Hier bloggen wir als #THECOMPLIÄNCE. Seit über 18 Jahren ist unser Team für Sie tätig als Berater, Implementer, Auditor, Trainer sowie als externer Beauftragter in den Bereichen Cybersecurity (NIS2), Datenschutz (EU-DSGVO) & Informationssicherheit (ISO 27001). Unsere Kunden sind u.a. mittelständische und Konzern-Unternehmen in verschiedenen Branchen wie Maschinenbau, Medizintechnik, Lebensmittel, etc. Dabei nutzen wir sofern möglich die Ihrem Unternehmen zustehenden Fördermittel.
Posts mit dem Label Schwachstellenanalyse werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Schwachstellenanalyse werden angezeigt. Alle Posts anzeigen
Dienstag, 16. Januar 2024
Mittwoch, 22. Dezember 2021
Wenn der Admin aus dem Haus ist, tanzen die Hacker auf dem Tisch
Warnung vor erhöhtem Risiko von Ransomeware-Angriffen über die Feiertage durch BSI und BKA.
Für Unternehmen besteht über die bevorstehenden Weihnachtsfeiertage wieder ein erhöhtes Risiko für Cyber-Angriffe. Davor warnen die Sicherheits-Experten der yourIT aus Balingen.
Bin dann mal weg - Gruß Admin
Durch bekannte aber nicht behobene Sicherheitslücken wie z.B. Log4Shell in Log4j oder HAFNIUM in MS Exchange sind ist so manche vermeintlich stabile Burgmauer von Unternehmen bereits untertunnelt. Angreifer nutzen gerne die Abwesenheit der Administratoren, um z.B. bereits installierte Backdoors auszunutzen. Die Empfehlung der Experten lautet:
"Niemals ungepacht ins lange Wochenende!"
Donnerstag, 8. Dezember 2016
Nachgedacht: Weshalb für yourIT-Kunden "Privacy by Design" ein alter Hut ist
Als erfahrener Datenschutz-Berater halte ich derzeit Vorträge bei der IHK, vor internen Datenschutzbeauftragten, etc. zum Thema EU-Datenschutzgrundverordnung (EU-DSGVO). Zwei der dabei am heißesten diskutierten Neuerungen sind die Themen "Privacy by Design" und "Privacy by Default".
Im Prinzip soll ein IP-Geräte-Hersteller durch die Einhaltung der 7 Grundprinzipien
1. proaktiv statt reaktiv
2. "Privacy by Design"
3. Einbettung ins Design
4. Volle Funktionalität und Datensicherheit
5. Betrachtung des gesamten Lebenszyklus
6. Sichtbarkeit und Transparenz
7. Anwenderorientierte Gestaltung
Datenschutz & Informationssicherheit seiner Produkte fördern.
Aber was ist daran neu? Einer unserer Kunden hat dieses Thema bereits 2010 aufgreifen müssen, als einer seiner größten Kunden die eingestetzen Produkte durch eine Schwachstellenanalyse als extrem risikoreich weil schwachstellenbelastet identifiziert hat.
Das selbe Ergebnis erzielen derzeit Tests im Bereich Industrie 4.0 oder Internet of Things (IoT). Auch hier wird in Schwachstellenscans auf bereits ausgelieferte Produkte festgestellt, dass diese so voller Schwachstellen sind, dass diese so hätten nie in den Verkauf gelangen dürfen. Die IP-Geräte werden vom Hersteller weiterhin als Kühlschrank, Drucker oder Waage betrachtet und nicht als das was Sie eigentlich sind: Potentielle Einfallstore für Hackerangriffe.
Welche Auswirkung diese Risiko-Ignoranz hat durften wir erst neulich am 27.11.2016 beim großen Hacker-Angriff auf die Telekom erlebt. Dort wurden mal schnell 900.000 IP-Geräte - in diesem Fall Speedport-Router - lahmgelegt, die eine bestimmte Schwachstelle aufwiesen. Privacy by Design ist bisher nicht annähernd der Standard.
Klar: Wenn wir bei einem Kunden draußen z.B. im Rahmen eines IT-Security-Audits eine Schwachstellenanalyse durchführen, dann klammern wir Drucker und Telefone auf Wunsch des Kunden auch mal aus der Map der zu scannenden IPs aus. Im Bezug auf "Industrie 4.0" und das Internet of Things (IoT) ist aber durchaus intereessant, sich mal ein Bild wirklich aller IPs seines Netzwerks zu machen.
