Mark Zuckerbergs nächster Coup: Unternehmensdienst "Facebook at Work" gestartet

Gestern hat Facebook offiziell mit der Testphase des geplanten kostenpflichtigen Unternehmensdienstes Facebook at Work begonnen. Erst einmal sind nur wenige handverlesene Firmen an den Tests beteiligt. Damit will Facebook seine Beliebtheit bei den Mitarbeitern nutzen und künftig unternehmensinterne E-Mails und Chats überflüssig machen (vgl. hierzu Zero Mail Policy).

Facebook at Work - aus Datenschutz-Sicht eher nicht!

Das ganze soll wohl aussehen wie Facebook, allerdings soll der Dienst nicht öffentlich sondern ausschließlich auf die Mitarbeiter eines Unternehmens begrenzt sein. Über die Kosten des Dienstes schweigt sich Facebook noch aus.

Stellen Sie sich das so vor: Alles was Ihre Mitarbeiter bisher mit vielen E-Mails hin- und herschicken, schreiben diese sich künftig im Unternehmens-Facebook. Das können belanglose Dinge sein wie "Wer geht mit zum Mittagessen?" oder "Soll ich Dir einen Kaffee mitbringen?". Allerdings werden über kurz oder lang auch Projekte und Produktneuerungen aus der Forschungs- und Entwicklungsabteilung auf diesem Facebook diskutiert werden. Wer soll das verhindern, nachdem die Lawine erst einmal losgetreten wurde?

Wie schaut's bei "Facebook at Work" mit dem Datenschutz aus?

Die Unternehmensdaten mit "Facebook at Work" sollen vermutlich wieder nicht auf Servern des Unternehmens sondern auf Facebook-Servern gespeichert werden (Cloud-Prinzip). Wohl sollen die Daten verschlüsselt versendet und abgelegt werden. Aber Facebook ist auch weiterhin ein amerikanisches Unternehmen, das sich dem amerikanischen Recht unterwerfen muss. Somit droht hier jederzeit z.B. die gerichtliche Durchsetzung von Durchsuchungsbeschlüssen von US-Ermittlern, wie dies erst im August 2014 Microsoft erdulden musste. (Wir berichteten auf diesem Blog.)

Solange die rechtliche Situation sich so darstellt, ist Deutschen Unternehmen, die Wert auf Datenschutz und die Vertraulichkeit von Betriebs- und Geschäftsgeheimnissen legen, somit erst einmal von der Nutzung von "Facebook at Work" abzuraten. Ich würde mich hier nicht auf eine "Social Media Policy" verlassen.

Die Idee ist gut - aber muss es ausgerechnet Facebook sein?

Übrigens: Die Idee hinter "Facebook at Work" ist nicht neu. Bereits seit längerer Zeit gibt es vergleichbare Unternehmensdienste am Markt. Und einige davon kann man sogar bereits so einstellen, dass Datenschutz und Betriebs- und Geschäftsgeheimnisse tatsächlich eingehalten werden können.

Falls Sie das interessiert: Wir von yourIT haben mit solchen Lösungen bereits in mehreren Projekten Erfahrungen gesammelt. Wir unterstützen Sie daher gerne bei der Auswahl des richtigen und sicheren Systems, helfen Ihnen bei der Einrichtung und schulen Ihre Mitarbeiter.

Ich freue mich auf Ihre Anfragen.

 

Ihr Thomas Ströbele
Berater für Datenschutz & IT-Sicherheit
ISO 27001:2013 Lead Auditor

Vorsicht vor gefälschten Überweisungsträgern - Betrugsversuche aus dem Ausland

Wir möchten Sie hiermit dringend vor einer Betrugsmasche warnen, die gerade um sich greift. Immer öfter werfen Unbekannte Überweisungsträger mit gefälschten Unterschriften bei Banken ein oder senden diese per Post. Manchmal haben sie damit Erfolg. Bei uns von yourIT ging's gerade nochmal gut.

Uns von yourIT war diese Betrugsmasche mit den gefälschten Überweisungsträgern bereits bekannt. Immerhin durften wir erst im Juli 2014 neben Banken und dem LKA vortragen und die IT-Sicht vertreten bei der Veranstaltung "Betrugsversuche aus dem Ausland". Ein Vertreter der regionalen Banken hatte über die Betrugsmasche mit gefälschten Überweisungsträgern berichtet. Er hatte auch darauf hingewiesen, dass sie ihr Risikomanagement darauf ausgerichtet hatten. Die Bankmitarbeiter sind darauf geschult. Wer hätte gedacht, dass jemand versuchen würde, diesen Betrugsversuch kaum 5 Monate später bei uns selbst anzuwenden.

