Gesammeltes Wissen

60 Sekunden für mehr Informationssicherheit

Und in gewisser Weise hat sie damit Recht behalten: Für jedes nur erdenkliche Anwendungsgebiet gibt es heute Apps und Software im World Wide Web zu finden, und gerade kostenlose Angebote sind bei vielen Nutzern beliebt. Aus Sicht eines Angreifers liegt es daher auf der Hand, seine Schadsoftware ebenfalls über das World Wide Web zu vertreiben und kostenlos anzubieten, damit möglichst viele unbedarfte Nutzer darauf zugreifen.

Stellen wir uns einmal kurz vor, wir hätten etwas entworfen, entwickelt oder eine interessante Idee gehabt die anderen Leuten hilft oder einfach nur Spaß macht. Würden wir diese Idee dann frei, kostenlos und für jedermann zugänglich veröffentlichen? Wahrscheinlich nicht. Vielleicht noch für die Familie oder enge Freunde, um ihnen eine Freude zu machen, aber doch nicht ohne Gegenleistung für alle Menschen dieser Erde, oder? Wieso sollten dann Apps und Software, in die mindestens eine Person Zeit und Mühe gesteckt hat, frei zur Verfügung stehen und jeder sie kostenlos nutzen können?

Man kann kostenlos im Internet verfügbare Programme/Apps grob in vier Kategorien unterteilen:

  1. Apps, die von Firmen gratis zur Verfügung gestellt werden, da sie dazu dienen, Services des Anbieters zu nutzen, für die der Kunde ohnehin zahlt. Beispiele: Apps von Dienstleistern wie der Bahn, DHL, eBay, Amazon etc.
  2. Apps mit In-App-Käufen, bei denen der Einstieg umsonst ist, aber früher oder später bezahlt werden muss, wenn man alle Features nutzen will oder damit die Programme überhaupt sinnvoll funktionieren. Die meisten Spiele-Apps fürs Smartphone oder Tablet funktionieren auf diese Weise (z. B. Candy Crush, Pokémon GO).
  3. Apps mit Datenverkauf. Hier bezahlen die Benutzer quasi mit ihren Daten. Wenn man den Nutzungsbedingungen dieser Apps zustimmt, tritt man die Rechte an bestimmten Inhalten (Fotos, Videos, persönliche Daten, Verbindungen zu anderen Nutzern) an die Betreiberfirma ab, die sie dann für ihre Zwecke nutzen kann. Beispiel: Facebook, Instagram, Snapchat, TikTok, WhatsApp u. v. m.
  4. Apps mit Schadwirkung. Der Preis für ihre Nutzung sind ständige Werbeeinblendungen (womöglich mit Anklicken der Werbung ohne Zutun des Nutzers) oder – noch schlimmer – der heimliche Aufruf von schädlichen Websites. Die Folgen für den Nutzer dieser Art Apps gehen von nervenden Bannern über den Verlust von Rechen- und Batterieleistung bis hin zu Schadsoftware, die ohne Nachfrage installiert wird. Beispiele aus der Vergangenheit: Agent Smith, Daily Fitness – Yoga Poses.

Man sollte also ein waches Auge auf die Auswahl seiner Apps haben und nur Software aus bekannten Quellen nutzen (etwa die offiziellen App-Stores von Google, Apple oder Microsoft). Dies schließt zwar die Möglichkeit nicht aus, trotzdem an Schadsoftware zu geraten, minimiert die Gefahr aber erheblich!

[Autorin: Katja Eicher, VdS Schadenverhütung GmbH]

 

Vielen dürfte dieser Werbeslogan sicherlich noch ein Begriff sein. Aber auch wer ihn noch nicht kennt oder sich nicht mehr daran erinnern kann, kann ihn prima für sich nutzen, nämlich als Eselsbrücke für die Datensicherung. Ein Thema, dass leider gerne mal in Vergessenheit gerät.

