Sicherheit

WiBA — Weg in die Basis-Absicherung — WiBA BSI

von Sascha Kuhrau
27. August 202327. August 2023

Nicht erst seit dem Ausfall der Landkreisverwaltungen Anhalt-Bitterfeld oder Rheinpfalz ist bekannt, dass auch Kommunalverwaltungen durchaus Nachholbedarf beim Thema Informationssicherheit haben. Auch kleinere Kommunen sind betroffen und haben nicht weniger mit den Folgen zu kämpfen. Der geschätzte Jens Lange, seines Zeichens ITSiBe der Stadt Kassel betreibt hierzu ein schönes Informationsportal (Vielen Dank an dieser Stelle, Jens, für Deine Arbeit!) unter https://kommunaler-notbetrieb.de

Doch auch Firmen, ebenfalls ganz unabhängig von Branche und Größe bleiben von diesem Problem nicht verschont. Einen groben Eindruck, wie oft es knallt, kann man sich sehr gut unter https://konbriefing.com/de-topics/hackerangriff-deutschland.html verschaffen.

Beide Portale können nur einen Teil der Misere zeigen, denn nicht jedes “Missgeschick” in der Informationssicherheit bei Kommunen und Firmen gelangt an die Öffentlichkeit. Das bedeutet, die Dunkelziffer des Versagens der Informationssicherheit (oder auch des Nichtvorhandenseins) ist daher im Zweifel noch um einiges höher.

Normen für Informationssicherheit

Standards für Informationssicherheit gibt es einige auf dem Markt. Da gibt es z.B.

ISO 27001 (native oder auf Basis IT-Grundschutz)
Den IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) in den 3 Absicherungsstufen Basis, Kern und Standard
TISAX (gerade im Automotive-Bereich ein sehr bekannter Vertreter)
CISIS12 (ehemalis ISIS12)
ISMS4KMO (als Standard als Weiterentwicklung von ISIS12, aber auch als Tool für die ISO 27001 und den IT-Grundschutz)
“Arbeitshilfe” (eine Absicherung in der Breite einer Organisation, entwickelt von a.s.k. Datenschutz im Auftrag der Innovationsstiftung Bayerische Kommune)
SiKoSH (Sicherheitskonzept Schleswig-Holstein) oder auch
VDS 10.000 ehemals 3473.

Es gibt noch weitere Vertreter, doch wir haben uns auf die Standards mit einer bekannten breiten Installationsbasis beschränkt. Daneben gibt es noch div. Schwachstellen-Tools, die jedoch zumeist einmalige Stärken-Schwächen-Analysen darstellen und keinen Fokus auf den Betrieb eines Informationssicherheitskonzepts legen. Dazu zählen z.B. ISA+ und andere.

Alle Normen haben eins gemeinsam: Informationssicherheit bedeutet Arbeit in fast allen Teilen einer Organisation und kostet Zeit, Geld und Personalressourcen. Dazu haften einigen Standards nahezu sagenhafte Aussagen an wie “Der IT-Grundschutz dauert mindestens 5 Jahre in der Einführung, egal wie groß die Organisation ist” oder “Für Standard XYZ sind mindestens 50–60 externe Beratertage notwendig”. Nun ja … In der Tat war der alte 100‑x Standard des IT-Grundschutz ein dickes, zu bohrendes Brett. Aber 5 Jahre haben selbst Großorganisationen dafür nie gebraucht. Und durch das sog. Kompendium (200‑x) und die 3 Absicherungsstufen von unten nach oben wurde ein zeitgemäßer und niedrigschwelliger Einstieg in den IT-Grundschutz vom BSI geschaffen. Der frühere Schrecken hat seine Daseinsberechtigung verloren. Und immens hohe Zahlen an externen Beratertagen können — unabhängig vom gewählten Standard — auch nur dann zustandekommen, wenn die eigene Organisation so gut wie keinen Selbsteinsatz bei der Einführung des Informationssicherheitsmanagementsystems leistet. Das mag bequem erscheinen, auch wenn es teuer ist, aber geht am Ziel und Zweck vorbei. Schließlich wird Informationssicherheit durch die eigene Organisation betrieben und da hilft es wenig, wenn die ganze Arbeit durch Externe geleistet wird (fehlendes internes Know-How, “Berater-Treppe”).

WiBA — Weg in die Basis-Absicherung

Um den Einstieg in den IT-Grundschutz nun noch niedrigschwelliger anzusetzen als bereits mit der sog. Basis-Absicherung geschehen, hat das BSI einen 18 Dokumente umfassenden Fragenkatalog entwickelt. Dieser soll bei konsequenter Bearbeitung aktuelle Schwachstellen in der Informationssicherheit (organisatorisch, infrastrukturell, technisch, prozessual) auffinden helfen, damit diese im Anschluss beseitigt werden können. Ein löblicher Ansatz und gerade für Organisationen geeignet, die bisher noch jeden Kontakt mit dem Thema gescheut haben.

Folgende Themen werden zur Zeit abgedeckt:

Arbeit außerhalb der Institution
Arbeit innerhalb der Institution / Haustechnik
Backup
Bürosoftware
Client
Drucker und Multifunktionsgeräte
IT-Administration
Mobile Endgeräte
Netze
Organisation und Personal
Outsourcing und Cloud
Rollen / Berechtigungen / Authentisierung
Serverraum
Serversysteme
Sicherheitsmechanismen
Telefonie und Fax
Umgang mit Informationen
Vorbereitung für Sicherheitsvorfälle

Umfangreich sind die Prüffragen selten. So finden sich im Kapitel 6 Outsourcing und Cloud beispielsweise 6 Prüffragen. Daraus wird auch die Intention des niedrigschwelligen Einstiegs u.a. durch einen reduzierten Umfang sehr deutlich.

Derzeit sind die Fragebögen im Word-Format als sog. Community Drafts online gestellt. Das BSI fordert explizit dazu auf, diese zu nutzen, zu prüfen und Anregungen und Ergänzungen zurückzuspielen. Diese Rückmeldungen sollen dann in die finale Version von WiBA — Weg in die Basisabsicherung einfließen.

In der Hoffnung, dass demnächst nicht wieder alle Links auf den BSI Webseiten umgestellt werden, hier der direkte Einsprung in das Thema: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/WIBA/Weg_in_die_Basis_Absicherung_WiBA.html

Überlegungen zur aktuellen Gestaltung / Umsetzung von WiBA — Weg in die Basis-Absicherung

WiBA kann durchaus ein geeigneter Einstieg in das Thema Informationssicherheit für Organisationen sein, die bisher noch gar keinen Kontakt mit dem Thema hatten und erst mal “schnuppern” wollen. Dabei sollte man im Hinterkopf haben, dass es sich hierbei nur um eine Schwachstellenanalyse anhand von Fragestellungen handelt. Der zu einem ISMS gehörende PDCA-Zyklus inkl. der notwendigen Verantwortlichkeiten, Aufgaben und Prozessen ist nicht enthalten. Wie das BSI in der Management Summary selbst schreibt, kann WiBA — Weg in die Basis-Absicherung nur der erste Schritt in das Thema Informationssicherheit sein. Denn mit einer Schwachstellenanalyse alleine ist es nicht getan.

Positiv fällt die Verknüpfung der Prüffragen zu den Bausteinen des IT-Grundschutzes auf. Das sollte ein späteres Upgrade in die Basis-Absicherung erleichtern, da sich ein Wiedererkennungseffekt einstellen wird. Doch das leisten auch andere Systematiken.

Wieso man ausgerechnet mit Word-Tabellen gearbeitet hat, wird wohl ein Rätsel bleiben. Demjenigen, der mittels dieser Dokumente die Ergebnisse dokumentieren und nachhalten soll, bleibt nur viel Kraft und Geduld zu wünschen 🙂

WiBA liegt nun als Community Draft vor, ist also noch nicht final fertig. Demgegenüber haben andere Konzepte, die ebenfalls einen niedrigschwelligen Einstieg in das Thema Informationssicherheit garantieren und dabei auch gleich den Grundstein für den späteren Betrieb des ISMS legen, bereits mehrjährige Weiterentwicklungen erfahren. Allen voran sei hier exemplarisch die Arbeitshilfe der Innovationsstiftung Bayerische Kommune genannt, die erstmalig 2016 erschienen ist und mittlerweile in Version 5 vorliegt. Wieso nun eine Eigenentwicklung aufgelegt wird, statt auf vorhandene Systematiken zurückzugreifen oder diese zu empfehlen, bleibt unklar. Ok, der Aufwand für die Arbeitshilfe wäre höher. Aber man hätte sich auch mit der Systematik ISA+ des IT-Sicherheitsclusters Regensburg oder mit dem Reifegrad-Modell “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik Bayern, kurz LSI zusammentun können. Übrigens: Auch wenn die Arbeitshilfe ursprünglich für Kommunen entwickelt wurde, kann diese auch von Firmen genutzt werden. Ob die Organisationsleitung am Ende Bürgermeister oder Geschäftsführer heißt, ändert nichts an den Sicherheitsanforderungen, höchstens am Risiko einer persönlichen Haftung 😉 Wer es professionell haben möchte: Sprechen Sie uns wegen einer Software-Umsetzung der Arbeitshilfe gerne an. Die damals vom Auftraggeber vorgegebenen Word-Dokumente sind im laufenden Betrieb des ISMS alles andere als handlich.