Betrugsversuch aus dem Ausland - gefälschter Überweisungsträger

Wie läuft der Betrugsversuch ab?

Innerhalb von nur 3 Tagen wurden an unsere beiden Girokonten bei unseren Hausbanken 2 Überweisungsträger geschickt. Beide kamen aus Spanien. Beide wollten etwas mehr als 19.000 EUR abbuchen. Wir sprechen hier also von fast 40.000 EUR. Die Unterschriften beider (!) Geschäftsführer auf den Überweisungsträgern sahen täuschend etc. aus.

In beiden Fällen fielen die Überweisungsträger den Bankangestellten nur deshalb auf,

• weil die Bank unser Unternehmen kennt,
• weil wir eigentlich nie Überweisungsträger verwenden und
• weil wir selten bis nie Überweisungen ins Ausland tätigen.

Die Bankvertreter haben daher erstmal bei uns angefragt und um Freigabe gebeten. Da bei uns nur Geschäftsführer Zahlungen freigeben dürfen, konnte dies bei uns selbstverständlich nicht funktionieren.

Wie sieht das bei Ihrem Unternehmen aus?

Sie sollten sich folgende Fragen stellen:

• Ist Ihr Unternehmen Ihrer Bank ausreichend bekannt?
• Verwenden Sie noch papierbasierte Überweisungsträger? Ist dies der Bank bekannt?
• Kommen Überweisungen ins Ausland von Ihrem Konto vor?

Wer haftet bei einem erfolgreichen Überweisungsmissbrauch?

Erst einmal wird gemäß § 675 u BGB (Bürgerliches Gesetzbuch) die Bank haften, denn bei einer vom Kontoinhaber nicht autorisierten Überweisung ist zwischen Kontoinhaber und der Bank kein wirksamer Vertrag zustande gekommen. Kein Wunder also, dass die Bankmitarbeiter gut geschult und das Risikomanagement aktiv sind.

Um Ärger mit der Bank zu vermeiden empfehlen wir allerdings, selbst entsprechende Vorkehrungen zu treffen und die Schadenswahrscheinlichkeit dadurch zu senken.

Wie können Sie diesen Betrugsversuchen mit gefälschten Überweisungsträgern vorbeugen?

Folgende Maßnahmen sollten Sie jetzt ergreifen:

• Machen Sie Ihre Bank auf die Betrugsmasche aufmerksam (falls noch nicht bekannt).
• Teilen Sie Ihrer Bank Ihr übliches Überweisungsverhalten mit.
• Falls möglich: Verzichten Sie komplett auf beleghafte Überweisungen. Oder veranlassen Sie, dass Ihre Bank bei beleghaften Überweisungen immer Rücksprache mit Ihnen hält.
• Grenzen Sie die Zahl der Länder ein, an die Sie Überweisungen tätigen werden.

Ein weiterer wichtiger Hinweis kommt vom LKA und zielt auf die täuschend echten Unterschriften der yourIT-Geschäftsführer auf den Überweisungsträgern:

• Veröffentlichen Sie auf keinen Fall Unterschriftsproben der Zeichnungsberechtigten Ihres Unternehmens (Vorstand, Geschäftsführer, Prokuristen, ...). Angebote müssen in der Regel nicht unterschrieben werden. Wer von sich Unterschrifts-Muster gar im Internet veröffentlicht, braucht sich über Betrugsversuche mit gefälschten Überweisungsträgern nachher nicht wundern.

Achtung: Es wurden bereits Fälle bekannt, in denen der Überweisungsträger ein deutsches Girokonto als Empfängerkonto enthielt. Begrenzen Sie Ihr Augenmerk also nicht ausschließlich auf ausländische Konten.

So machen Sie Ihr Unternehmen sicherer

Bereits im Juli haben wir 10 Handlungsempfehlungen verfasst, um Ihr Unternehmen sicherer zu machen. Lesen Sie hier weiter.

Wir hoffen, wir konnten Ihnen mit dieser Information weiterhelfen.

yourIT - securITy in everything we do.

Wir stehen für Sicherheit in allen IT-Fragen!

