurde, schließt sich nun die “Betreuungsphase” als externer Datenschutzbeauftragter an. Diese umfasst einmalige und wiederkehrende Aufgaben wie sie Artikel 39 DSGVO vorsieht. Selbstverständlich haben wir diese Aufgaben um einige weitere Tätigkeiten für Sie ergänzt, sofern dadurch keine Interessenskonflikte zu den Kernaufgaben des Datenschutzbeauftragten entstehen. Zu den Aufgaben lesen Sie mehr in unserem separaten Blog-Beitrag.

Was kostet es Sie auf jeden Fall …

… wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind.

Bußgeld (Ausnahme: öffentliche Stellen)
Ihren guten Ruf z.B. bei Datenpannen
Viel Ärger mit der Aufsichtsbehörde

Internen oder externen Datenschutzbeauftragten bestellen?

Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen aber auch Kommunen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihre Organisation profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten.

Informationssicherheitskonzept Arbeitshilfe V 3.0 erschienen — jetzt mit LSI Siegel

von Sascha Kuhrau
7. Oktober 2019

Wer benötigt ein Informationssicherheitskonzept?

Jede Organisation ist gefordert, die Anforderungen aus Art. 32 DSGVO zu erfüllen. Da steht in Absatz 1:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Unter b) sind die Grundwerte der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität genannt. Betrachten wir die Kurzdefinitionen aus der Informationssicherheit hierzu.

Vertraulichkeit: Keine unberechtigte Kenntnisnahme (bis hin zum Mißbrauch) der Informationen, weder durch Mitarbeiter noch durch Externe.

Integrität: Die Informationen sind korrekt, vollständig und unverfälscht. Änderungen sind nachvollziehbar und rückgängig zu machen.

Verfügbarkeit: Die Informationen stehen zur richtigen Zeit am richtigen Ort zur Verfügung (nicht beschränkt auf IT-Verfügbarkeit). [Verfügbarkeit ist in der Tat erst an dritter Stelle, auch wenn in der Praxis um das Thema Ausfallzeiten gerne der Tanz um das goldene Kalb stattfindet.]

Diese Grundwerte der Informationssicherheit sicherzustellen, ist das Ziel eines jeden Informationssicherheitskonzepts, auch des Standards der sog. “Arbeitshilfe”.

Unterpunkt d) verlangt von Ihrer Organisation, die Wirksamkeit der im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit ergriffenen technischen und organisatorischen Maßnahmen regelmäßig zu prüfen und bei Bedarf nachzujustieren oder geeignete zusätzliche bzw. ergänzende Schutzmaßnahmen einzuführen. Auch dies ist eine der Kernfunktionen eines funktionierenden Informationssicherheitskonzepts.

Salopp gesagt, verlangt die DSGVO von Organisationen in diesem Fall nicht weniger als die Einführung eines Informationssicherheitskonzepts und dessen kontinuierlichen Betrieb. Klar kann man versuchen, sich auch selbst ein Konzept zu “basteln”, bleibt nur die Frage “Wieso sollte man das tun?”

Bayerische Kommunen sind per Gesetz (BayEGovG) sogar dazu verpflichtet, bis zum 01.01.2020 ein Informationssicherheitskonzept eingeführt und im laufenden Betrieb zu haben.

Bewährte Standards wie die ISO 27001, der BSI IT-Grundschutz, ISIS12 (als Ableitung aus dem IT-Grundschutz) sind seit vielen Jahren bewährte Standards, um ein Informationssicherheitskonzept einzuführen, zu betreiben und damit auch die Anforderungen aus Art. 32 DSGVO zu erfüllen. Diese Standards skalieren zwar auch für kleinere Organisationen, sind dennoch sehr ressourcenintensiv. Hier hat für den kommunalen Bereich die Innovationsstiftung Bayerische Kommune im Auftrag der Bayerischen Kommunalen Spitzenverbände angesetzt und gerade für kleinere kommunale Einrichtungen durch a.s.k. Datenschutz die “Arbeitshilfe zur Einführung eines Informationssicherheitskonzepts nach Art. 11 BayEGovG” entwickeln lassen. Dieser Standard basiert auf den Erkenntnissen und Vorgehensweisen aus zahlreichen IT-Grundschutz-Projekten sowie dem früheren “Quick Check Datenschutz + Datensicherheit”. Entgegen der Bezeichnung und ursprünglichen Ausrichtung auf den kommunalen Bereich ist die “Arbeitshilfe” universell einsetzbar und natürlich auch in Unternehmen einsetzbar. Hierzu sind lediglich Begrifflichkeiten anzupassen, statt Bürgermeister heißt es dann eben Geschäftsführer.

