Mittwoch, 20. April 2016

Spam-Angriff auf XING legt Gruppen lahm

Auch Social Media Netzwerke wie Xing sind vor Spam-Attacken nicht gefeit. Gestern Abend meldet die Xing-Community, dass die Beitrittsoption für die Xing-Gruppen aufgrund eines massiven Spam-Angriffs zeitweilig abgeschaltet wird.


Beitrittsoption zu Xing-Gruppen aufgrund Spam-Attacke vorübergehend abgeschaltet
In einem Moderatorenbeitrag der Gruppe Xing Community erklärt Xing, das Abschalten der Beitrittsoption für die Xing-Gruppen bedeutet, dass derzeit keine neuen Mitglieder in vorhandene Gruppen eintreten können. Bei offenen Gruppen bleiben die Beiträge aber weiterhin  öffentlich sichtbar.

Xing entschuldigt sich bei den Mitgliedern für die Unannehmlichkeiten und sucht schnellstmögliche nach Lösungen, um das akute Problem zu beheben.

Spam ist ein Übel unserer Zeit. Erst im Februar 2016 meldete Web.de, dass das Spam-Aufkommen bei Web.de und GMX im Jahr 2015 mehr als verdoppelt habe. Die Anzahl schädlicher Links habe sogar noch deutlicher zugenommen.

Auch der derzeit bekannteste Erpressungs-Trojaner Locky verbreitet sich am Liebsten über Spam.

Sechs Tipps zum Umgang mit Spam in Ihrem Unternehmen

Die Security-Experten von yourIT raten zum sorgsamen Umgang mit Spam in Unternehmen. Der anfängliche Aufwand amortisiert sich schnell. Die Gefahr erfolgreicher Angriffe sinkt. Hier unsere Top-6-Tipps:


  1. Schalten Sie unbedingt einen "richtigen" Spamfilter ein. Es macht einen großen Unterschied, ob Ihre Mitarbeiter jeden Tag 5 oder 15 Spam-E-Mails manuell ausfiltern müssen. Gehen Sie davon aus, dass jede unnötig zu bearbeitende E-Mail etwa 5 Minuten Arbeitszeit kostet - auch wenn diese vom Mitarbeiter nur gelöscht wird. Aufgrund der aktuellen Attacken durch Erpressungs-Trojaner wie Locky haben die Security-Experten von yourIT den Spamfilter-Markt neu inspiziert. Wir empfehlen Ihnen gerne die zu Ihrem Unternehmen passende Anti-Spam-Lösung.
  2. E-Mail-Adressen sollten nicht öffentlich verwendet werden. Stellen Sie keine E-Mail-Adressen unbekümmert ins Netz - z.B. auf Websites, Blogs oder in Soziale Netzwerke. Spammer suchen dort gezielt nach E-Mail-Adressen, denen sie Spam zusenden können.
  3. Verwenden Sie verschiedene E-Mail-Adressen für verschiedene Anwendungen. Dadurch werden potentiell lohnenswerte Angriffsziele für Spammer weniger durchschaubar.
  4. Reagieren Sie niemals und in keinster Weise auf Spam. Antworten Sie nicht. Klicken Sie auch auf keinen der Links. Auch von experimentellen Selbstversuchen raten wir dringend ab - das haben andere schon versucht, z.B. hier ein Beitrag bei Channelpartner.
  5. yourIT rät dringend zur besonderen Vorsicht bei Rechnungen per E-Mail. Gerade Erpressungs-Trojaner wie z.B. Locky verstecken sich gerne hinter angeblichen Rechnungs-Anhängen. Die Security-Experten von yourIT haben eine Checkliste für Ihre Mitarbeiter erstellt, die wir Ihnen gerne zum kostenlosen Download bereitstellen.
  6. Sensibilisieren Sie Ihre Mitarbeiter. Machen Sie klar, wie gefährlich die aktuellen Spam-Angriffswellen, dass die bisher getroffenen Abwehrmaßnahmen der IT-Abteilung nicht 100-prozentig schützen und dass 1 falscher Klick genügt, um das gesamte Unternehmen zu gefährden. Investieren Sie etwas Zeit in die Erhöhung der Verantwortlichkeit Ihrer Mitarbeiter. Solche Schulungen führen wir gerne für Sie durch.