Wer kennt das nicht: klick, klick, klick – „Ja ich möchte die Daten aus dem Papierkorb löschen. (Man muss ja zwischendurch mal aufräumen.)“ – 30 Minuten später: „Oh nein, wo ist denn meine Präsentation für morgen?!?“

Gut, dass wir auf der Arbeit unsere IT-Abteilung haben, die uns auch in solchen Fällen schnell helfen kann. Ein Anruf, eine Wiederherstellung und schon kann ich am nächsten Tag meine Präsentation zeigen, ohne alles neu schreiben zu müssen. Schön, wenn sich jemand im Hintergrund um die Datensicherung kümmert und die Daten auch dort gespeichert waren, wo sie gesichert werden, und nicht auf irgendeinem Stick, der da gerade mal so rumlag.

Aber wie sieht es denn zu Hause aus? Ich habe leider keine IT-Abteilung, die sich um meine Daten kümmert, sodass ich auch in ein paar Wochen, Monaten oder Jahren in den Erinnerungsfotos von meiner Hochzeit oder vom 40. Geburtstag meines Bruders stöbern kann, um mich daran zu erfreuen. Das muss ich leider selber machen.

Als Faustregel sollten wir immer drei Kopien unserer wichtigen Daten haben. (Zumindest der Daten, die wir noch lange behalten wollen und deren Verlust schmerzen würde!) Zwei dieser Kopien sollten wir extern (also außerhalb des Computers/Smartphones) vorhalten und eine dieser externen Kopien sollte sich zudem an einem Ort außerhalb der Privatwohnung befinden.

Hier schließt sich der Kreis zur oben genannten Eselsbrücke für die Datensicherung im Privaten:

3 = drei Kopien: eine auf dem Computer/Smartphone + zwei auf externen Datenträgern

2 = zwei Kopien: eine auf externe Festplatte oder USB-Stick + eine Sicherung an einem anderen Ort

1 = eine Kopie: entweder in der Cloud oder auf einer zweiten externen Festplatte, die im Bankschließfach, bei den Eltern oder den Kindern hinterlegt wird

meins! = Meine Daten sind sicher!

[Autorin: Katja Eicher, VdS Schadenverhütung GmbH]

 

Dicke Fische sind im Internet Benutzernamen und Passwörter. Wer sie ergattert hat, kann im Namen anderer ungehemmt shoppen, Botschaften verbreiten oder anderen Unfug treiben. Der Versuch, mittels gefälschter E-Mails die Zugangsdaten abzugreifen, wird Phishing genannt. Dieses Kunstwort setzt sich zusammen aus den englischen Wörtern „password“ und „fishing“.

Die Datenfischer fälschen E-Mails bekannter Unternehmen wie Internetshops, Logistiker, Telekommunikationsunternehmen oder Banken. Darin fordern Sie den Nutzer auf, eine Website aufzurufen und dort irgendetwas zu bestätigen. Dabei muss der Nutzer sich authentifizieren, indem er seine geheimen Zugangsdaten eingibt. Der Trick dabei: Statt auf die echte Website eines bekannten Unternehmens leiten die Täter auf gefälschte Seiten um, die oft täuschend ähnlich aussehen. Der so überlistete Nutzer schreibt seine Zugangsdaten dort quasi auf einen Zettel und wirft sie den Tätern in den Briefkasten.

Um das zu verhindern, beachten Sie folgende einfache Tipps:

  1. Erst denken, dann klicken.
  2. Haben Sie überhaupt mit dem fraglichen Unternehmen zu tun? Im Zweifel löschen Sie die Mail.
  3. Beachten Sie ganz genau die URL in der Browserzeile, falls Sie auf den Link geklickt haben.
  4. Rufen Sie die Website des Unternehmens besser „zu Fuß“ auf, wenn Sie Ihr Kundenkonto prüfen wollen.
  5. Vorsicht bei vermeintlicher Eile: Lassen Sie sich nicht unter Zeitdruck setzen! Seien Sie skeptisch, wenn etwas angeblich unbedingt sofort erledigt werden müsse.

[Autorin: Sebastian Brose, VdS Schadenverhütung GmbH]

 

Wenn ein lieber Mensch von uns geht, sind wir nicht nur mit unserer Trauer konfrontiert, sondern müssen, wenn es um nahe Verwandte geht, auch noch viel Bürokratie erledigen. Gut, wenn der Verstorbene schon zu Lebzeiten einiges organisiert hat und man selbst nicht alles entscheiden oder suchen muss. Ein Testament kann bei Vielem eine große Hilfe sein. Doch je mehr Menschen im digitalen Zeitalter Dienste und Services online nutzen, desto schwieriger wird die Nachlassverwaltung.