Hinzu kommt: Wer bereits mit einem ISMS auf Basis von ISIS12, der Arbeitshilfe oder VDS ausgestattet ist und diese erfolgreich in Betrieb hat, wird mit WiBA — Weg in die Basis-Absicherung nicht glücklich. Hier wäre zu empfehlen, gleich den folgerichtigen Schritt in die BSI IT-Grundschutz Basis-Absicherung oder für Kommunen das sog. Kommunalprofil im Rahmen der Basis-Absicherung zu gehen.

Und nicht vergesesen — wie schreibt es das BSI (nicht nur im Kontext von WiBA — Weg in die Basis-Absicherung) so treffend: Informationssicherheit ist Chefinnen- und Chefsache! Und jeder Schritt hin zu mehr Informationssicherheit zählt. Von daher, well done, BSI!

Übrigens freut sich auch der Datenschutzbeauftragte, wenn das Thema Informationssicherheit konsequent und systematisch in der Organisation umgesetzt wird. Das nimmt einiges an Druck aus dem Kessel im Hinblick auf Art. 32 DSGVO Sicherheit der Verarbeitung.

“Ändere-Dein-Passwort-Tag” — Und jährlich grüßt das Murmeltier. Dann doch lieber 2FA

von Sascha Kuhrau
1. Februar 2022
2 Kommentare

Alle Jahre wieder, so auch heute zum 01.02.2022 hallt es aus diversen Nachrichtenkanälen “Leute, ändert regelmäßig euer Passwort. Beispielsweise heute, am sog. Ändere-Dein-Passwort-Tag.” Nun, kann man machen, ist aber nicht unbedingt sinnvoll. In Blogbeiträgen 2016 (aktualisiert 2018: “Über Bord mit veralteten starren Passwort-Richtlinien”), 2017 (“Ändere-Dein-Passwort-Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels”) und 2018 (Update 2020: “„Ich bereue den Passwort-Wahnsinn“ – weg mit den Passwort Mythen”) haben wir uns mit dieser Forderung zum regelmäßigen Passwortwechsel auseinandergesetzt und sind dabei — wie seit 2017 die NIST (National Institute of Standards and Technology) als eigentlicher Verursacher dieser “Angewohnheit” — zu einem anderen Schluss gekommen: Finger weg vom regelmäßigen Passwortwechsel. Lieber Zwei-Faktor-Authentifizierung (2FA) einrichten. Warum und wieso? Lesen Sie hier.

Warum bzw. wann sollte ich ein Passwort überhaupt ändern bzw. wechseln?

“Na, das ist doch sicher!” — “Und das haben wir ja schon immer so gemacht!” — Und im Zweifel verlangt es auch noch die Passwort-Richtlinie des einen oder anderen Unternehmens oder auch der Behörde. Doch sind das wirklich gute und belastbare Gründe für einen Passwortwechsel? Möglichst noch in Intervallen von 30–90 Tagen? Und für jedes Login noch ein anderes Passwort? Ende vom Lied: Passwörter werden alphabetisch oder numerisch hochgezählt oder schlimmstenfalls aufgeschrieben, abgelegt unter dem Schreibtischschoner. Das ist natürlich richtig sicher 🙂

Doch es gibt in der Tat wirklich 3 gute Gründe, das Passwort zu ändern:

Das Passwort wurde ausgespäht, zumindest besteht der Verdacht.
Das Passwort wurde unnötigerweise einer Kollegin oder einem Kollegen bekanntgegeben, obwohl dazu technisch normalerweise gar kein Grund besteht.
Es handelt sich um ein Initialisierungspasswort, das nach der Nutzung durch das eigentliche Passwort ersetzt werden muss.

Und Ende der Aufzählung.

Besser: Zwei-Faktor-Authentifizierung (2FA) aktivieren, statt Passwort zu ändern

Es ist keine allzu neue Erkenntnis, dass die Absicherung von Logins ausschließlich mit Benutzername und Passwort in den meisten Anwendungsfällen keinen ausreichenden Schutz bietet. Aus diesem Grund ist es mittlerweile üblich, wo es nur geht und vorgesehen ist, einen zusätzlichen Schutzfaktor einzubauen bzw. zu nutzen. Ein bewährtes Mittel ist die sog. Zwei-Faktor-Authentifizierung, kurz 2FA.

Die Zwei-Faktor-Authentisierung (2FA), häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden, oder Passphrase und Transaktionsnummer (TAN) beim Online-Banking. Die Zwei-Faktor-Authentisierung ist ein Spezialfall der Multi-Faktor-Authentisierung.

Für kritische Anwendungsbereiche wird die Zwei-Faktor-Authentisierung empfohlen, so beispielsweise vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutz- Katalogen. Im Bankwesen wurde mit der EU-Zahlungsdienste-Richtlinie die Zwei-Faktor- Authentisierung für den Europäischen Wirtschaftsraum 2018 sogar verpflichtend eingeführt. Mittlerweile gibt es sehr viele Anbieter, die für Ihre Webseiten / Login-Bereiche, aber auch andere Anmelde-Vorgänge eine 2FA nicht nur anbieten, sondern verbindlich machen.

Die Zwei-Faktor-Authentisierung ist nur dann erfolgreich, wenn beide festgelegten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Zugriffsberechtigung nicht zweifelsfrei feststellen und der Zugriff wird verweigert. Jetzt könnte man ja sagen, Benutzername und Passwort sind doch schon zwei Komponenten. Das ist so aber nicht ganz richtig. Denn aufgrund der meist vorgegebenen Benutzernamen wie die eigene Email-Adresse oder Vorname.Nachname ist dieser erste Faktor „verbrannt“. Es muss daher neben dem Passwort ein weiterer sicherer Faktor her. Korrekterweise würde man die Kombination Benutzername + Passwort + weiterer Faktor als Multifaktor- Authentifizierung bezeichnen. In der Praxis ist es dann doch nur eine 2FA aus dem zuvor genannten Grund.

In der Praxis greift man oft auf diese Kombination zurück:

Benutzername
Passwort
Authenticator / Authentificator (z.B. App auf dem Handy oder Programm auf dem Desktop)

Das Bundesamt für Sicherheit in der Informationstechnik hat das Thema in seiner Reihe “BSI für Bürger” das Thema anschaulich und mit einem kurzen Video aufbereitet, wer es noch mal genauer und anschaulicher wissen will (externer Link zum Beitrag des BSI).

2FA ist keine Raketenwissenschaft

Gelegentlich könnte man meinen, 2FA ist “rocket science” bzw. Raketenwissenschaft. Und da noch nicht ausreichend erforscht und mangels Erfahrungen damit, sollte man doch eher Abstand davon nehmen. Zumindest trifft man solche Tendenzen durchaus immer wieder bei IT-Verantwortlichen und / oder Anwendern. Fragt man jedoch genauer nach, resultiert die Abneigung doch eher daher, sich (als Mensch) oder etwas (die Technik) ändern bzw. den Erfordernissen der Zeit anpassen zu müssen. Und wir wissen bekanntlich alle, der Mensch ist ein Gewohnheitstier. Das wissen auch Angreifer und machen sich diese Schwachstelle gerne zunutze.

Vor vielen Jahren war 2FA nicht weit verbreitet, das ist wahr. Mittlerweile ist dem aber nicht mehr so. Die meisten täglich bzw. regelmäßig genutzten Logins lassen sich mittels 2FA zusätzlich absichern. Daher stuft das BSI 2FA auch nicht mehr als Kür ein, sondern empfiehlt die Nutzung von 2FA mittlerweile als Basistipp zur IT-Sicherheit. Gut, auch das hat viele Jahre gedauert, aber das BSI hat seine frühere nicht optimale Haltung zum Thema Passwortwechsel korrigiert und den BSI IT-Grundschutz ebenfalls dahingehend angepasst.

Es gibt daher keinen Grund, sich nicht mit dem Thema 2FA zu befassen und diese, sofern vorhanden, für die eigenen Logins zu aktivieren, wo möglich. Es schläft sich wirklich ruhiger. Das kann der Autor aus eigener Erfahrung berichten 🙂

“Ja, aber ..”