Wie können wir von yourIT Sie unterstützen?


Wir haben z.B. einen Leitfaden entwickelt. Gefahr erkannt - Gefahr gebannt: So schütze ich mich vor Viren und Erpressungs-Trojanern. Diesen können Sie hier kostenlos downloaden, ausdrucken und in Sichtweite der Bildschirmarbeitsplätze Ihrer Mitarbeiter aushängen.

Leitfaden: So schütze ich mich vor Viren und Erpressungs-Trojanern

Sie benötigen professionelle Unterstützung? Als IT-Systemhaus bieten wir Ihnen beispielsweise folgende Leistungen:
  • Beratung und Implementierung von Datenschutz- und IT-Sicherheits-Konzepten
  • Durchführung von Sicherheitsaudits für "IT-Infrastruktur" und "Webapplikationen"
  • Durchführung Basis-Check ISO27001 und Einführung eines ISMS
  • Stellung des externen Datenschutzbeauftragten / IT-Sicherheitsbeauftragten
  • Technische Maßnahmen wie Firewall, Anti-Viren-Software, Spam-Schutz, Offline- und Online-Backup, Clientmanagement, IT-Monitoring, Managed Services, etc.
  • Konzeption und Durchführung von Schulungs- / Sensibilisierungsmaßnahmen für Ihre Mitarbeiter
  • ...

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

BEST OF CONSULTING 2015 und 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 und 2016 ausgezeichnet.


Donnerstag, 7. April 2016

Auftragsdatenverarbeitung vs. Funktionsübertragung - Diese Punkte sollten Sie beachten

Häufig kommt es vor, dass Unternehmen sich nicht sicher sind, ob es sich bei einer Outsourcing-Dienstleistung datenschutzrechtlich um eine Auftragsdatenverarbeitung oder eine Funktionsübertragung handelt. Dies ist insofern wichtig, da im Falle einer Auftragsdatenverarbeitung natürlich ein ADV-Vertrag nach § 11 BDSG zwischen Auftraggeber und Auftragnehmer geschlossen werden muss.


Auftragsdatenverarbeitung


Eine Auftragsdatenverarbeitung zeichnet sich regelmäßig durch folgende Eigenschaften aus:

  • Der Outsourcing-Dienstleister/Auftragnehmer hat selber keinen Vertrag mit dem Betroffenen.
  • Er tritt gegenüber dem Betroffenen nicht mit eigenem Namen auf.
  • In der Regel hat er nur Umgang mit den Daten, die ihm der Auftraggeber zur Verfügung stellt.
  • Er hat keinerlei Befugnis, über die Daten zu entscheiden.
  • Er ist weisungsgebunden bezüglich der Daten.
  • Fiktiv tritt er als Teil des Auftraggeber-Unternehmens auf.
  • Die Nutzung der Daten zu eigenen Zwecken ist ausgeschlossen!


Datenschutz: Auftragsdatenverarbeitung vs. Funktionsübertragung - die ADV nach § 11 BDSG

Beispiele für Auftragsdatenverarbeiter


Auftragsdatenverarbeitung findet man nahezu immer im Bereich Outsourcing. Rechenzentren, Callcenter, Entsorgungsunternehmen oder Druckereien sind typische Auftragsdatenverarbeiter. Aber auch Systemhäuser sowie Hard- und Softwareunternehmen, die bei der (Fern-)Wartung beiläufig auf personenbezogene Daten treffen könnten, fallen hierunter.