Unser Kunde hat damals äußerst professionell gehandelt und zielstrebig nach einer Schwachstellen-Testumgebung gesucht. Dabei ist er auf das auf IT-Sicherheits-Lösungen spezialisierte und mittlerweile ISO-27001-zertifiziertes IT-Systemhaus yourIT GmbH gestoßen. Wir haben bei unserem Kunden diese Schwachstellen-Testumgebung aufgebaut mit der unser Kunde nun bereits das fünfte Jahr in Folge für "Privacy & Security by Design" bei seinen Produkten sorgt. Seither verlässt kein IP-Gerät mehr ungeprüft und ungepatcht das Werk. Die Käufer erhalten auf Wunsch einen Auszug aus dem Scan-Protokoll.
Weshalb ich das hier schreibe: Falls es da draußen den einen oder anderen IP-Geräte-Hersteller gibt, der für günstiges Geld eine Schwachstellen-Testumgebung für seine künftigen "Privacy-by-Design" und "Privacy by Default" -Produkte haben sollte: Wir haben die "Privacy-by-Design-Schwachstellen-Testumgebung" bei unserem Kunden seit fast 5 Jahren erfolgreich im Einsatz. Wir würden uns zutrauen, so etwas kurzfristig auch in Ihrem Unternehmen aufzubauen. Fragen Sie uns einfach an. Wir freuen uns, wenn wir Ihnen beim Erreichen der Vorgaben der EU-DSGVO mit unserer Lösung weiter helfen können.
Insofern: Gute Besserung - mit "Privacy by Design" & "Privacy by Default" - made by yourIT!
Dienstag, 29. Juli 2014
So machen Sie Ihr Unternehmen sicherer
Kein Unternehmen kommt heute mehr ohne Computer, Internet und Firmenwebseite aus, wenn es den Anschluss nicht verpassen möchte. Gleichzeitig rüsten auch die Datendiebe auf und interessieren sich nicht nur für die Großen der Branchen, sondern auch für den kleinen Mittelständler von nebenan. Aus diesem Grund ist es besonders wichtig, dass Ihr Unternehmen sicher ist. Besonders in kleineren und mittleren Unternehmen wird die Gefahr von Cyberattacken leicht unterschätzt. Dabei sind diese von besonders häufig betroffen, weil ihr Schutz oft geringer ist. Früher reichte es meistens, ein Antivirenprogramm einfach zu installieren, wohingegen heutzutage die Kriminellen im Internet immer raffinierter und geschickter vorgehen.
Welche Bedrohungen gibt es?
Schäden durch Insider: Eine große
Schwachstelle, durch die Schäden entstehen können, sind USB-Speicher. Bekommen
Angestellte auf einer Messe diese als Werbegeschenk, stecken sie die USB-Sticks
oft ohne Prüfung in die Firmen-PCs. Inzwischen gibt es Geräte, die sich als
Speicher tarnen und mit denen sich hervorragend Firmenspionage betreiben oder
eine Schadsoftware starten lässt.
Lösung: Sämtliche
USB-Anschlüsse lassen sich im Netzwerk sperren und können nur durch den
Administrator einzeln freigegeben werden. Damit Mitarbeiter diese Sperren nicht
umgehen können, bleibt dem Unternehmen eigentlich nur, Krypto-USB-Sticks für
die Mitarbeiter zu finanzieren und nur diese im Firmennetz zu erlauben.
Schäden durch Internet-Kriminelle: Industriespione und Hacker sammeln systematisch Daten. Werden diese
per Internet übertragen, lassen sie sich relativ einfach auslesen. Lagern die
Daten irgendwo auf Speichern, können diese das Ziel von Hackerangriffen werden.
Ob beim Online-Banking, Phishing oder
Spam: Nicht immer sind die Angriffe leicht als solche zu enttarnen. Trotzdem
gehen viele Firmen recht sorglos mit Passwörtern um, wählen nur einfache aus
und verwenden diese mehrfach. Datendiebe
recherchieren diese gezielt in sozialen Netzwerken und probieren den Namen
des Nutzers mit Passwort auf allen
Systemen aus. Ebenso sind ungesicherte Firmennetzwerke ein Einfallstor für
Kriminelle. Ein kabelvernetztes Netzwerk ist sicherer, als ein Funknetzwerk.
Dazu Portsperren für die LAN-Anschlüsse und eine gute Firewall.
Lösung: Ein sicheres
Passwort hat mindestens 12 Zeichen, die möglichst scheinbar sinnlos aufeinander
folgen und mindestens einen Großbuchstaben, ein Sonderzeichen und eine
Zahl enthalten. Mit einem Satz, der sich
geschickt abkürzen lässt, bleibt ein solches Passwort besser im Gedächtnis.