Standard für Informationssicherheit Arbeitshilfe Version 3.0 erschienen

Am 26. September 2019 ist die Arbeitshilfe mittlerweile in Version 3.0 erschienen. Die Weiterentwicklung und Anpassung oblag erneut uns von der a.s.k. Datenschutz. Neben Aktualisierungen z.B. bei Links zum gerade aufgefrischten BSI IT-Grundschutz stand neben der Fehlerkorrektur die Anpassung an das Siegel “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik — kurz LSI — in Nürnberg im Vordergrund. Wenn Sie mehr über das LSI Siegel erfahren wollen, finden Sie Details hierzu in einem weiteren Blogbeitrag.

Kommunale Einrichtungen, die sich zur Einführung eines Informationssicherheitskonzepts auf Basis der Arbeitshilfe entscheiden, erfüllen mit der Umsetzung die Anforderungen des LSI zum Erhalt des Siegels “Kommunale IT-Sicherheit”. Das setzt natürlich eine ernsthafte und ehrliche Bearbeitung der 9 Kapitel der Arbeitshilfe zur Informationssicherheit in der Kommune voraus.

Hier geht es direkt zum Download der Arbeitshilfe V 3.0. Sollte der Link nicht mehr funktionieren, nutzen Sie bitte die Startseite der Innovationsstiftung und suchen die Veröffentlichung vom 28.09.2019.

Mit a.s.k. Datenschutz und der Arbeitshilfe zum Siegel “Kommunale IT-Sicherheit”

Wenn Sie sich bei der Einführung der Arbeitshilfe in Ihrer Verwaltung durch das Team von a.s.k. Datenschutz unterstützen lassen, dann übernehmen wir am Ende die Formalitäten der notwendigen Angaben und Auskünfte gegenüber des LSI. Einem Erhalt des Siegels sollte dann nichts mehr im Wege stehen.

Sollten wir Sie im Anschluß auch als externe Informationssicherheitsbeauftragte betreuen, kümmern wir uns mit Ihnen gemeinsam auch um die Verlängerung des Siegels nach Ablauf der 2 Jahre Gültigkeitsdauer. Dazu muss dem LSI der Weiterbetrieb Ihres Informationssicherheitskonzepts belegt bzw. nachgewiesen werden. Auch dies würden wir von a.s.k. Datenschutz übernehmen.

Übrigens nutzen wir zur Einführung und zum Betrieb Ihres Informationssicherheitskonzepts auf Basis der Arbeitshilfe eine hochmoderne und vollverschlüsselte Projektplattform. Damit wird die Bearbeitung der Punkte zwar kein Kinderspiel, aber die Dokumentation dazu erledigt sich fast von selbst. Gleichzeitig versäumen Sie und wir keine Revisionstermine und Wiedervorlagen. Mehr Infos in diesem Blogbeitrag. Unsere Plattform ist bereits für Version 3.0 der Arbeitshilfe aktualisiert und angepasst.

Unternehmen und die Arbeitshilfe als Informationssicherheitskonzept

Wie eingangs schon beschrieben, ist auch dies kein Problem. In der Wortwahl werden zwar kommunale Funktionen adressiert, aber die inhaltlichen Anforderungen an Informationssicherheit sind zwischen Unternehmen und Behörden identisch. Ersetzen Sie in Gedanken einfach Begriffe wie “Bürgermeister” mit “Geschäftsführer” und schon sind Sie in der Unternehmenswelt angekommen.

Das einzige Manko: Das LSI Siegel “Kommunale IT-Sicherheit” kann nur von kommunalen Einrichtungen erworben werden. Als Unternehmen sind Sie hier außen vor. Gerne unterstützen wir auch Ihr Unternehmen bei der Einführung eines Informationssicherheitskonzepts.