“Dann muss ich ja immer mein Smartphone mit mir rumtragen?” — “Ja und? Machen Sie doch eh!” 🙂
“Wenn ich das privat gar nicht nutze und kein Diensthandy habe, dann muss ich die 2FA-App dennoch auf meinem Privatgerät installieren!” — “Ja, und? Die Abnutzung dadurch hält sich in Grenzen und es wird niemand bei Sinn und Verstand auf die Idee kommen, das nun als BYOD (bring your own device) einzustufen und zu regeln. Und Sie haben doppelten Nutzen: Ein mal installiert, können Sie nun auch gleich ihre privaten Logins damit absichern!”
“Unsere IT will das nicht!” — “Salopp: https://de.wikipedia.org/wiki/Einlauf_(Medizin)” oder “Verweisen Sie auf gängige Standards für Informationssicherheit sowie das BSI. Diese erklären und fordern 2FA. Es muss schon sehr triftige Gründe geben, davon Abstand zu nehmen. Diese müssen dokumentiert sein, wieso und durch wen es zu der Ablehnung gekommen ist. Für den Fall, dass dann doch etwas passiert, weiß man ja, wen man ansprechen muss :-)”
“Isch abe gar kein Handy!” — “Ja, und? Es gibt die Software-Lösungen auch für den Desktop der gängigen Betriebssysteme. Unpraktischer, wenn das Gerät gerade nicht an ist, aber besser als nichts.”
Bitte ergänzen Sie die Aufzählung mit zahlreichen weiteren Argumenten, warum 2FA nicht genutzt werden kann und verwerfen Sie diese augenblicklich wieder 🙂

2FA: Backup-Codes nicht vergessen

Selbst gestandene IT-Koryphäen tun sich mit 2FA gelegentlich schwer. Die Installation und Einrichtung geht noch locker von der Hand, aber dann wird eins schnell vergessen: Das Abspeichern der oder des sog. Backup-Codes. Diese sind notwendig, wenn man den Zugriff auf das Gerät verliert, auf dem der Generator (Authenticator) für 2FA installiert ist z.B. bei Defekt oder Verlust des Smartphones oder Ausfall der Festplatte (bei Desktop-Installationen). Denn ohne gültigen 2FA-Code kommt man nicht an / in den Account. Sprich man kann dann auch kein neues Gerät für die 2FA hinterlegen. Das ist vergleichbar mit das Haus verlassen, Tür hinter sich zuziehen und dann merken, der Haustürschlüssel liegt noch drinnen auf der Kommode. Der Prozess, um jetzt den Account wieder zugänglich zu machen ist aufwendig und zeitraubend z.B. durch Identitätsnachweise etc. Und das liegt in der Natur der Dinge. Sollte sich 2FA nämlich durch eine einfache Email oder einen Anruf beim Support deaktivieren lassen, wäre der Schutzwert von 2FA verloren. Es könnte sich ja jeder als Sie ausgeben und den Schutzmechanismus deaktivieren.

Von daher die Bitte: Immer nach Einrichtung eines 2FA für einen Login den angebotenen Backup-Code kopieren / herunterladen und sicher verwahren. Dazu eignen sich bestens sog. Passwort-Tresore (siehe Ende des Beitrags).

“Ich bereue den Passwort-Wahnsinn”

In einem Interview hat sich der für die Empfehlung Passwörter regelmäßig zu wechseln verantwortliche Mitarbeiter der NIST nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Das NIST hat im Sommer 2017 diese damals 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit eigentlich gestoppt. Der “Ändere-Dein-Passwort-Tag” ist leider nicht totzukriegen.

Abschließender Tipp: Passwort-Tresore nutzen

Bei der Vielzahl an Passwörtern, die sich im Laufe eines aktiven Nutzerlebens so ansammeln, darf man ruhig auf Helferlein zurückgreifen, die das Leben etwas leichter machen. Dazu gehören u.a. die sog. Passwort-Tresore. Hierbei sollte man jedoch nicht unbedingt auf Anbieter aus der Cloud (“Bei uns sind Ihre Passwörter zentral gespeichert und sicher”) setzen. Wer mal etwas nach Sicherheitsvorfällen bei den einschlägig bekannten Online-Anbietern solcher Lösungen sucht, wird schnell fündig. Es gibt kostenfreie Alternativen, die auch für weniger technisch versierte Nutzer leicht zu installieren und zu bedienen sind. Und der Tresor mit den eigenen wichtigen Passwörtern verbleibt bei einem selbst. Eine Lösung dafür ist beispielsweise Keepass. Mehr zu diesem Tool inkl. einer bebilderten Anleitung zur Einrichtung und Nutzung finden Sie in unserem Blogbeitrag “Sichere und komfortable Passwort-Verwaltung mit Keepass”.

Moderne Plattform zu Einführung und Betrieb eines Informationssicherheitskonzepts (Basis Arbeitshilfe) für kleine Organisationen gestartet

von Sascha Kuhrau
18. September 202119. September 2021
1 Kommentar

Software-Unterstützung für die Arbeitshilfe

Endlich nun auch für einen der kleinen Standards für Informationssicherheit verfügbar: Software-Unterstützung für die Arbeitshilfe 4.0

Doch der Reihe nach.

Wieso ein Informationssicherheitskonzept?

Viele Organisationen stehen vor der Herausforderung, entweder aufgrund gesetzlicher Vorschriften ein Informationssicherheitskonzept zu benötigen, damit den Nachweis zur Wirksamkeit der eigenen technischen und organisatorischen Maßnahmen im Sinne der Belegpflicht der DSGVO erbringen zu wollen, weil es der eine oder andere Auftraggeber für die Teilnahme an Ausschreibungen fordert oder schlicht, weil sie festgestellt haben, dass nur ein gesamtheitlicher Ansatz schützenswerte Informationen und personenbezogene Daten in der eigenen Organisation absichern kann. Gründe gibt es also viele, sich um die Einführung und den Betrieb eines Informationssicherheitskonzepts zu kümmern.

Welchen Standard zur Informationssicherheit wählen?

Informationssicherheitsmanagementsysteme (kurz ISMS) nach den Standards wie die ISO 27001 oder der BSI IT-Grundschutz sind bewährte Umsetzungsmöglichkeiten. Sagt man der ISO 27001 ein etwas erhöhtes Maß an Abstraktheit nach, leidet der IT-Grundschutz durchaus an seiner Ausführlichkeit (zumindest in 100‑x Standards). Hinzu kommt, dass der Aufwand an Zeit und Kosten gerade für kleine und mittlere Unternehmen (KMU) und Kommunen weit über die gegebenen Möglichkeiten hinausgeht.

Einen Teil dieser Lücke nach unten hat vor einigen Jahren der Standard Informationssicherheit in 12 Schritten (kurz ISIS12) schließen können. Dieser kommt seither in vielen deutschen Unternehmen und Kommunen zum Einsatz, teilweise inklusive der möglichen Zertifizierung durch die DQS GmbH (Und hier reden wir von einer vollwertigen, unabhängigen Zertifizierung, nicht von den durch die beratende Gesellschaft als Zertifikat angepriesenen Testate.) ISIS12 leitet sich aus dem IT-Grundschutz ab und wird derzeit in Richtung der Vorgehensweise der ISO 27001 weiterentwickelt.

Für die drei bisher genannten Standards stehen bewährte Softwarelösungen zur Verfügung. Generell sind diese Standards auch nach unten skalierbar, stellen dennoch gerade kleinere Einrichtungen nach wie vor vor ein Zeit- und Kostenproblem. Diese immer noch bestehende Lücke für kleinere und kleinste Einrichtungen lässt sich mit zwei weiteren Standards in angemessenem Kosten- und Aufwandsrahmen schließen. Die Rede ist vom Standard VdS 10000 (früher 3473) sowie der unter dem Projektnamen “Arbeitshilfe” bekannt gewordenen Systematik der Innovationsstiftung Bayerische Kommune aus München.

Gerade kleine und kleinste Organisationen finden hier einen Werkzeugkasten, um sich dem Thema systematisch zu nähern, vorhandene technische und organisatorische Schwachstellen zu identifizieren und danach kontinuierlich abzustellen und ein Sicherheitskonzept zu betreiben. Die Möglichkeit besteht jederzeit, in die höheren Systematiken upzugraden.

Die “Arbeitshilfe” wurde im Auftrag der Bayerischen Kommunalen Spitzenverbände durch a.s.k. Datenschutz für die Innovationsstiftung Bayerische Kommune entwickelt und ist mittlerweile in Version 4.0 erschienen. Trotz dieses Ursprungs richtet sich die Arbeitshilfe nicht ausschließlich an kommunale Einrichtungen. Informationssicherheit ist universell. Von daher sind lediglich einige Begrifflichkeiten für den Einsatz in Unternehmen anzupassen (Geschäftsführer statt Bürgermeister), das war es schon. Und jetzt mit auch Software-Unterstützung für die Arbeitshilfe.

Informationssicherheitskonzepte besser mit Software-Unterstützung

Selbstverständlich lassen sich Informationssicherheitskonzepte auch mit Papier und Stift oder etwas moderner mittels Word-Formularen und Excel-Tabellen abbilden. Bei der Einführung mag das auch noch ausreichend sein. Doch im späteren Betrieb des Informationssicherheitskonzepts wird es schnell a) unüberschaubar und b) nicht mehr handhabbar, z.B. um Wiedervorlagefristen einzuhalten. Auch in Bezug auf das jederzeitige Reporting / Berichtswesen ist eine geeignete Softwareunterstützung unschlagbar.

Die drei großen Standards ISO 27001, BSI IT-Grundschutz und ISIS12 können aus einem großen Angebot geeigneter Softwarelösungen wählen. Bei den kleineren Standards wird die Luft sehr schnell dünn bis hin zu fehlender Software-Unterstützung.