Funktionsübertragung


Die Funktionsübertragung unterscheidet sich von der Auftragsdatenverarbeitung insbesondere dadurch, dass der Outsourcing-Dienstleister:
  • die Verantwortung was die Zulässigkeit der Datenverarbeitung betrifft, übernimmt. Er wird zur verantwortlichen Stelle.
  • gegenüber dem Auftraggeber weisungsfrei ist, was die Datenerhebung, -verarbeitung und -nutzung anbelangt. Der Auftraggeber hat keinen Einfluss.
  • eigenverantwortlich die Rechte der Betroffenen sicherstellen muss.
  • gegenüber dem Betroffenen unter eigenem Namen auftritt.
  • in der Regel über ein bestimmtes Fachwissen oder über Erfahrungen und Möglichkeiten verfügt, die der Auftraggeber nicht besitzt.
  • Nutzungsrechte an den Daten hat.
  • die Daten zu eigenen Zwecken verwenden kann, falls dies nicht anders geregelt ist!


Datenschutz: Auftragsdatenverarbeitung vs. Funktionsübertragung - die Funktionsübertragung

Beispiele für Funktionsübertragung


Beispiele für Funktionsübertragung finden sich insbesondere im Falle von Ärzten, Rechtsanwälten, Steuerkanzleien, Inkassounternehmen oder Privatdetektiven. Es ist ganz klar zu erkennen, dass der Auftraggeber hier ja gar nicht in der Lage wäre, dem Dienstleister Anweisungen oder Vorgaben für die Durchführung des Auftrags zu geben. Somit fallen auch viele Datenweitergaben innerhalb eines Konzerns unter die Funktionsübertragung, z.B. die Bildung einer zentralen Konzern-Personalverwaltung.

Tipp: Auch Funktionsübertragung vertraglich regeln!


Auch wenn bei der Funktionsübertragung keine gesetzliche Pflicht zum Abschluss eines Vertrages besteht, ist es insofern aufgrund haftungsrechtlicher Überlegungen und zum Schutz von Betroffenen im Einzelfall sinnvoll, die in § 11 BDSG aufgeführten Kriterien auch bei der Funktionsübertragung als Maßstab für die Auswahl des Outsourcingnehmers und die Vertragsgestaltung anzuwenden. Hier kann der Auftraggeber für ihn wichtige Dinge konkret ausformulieren, z.B.

  • Verantwortlichkeiten
  • Zweckbindung
  • Hinweispflichten
  • Geheimhaltungspflichten
  • Pflicht zur Bestellung eines Datenschutzbeauftragten
  • Festlegung der technischen und organisatorischen Maßnahmen
  • Prüfungs- und Kontrollrechte
  • Unterauftragsverhältnisse
Ich empfehle in der Regel, speziell auch das Thema Haftungsübernahme durch den Outsourcingnehmer explizit schriftlich zu regeln. Nicht dass hier Missverständnisse bleiben.

BEST OF CONSULTING 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2016 ausgezeichnet.


Gerne unterstützen wir auch Ihr Unternehmen. Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

Freitag, 1. April 2016

Erpressungs-Trojaner: So reagieren Sie richtig

Aktuell überstürzen sich die Meldungen über Erpressungs-Trojander, die sich auf Rechnern einschleichen. Diese "Ransomware" verschlüsselt wichtige Daten der Opfer und verlangt Lösegeld für die Entschlüsselung. Sowohl Unternehmen als auch Privatnutzer sind in Gefahr. Was tun, um dem zu begegnen?


Erpresser kommen per E-Mail sowie über Internet und Apps


2016 wird das Jahr der Online-Erpressung, da sind sich IT-Sicherheits-Experten einig. Bereits seit über zehn Jahren versuchen Internet-Kriminelle, ihren Opfern Angst einzujagen und Geld zu erpressen. Früher behaupteten die Erpresser, sie hätten die Nutzer bei einer illegalen Tat erwischt, zum Beispiel bei der Nutzung einer Raubkopie. Nur gegen Zahlung eines Geldbetrags würden sie der Polizei gegenüber schweigen. Die Erpressermasche hat sich inzwischen geändert und bedroht nun das Herzstück jeder IT, die Daten.

yourIT warnt vor gefährlichen Erpresser-Trojanern

Die Erpressung beginnt mit einer Schadsoftware, die über E-Mail, Browser oder mobile Apps auf das Gerät des Opfers kommt. Dort verschlüsselt das Schadprogramm alle Daten des Nutzers. Nur gegen Zahlung des Lösegelds werden die Daten wieder freigegeben, also entschlüsselt, so die Drohung.  Diese Art von Attacken werden auch als Ransomware bezeichnet ("Ransome" ist der englische Begriff für "Lösegeld").