Angebot Informationssicherheitskonzept für Kommunen bzw. Behörden

Sie wünschen ein unverbindliches Angebot? Dann nutzen Sie einfach unser verschlüsseltes Anfrage-Formular. Wir melden uns zeitnah bei Ihnen.

Unverbindliches Angebot anfordern

IT-Notfallkarte für Mitarbeiter (Hilfestellung der Allianz für Cybersicherheit und des BSI)

von Sascha Kuhrau
30. September 2019

Notfallbehandlung — ein wichtiges Element in der Informationssicherheit und im Datenschutz

Im Zuge der Diskussion um Informationssicherheitskonzepte und technische Maßnahmen im Sinne der DSGVO stößt man unweigerlich auf das Thema Notfallmanagement. Vorrangig zielen die ergriffenen technischen und organisatorischen Schutzmaßnahmen einer Organisation ja darauf ab, Sicherheitsvorfälle und Notfälle möglichst zu vermeiden. Die Eintrittswahrscheinlichkeit soll möglichst nahe Null liegen. Das dies für jede Art von Vorfall nicht immer gelingt, liegt auf der Hand. Umso wichtiger ist, von solchen Vorfällen frühzeitig Kenntnis zu erlangen, diese korrekt zu bewerten und angemessen zu reagieren.

Dies setzt jedoch sensibilisierte Mitarbeiter voraus, die im Falle eines Sicherheitsvorfalls oder eines Notfalls wissen, was zu tun ist. Die Allianz für Cyber-Sicherheit hat sich zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und einigen anderen Einrichtungen im Hinblick auf IT-Sicherheitsvorfälle Gedanken gemacht.

Die IT-Notfallkarte “Verhalten bei IT-Notfällen” für Mitarbeiter

Sie kennen das sicher noch aus der Erste-Hilfe-Ausbildung. Die 5 “W” für den richtigen Notruf:

Wo ist das Ereignis?
Wer ruft an?
Was ist geschehen?
Wie viele Betroffene?
Warten auf Rückfragen

Analog zu dieser Vorgehensweise gibt es nun die IT-Notfallkarte zum kostenfreien Download und zur Verteilung an Mitarbeiter bzw. Aushang der Karte. Nach Eintrag der internen Rufnummer für IT-Notfälle kommen die 5 “W” für die Notfallmeldung:

Wer meldet?
Welches IT-System ist betroffen?
Wie haben Sie mit dem IT-System gearbeitet bzw. was haben Sie beobachtet?
Wann ist das Ereignis eingetreten?
Wo befindet sich das betroffene IT-System (Gebäude, Raum, Arbeitsplatz)?

Darunter finden sich einige Verhaltenshinweise für den oder die betroffenen Mitarbeiter. Für den Fall eines Befalls mit Kryptotrojanern wäre möglicherweise die Empfehlung “Netzwerkkabel ziehen” noch recht hilfreich gewesen.

Sehr gut hat uns die Aussage gefallen “Ruhe bewahren & IT-Notfall melden. Lieber einmal mehr als einmal zu wenig anrufen!”, die sich als zweite Überschrift auf der Karte oben findet.

Top 12 Maßnahmen bei Cyber-Angriffen

Da es nach der Meldung eines IT-Notfalls mit der Bearbeitung weitergehen muss, liefert die Allianz für Cybersicherheit zur weiteren “Bewältigung des Notfalls” eine Top 12 Liste mit. Auf dieser finden sich die wichtigsten Maßnahmen zur Schadensbegrenzung und auch der Nachbearbeitung des hoffentlich glimpflich verlaufenen Angriffs.

Diese Top 12 Maßnahmen bei Cyber-Angriffen richten sich an IT-Verantwortliche und Administratoren und sollten an keinem Arbeitsplatz als Hilfestellung fehlen.

Doch damit nicht genug, professionelles Notfallmanagement ist gefragt

Diese beiden Hilfestellungen sind ein erster Schritt in die richtige Richtung. Doch ohne professionelles Notfallmanagement wird keine Organisation zukünftig auskommen. Wurden die Themen Datenschutz und Informationssicherheit in der Vergangenheit meist schon sehr stiefmütterlich behandelt, haben gerade kleine Organisationen das Thema Notfallmanagement gar nicht oder nur weit am Ende des Erfassungsbereichs auf dem Radar.