Software-Unterstützung für die Arbeitshilfe von a.s.k. Datenschutz

Gerade für kleine Organisationen sind leicht verständliche und bedienbare Software-Lösungen ein Muß. Zeit für langwierige Software-Schulungen und Einarbeitungen ist im Zweifel Mangelware. Oftmals werden kleine Einrichtungen bei der Einführung von externen Dienstleistern unterstützt, nutzen möglicherweise auch die Möglichkeit eines externen Informationssicherheitsbeauftragten (sofern sinnvoll umsetzbar).

Hier setzt die Software-Lösung für unsere (potentiellen) Kunden konkret an:

Verschlüsselung bei Übertragung und Speicherung
Mehrfaktor-Authentifizierung
Browserbasiert, Apps für Desktop und mobile Geräte
Bearbeitung und gleichzeitig fortlaufende Dokumentation aller Prüffragen der Arbeitshilfe und deren Umsetzung
Erstellen von notwendigen Unteraufgaben
Zuweisen von Aufgaben und Unteraufgaben an zuständige Personen in der Organisation
Diskussionsmöglichkeit zwischen den Beteiligten direkt in einem Prüfpunkt und damit nachvollziehbare Dokumentation der Entscheidungsfindung und des Umsetzungsstatus sowie dessen Weiterentwicklung
Email-Benachrichtungen über Änderungen und Aufgabenzuweisungen (Hinweise, keine Übermittlung der konkreten Inhalte, die sollen ja verschlüsselt auf der Plattform bleiben 🙂 )
Termin-Erinnerungen
Dokumentenversionierung
Jederzeit um weitere Aufgaben zu ergänzen (z.B. weitere identifizierte Schwachstellen außerhalb der Fragen der Arbeitshilfe, Dokumentation der Bearbeitung von Datenpannen etc.)
Ausführliches Berichtswesen nach Kapiteln, über das gesamte Informationssicherheitskonzept oder nach Zuständigkeiten
Übersichten über erledigte / offene Aufgaben bzw. beseitigte / noch vorhandene Schwachstellen
Diskussionsplattform zur Klärung von offenen Fragen
Betrieb in deutschen Rechenzentren (Ehrensache)
uvm.

Interesse geweckt an der Arbeitshilfe oder der Software-Lösung? Oder Fragen zum Thema Informationssicherheitskonzept oder Informationssicherheitsbeauftragte? Sprechen Sie uns an.

Corona App — hoffentlich sicher zur nächsten Pandemie

von Sascha Kuhrau
14. Juni 20209. Dezember 2020

In unserem Beitrag vom 23.03.2020 zum Einsatz von mobilgerätebasierter Gesundheitsprävention haben wir berichtet, dass eine Corona App auch hierzulande geplant ist, sowie über Aspekte, die aus Datenschutzsicht sorgfältig zu prüfen und zu planen sind.

Mittlerweile wurde kurz vor der geplanten Veröffentlichung eine lauffähige Version der Corona App von TÜVit geprüft und es gibt Nachholbedarf. Gegenüber heise.de äußern die Prüfer u.a. Kritik an dem kurzfristigen Starttermin. Insgesamt habe man laut TÜVit wiederholt die (sogar kostenfreie) Prüfung angeboten und letztlich unter Zeitdruck durchführen müssen.

Angesichts dessen, dass inzwischen eine Lockerung und Anti-„Maulkorb“-Demo die andere jagt und seit mehr als 7 Jahren die drohende SARS-Pandemie und deren Bekämpfungsmethodik bekannt ist (Bundestagsdrucksache 17/12051 aus 2012 / 2013, Seiten 5, 55 ff. ), kann man hier nicht unbedingt von einem agilen Krisenmanagement sprechen.

Sicherheitsaspekte der neuen Corona App

Die Prüfung der Corona App erfolgte im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Bezug auf Sicherheitsmaßgaben und Einhaltung der angekündigten Privatsphärestandards wie z.B. der Standortermittlung.

Eine Schwachstelle bestünde laut TÜVit darin, dass Patienten zwar verschlüsselt abspeichern können, positiv auf Corona getestet worden zu sein, um etwaige Kontakte mit Infizierten zu prüfen, die genutzte Verschlüsselungslogik jedoch fehlerhaft ist. So bestehe die Möglichkeit, einen Teil der Logik ohne größere Schwierigkeiten auszulesen, um beliebig Falschmeldungen infizierter Personen zu generieren.

Damit könnte die gesamte Datenhaltung und somit auch der angedachte Nutzen der App ad absurdum geführt werden und bewusst provozierte Fehlalarme noch größere Verunsicherung bei den Bürgern verursachen. Dieser Angriffspunkt ist in Fachkreisen seit geraumer Zeit bekannt.

Dass man bei derlei Umsetzungen gegen destruktiv motivierte IT-Expertise nicht hinreichend aufrüstet, sondern IT-Experten wie etwa Datenschutzaufsichtsbehörden als Bremser hinstellt, wenn diese begründete Sicherheitsbedenken anmelden, ist schwer nachvollziehbar.

Bereits vor der TÜVit Prüfung wurde der Quellcode veröffentlicht. Hier besteht insb. bei einem Multimillionen-Projekt keine Notwendigkeit. Dafür kann sich die Hackerszene schon einmal im Vorfeld einlesen. Andererseits wollte man gerade in Bezug auf die herrschenden Datenschutzbedenken mit größtmöglicher Transparenz reagieren.

Datenschutz und Privatsphäre

In Bezug auf die Privatsphäre lässt TÜVit Positives verlauten. Bei dem geprüften Entwicklungsstand der Corona App sei von Leaks nicht auszugehen und unerwartete Trackinglogik habe man in der Version nicht feststellen können.

Die Entwicklung und Sicherheitsdokumentation der Corona App wurde vom BSI u.a. durch Penetrationstests (Pentests) und Überprüfungen von Programmcode begleitet. Dabei konnten Schwachstellen gesichtet und seitens der Entwicklung behoben werden. Die Sicherheitsdokumentation kommt zu dem Schluss, dass die Corona App “alle für diese App zutreffenden Anforderungen aus der technischen Richtlinie TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des BSI erfüllt. Und auch zukünftig wird die Weiterentwicklung der App vom BSI begleitet. Die zugehörige Pressemitteilung finden Sie hier.

Weitere Informationen zu Datenschutz- / technischen Aspekten liefert eine Studie aus dieser Woche (09.06.2020) der Unis Darmstadt, Marburg und Würzburg.

Prüfauftrag der Corona App war limitiert

Laut TÜVit wurde der Auftrag zur Durchleuchtung der Entwicklung auf bestimmte Bereiche begrenzt. Ausgenommen von der Prüfung waren Systemfeatures von Apple / Google und das Backend des eigentlichen Datenservers. Ferner sei die Verschlüsselungslogik für die auf dem Mobilgerät gespeicherten Daten nicht Gegenstand der Prüfung gewesen.

Fazit zum aktuellen Stand der Corona App

Das Vorgehen bei der Sicherheit der Corona App steht in Widerspruch zu dem Bestreben, Vertrauen in diesen Lösungsansatz zu stärken. Es stellt sich die Frage, ob nicht diejenigen, welche die Corona App gerne installieren, um sich und Mitbürger zu schützen, ohnehin mit gesundem Menschenverstand an Präventionsmaßnahmen herangehen, während anderen Anwendern ein weiterer Schritt in die Unmündigkeit vorgelegt wird, sich dann ggf. nur noch auf die App zu verlassen.

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit und mäßigem Marketing lassen an einem positiven Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln.

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit en Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln.

Informationssicherheit — IT-Sicherheitslücken und Datenpannen 2019 und 2020 — Teil 2

von Sascha Kuhrau
20. April 20209. Dezember 2020

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate.

Oberlandesgericht Berlin wird gehackt - Informationssicherheit fraglich

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit.

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T‑Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste …

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben.

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden.

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden.

2019-11 — Sicherheitslücke bei chinesischem Smartphone-Hersteller

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt.

2019-12 — Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm‑, Kontakt- Kunden- und Transaktionsdaten.

2020-02 — Vorfall in der Informationssicherheit bei Samsung

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt.

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten.

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services.

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten.

2020-03 — Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis‑, Bank‑, Steuer- und Unternehmensdaten.

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert.

Hacking, Sicherheitslücken und prominente Datenpannen aus 2019 und 2020 — Teil 1

von Sascha Kuhrau
18. April 20209. Dezember 2020

Im vorigen Post haben wir über das Image von und den Umgang mit Datenpannen berichtet. Dabei haben wir versucht, dem durchschnittlichen Datenpannen-Verursacher ein Stück weit die Angst davor zu nehmen, solche Ereignisse professionell festzustellen und an die Aufsichtsbehörden zu melden. Allerdings traten und treten Sicherheitslücken, Hacking und Datenpannen weltweit und hierzulande auf, die keineswegs amüsant oder hinnehmbar sind. Betrachtet werden hierbei die letzten zwölf Monate.