Neue Maschen der Ransomware


Täglich erreichen unsere Security-Experten erschreckende  Meldungen über neue Arten von Erpressungs-Trojanern. Einer schlimmer als der letzte. Die neuesten Maschen sind:

  • 30.03.2016: Der Erpressungs-Trojaner SAMSA (auch Samsam, Samas oder Mokoponi genannt) wird über Hacker aktiv eingeschleust. Mittels aktive durchgeführter Penetrationstests finden die Cyber-Verbrecher bekannte und nicht geschlossene Schwachstellen in Ihrem IT-Netzwerk und nutzen diese daraufhin aus. Im nächsten Schritt versuchen die Erpresser soviele Systeme im Netz zu übernehmen wie möglich. Erst zum Schluß wird der eigentliche Erpressungs-Trojaner SAMSA eingeschleust und hat dann natürlich leichtes Spiel, einen großen Teil des Unternehmensnetzwerks zu verschlüsseln. 
  • 29.03.2016: Gelangt der Erpressungs-Trojaner PETYA auf ihren Rechner (häufig per Dropbox!), tut er erstmal so, als ob Windows abgestürzt wäre. Erst in einer zweiten Phase - beim Neustart des Systems - werden die Daten verschlüsselt. Startet man das System nicht neu, kann man die daten noch retten. Also: Aktuell sollte man Vorsicht walten lassen, wenn der Rechner plötzlich abstürzt.


Opfer sind größtenteils völlig hilf- und schutzlos


Leider sind viele Opfer so hilflos, dass sie tatsächlich bezahlen, oft aber ohne dass die versprochene Entschlüsselung stattfindet. Bezahlt man mit Kreditkarte, missbrauchen die Täter womöglich auch diese Daten, zusätzlich zu den unbrauchbaren eigenen Daten.

Der Schaden ist enorm 


Wie erfolgreich die Online-Erpresser sind, zeigen aktuelle Beispiele: Die Schadsoftware CryptoWall konnten IT-Sicherheitsforscher in über 406.000 Fällen nachweisen. Die Erpresser erbeuteten dabei 325 Millionen US-Dollar als Lösegeld. Leider ist das kein Einzelfall. Der Schaden für die betroffenen Unternehmen und Nutzer geht aber noch weiter, als es die Höhe des Lösegelds vermuten lässt. Da die Angreifer die Daten häufig gar nicht mehr entschlüsseln, fehlen sie dauerhaft.

Verschlüsselte Daten als Super-Gau


Häufig gibt es keine Datensicherung bei den Betroffenen, oder die Datensicherung war ebenso schlecht geschützt wie die Daten selbst, und beides wurde verschlüsselt. Je nach Daten und Art des Unternehmens kann ein solcher Datenverlust die Existenz bedrohen oder aber den Ruf so stark schädigen, dass Kundenzahl und Umsatz drastisch zurückgehen.

Bei Privatnutzern ist der Schaden finanziell gesehen zwar meist geringer. Aber wenn sich wichtige Daten wie die einzigen Fotos, die von einem geliebten Menschen noch vorhanden sind, nicht mehr öffnen lassen, ist der Verlust ebenfalls groß.

Nicht erpressen lassen, sondern Daten besser schützen


Auch Deutsche Sicherheitsbehörden wie das Bundeskriminalamt oder die Landeskriminalämter warnen derzeit vor Erpressungs-Trojanern. Sie raten dazu, den Online-Erpressern kein Lösegeld zu zahlen. Gegen diese Online-Erpresser können Sie sich nur durch eine gute Absicherung der IT wappnen: Ein professionelles Firewall-Konzept, aktuelle Antiviren-Software und eine Begrenzung der Berechtigungen auf den Computern, die mit dem Internet verbunden sind.