Hier verweist die Allianz für Cybersicherheit auf den Standard 100–4 des BSI IT-Grundschutzes. 100–4 beschreibt eine professionelle und systematische Vorgehensweise zur Einführung und Weiterentwicklung eines Notfallmanagements in Organisationen jeglicher Größe und Branche. Bei erster Durchsicht mag das dem einen oder anderen Leser etwas sperrig oder zu aufgebauscht wirken. Und sicher empfiehlt es sich, in Abhängigkeit von der Organisationsgröße den Standard 100–4 angemessen und zweckdienlich umzusetzen. Eine stoische 1:1 Umsetzung ist eher suboptimal.

Sinn und Notwendigkeit für ein Notfallmanagement sollten jedoch schnell klar werden. Ein Notfall ist etwas anderes als “Kein Papier im Drucker”. Ok, der betroffene Mitarbeiter mag das kurzzeitig so empfinden 🙂 In einem Notfall oder auch bei der Verkettung mehrerer Arten von Notfällen ist keine große Zeit, sich über die Notfallbehandlung Gedanken zu machen oder wichtige Informationen für die Beseitigung des Notfalls zu beschaffen.

Wenn Sie mit dem Thema liebäugeln, können wir Ihnen den Kurs “Notfallmanagement” der Bayerischen Verwaltungsschule wärmstens an Herz legen. Dieser ist nicht auf bayerische Verwaltungen beschränkt, sondern steht interessierten Teilnehmern aus Behörden und Unternehmen aus ganz Deutschland offen.

Im Rahmen von Informationssicherheitskonzepten wird die Entwicklung eines Notfallvorsorgekonzepts und eines Notfallplans (erst die Vermeidung, dann die Reaktion, wenn es mit dem Vermeiden nicht geklappt hat) gefordert. Wer sich also mit den Standards wie IT-Grundschutz, ISIS12 oder auch der Arbeitshilfe (für kleinere Einrichtungen) und deren Einführung befasst, wird um das Thema nicht herumkommen.

Was kann a.s.k. Datenschutz für Sie tun?

Vorausgeschickt: a.s.k. Datenschutz ist der Dozent an der Bayerischen Verwaltungsschule u.a. für das Thema Notfallmanagement und die Ausbildung von zertifizierten Informationssicherheitsbeauftragten. Im Zuge von zahlreichen Sicherheitskonzepten begleiten wir die Einführung von Notfallvorsorgekonzepten und die Erstellung von Notfallplänen. Selbstverständlich bieten wir diese Dienstleistung im Rahmen der Einführung und Begleitung von Informationssicherheitskonzepten, aber auch flankierend zur Tätigkeit als externe Informationssicherheitsbeauftragte an. Sprechen Sie uns einfach an. Ihren Datenschutzbeauftragten wird das sicher auch freuen.

Apropos Datenschutzbeauftragter: Verfügt Ihre Organisation über einen Datenschutzbeauftragten? Öffentliche Stellen sind zur Bestellung ungeachtet der Mitarbeiterzahl generell verpflichtet. Unternehmen benötigen einen Datenschutzbeauftragten ab 10 Mitarbeitern (sollte das 2. DsAnpG den Bundesrat passieren erhöht sich die Zahl auf 20), die regelmäßig mit der Verarbeitung von personenbezogenen Daten befasst sind. Und lassen Sie sich keinen Sand in die Augen streuen. Ob mit oder ohne Datenschutzbeauftragten müssen alle anderen datenschutzrechtlichen Anforderungen in Ihrer Organisation erfüllt sein. Wenn es keinen DSB gibt, muss sich jemand anderes um die meist bürokratischen Aufgaben kümmern. Einfacher und pragmatischer geht es mit a.s.k. Datenschutz als externe Datenschutzbeauftragte. Fordern Sie noch heute Ihr unverbindliches Angebot an.