2019-04 - 540 Millionen Facebook-Kundendaten auf öffentlich zugänglichen Servern

Zwei Kooperationspartner des bekanntesten Online Social Media Netzwerks haben Daten von Facebook auf offen zugänglichen Amazon-Servern gespeichert. Dabei handelt es sich um

das Unternehmen Cultura Colectiva, das Accountnamen, Kommentare und Likes frei zugänglich im AWS Cloud Dienst speicherte

die Entwicklerfirma der Facebook App «At the Pool», die Passwörter im Klartext von 22 000 Facebook Nutzern auf öffentlich zugänglichen Serverbereichen speicherte.

Im Lichte des Cambridge Analytica Skandals, bei dem Informationen über Millionen Facebook-Nutzer an das gleichnamige Unternehmen zwecks Analysen weitergegeben wurden, war Facebook bereits unter Datenschutz-Druck geraten. Die Zukunft wird zeigen, ob aus den Ereignissen Lernerfolge gezogen werden konnten. Ein gewisser Trost dürfte möglicherweise darin bestehen, dass Facebook Profile ohnehin überwiegend zur Veröffentlichung geschönter und damit allenfalls bedingt realer personenbezogener Informationen genutzt werden 🙂 Das schmälert jedoch nicht die Brisanz dieser Datenpanne.

2019-05 — Hacking und Datenpannen im Arztbereich

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) beklagt die hohe Anzahl von datenschutzbezogenen Sicherheitsvorfällen in Arztpraxen. Hacking wie Verschlüsselungstrojaner und Fehlversand von Patientenberichten, Rezepten und Röntgenbildern bildeten dabei die Spitze des Eisbergs. Insbesondere bei der Verarbeitung solch sensibler Patientendaten seien starke technische und organisatorische Maßnahmen (TOM) „wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung“ unabdingbar.

2019-08 — Hacking — Daten von 106 Millionen Bankkunden der Capital One erbeutet

Einer Hackerin, die in der Entwicklungsabteilung des genutzten Amazon Cloud Services AWS der US-Bank Capital One gearbeitet hatte, gelang es, von den Systemen der Bank personenbezogene Daten zu Kreditkarten und ‑anträgen zu erbeuten. Betroffen waren nebst Stamm- und Kontaktdaten die angegebenen Einkommen, Informationen zur Kreditwürdigkeit und Verfügungsrahmen. Laut Aussage der Bank soll nicht an einer Schwachstelle des Cloud Services, sondern die mangelhafte Konfiguration eine Firewall gehandelt haben.

2019-08 — Datenpanne im Hause Twitter

Twitter teilte mit, dass mehr als zwölf Monate lang Daten von ca 300 Millionen Twitter Usern mit Werbekunden ohne entsprechende Einwilligung geteilt wurden. Verbotswidrig wurden somit Daten an externe Empfänger weitergegeben. Betroffen gewesen seien laut Twitter Daten über Konsumdauer von Werbeanzeigen. Mailkonten und Passwörter waren lt. Twitter nicht betroffen.

2019-09 — Hacking nicht notwendig — Fahrlässigkeit bei Millionen von Patientendaten

Hochsensible Datensätze von weltweit mehreren Millionen Patienten, davon mehr als 13.000 Datensätze aus Deutschland, online unverschlüsselt und frei verfügbar auf hunderten von ungesicherten Servern. Der Bundesdatenschutzbeauftragte Ulrich Kelber hatte einen “verheerenden ersten Eindruck” von dem Skandal. Eine Kollaboration des Bayerischen Rundfunks und ProPublica deckten diesen international bestehenden, und bis heute nicht beseitigten beinahe nicht fassbaren Missstand auf. Laut BR seien u.a. Daten wie Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs etc., einschließlich zugehöriger Behandlungsinformationen betroffen. Eine 2016 veröffentlichte Studie des Harvard-Professors Oleg Pianykh wurde in Fachkreisen zu Kenntnis genommen, führten jedoch zu keiner Verbesserung der Zustände. Für diejenigen Datensätze, die trotz des bis heute akut bestehen Problems nicht in die Hände von Unbefugten / Hackern gelangt sind, gilt, dass sich dies dem relativen Desinteresse von Hackern auf Grund der nur sehr bedingten Verwertbarkeit privater Gesundheitsdaten verdankt.

“Ich bereue den Passwort-Wahnsinn” — weg mit den Passwort Mythen

von Sascha Kuhrau
1. Februar 2020
5 Kommentare

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Seiten, die es in sich haben. Die “NIST Special Publication 800–63. Appendix A”. Verfasst 2003 von Mister Bill Burr. Seinerzeit Mitarbeiter des National Institute of Standards and Technology (NIST). Das NIST ist eine US-Behörde, die unter anderem für Technologiestandards zuständig ist. Die damalige Empfehlung hielt Einzug in die Sicherheitsliteratur und hält sich seither dort hartnäckig. Auch der BSI IT-Grundschutz und andere Sicherheitsstandards bauen auf dieser Empfehlung auf. Nach seiner Pensionierung fand Burr offene Worte für seine damalige Empfehlung ein sicheres Passwort: “Ich bereue den Passwort-Wahnsinn”

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST empfahl bisher zur Passwortsicherheit:

Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen)
Passwörter sollen alle 90 Tage gewechselt werden

Im Ergebnis fluchten die Endanwender rund um den Globus. Sicherer sind Passwörter hierdurch nicht geworden. Dafür haben diese Empfehlungen viel Nerven und Zeit gekostet.

“Ich bereue den Passwort-Wahnsinn”

In einem Interview hat sich der nun in Rente stehende Burr gegenüber der Washington Post geäußert. “Die Wahrheit ist: Ich war auf dem falschen Dampfer.” Wir haben auf unserem Sicherheitsblog in 2016 bereits einen Artikel hierzu verfasst “Über Bord mit veralteten starren Passwort-Richtlinien”.

Das NIST hat nun im Sommer 2017 diese 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit hoffentlich gestoppt. Bis sich das in der Literatur und erst recht in der Praxis durchsetzt, wird es jedoch einige Zeit brauchen. Im Final Draft zum Baustein ORP4 des BSIFinal Draft zum Baustein ORP4 des BSI (IT-Grundschutz) heißt es im Oktober 2019:

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

In den aktuell (Stand 02/2020) veröffentlichten Baustein OPR4Baustein OPR4 hat dies leider noch keinen Einzug gefunden. Aber die Richtung stimmt.

Eine sichere Passwort-Richtlinie

Die aktualisierten Passwortempfehlungen lauten (zusammengefasst):

Keine Sonderzeichen mehr: Eine Auswahl an Groß- und Kleinbuchstaben zusammen mit Zahlen ist ausreichend. Besser ..
Längere Passwörter: Ein um nur einen Buchstaben verlängertes Passwort vergrößert den Suchraum für Passwortknacker mehr als ein Sonderzeichen. 12 Stellen sind Minimum, besser 20, Optimum 64. Dabei dürfen durchaus ganze Sätze zum Einsatz kommen. Solange es sich dabei nicht um bekannte Zitate oder Redewendungen handelt (Risiko Wörterbuchattacke!).
Keine regelmäßigen Änderungen mehr: Es erhöht sich lediglich die Gefahr des Vergessens oder Aufschreibens von Passwörtern. Das schafft keine Sicherheit, im Gegenteil!
Keine Sicherheitsfragen zur Freischaltung: Wo liegt die Sicherheit, wenn sich die Frage “Wie heißt ihr Haustier?” aus dem öffentlichen Facebook Profil eines Nutzers beantworten lässt?

Wir empfehlen zusätzlich eine Bedrohungsanalyse für die zu schützenden Logins. Greifen weitere Sicherheitsmaßnahmen wie automatische Sperre nach x Fehlversuchen , können auch kürzere Passwörter durchaus Sinn machen. Beantworten Sie sich doch einfach mal die Frage, wieso Banken eine EC-Karte mit einer PIN aus 4 Ziffern schützen? Weil Sie keine Ahnung von Sicherheit und Risiken haben? Oder weil die Karte nach 3 Fehlversuchen einfach gesperrt wird?

Natürlich kann es zwingende Gründe geben, ein Passwort doch mal zu ändern:

Es hat jemand bei der Eingabe des Passworts zugesehen (Shoulder Surfing)
Sie haben Ihr Passwort weitergegeben, statt einen Stellvertreterzugriff einzurichten
Ihre Zugangsdaten werden bei „Have I been pawned“„Have I been pawned“ oder auch dem Identity Leak CheckerIdentity Leak Checker des HPI (umfangreicher als HIBP) als kompromittiert gemeldet

Aber nur weil jedes Jahr der sog. „Change your Password“-Day ausgerufen ist, brauchen Sie nicht aktiv zu werden.