Ihr Thomas Ströbele

yourIT stellt mit Thomas Ströbele ab sofort einen leitenden Auditor ISO 27001

Das Netzwerk zum Institut für Datenschutz und Informationssicherheit in Europa verstärkt sein Engagement im Bereich Informationssicherheit. Mitglieder aus dem Netzwerk zum Institut für Datenschutz und Informationssicherheit in Europa (IDIE) nahmen in der Woche vom 24.11.2014 bis zum 28.11.2014 an der Schulung zum „ISO/IEC 27001:2013 Leitender Auditor“ in Bad Arolsen teil. Für die yourIT GmbH aus Balingen (damals noch Hechingen) nahm Thomas Ströbele erfolgreich teil. Nach eigenen Recherchen ist er damit einer von derzeit gerade mal etwa 80 ISO 27001:2013 Lead Auditoren in ganz Baden-Württemberg.

Das Seminar durchgeführt hat der Marktführer für Normung, Zertifizierung und Weiterbildung, die British Standards Institution (kurz: BSI – http://www.bsigroup.com/de-DE/). Der Tutor Adrian Lambeck begleitete die Teilnehmer durch das fünftägige Training und vermittelte die notwendigen Fähigkeiten und Fertigkeiten, um ein Informationssicherheits-Management-Audit kompetent und konform bis zur höchsten Stufe durchführen zu können.

Die Teilnehmer der BSI-Schulung zum "ISO/IEC 27001:2013 Lead Auditor" mit Thomas Ströbele (5. v.links) von yourIT

Inhalte des Seminars

Durch die Schulung wurde das Fundament der modernen Informationssicherheits-Management-Systeme (ISMS - Information Security Management System) beschrieben und vermittelt, im Einzelnen:

• der internationale Standard für Informationssicherheit ISO/IEC 27001:2013,
• der dazugehörige Implementierungsleitfaden ISO/IEC 27002 mit
• allen wichtigen Teilbereichen wie Security Policies, Risikomanagement, Business Continuity Planning oder internes Auditing.

In den fünf Tagen wurden nicht nur die wesentlichen Grundlagen der Informationssicherheit dargelegt, erörtert und besprochen, sondern auch übergeordnete Aspekte wie die Organisation, Technik oder das Prozessmanagement kamen nicht zu kurz. Zudem wurden die nachfolgenden Inhalte im Kurs erarbeitet:

• Erstellung eines ISMS, Auswahl und Handhabung der Kontrollinstrumente;
• Audit- und Interviewtechniken, Führen und Leiten des Auditteams;
• Einleitung und Durchführung eines Audits, Organisation von Einführungs- und Abschlussmeeting;
• Auditbericht, Formulierung von Abweichungen und Ausarbeitung von Korrekturmaßnahmen.

bsi.-Zertifikat ISO 27001:2013 Lead Auditor Thomas Ströbele

Resümee eines Teilnehmers

Mit erfolgreichem Bestehen der IRCA Prüfung haben die Teilnehmer die Fähigkeit mitgenommen, exzellente interne und externe Audits nach ISO/IEC 27001:2013 planen und durchführen zu können. Dies kann Thomas Ströbele, Geschäftsführer der yourIT GmbH aus Hechingen und Teilnehmer des ISO/IEC 27001:2013-Seminars, nur bestätigen: "Zusammen mit anderen Experten aus den Bereichen Datenschutz & IT-Sicherheit an einem fünftägigen Intensivtraining teilzunehmen war ein besonderes Erlebnis. Ohne die langjährige Erfahrung aus vielen Datenschutz- und IT-Sicherheits-Audits wäre der Stoff kaum zu meistern gewesen. Wir werden unsere Vorgehensweise nun noch mehr an den Standards der Norm ISO 27001 ausrichten. Dennoch steht für unsere mittelständischen Kunden die Zertifizierung nach ISA+ weiterhin im Vordergrund - eventuell als Zwischenschritt zur ISO 27001.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+

Abgrenzung Datenschutz & Informationssicherheit

Der Begriff "Informationssicherheit" bezieht sich auf alle schutzwürdigen Informationen im Unternehmen (wie z.B. Betriebsgeheimnisse, Technologie-Knowhow, etc.). Zur Informationssicherheit zählt somit auch die Sicherheit personenbezogener Daten. Der Schutz personenbezogener Daten wird als Datenschutz bezeichnet und ist somit Teil der Informationssicherheit.

Abgrenzung Informationssicherheit und Datenschutz

Ein wichtiger Unterschied: Der Schutz personenbezogener Daten ist gesetzlich vorgeschrieben und somit für Unternehmen unumgänglich.