Viele kennen das ja von sich selbst: „Oh, das ist aber ein gutes Angebot, da schließe ich mal ein (Probe-)Abo bei Dienst XY ab.“ – Sollte uns dann etwas zustoßen, werden die Hinterbliebenen wohl nur in den seltensten Fällen die Kundennummern und Passwörter für die gebuchten Dienste kennen. Wer von uns könnte auf einen Schlag alle Verträge, Abos und andere Verpflichtungen aufzählen, die er derzeit laufen hat? Wahrscheinlich niemand. Wie sollen das denn nur unsere Hinterbliebenen schaffen?

Je mehr wir digitale Angebote nutzen, zu denen es in 90 Prozent der Fälle nur Mail-Verkehr gibt und kein Papierstück, desto wichtiger wird es, Kundennummern oder Zugangsdaten an einem sicheren Ort für anvertraute Personen zu deponieren, damit diese im schlimmsten Fall schnell Zugriff darauf haben und diese ganze Bürokratie etwas geordneter angehen können. Denn es fühlt sich schon ein wenig falsch an, in privaten Mails und Unterlagen eines lieben verstorbenen Menschen herumzuwühlen, bis man einen eventuell geschlossenen Vertrag findet, von dem man nichts weiß.

Es kostet nicht viel Zeit, die Daten für jedes neue Angebot, für das man sich angemeldet hat, schriftlich festzuhalten (ein einfaches Word-Dokument genügt). Diese Infos werden in ausgedruckter Form an einem zentralen Ort gesammelt, zum Beispiel bei den Steuerunterlagen. Wenig Aufwand für uns, aber eine riesige Hilfe für Hinterbliebene, die sowieso schon genug Schmerz verkraften müssen. – Oder möchten Sie selbst ständig bei Facebook oder Xing von Ihren Verstorbenen angelächelt werden, weil niemand deren Profile abmelden oder löschen kann?

[Autorin: Katja Eicher, VdS Schadenverhütung GmbH]

Nicht allzu selten sehen wir diesen Spruch oder ähnliche Mitteilungen auf unserem Monitor genau in dem Moment, in dem wir Feierabend machen wollen, in einem Meeting sitzen und eine Präsentation halten müssen oder einfach schnell etwas nachgucken wollen. Aber nicht nur auf der Arbeit werden wir mit diesen nervigen Updates konfrontiert. Das Ganze geht privat auf unseren Smartphones weiter: „Wir haben Änderungen eingepflegt. Bitte laden Sie sich die neueste App aus dem App-Store, damit Sie unseren Service wie gewohnt nutzen können.“ Oder die berüchtigte Meldung: „Optimiere WhatsApp“, genau in dem Moment, in dem wir unseren Bekannten schreiben wollten, wo wir uns treffen …

Nervig, aber mehr als notwendig! Auch für Ihre eigenen Daten! Täglich werden unzählige neue Schwachstellen in Systemen, Software oder eben in den Apps entdeckt. Damit Kriminelle diese Einfallstore nicht ausnutzen können, bringen die Hersteller regelmäßig Updates oder Sicherheitspatches heraus. Je nach Dringlichkeit der Sicherheitslücke werden diese Updates entweder dem Nutzer zur freiwilligen Nutzung zur Verfügung gestellt oder ungefragt zwangsweise eingespielt.

Schützen Sie Ihre Daten und die Daten Ihres Unternehmens und führen Sie regelmäßig Updates durch! Kleiner Tipp: Reservieren Sie für sich einmal in der Woche ein Zeitfenster für Updates. Schauen Sie in dieser Zeit nach, ob Updates für Ihren PC oder Ihr Smartphone vorhanden sind, und installieren Sie diese sofort, dann werden Sie auch nicht zu den ungünstigsten Zeiten von den kleinen nervigen Benachrichtigungen auf Ihrem Bildschirm gestört. Für das Smartphone klappt das beispielsweis super am Sonntagabend auf der Couch, während der Tatort läuft. Da braucht man das Ding sowieso nicht.