In vielen Fällen kann als weitere — unabhängige — Schutzmaßnahme auch eine Zwei-Faktor-Authentifizierung (2FA) zum Einsatz kommen und sehr nützlich sein. Neben dem Login mit Benutzername und Passwort wird über eine weitere unabhängige Komponente (Faktor) ein mehrstelliger Code zeitabhängig generiert, der zusätzlich angegeben werden muss. Diese Komponente kann ein Hardware-Token, eine Keycard oder auch ein Smartphone sein. Es gibt zahlreiche weitere Möglichkeiten für eine 2FA (Beitrag auf Wikipedia mit Erklärungen). Durch die Kombination dieser beiden voneinander unabhängigen notwendigen Angaben für den Login entsteht ein sehr hoher Schutz. Vorausgesetzt, auf den zweiten Faktor wird gut aufgepasst (Schutz des Smartphones mit Code-Sperre bei Inaktivität, Absicherung der 2FA App auf dem Smartphone mit weiterem Code oder Fingerprint).

Suchen Sie Argumente, die hausinterne Passwortrichtlinie zeitgemäß und sicher umzugestalten? Orientieren Sie sich an der neuen NIST Policy. Fakten zu den Mythen und Irrtümern als Argumentationshilfe finden Sie in unserem Blogbeitrag “Über Bord mit veralteten starren Passwort-Richtlinien”.

Sinnvoll ist es sicherlich, Admin-Kennwörter strengeren Schutzregelungen zu unterwerfen. Serverdienste sollte nicht nicht als Hauptadmin laufen, sondern einen eigenen Dienste-Admin erhalten. Administratoren verfügen über zwei Nutzeraccounts: Den personenbezogenen Administrationsaccount und einen Standardnutzer. Keine Admin-Aufgabe zu erledigen, dann wird auch nur im Standardnutzer gearbeitet. Und eigentlich selbsterklärend: Administrations-Accounts haben per Gruppenrichtlinie keinen Zugriff auf das Internet (leider immer noch nicht weit verbreitet).

Auch am Privat-PC gilt: Ein Admin-Account für Installation und Konfiguration, ein normaler Nutzer mit eingeschränkten Rechten für das tägliche Surfen, Mailen und Daddeln. Kostet wenig Zeit für das Umloggen bei Bedarf, erhöht aber das Schutzlevel um einiges.

Und nutzen Sie für die Flut an Passwörtern doch einfach einen Passwort-Tresor (keine Cloud-Anbieter) wie Keepass. Eine praktische Anleitung und Hilfe finden Sie hier im Blog.Eine praktische Anleitung und Hilfe finden Sie hier im Blog.

Weitere Beiträge zum Thema Passwort

Ihr Datenschutzbeauftragter oder Informationssicherheitsbeauftragter unterstützt Sie gerne bei diesem Thema. Sie haben keinen? Sprechen Sie uns an.

Update 01.02.2020:
Ergänzen von Gründen für Passwort-Wechsel, Hinweise auf Umgang mit Admin-Accounts, Verweis auf BSI Draft Baustein ORP.4

Informationssicherheitskonzept Arbeitshilfe V 3.0 erschienen — jetzt mit LSI Siegel

von Sascha Kuhrau
7. Oktober 2019

Wer benötigt ein Informationssicherheitskonzept?

Jede Organisation ist gefordert, die Anforderungen aus Art. 32 DSGVO zu erfüllen. Da steht in Absatz 1:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Unter b) sind die Grundwerte der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität genannt. Betrachten wir die Kurzdefinitionen aus der Informationssicherheit hierzu.

Vertraulichkeit: Keine unberechtigte Kenntnisnahme (bis hin zum Mißbrauch) der Informationen, weder durch Mitarbeiter noch durch Externe.

Integrität: Die Informationen sind korrekt, vollständig und unverfälscht. Änderungen sind nachvollziehbar und rückgängig zu machen.

Verfügbarkeit: Die Informationen stehen zur richtigen Zeit am richtigen Ort zur Verfügung (nicht beschränkt auf IT-Verfügbarkeit). [Verfügbarkeit ist in der Tat erst an dritter Stelle, auch wenn in der Praxis um das Thema Ausfallzeiten gerne der Tanz um das goldene Kalb stattfindet.]

Diese Grundwerte der Informationssicherheit sicherzustellen, ist das Ziel eines jeden Informationssicherheitskonzepts, auch des Standards der sog. “Arbeitshilfe”.

Unterpunkt d) verlangt von Ihrer Organisation, die Wirksamkeit der im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit ergriffenen technischen und organisatorischen Maßnahmen regelmäßig zu prüfen und bei Bedarf nachzujustieren oder geeignete zusätzliche bzw. ergänzende Schutzmaßnahmen einzuführen. Auch dies ist eine der Kernfunktionen eines funktionierenden Informationssicherheitskonzepts.

Salopp gesagt, verlangt die DSGVO von Organisationen in diesem Fall nicht weniger als die Einführung eines Informationssicherheitskonzepts und dessen kontinuierlichen Betrieb. Klar kann man versuchen, sich auch selbst ein Konzept zu “basteln”, bleibt nur die Frage “Wieso sollte man das tun?”

Bayerische Kommunen sind per Gesetz (BayEGovG) sogar dazu verpflichtet, bis zum 01.01.2020 ein Informationssicherheitskonzept eingeführt und im laufenden Betrieb zu haben.

Bewährte Standards wie die ISO 27001, der BSI IT-Grundschutz, ISIS12 (als Ableitung aus dem IT-Grundschutz) sind seit vielen Jahren bewährte Standards, um ein Informationssicherheitskonzept einzuführen, zu betreiben und damit auch die Anforderungen aus Art. 32 DSGVO zu erfüllen. Diese Standards skalieren zwar auch für kleinere Organisationen, sind dennoch sehr ressourcenintensiv. Hier hat für den kommunalen Bereich die Innovationsstiftung Bayerische Kommune im Auftrag der Bayerischen Kommunalen Spitzenverbände angesetzt und gerade für kleinere kommunale Einrichtungen durch a.s.k. Datenschutz die “Arbeitshilfe zur Einführung eines Informationssicherheitskonzepts nach Art. 11 BayEGovG” entwickeln lassen. Dieser Standard basiert auf den Erkenntnissen und Vorgehensweisen aus zahlreichen IT-Grundschutz-Projekten sowie dem früheren “Quick Check Datenschutz + Datensicherheit”. Entgegen der Bezeichnung und ursprünglichen Ausrichtung auf den kommunalen Bereich ist die “Arbeitshilfe” universell einsetzbar und natürlich auch in Unternehmen einsetzbar. Hierzu sind lediglich Begrifflichkeiten anzupassen, statt Bürgermeister heißt es dann eben Geschäftsführer.

Standard für Informationssicherheit Arbeitshilfe Version 3.0 erschienen

Am 26. September 2019 ist die Arbeitshilfe mittlerweile in Version 3.0 erschienen. Die Weiterentwicklung und Anpassung oblag erneut uns von der a.s.k. Datenschutz. Neben Aktualisierungen z.B. bei Links zum gerade aufgefrischten BSI IT-Grundschutz stand neben der Fehlerkorrektur die Anpassung an das Siegel “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik — kurz LSI — in Nürnberg im Vordergrund. Wenn Sie mehr über das LSI Siegel erfahren wollen, finden Sie Details hierzu in einem weiteren Blogbeitrag.

Kommunale Einrichtungen, die sich zur Einführung eines Informationssicherheitskonzepts auf Basis der Arbeitshilfe entscheiden, erfüllen mit der Umsetzung die Anforderungen des LSI zum Erhalt des Siegels “Kommunale IT-Sicherheit”. Das setzt natürlich eine ernsthafte und ehrliche Bearbeitung der 9 Kapitel der Arbeitshilfe zur Informationssicherheit in der Kommune voraus.

Hier geht es direkt zum Download der Arbeitshilfe V 3.0. Sollte der Link nicht mehr funktionieren, nutzen Sie bitte die Startseite der Innovationsstiftung und suchen die Veröffentlichung vom 28.09.2019.

Mit a.s.k. Datenschutz und der Arbeitshilfe zum Siegel “Kommunale IT-Sicherheit”

Wenn Sie sich bei der Einführung der Arbeitshilfe in Ihrer Verwaltung durch das Team von a.s.k. Datenschutz unterstützen lassen, dann übernehmen wir am Ende die Formalitäten der notwendigen Angaben und Auskünfte gegenüber des LSI. Einem Erhalt des Siegels sollte dann nichts mehr im Wege stehen.

Sollten wir Sie im Anschluß auch als externe Informationssicherheitsbeauftragte betreuen, kümmern wir uns mit Ihnen gemeinsam auch um die Verlängerung des Siegels nach Ablauf der 2 Jahre Gültigkeitsdauer. Dazu muss dem LSI der Weiterbetrieb Ihres Informationssicherheitskonzepts belegt bzw. nachgewiesen werden. Auch dies würden wir von a.s.k. Datenschutz übernehmen.

Übrigens nutzen wir zur Einführung und zum Betrieb Ihres Informationssicherheitskonzepts auf Basis der Arbeitshilfe eine hochmoderne und vollverschlüsselte Projektplattform. Damit wird die Bearbeitung der Punkte zwar kein Kinderspiel, aber die Dokumentation dazu erledigt sich fast von selbst. Gleichzeitig versäumen Sie und wir keine Revisionstermine und Wiedervorlagen. Mehr Infos in diesem Blogbeitrag. Unsere Plattform ist bereits für Version 3.0 der Arbeitshilfe aktualisiert und angepasst.