Unverbindliches Angebot anfordern

Schadcode über Excel Power Query statt Makros

von Sascha Kuhrau
28. Juni 2019

Der klassische Angriffsweg: Schadcode über Makros in Office-Dokumenten

Das Angriffszenario kennen wir zur Genüge. Eine Word- oder Excel-Datei enthält Makro-Code, der nach Öffnen des Dokuments und einen unachtsamen Klick des Nutzers auf “Makros aktivieren” den eigentlichen Schadcode (zumeist einen Verschlüsselungstrojaner) nachlädt. Es soll sogar ganz Hartgesottene geben, in deren Office-Installation “Makros automatisch ausführen” eingestellt ist, spart nämlich viel Arbeitszeit 😉

Informierte Anwender und IT-Abteilungen können mit diesem Risiko mittlerweile recht gut umgehen. Neben den technischen Lösungen ist natürlich auch die regelmäßige Sensibilisierung der Anwender zwingend nötig. Diese sind nämlich keine Security-Spezialisten und sollten rechtzeitig und immer wieder auf neue möglichen Stolperfallen für Sicherheit und Datenschutz hingewiesen werden.

Randnotiz: Im Rahmen der Einführung eines ISMS nach ISIS12 wurde uns der Begriff “regelmäßig” mit zwischen 5 und 10 Jahren erklärt. Das kann man so sehen, sollte aber aus Gründen der eigenen Organisationssicherheit dann doch zeitlich eher etwas straffer ausgelegt sein. Begründung war übrigens: Schulungen halten nur unnötig von der Arbeit ab. 😉

Makros bekommen Konkurrenz durch Excels Power Query — neues Einfallstor für Schadcode

Forscher haben eine Angriffstechnik über Microsofts Power Query entdeckt (externer Link), die sogar ohne Zutun des Anwenders nach dem Öffnen eines präparierten Excel-Sheets Schadcode nachlädt und ausführt. Betroffen sind Excel 2016, Excel 2019 und alle älteren Versionen, in denen Power Query als Add-In nachträglich installiert wurde. Power Query wird lt. Microsoft zur Verbindung mit externen Datenquellen genutzt. Ein von Heise entsprechend präpariertes Dokument schlug bei der Prüfung durch Virus Total keinen Alarm. Wie diese Sicherheitslücke konkret ausgenutzt werden kann und wie einfach das geht, beschreibt Heise in einem Beitrag (externer Link) sehr konkret.

Aktuell soll dieses Angriffszenario noch nicht ausgenutzt werden, Angriffe sind noch keine bekannt. Zeit genug, sich dagegen zu wappnen. Eine Möglichkeit besteht darin, Power Query komplett zu deaktivieren (Registry). Weitere Schutzmaßnahmen beschreibt Microsoft im Security Advisory 4053440 (externer Link).

Emotet: Eigenen Mailserver auf Umgang mit potentiell schädlichen Datei-Anhängen prüfen

von Sascha Kuhrau
25. Juni 2019

Emotet richtet seit geraumer Zeit erheblichen Schaden an. Und es trifft nicht nur die Kleinen. Der Heise-Verlag (als eines der prominenten Opfer) stellt einen Online-Service zur Verfügung, um den eigenen Mailserver und hoffentlich vorhandene Schutzsoftware auf den Umgang mit potentiell schädlichen Datei-Anhängen zu testen.

Der Service funktioniert ganz einfach. Zuerst wählt man die Art der Test-Email aus. Zur Auswahl stehen z.B. Anhänge als EXE-Datei oder Office-Dokumente mit und ohne Makros. Nach Eingabe der eigenen Email-Adresse erhält man eine Aktivierungsmail. Erst wenn der Link in dieser Aktivierungsmail geklickt wird, erfolgt der eigentliche Versand der Email mit dem Datei-Anhang an die zuvor hinterlegte Email-Adresse. Nach wenigen Sekunden schlägt diese Test-Email auf dem eigenen Mail-Server auf. Und jetzt zeigt sich, ob Ihr Mailserver und die Schutzsoftware so reagieren wie Sie sollen. Clevere Installationen unterbinden z.B. den Empfang von DOC Dokumenten und nehmen lediglich DOCX Dokumente an. Andere untersagen direkt jede Art von Office-Dokument, als Alternative bleibt nur PDF. Sie können anhand der unterschiedlichen Datei-Anhänge bei der Auswahl der Test-Email prüfen, ob Ihre Konfiguration so funktioniert wie sie soll. Bei uns tut sie das 🙂

Hinweis: Bitte fordern Sie in Ihrem Firmennetz nicht ohne Rücksprache mit Ihrem Administrator nun zuhauf diese Test-Emails an. Betreiben Sie einen eigenen Mailserver, ist das natürlich eine andere Sache. Interessant vielleicht auch zu erfahren, was Ihr privater Mail-Provider an Schutzmaßnahmen bietet — wenn er denn überhaupt welche bietet.