Spionage durch Mitbewerber: Ob Kundendaten oder
Geschäftsinterna: Die Konkurrenz kann damit das Meiste anfangen. Besonders
leicht lassen sich die Daten stehlen, wenn sie auf mobilen Geräten leicht zugänglich
sind.
Lösung: Hier ist auf
der sicheren Seite, wer den Teil der Festplatte verschlüsselt, auf dem die
sensiblen Daten liegen. Dafür gibt es vorinstallierte Programme für
Unternehmen. Macht eine zusätzliche Software die Informationen gezielt unleserlich,
sind diese noch sicherer.
10 Schritte zum sicheren Unternehmen:
- Scannen Sie Ihre Schwachstellen regelmäßig und lassen Sie die Patches automatisch erneuern (Angebot: Sicherheitsaudit Webapplikationen bzw. Infrastruktur);
yourIT - Wir bieten Sicherheit auf Knopfdruck |
- Definieren Sie Richtlinien, nach denen die Mitarbeiter mobil unterwegs sind, auch in den sozialen Medien, und kontrollieren Sie deren Einhaltung;
- Nutzen Sie in besonders sensiblen Bereichen mehrstufige Sicherheitslösungen (auch Zwei-Faktor-Authentifizierung)
- Sichern Sie auch die Daten, die sich außerhalb des Unternehmens befinden;
- Halten Sie Ihre IT auf einem aktuellen Stand: Ältere Systeme sind gegen Angriffe schlechter gewappnet;
- Überwachen Sie die Sicherheitsmeldungen;
- Reduzieren Sie die gespeicherten Datenmengen (Tipp: Proaktive Datendeduplizierung);
- Stellen Sie sicher, dass auch Drittanbieter die nötige Sicherheit bieten (Stichwort: §-11-Zertifizierung für Auftragsdatenverarbeiter);
- Arbeiten Sie nur mit Partnern zusammen, denen Sie vertrauen;
- Ändern Sie regelmäßig Ihre Kennwörter nach den oben genannten Merkmalen.
Wenn Sie nicht nur im
Verdachtsfall das IT-Systemhaus Ihres Vertrauens fragen, sondern bereits vorher
Ihre Hard- und
Software, den Datenschutz sowie die Prozesse und Schwachstellen von ihm checken lassen, können Sie unbesorgt online unterwegs sein.
yourIT - wir stehen für Sicherheit in allen IT-Fragen
Ihr Thomas Ströbele
BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT
Am 16.03.2015 wurden unsere Beratungspakete
beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.
Signet Innovationspreis-IT für yourIT-Beratungspakete |
Mittwoch, 22. Januar 2014
BSI meldet millionenfachen Passwortdiebstahl - Botnetze kapern Zugangsdaten
Nicht ein paar Hundert oder Tausend, ganze 16 Millionen Zugangsdaten gelangten in den Besitz von Hackern. Die Hälfte davon gehört zu deutschen Mailadressen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu dieser Schreckensmeldung am 20. Januar 2014 mitteilte. Sie stellen sich die Frage, wie Sie sich und Ihr Unternehmen davor schützen können? Die securITy-Experten von yourIT stehen Unternehmen mit einem kostenlosen IT-Security-Check zur Seite.
Wurden da Datenschutz & IT-Sicherheit vernachlässigt?
Nach jetzigem Erkenntnisstand wohl eher JEIN, wenn man sich die zahlreichen Statements der User bei Facebook, Twitter & Co anschaut. Denn: Diese Botnetzwerke bestehen aus gekaperten Rechnern, deren Besitzer in den meisten Fällen nicht die geringste Ahnung haben, dass ihr PC zum Zombie-Rechner mutiert und die infizierte Schad-Software durch das halbe Internet trägt. Firmenrechner sind auch dabei, viele davon mit vermeintlich sicheren Antivirenprogrammen zum Datenschutz gesichert. Ein übertriebenes Horrorszenario? Nicht im Geringsten...