[Autorin: Katja Kern, VdS Schadenverhütung GmbH]

Durch die europäische Datenschutzgrundverordnung (DSGVO) werden die Unternehmen verpflichtet, ein Datenschutzmanagement zu etablieren, welches den Schutz der personenbezogenen Daten in Unternehmen sicherstellen soll.

Mit dem Sammelbegriff Datenschutzmanagement werden alle Prozesse bezeichnet, die notwendig sind, um die Umsetzung der gesetzlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung, dem Betrieb und nach der Deaktivierung von Verfahren zur Informationsverarbeitung sicherzustellen.

Folgende Aktivitäten sollten hierbei beachtet bzw. umgesetzt werden:

  • Zuweisung von Verantwortlichkeiten (Topmanagement usw.)
  • Bestellung und Meldung des Datenschutzbeauftragten
  • Zusammenstellen eines Datenschutz-Teams
  • Erstellen einer zentralen Datenschutz-Leitlinie
  • Erstellen der Datenschutz-Richtlinien wie z. B.:
    • Umgang mit personenbezogenen Daten
    • Zutritts-, Zugangs- und Zugriffsrichtlinien
    • Abwesenheitsregelungen (Zugang zum Datenbestand des Abwesenden)
    • Richtlinie für die Nutzung von Home Office
    • Integration privater IT-Systeme (Bring Your Own Device/BYOD)
  • Schulung/Sensibilisierung der Mitarbeiter
  • Erstellen eines Verarbeitungsverzeichnisses
  • Prozess zur Bearbeitung von Datenpannen
  • Datenmanagement (Aufbewahrungs-/Löschfristen)
  • Erstellen und Umsetzen von technischen und organisatorischen Maßnahmen
    • Passwortrichtlinien
    • Datenschutzfolien für Bildschirme
    • Verschlüsselung von Festplatten
    • usw.

Bei der Umsetzung dieser Aktivitäten für den Einsatz eines DSGVO-konformen Datenschutzmanagements können Ihnen die VdS-Richtlinien zur Umsetzung der DSGVO (VdS 10010) behilflich sein.

Um sich ein aktuelles Bild des Datenschutzniveaus in Ihrem Unternehmen zu machen, empfehle ich Ihnen den VdS-Quick-Check unter www.vds-quick-check.de.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Immer häufiger werden Cyber-Angriffe unter Verwendung von E-Mails durchgeführt. Entweder enthalten diese Nachrichten bereits selbst Schadsoftware (versteckt in einer unbedenklich erscheinenden Datei) oder sie sollen die Empfänger dazu verleiten, einen „bösartigen“ Link zu nutzen, um so Schadsoftware herunterzuladen und auszuführen. Neben den technischen Möglichkeiten des Mail-Filterns ist ein geschärftes Sicherheitsbewusstsein der Nutzer ein wichtiger Baustein zum Schutz von Unternehmen.

Hier finden Sie einige Tipps, um gefälschte E-Mails zu erkennen:

  1. Achten Sie auf die Anrede in der Mail, häufig finden Sie hier schon Ansätze (z. B. „sehr geehrtes Damen und Herr“). Die Anreden sind oft unpersönlich und/oder fehlerhaft.

  2. Achten Sie generell auf Rechtschreibung und Grammatik. Oftmals sind diese gefälschten Mails in einem schlechten Deutsch geschrieben.

  3. Achten Sie genau auf den Absender der Mail: Erwarten Sie von diesem Absender eine E-Mail mit diesem Inhalt? Stimmt die Adresse exakt?

  4. erfen Sie einen Blick auf die Signatur: Passt diese zum Absender der Mail und seinem Unternehmen?

  5. Sehen Sie sich die Betreffzeile an. Oftmals werden Formulierungen genutzt, die den Empfänger verunsichern oder verängstigen sollen, z. B. „Ihr Konto ist abgelaufen“ oder „Ihr Passwort ist unsicher und wurde geändert“.

  6. Ist der Sachverhalt der E-Mail nachvollziehbar? Oder erwarten Sie von Ihrem Kollegen überhaupt keine Rechnung?

  7. Sofern Sie aufgefordert werden, persönliche Daten wie z. B. PINs, Passwörter oder Ähnliches einzugeben, sollten Sie dies auf keinen Fall machen, denn „echte“ Unternehmen fragen diese Daten nicht per Mail ab.