Unternehmen und die Arbeitshilfe als Informationssicherheitskonzept

Wie eingangs schon beschrieben, ist auch dies kein Problem. In der Wortwahl werden zwar kommunale Funktionen adressiert, aber die inhaltlichen Anforderungen an Informationssicherheit sind zwischen Unternehmen und Behörden identisch. Ersetzen Sie in Gedanken einfach Begriffe wie “Bürgermeister” mit “Geschäftsführer” und schon sind Sie in der Unternehmenswelt angekommen.

Das einzige Manko: Das LSI Siegel “Kommunale IT-Sicherheit” kann nur von kommunalen Einrichtungen erworben werden. Als Unternehmen sind Sie hier außen vor. Gerne unterstützen wir auch Ihr Unternehmen bei der Einführung eines Informationssicherheitskonzepts.

Angebot Informationssicherheitskonzept für Kommunen bzw. Behörden

Sie wünschen ein unverbindliches Angebot? Dann nutzen Sie einfach unser verschlüsseltes Anfrage-Formular. Wir melden uns zeitnah bei Ihnen.

Unverbindliches Angebot anfordern

IT-Notfallkarte für Mitarbeiter (Hilfestellung der Allianz für Cybersicherheit und des BSI)

von Sascha Kuhrau
30. September 2019

Notfallbehandlung — ein wichtiges Element in der Informationssicherheit und im Datenschutz

Im Zuge der Diskussion um Informationssicherheitskonzepte und technische Maßnahmen im Sinne der DSGVO stößt man unweigerlich auf das Thema Notfallmanagement. Vorrangig zielen die ergriffenen technischen und organisatorischen Schutzmaßnahmen einer Organisation ja darauf ab, Sicherheitsvorfälle und Notfälle möglichst zu vermeiden. Die Eintrittswahrscheinlichkeit soll möglichst nahe Null liegen. Das dies für jede Art von Vorfall nicht immer gelingt, liegt auf der Hand. Umso wichtiger ist, von solchen Vorfällen frühzeitig Kenntnis zu erlangen, diese korrekt zu bewerten und angemessen zu reagieren.

Dies setzt jedoch sensibilisierte Mitarbeiter voraus, die im Falle eines Sicherheitsvorfalls oder eines Notfalls wissen, was zu tun ist. Die Allianz für Cyber-Sicherheit hat sich zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und einigen anderen Einrichtungen im Hinblick auf IT-Sicherheitsvorfälle Gedanken gemacht.

Die IT-Notfallkarte “Verhalten bei IT-Notfällen” für Mitarbeiter

Sie kennen das sicher noch aus der Erste-Hilfe-Ausbildung. Die 5 “W” für den richtigen Notruf:

Wo ist das Ereignis?
Wer ruft an?
Was ist geschehen?
Wie viele Betroffene?
Warten auf Rückfragen

Analog zu dieser Vorgehensweise gibt es nun die IT-Notfallkarte zum kostenfreien Download und zur Verteilung an Mitarbeiter bzw. Aushang der Karte. Nach Eintrag der internen Rufnummer für IT-Notfälle kommen die 5 “W” für die Notfallmeldung:

Wer meldet?
Welches IT-System ist betroffen?
Wie haben Sie mit dem IT-System gearbeitet bzw. was haben Sie beobachtet?
Wann ist das Ereignis eingetreten?
Wo befindet sich das betroffene IT-System (Gebäude, Raum, Arbeitsplatz)?

Darunter finden sich einige Verhaltenshinweise für den oder die betroffenen Mitarbeiter. Für den Fall eines Befalls mit Kryptotrojanern wäre möglicherweise die Empfehlung “Netzwerkkabel ziehen” noch recht hilfreich gewesen.

Sehr gut hat uns die Aussage gefallen “Ruhe bewahren & IT-Notfall melden. Lieber einmal mehr als einmal zu wenig anrufen!”, die sich als zweite Überschrift auf der Karte oben findet.

Top 12 Maßnahmen bei Cyber-Angriffen

Da es nach der Meldung eines IT-Notfalls mit der Bearbeitung weitergehen muss, liefert die Allianz für Cybersicherheit zur weiteren “Bewältigung des Notfalls” eine Top 12 Liste mit. Auf dieser finden sich die wichtigsten Maßnahmen zur Schadensbegrenzung und auch der Nachbearbeitung des hoffentlich glimpflich verlaufenen Angriffs.

Diese Top 12 Maßnahmen bei Cyber-Angriffen richten sich an IT-Verantwortliche und Administratoren und sollten an keinem Arbeitsplatz als Hilfestellung fehlen.

Doch damit nicht genug, professionelles Notfallmanagement ist gefragt

Diese beiden Hilfestellungen sind ein erster Schritt in die richtige Richtung. Doch ohne professionelles Notfallmanagement wird keine Organisation zukünftig auskommen. Wurden die Themen Datenschutz und Informationssicherheit in der Vergangenheit meist schon sehr stiefmütterlich behandelt, haben gerade kleine Organisationen das Thema Notfallmanagement gar nicht oder nur weit am Ende des Erfassungsbereichs auf dem Radar.

Hier verweist die Allianz für Cybersicherheit auf den Standard 100–4 des BSI IT-Grundschutzes. 100–4 beschreibt eine professionelle und systematische Vorgehensweise zur Einführung und Weiterentwicklung eines Notfallmanagements in Organisationen jeglicher Größe und Branche. Bei erster Durchsicht mag das dem einen oder anderen Leser etwas sperrig oder zu aufgebauscht wirken. Und sicher empfiehlt es sich, in Abhängigkeit von der Organisationsgröße den Standard 100–4 angemessen und zweckdienlich umzusetzen. Eine stoische 1:1 Umsetzung ist eher suboptimal.

Sinn und Notwendigkeit für ein Notfallmanagement sollten jedoch schnell klar werden. Ein Notfall ist etwas anderes als “Kein Papier im Drucker”. Ok, der betroffene Mitarbeiter mag das kurzzeitig so empfinden 🙂 In einem Notfall oder auch bei der Verkettung mehrerer Arten von Notfällen ist keine große Zeit, sich über die Notfallbehandlung Gedanken zu machen oder wichtige Informationen für die Beseitigung des Notfalls zu beschaffen.

Wenn Sie mit dem Thema liebäugeln, können wir Ihnen den Kurs “Notfallmanagement” der Bayerischen Verwaltungsschule wärmstens an Herz legen. Dieser ist nicht auf bayerische Verwaltungen beschränkt, sondern steht interessierten Teilnehmern aus Behörden und Unternehmen aus ganz Deutschland offen.

Im Rahmen von Informationssicherheitskonzepten wird die Entwicklung eines Notfallvorsorgekonzepts und eines Notfallplans (erst die Vermeidung, dann die Reaktion, wenn es mit dem Vermeiden nicht geklappt hat) gefordert. Wer sich also mit den Standards wie IT-Grundschutz, ISIS12 oder auch der Arbeitshilfe (für kleinere Einrichtungen) und deren Einführung befasst, wird um das Thema nicht herumkommen.

Was kann a.s.k. Datenschutz für Sie tun?

Vorausgeschickt: a.s.k. Datenschutz ist der Dozent an der Bayerischen Verwaltungsschule u.a. für das Thema Notfallmanagement und die Ausbildung von zertifizierten Informationssicherheitsbeauftragten. Im Zuge von zahlreichen Sicherheitskonzepten begleiten wir die Einführung von Notfallvorsorgekonzepten und die Erstellung von Notfallplänen. Selbstverständlich bieten wir diese Dienstleistung im Rahmen der Einführung und Begleitung von Informationssicherheitskonzepten, aber auch flankierend zur Tätigkeit als externe Informationssicherheitsbeauftragte an. Sprechen Sie uns einfach an. Ihren Datenschutzbeauftragten wird das sicher auch freuen.

Apropos Datenschutzbeauftragter: Verfügt Ihre Organisation über einen Datenschutzbeauftragten? Öffentliche Stellen sind zur Bestellung ungeachtet der Mitarbeiterzahl generell verpflichtet. Unternehmen benötigen einen Datenschutzbeauftragten ab 10 Mitarbeitern (sollte das 2. DsAnpG den Bundesrat passieren erhöht sich die Zahl auf 20), die regelmäßig mit der Verarbeitung von personenbezogenen Daten befasst sind. Und lassen Sie sich keinen Sand in die Augen streuen. Ob mit oder ohne Datenschutzbeauftragten müssen alle anderen datenschutzrechtlichen Anforderungen in Ihrer Organisation erfüllt sein. Wenn es keinen DSB gibt, muss sich jemand anderes um die meist bürokratischen Aufgaben kümmern. Einfacher und pragmatischer geht es mit a.s.k. Datenschutz als externe Datenschutzbeauftragte. Fordern Sie noch heute Ihr unverbindliches Angebot an.