Link zum Heise-Check (externer Link)

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Informationssicherheit im Fokus: Gemeinde Haar ist ISIS12-zertifiziert

von Sascha Kuhrau
12. Juni 2019

Nach einem knapp zweijährigen Prozeß hat die Gemeinde Haar im Mai 2019 die ISIS12-Zertifizierung erreicht. ISIS12 ist ein Standard für ein Informationssicherheitsmanagementsystem (kurz ISMS) und bildet in 12 anschaulichen Schritten auf Basis des bekannten IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) ein Informationssicherheitskonzept ab. ISIS12 wurde explizit für kleine und mittlere Unternehmen (KMU) und kommunale Einrichtungen entwickelt, für die aufgrund personeller Anforderungen der “große” IT-Grundschutz nicht durchführbar ist.

In den 24 Monaten der Einführung des Informationssicherheitskonzepts hat die Gemeinde Haar unter anderem Schulungen und Mitarbeitersensibilisierungen in Sachen Informationssicherheit durchgeführt. Denn nicht nur das (technische) System an sich muss in alle Richtungen sicher gemacht werden, sondern auch die Menschen, die mit den Daten umgehen, müssen für das Thema sensibilisiert und geschult werden. Das reicht von der Aktivierung der Bildschirmsperre auch bei kürzester Abwesenheit vom Arbeitsplatz bis hin zur unachtsamen Freigabe von Daten, wie etwa Passwörter offen am Schreibtisch liegen zu lassen.
Zeitgleich wurden Prozesse im Haus verbessert und Konzepte erarbeitet, die IT-Struktur unter die Lupe genommen und ein Notfallmanagement auf die Beine gestellt. Denn Datenschutz und Informationssicherheit müssen nicht nur im Alltag funktionieren – auch echte Notfall-Szenarien wurden durchgespielt und behandelt: Was, wenn das Rathaus mit all seinen Servern abbrennt? Selbst dafür gibt es Lösungen.

Federführend waren bei der Einführung von ISIS12 die Informationssicherheitsbeauftragte der Gemeinde Haar Andrea Schmerber und die a.s.k. Datenschutz Beratung unter Leitung von Sascha Kuhrau. Sie waren es auch, die den Auditor Andreas Mann bei der Erstzertifizierung des Zertifizierungsverbundes – Rathaus mit Bürgerhaus und die Kita Casinostraße – durch die Dokumente, Konzepte und die Gebäude begleiteten. Mit Erfolg, denn die Erstzertifizierung hat geklappt.

Jetzt gilt es, das Informationssicherheitskonzept aktuell und am Laufen zu halten. Daher wird jährlich überprüft, ob die Informationssicherheitsrichtlinien eingehalten werden – denn die Technik ist schnellebig und auch im Personal gibt es von Zeit zu Zeit einen Wechsel. Außerdem werden nach und nach immer mehr der gemeindlichen Einrichtungen in den Zertifizierungsverbund integriert. In der Öffentlichkeit wird der zeitintensive und arbeitsaufwendige Prozess kaum wahrgenommen – und dennoch ist er für jede einzelne Bürgerin und jeden einzelnen Bürger von hoher Wichtigkeit. Denn es sind ihre Daten, die damit geschützt werden. Anlass für die Einführung von ISIS12 in der Gemeinde Haar war das Bayerische E‑Government-Gesetz von 2016. Dieses verpflichtet ausnahmslos alle kommunalen Verwaltungseinrichtungen zur Einführung und zum Betrieb eines Informationssicherheitskonzepts. Die Gemeinde Haar, allen voran deren Informationssicherheitsbeauftragte Andrea Schmerber haben sich dieser Herausforderung gestellt und das Ziel erreicht.