Sofern Sie bei einem oder mehreren der oben genannten Punkte stutzig werden, handelt es sich mit hoher Wahrscheinlichkeit um eine gefälschte Mail. Informieren Sie hierüber Ihren Sicherheitsbeauftragten und öffnen Sie niemals Anhänge solcher Mails. Sprechen oder schreiben Sie ggf. den vermeintlichen Absender an – aber keinesfalls via „Antworten“-Funktion!

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Mobile Computer (meist Notebooks genannt) sind bei vielen Mitarbeitern nicht mehr aus dem Arbeitsalltag wegzudenken. Um das Risiko eines Datenverlustes zu verringern, sind nachfolgende Regeln eine sinnvolle Vorgabe für Ihre Sicherheits-Policy.

A) Absicherung des Gerätes gegen unbefugten Zugriff

  1. Sperrung des Geräts mithilfe einer PIN oder eines Kennworts.
  2. Automatische Sperrung des Geräts bei Inaktivität.
  3. Der eingebaute Datenträger (Festplatte/SSD) des Geräts sollte verschlüsselt sein, falls sensible Daten darauf gespeichert werden.
  4. Das Gerät ist stets sicher zu verwahren und sollte nicht an Dritte weitergegeben werden, insbesondere nicht im entsperrten Zustand.
  5. Bei Verwendung von öffentlichen, ungesicherten Netzen (z. B. WLAN-Hotspots) muss eine sichere, verschlüsselte Verbindung genutzt werden (z. B. VPN).
  6. Die Nutzung und der Anschluss von Datenträgern und Geräten aus unbekannter Herkunft sind erst nach erfolgter Überprüfung auf Schadsoftware gestattet.

B) Umgang mit Betriebssystem und Software

  1. Regelmäßiges Aktualisieren des Betriebssystems und aller installierten Programme.
  2. Installation von Software nur aus vertrauenswürdigen Quellen (z. B. Hersteller-Website) und nur nach Rückfrage bei oder Informationsaustausch mit der eigenen IT-Abteilung.
  3. Deinstallation von Software, die nicht (mehr) benötigt wird, erfolgt ausschließlich durch die Mitarbeiter der eigenen IT-Abteilung.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Bis vor Kurzem war das Telemediengesetz (TMG) die rechtliche Grundlage für das Betreiben von Websites in Deutschland. Dieses Gesetz wurde nun durch das endgültige Inkfrafttreten der EU-Datenschutzgrundverordnung (DSGVO) verdrängt. Zusätzlich zum TMG mussten Datenschutzbeauftragte bislang die ePrivacy-Richtlinie beachten. Sie gilt auch in Zukunft – aber in einer neuen Fassung, was einige Änderungen beim Datenschutz für Websites nach sich zieht.

Diese grundsätzliche Rechtslage hat sich auch durch die DSGVO nicht geändert, denn deren Erwägungsgrund 30 stellt klar, dass IP-Adressen als „Online-Kennungen“ und damit als personenbezogene Daten zu betrachten sind. Da selbst bei einem reinen Lesezugriff auf eine Homepage automatisch die IP-Adresse des Besuchers übermittelt wird, fällt allein deswegen das Bereitstellen einer Website in den Geltungsbereich der DSGVO.

Was müssen Sie als Betreiber einer Website beachten?

  1. Sorgen Sie dafür, dass Ihre Website verschlüsselt ist.
  2. Überarbeiten Sie Ihre Datenschutzerklärung.
  3. Überprüfen Sie alle Formulare auf Ihrer Website (SSL-Protokoll).
  4. Überprüfen Sie alle Social-Media-Plugins und ggf. eingebettete Videos oder Bildmaterial.
  5. Checken Sie Ihr Statistik-Tool.
  6. Informieren Sie über auf der Website verwendete Cookies.
  7. Bringen Sie Ihren Newsletter auf den neuesten Stand (Kopplungsverbot beachten!).
  8. Prüfen Sie, ob mit Ihrem Webhoster ein Vertrag zur Auftragsverarbeitung geschlossen werden muss.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Mit wachsender Durchdringung der Geschäftsprozesse durch die Informationstechnik (IT) erhöht sich auch die Abhängigkeit der Unternehmen bezüglich der Verfügbarkeit und Integrität der ITSysteme, Anwendungen sowie der Daten und Informationen. Daraus ergibt sich die Notwendigkeit, diese vor unzulässiger und unsachgemäßer Nutzung sowie Missbrauch, Verlust, Preisgabe, Zerstörung und Manipulation zu schützen.