Holen Sie sich jetzt Ihren kostenlosen IT-Security-Check von yourIT |
IT-Sicherheit wird noch immer grob vernachlässigt
Der Schaden, der durch diese Hackeroffensive verursacht wird, kann in den nächsten Tagen nicht einmal annähernd beziffert werden. Selbst Behörden-Netzwerke sind betroffen, aber zum Großteil eben solche Privat- und Firmenrechner, die das einmal vergebene persönliche Kennwort parallel auch noch für viele andere Benutzerkonten wie Onlinebanking, Shoppingportale und selbst für ihre Onlinespeicher in der Cloud verwendet haben. Diese praktizierte, weil ja so bequeme Verfahrensweise, hat mit Datenschutz sehr wenig zu tun und noch weniger dann, wenn Passwörter in der Art "123456", "Kennwort" oder ähnlich einfallslos vergeben werden.
Professioneller Datenschutz kostet Geld, fehlender noch viel mehr
Diese Mega-Attacke ist natürlich von ihrer Dimension her eine Ausnahme. Sensible Firmennetzwerke, aber selbst Einzelplatzrechner oder im Unternehmen genutzte Notebooks bieten generell eine permanente Angriffsfläche für Dritte - täglich und selbst dann, wenn die Mitarbeiter schon längst ihren wohlverdienten Feierabend genießen. Ein Rechner ohne optimalen Schutz lässt sich in Sekunden aushebeln, noch schlimmer, wenn ein Firmen-PC gänzlich verloren geht - aus welchen Gründen auch immer. Während bei einem Verlust oder Diebstahl der rein physikalische Schaden eines Rechners der 800,00-Euro-Klasse noch zu verschmerzen wäre, kann der damit verbundene Verlust von oft unwiederbringlichen Daten für ein Unternehmen existenzschädigend sein. Nicht weniger schwerwiegend, wenn die sensiblen persönlichen Daten von Kunden in die Hände von unbefugten Dritten gelangen und für kriminelle Zwecke missbraucht werden. Der darauf folgende finanzielle Gesamtschaden bewegt sich in solchen Fällen kaum unter 20.000, - EUR und kann selbst einen sechsstelligen Betrag erreichen. Ein sinnvolles und effizientes Datenschutz- und IT-Sicherheitskonzept, wie wir von yourIT dies unseren Geschäftskunden anbieten, hätte dagegen einen verschwindend geringen Bruchteil dieser Summe gekostet.
Höchste Zeit, im Bereich Datenschutz & IT-Sicherheit zu handeln!
Vertrauen Sie mit Ihrer hochwertigen IT auf motivierte Fachleute mit jahrelanger Erfahrung, die Ihnen nur ein professionelles Systemhaus wie yourIT bieten kann. Während im privaten Bereich mit handelsüblichen Tools auf dem PC zumindest ein Minimum an Sicherheit erreicht werden kann, sind die Anforderungen bezüglich Datenschutz & IT-Sicherheit im hochkomplexen Firmennetzwerk um ein Vielfaches höher und mit den eigenen Mitarbeitern kaum zu bewältigen. Hier geht es um viel mehr als "nur" Passwörter. Verschlüsselung ist in Sachen Datenschutz eine unglaublich starke Barriere, allerdings nur, wenn sie korrekt, also vom Fachmann, in das Gesamtsystem implementiert wird. Sie sollten daher jetzt mit uns gemeinsam handeln!
Sofortmaßnahme: yourIT bietet kostenlose IT-Security-Checks
Ab sofort und bis zum 31.03.2014 bieten wir Ihnen einen kostenlosen IT-Security-Check. Um sich einen der Gutscheine zu sichern klicken Sie hier oder rufen Sie jetzt an und vereinbaren Sie direkt einen Termin. Sie erreichen uns unter +49 7433 30098-0.
yourIT - Wir stehen für Sicherheit in allen IT-Fragen.
Ich freue mich darauf, Sie persönlich kennen zu lernen. Fordern Sie uns! Wir beraten Sie gerne.
Ihr Thomas Ströbele
Freitag, 9. September 2011
Case Study zum Projekt QualysGuard beim Versicherungsunternehmen Deutscher Ring online
Stabile IT-Systeme sind gerade für Versicherungsunternehmen und Finanzdienstleister eine existenzielle Voraussetzung für das Geschäft, das in diesem Sektor heute weitgehend über interne und externe Netze abgewickelt wird. Die Netze und Systeme müssen deshalb gegen innere und äußere Angriffe sozusagen kugelsicher geschützt sein. Die Versicherungsunternehmen Deutscher Ring in Hamburg vertrauen bei der Härtung ihrer Systeme ganz auf den Schwachstellenmanagement-Service von Qualys und die Beratungsleistung von yourIT...
Lesen Sie die gesamte Case Study hier:
Lesen Sie die gesamte Case Study hier:
Abonnieren
Posts (Atom)