Übrigens ist ein Informationssicherheitskonzept (eingeführt und in Betrieb natürlich) auch für das Thema Datenschutz interessant. Betrachtet man Art. 32 DSVGO Sicherheit der Verarbeitung (externer Link) genauer, so findet man darin im Absatz 1 folgende Aussagen:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Und genau das stellt ein funktionierendes Informationssicherheitskonzept sicher. Dabei beschränkt sich der Schutz eines solchen Konzepts nicht nur auf personenbezogene Daten, sondern schließt alle schützenswerten Daten Ihrer Organisation mit ein. Genial, oder?

Sie wollen in Ihrer Organisation ebenfalls ein Informationssicherheitskonzept einführen? BSI IT-Grundschutz und ISO 27001 sind unpassend? Sprechen Sie uns an.

Zur Meldung der Gemeinde Haar (externer Link)

RTF-Dokument nutzt ältere Office Schwachstelle aus und bringt Backdoor-Trojaner mit

von Sascha Kuhrau
11. Juni 2019

Microsoft meldet (externer Link zu Twitter) eine aktuelle Bedrohung mit Schwerpunkt Europa über eine ältere Schwachstelle in Microsoft Office. Mittels eines präparierten RTF Dokuments infiziert sich das Windows-System mit einem Backdoor-Trojaner, der das Ausführen weiteren Codes auf dem befallenen System zulässt. Die Schwachstelle wurde bereits 2017 im CVE-2017–1182 (externer Link) beschrieben. Microsoft empfiehlt allen Office-Anwendern, das aktuelle Patch-Level zu prüfen. Die notwendigen Update für Office 2007–2016 finden Sie im unteren Teil der CVE.

1
2
3
…
8
Weiter »

Schutz

War­um bzw. wann soll­te ich ein Pass­wort über­haupt ändern bzw. wechseln?

Bes­ser: Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) akti­vie­ren, statt Pass­wort zu ändern

2FA ist kei­ne Raketenwissenschaft

“Ja, aber ..”

2FA: Back­up-Codes nicht vergessen

“Ich bereue den Passwort-Wahnsinn”

Abschlie­ßen­der Tipp: Pass­wort-Tre­so­re nutzen

Soft­ware-Unter­stüt­zung für die Arbeitshilfe

Wie­so ein Informationssicherheitskonzept?

Wel­chen Stan­dard zur Infor­ma­ti­ons­si­cher­heit wählen?

Infor­ma­ti­ons­si­cher­heits­kon­zep­te bes­ser mit Software-Unterstützung

App Lösun­gen gegen Coro­na

EU-Kom­mis­si­on zu der Ver­ar­bei­tung von sen­si­blen Daten und der Coro­na App

Inhaltli­che Anfor­de­run­gen

Emp­feh­lun­gen auch zu Gestal­tung einer Coro­na App

Kri­sen­be­ding­ter Umgang mit sensi­blen per­so­nen­be­zo­ge­nen Daten

Eine Coro­na App in der Pra­xis

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Was kos­tet es Sie auf jeden Fall …

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Wer benö­tigt ein Informationssicherheitskonzept?

Stan­dard für Infor­ma­ti­ons­si­cher­heit Arbeits­hil­fe Ver­si­on 3.0 erschienen

Mit a.s.k. Daten­schutz und der Arbeits­hil­fe zum Sie­gel “Kom­mu­na­le IT-Sicherheit”

Unter­neh­men und die Arbeits­hil­fe als Informationssicherheitskonzept

Ange­bot Infor­ma­ti­ons­si­cher­heits­kon­zept für Kom­mu­nen bzw. Behörden

Not­fall­be­hand­lung — ein wich­ti­ges Ele­ment in der Infor­ma­ti­ons­si­cher­heit und im Datenschutz

Top 12 Maß­nah­men bei Cyber-Angriffen

Doch damit nicht genug, pro­fes­sio­nel­les Not­fall­ma­nage­ment ist gefragt

Was kann a.s.k. Daten­schutz für Sie tun?

Der klas­si­sche Angriffs­weg: Schad­code über Makros in Office-Dokumenten

Makros bekom­men Kon­kur­renz durch Excels Power Query — neu­es Ein­falls­tor für Schadcode

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?