Hier nun ein kleines Regelwerk zur Einhaltung oben genannter Notwendigkeiten, das selbstverständlich ausformuliert in einer entsprechenden Unternehmensrichtlinie dokumentiert werden muss.

Die „10 goldenen Regeln“ des Datenschutzes und der Informationssicherheit:

  1. Machen Sie sich mit Ihren Ansprechpartnern im Umfeld des Datenschutzes und der Informationssicherheit vertraut.
  2. Sicherheitsrelevante Vorfälle sind direkt an den zuständigen Verantwortlichen zu melden.
  3. Halten Sie Ihre persönlichen PINs und Passwörter immer streng geheim. Ändern Sie diese sofort, wenn Sie den Verdacht haben, dass Ihr Passwort bekannt geworden ist.
  4. Teilen Sie mit niemandem vertrauliche Informationen – es sei denn, dass Sie sicher sind, dass der Empfänger hierzu auch berechtigt ist.
  5. Öffnen Sie niemals E-Mails von unbekannten Absendern.
  6. Machen Sie sich mit der Klassifizierung aller Informationen, mit denen Sie arbeiten, vertraut und sichern Sie Ihre Daten entsprechend.
  7. Sorgen Sie stets für einen sicheren Umgang mit vertraulichen und geheimen Informationen.
  8. Schließen Sie vertrauliche und geheime Informationen immer ein, wenn Sie den Arbeitsplatz verlassen.
  9. Sperren Sie immer Ihren PC, wenn Sie Ihren Arbeitsplatz verlassen und schließen Sie ggf. Ihr Büro ab.
  10. Halten Sie geeignete Sicherheitsstandards ein, wenn Sie sich über den Remote-Zugang einwählen.

[Autor: Thomas Schmidt, Telefonbau Arthur Schwabe GmbH & Co. KG]

Jeder kennt den Rat: Nutzen Sie sichere Passwörter und verwenden Sie für jede Anwendung ein anderes Passwort. Der Rat kommt nicht von ungefähr: Die Top-3-Passwörter im Jahr 2017 waren: „hallo“, „passwort“ und „hallo123“. Doch was tun? Viele Unternehmen schaffen Passwortregeln (Mindestlänge, Groß-/Kleinschreibung, Ziffern, Sonderzeichen etc.), um Trivialpasswörter zu unterbinden – mit dem Ergebnis, dass Post-its am Monitor und unter der Tastatur kleben. Sicherheit sieht anders aus. Mit dem Aufstellen der Regeln ist es eben nicht getan.

Es müssen auch Tipps her, die den ganzen Passwort-Wahnsinn beherrschbar machen. Zwei davon erhalten Sie heute hier:

  1. Nutzen Sie keine Wörter, sondern Sätze wie Liedzeilen oder Zitate, bei denen Sie die Anfangsbuchstaben unter Beachtung der Groß-/Kleinschreibung aneinanderreihen. Beispiel gefällig? Hier hat sich ein Hit versteckt: AddN,b1nTe! (Tipp: Helene Fischer).
  2. Nutzen Sie Passwort-Manager. Das sind kleine Programme, die Sie als App auf Ihrem PC oder Smartphone überall dabei haben und die Ihre Passwörter, geschützt wie in einem Tresor, enthalten. Sie müssen sich nur ein einziges Passwort merken: das für Ihren Tresor. Aber bitte erstellen Sie eines unter Beachtung von Tipp 1.

[Autor: Sebastian Brose, VdS Schadenverhütung GmbH]

phone_icon
+49 (0) 221 7766 - 6452
fax_icon
+49 (0) 221 7766 - 109
nach oben
Top