Entscheidend ist vor allem die regelmäßige, vollständige und geschützte Sicherung der Daten, um Erpressungs-Trojanern den Schrecken zu nehmen. Hat man ein Backup, braucht man keine Entschlüsselung – die oft sowieso nie kommen würde.

So schützen Sie sich vor den aktuellen Erpressungs-Trojanern



Liebe Unternehmer, den effektivsten Schutz für Ihre Daten bringt derzeit eine umfassende Sensibilisierung der Mitarbeiter! Schulen Sie diese jetzt und weisen Sie dabei auf folgende Punkte hin:

  • Prüfen Sie eingehende E-Mails sorgfältig, insbesondere dann, wenn Sie über einen Link zum Download von Unterlagen unbekannter Quellen aufgefordert werden.
  • Öffnen Sie niemals Links oder Dateianhänge in Nachrichten von Ihnen unbekanntem Absendern.
  • Überprüfen Sie Links hinsichtlich der tatsächlichen Zieladresse, indem Sie mit dem Zeiger der Maus über den Link streifen („Mouse-Over“). Bitte nicht klicken!
  • Öffnen Sie niemals Dateianhänge mit unüblichen Dateitypen (.exe, .vbs, .pdf.exe, .js, etc.). Achten Sie darauf, dass Ihr System Dateianhänge vollständig anzeigt. Sonst wird z.B. die Endung *.pdf.exe als *.pdf angezeigt.
  • Prüfen Sie ein- und ausgehende E-Mails und Dateien mit Anti Malware Tools (Spamfilter, etc.)
  • Sichern Sie Ihre Systeme mit Schutzsoftware (Firewall, Anti-Viren-Programm) und halten Sie diese aktuell
  • Installieren Sie regelmäßig Updates für Adobe Flash, Java, Adobe Reader etc.
  • Führen Sie regelmäßige Datensicherungen auf externe Medien bzw. Online-Backups durch.
  • Denken Sie zweimal nach, bevor Sie in Portalen wie Facebook auf sensationshaschende oder neugierigmachende Meldungen klicken.


Sollten Sie doch einmal Opfer eines solchen Angriffs werden: Ruhe bewahren!

Bleiben Sie ruhig und gehen Sie wie folgt vor:

  • Trennen Sie das befallene Gerät umgehend vom Netzwerk (durch Abziehen des LAN-Kabels).
  • Gehen Sie auf keinen Fall auf die Forderung der Kriminellen ein. Bezahlen Sie nicht!
  • Melden Sie das Problem Ihrem Vorgesetzten, dem IT-Verantwortlichen oder Ihrem IT-Dienstleister.
  • Erstatten Sie eine Anzeige bei der nächsten Polizeidienststelle.
  • Stellen Sie Ihre Daten aus einem Backup wieder her, gegebenenfalls mit der Unterstützung externer IT-Sicherheits-Spezialisten wie yourIT.

Wie können wir von yourIT Sie unterstützen?


Wir haben einen Leitfaden entwickelt. Gefahr erkannt - Gefahr gebannt: So schütze ich mich vor Viren und Erpressungs-Trojanern. Fragen Sie uns jetzt an.

Erpressungs-Trojaner Wir von yourIT helfen Ihnen gern!
Leitfaden: So schütze ich mich vor Viren und Erpressungs-Trojanern

Sie benötigen professionelle Unterstützung? Als IT-Systemhaus bieten wir Ihnen beispielsweise folgende Leistungen:

  • Beratung und Implementierung von Datenschutz- und IT-Sicherheits-Konzepten
  • Durchführung von Sicherheitsaudits für "IT-Infrastruktur" und "Webapplikationen"
  • Durchführung Basis-Check ISO27001 und Einführung eines ISMS
  • Stellung des externen Datenschutzbeauftragten / IT-Sicherheitsbeauftragten
  • Technische Maßnahmen wie Firewall, Anti-Viren-Software, Spam-Schutz, Offline- und Online-Backup, Clientmanagement, IT-Monitoring, Managed Services, etc.
  • Konzeption und Durchführung von Schulungs- / Sensibilisierungsmaßnahmen für Ihre Mitarbeiter
  • ...

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.