Unverbindliches Angebot anfordern

BSI warnt vor GermanWiper: Löschen statt Verschlüsseln ist die Devise dieses Trojaners

von Sascha Kuhrau
5. August 2019

Wer aktuell eine Bewerbung per Email erhält, sollte besonders wachsam sein. Hatten auf Stellenanzeigen hin präparierte Krypto-Trojaner wie Golden Eye damals das Verschlüsseln aller Daten auf dem Zielsystem im Sinn, sieht das bei GermanWiper nun anders aus. Statt Verschlüsselung greift diese neue Ransomware zum Löschen aller Daten. Im angehängten ZIP-Archiv befindet sich dieses Mal kein Word-Dokument mit Makros, sondern eine Windows-Link-Datei. Wird diese gestartet, öffnet sich die Windows Powershell und der eigentliche Schadcode von GermanWiper wird geladen und ausgeführt. Lt. BSI gibt der Text der Email noch keinen Anlass zum Argwohn. Unbedarfte bzw. unsensibilisierte Anwender dürften also durchaus eine Risikogruppe für diesen Angriff darstellen.

Hoffen auf eine Lösegeldforderung nach möglicher Bitcoin-Lösegeldzahlung braucht man bei GermanWiper nicht. Denn statt zur Verschlüsselung zu greifen, löscht GermanWiper einfach alle Daten im Rahmen der Zugriffsrechte des Anwenders. Gelöscht wird nicht mit dem klassischen Verschieben in den Papierkorb und anschließendem Leeren des Papierkorbs. In diesem Fall wären die Daten meist mit mehr oder weniger Aufwand wiederherstellbar. GermanWiper überschreibt vorhandene Daten mit Nullen. Perfide: Am Ende zeigt GermanWiper doch einen Lösegeldbildschirm an. Darauf eingehen, sollte man jedoch nicht. Denn die von GermanWiper gelöschten Daten können auch nach Zahlung von Lösegeld nicht mehr wiederhergestellt werden.

Wohl dem, der ein funktionsfähiges und regelmäßig geprüftes Backup seiner Daten hat. Dieses sollte selbstverständlich „offline“ sein, also durch einen Angriff wie mit GermanWiper nicht erreichbar sein. Berechtigungskonzepte sollten nach dem least privilege Prinzip umgesetzt sein (nur so viele Zugriffsrechte wie zwingend notwendig). Externe Laufwerke aber auch Netzlaufwerke sollten wirklich nur im Fall der Datensicherung verbunden sein und danach wieder getrennt werden. Eine Grundanforderung ist ebenfalls: Ein Administrator surft mit seinen erweiterten Rechten nicht im Internet und liest damit auch keine Emails. Für diese Tätigkeiten steht ein eingeschränkter Account zur Verfügung.

Im Rahmen eines Informationssicherheitskonzepts aber auch bei regelmäßig durch den Datenschutzbeauftragten geprüften technischen und organisatorischen Maßnahmen sollte dies gewährleistet sein. Auch regelmäßige Tests zur Datenwiederherstellung (Recovery-Tests) helfen, diesem Risiko zu begegnen. Vielleicht wäre es auch ein guter Zeitpunkt, die schon eine Weile zurückliegende Sensibilisierung der Mitarbeiter nachzuholen.

Sie verfügen noch über keinen Datenschutzbeauftragten? Mit einem Informationssicherheitskonzept wie dem BSI IT-Grundschutz, ISIS12 oder der Variante „Arbeitshilfe“ für kleinste Einrichtungen haben Sie zwar schon geliebäugelt, aber noch nichts dergleichen umgesetzt? Dann sprechen Sie uns gerne an. Gerne unterstützen wir Sie auch als externe Datenschutzbeauftragte und externe Informationssicherheitsbeauftragte mit unserem Team in Berlin, Simmelsdorf und München und unserer über 10 Jahre bewährten Erfahrung mit pragmatischen Lösungen.

1
2
3
…
10
Weiter »

Sicherheit

Nor­men für Informationssicherheit

WiBA — Weg in die Basis-Absicherung

Über­le­gun­gen zur aktu­el­len Gestal­tung /​ Umset­zung von WiBA — Weg in die Basis-Absicherung

War­um bzw. wann soll­te ich ein Pass­wort über­haupt ändern bzw. wechseln?

Bes­ser: Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) akti­vie­ren, statt Pass­wort zu ändern

2FA ist kei­ne Raketenwissenschaft

“Ja, aber ..”

2FA: Back­up-Codes nicht vergessen

“Ich bereue den Passwort-Wahnsinn”

Abschlie­ßen­der Tipp: Pass­wort-Tre­so­re nutzen

Soft­ware-Unter­stüt­zung für die Arbeitshilfe

Wie­so ein Informationssicherheitskonzept?

Wel­chen Stan­dard zur Infor­ma­ti­ons­si­cher­heit wählen?

Infor­ma­ti­ons­si­cher­heits­kon­zep­te bes­ser mit Software-Unterstützung

Sicher­heitsaspek­te der neu­en Coro­na App

Daten­schutz und Pri­vat­sphä­re

Prüf­auf­trag der Coro­na App war limi­tiert

Fazit zum aktu­el­len Stand der Coro­na App

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler

2019-12 — Daten­pan­ne bei der Luft­hansa

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern

2019-05 — Hack­ing und Daten­pan­nen im Arztbereich

2019-08 — Hack­ing — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet

2019-08 — Daten­pan­ne im Hau­se Twit­ter

2019-09 — Hack­ing nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten

Wie­so bis­her ein Pass­wort dau­ernd gewech­selt wer­den musste

Bis­her galt ein Pass­wort als sicher, wenn es kom­plex war und dau­ernd geän­dert wurde

“Ich bereue den Passwort-Wahnsinn”

Eine siche­re Passwort-Richtlinie

Wer benö­tigt ein Informationssicherheitskonzept?

Stan­dard für Infor­ma­ti­ons­si­cher­heit Arbeits­hil­fe Ver­si­on 3.0 erschienen

Mit a.s.k. Daten­schutz und der Arbeits­hil­fe zum Sie­gel “Kom­mu­na­le IT-Sicherheit”

Unter­neh­men und die Arbeits­hil­fe als Informationssicherheitskonzept

Ange­bot Infor­ma­ti­ons­si­cher­heits­kon­zept für Kom­mu­nen bzw. Behörden

Not­fall­be­hand­lung — ein wich­ti­ges Ele­ment in der Infor­ma­ti­ons­si­cher­heit und im Datenschutz

Top 12 Maß­nah­men bei Cyber-Angriffen

Doch damit nicht genug, pro­fes­sio­nel­les Not­fall­ma­nage­ment ist gefragt

Was kann a.s.k. Daten­schutz für Sie tun?

Normen für Informationssicherheit

Überlegungen zur aktuellen Gestaltung / Umsetzung von WiBA — Weg in die Basis-Absicherung

Warum bzw. wann sollte ich ein Passwort überhaupt ändern bzw. wechseln?

Besser: Zwei-Faktor-Authentifizierung (2FA) aktivieren, statt Passwort zu ändern

2FA ist keine Raketenwissenschaft

2FA: Backup-Codes nicht vergessen

Abschließender Tipp: Passwort-Tresore nutzen

Software-Unterstützung für die Arbeitshilfe

Wieso ein Informationssicherheitskonzept?

Welchen Standard zur Informationssicherheit wählen?

Informationssicherheitskonzepte besser mit Software-Unterstützung

Sicherheitsaspekte der neuen Corona App

Datenschutz und Privatsphäre

Prüfauftrag der Corona App war limitiert

Fazit zum aktuellen Stand der Corona App

Oberlandesgericht Berlin wird gehackt - Informationssicherheit fraglich

2019-11 — Sicherheitslücke bei chinesischem Smartphone-Hersteller

2019-12 — Datenpanne bei der Lufthansa

2020-02 — Vorfall in der Informationssicherheit bei Samsung

2020-03 — Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin

2019-04 - 540 Millionen Facebook-Kundendaten auf öffentlich zugänglichen Servern

2019-05 — Hacking und Datenpannen im Arztbereich

2019-08 — Hacking — Daten von 106 Millionen Bankkunden der Capital One erbeutet

2019-08 — Datenpanne im Hause Twitter

2019-09 — Hacking nicht notwendig — Fahrlässigkeit bei Millionen von Patientendaten

Wieso bisher ein Passwort dauernd gewechselt werden musste

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Eine sichere Passwort-Richtlinie

Wer benötigt ein Informationssicherheitskonzept?

Standard für Informationssicherheit Arbeitshilfe Version 3.0 erschienen

Mit a.s.k. Datenschutz und der Arbeitshilfe zum Siegel “Kommunale IT-Sicherheit”

Unternehmen und die Arbeitshilfe als Informationssicherheitskonzept

Angebot Informationssicherheitskonzept für Kommunen bzw. Behörden

Notfallbehandlung — ein wichtiges Element in der Informationssicherheit und im Datenschutz

Top 12 Maßnahmen bei Cyber-Angriffen

Doch damit nicht genug, professionelles Notfallmanagement ist gefragt

Was kann a.s.k. Datenschutz für Sie tun?