In beiden Bereichen sind vom Unternehmen bestimmte Sicherheitsstandards einzuhalten. Dies kann über Informations-Sicherheits-Management-Systeme (ISMS - Information Security Management System) geschehen sowie über proaktives Vorgehen zum Datenschutz. Damit erfüllen Unternehmen die gesetzliche Vorschriften (Datenschutzgesetze) und gewinnen und sichern gleichzeitig das Vertrauen von Kunden, Lieferanten und Partnern.

yourIT - securITy in everything we do

… so lautet der Leitgedanke von yourIT. Unser Ziel ist es, Ihre IT-Prozesse zu optimieren und damit langfristig Ihre Wettbewerbsfähigkeit im globalen Markt zu steigern. Als innovatives Systemhaus prüfen wir den Sicherheits-Status Ihrer IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT-Sicherheit & Datenschutz und implementieren die für Sie besten Lösungen.

Wir unterstützen Sie ebenso bei der Richtlinien-Definition, Einhaltung der Policies und sichern den laufenden Betrieb. Lernen Sie unsere bedarfsgerechte und praxiserprobte Arbeitsweise jetzt in einem kostenlosen Vor-Ort-Termin kennen und überzeugen Sie sich selbst!

yourIT - securITy in everything we do

Wir stehen für Sicherheit in allen IT-Fragen und freuen uns auf Ihre Projektanfragen.

Ihr yourIT-Team

Für weitere Fragen zum Thema Datenschutz und Informationssicherheit steht Ihnen Herr Ströbele gerne zur Verfügung. Fordern Sie uns!

Ihr Thomas Ströbele

Kein Impressum-Button im XING-Profil - OLG Stuttgart beendet #XINGGATE

Stuttgart, 20.11.2014: Das OLG Stuttgart hat entschieden, dass Personenprofile auf XING nun doch kein Impressum benötigen. Damit endet die sogenannte #XINGGATE-Affäre mit einem Sieg des vor einiger Zeit abgemahnten XING-Nutzers. Im Sommer 2014 musste man noch mit einer großen Abmahnwelle auf XING rechnen.

Mit einem Verweis auf dieses Urteil haben XING-Nutzer große Chancen, im Falle einer Abmahnung e benfalls den Sieg davon zu tragen. Wer allerdings schon gar nicht in die Gefahr einer Abmahnung geraten möchte, sollte auch weiterhin einen Link auf das Unternehmens-Impressum auf seinem XING-Profil platzieren. Eine Anleitung finden Sie im weiteren Verlauf dieses Posts.

Was vorher geschah:

Hechingen, 19.08.2013: Die häufigen Anfragen von uns Datenschützern haben endlich gefruchtet. XING hat reagiert und stellt nun zumindest im persönlichen XING-Profil einen Impressum-Button im Standard zur Verfügung. Leider steht der Impressum-Button für das XING-Unternehmensprofil noch aus. Hier zeigen wir Ihnen, wie Sie es richtig machen und Abmahnungen vermeiden.

Um diesen zu aktivieren scrollen Sie in den Profildetails ganz nach unten und klicken dann auf Impressum bearbeiten.

Neue XING-Funktion "Impressum bearbeiten"

*******************************************************************

Änderung im August 2014 zum Impressum-Link auf XING

Der Impressum-Link im XING-Profil wurde nun weiter nach oben verschoben. XING reagiert damit auf ein Urteil des Landgerichts Stuttgart. Dieses stellte fest, dass der bisherige klitzekleine Impressum-Link rechts unten die gesetzlichen Anforderungen nicht erfüllte. Ob das nun besser gelöst ist, bleibt abzuwarten.

Der Impressum-Link auf dem XING-Profil ist nun weiter oben zu finden

******************************************************************

Im sich öffnenden Fenster weist XING auf folgendes hin:
"Hier können Sie Ihr Impressum eintragen, das in einigen Ländern auch für Internetpräsenzen von Privatpersonen vorgeschrieben ist. 
Ob eine Verpflichtung für Sie besteht und welche Angaben notwendig sind, entnehmen Sie bitte den auf Sie anwendbaren Gesetzen. Im deutschen Recht finden Sie Impressumspflichten insbesondere in § 5 Telemediengesetz."
Wir empfehlen Ihnen, zumindest einen Link zum Impressum auf der Firmenwebseite zu setzen. Dort sollten Sie noch folgenden Text hinterlegen: "Dieses Impressum gilt auch für die XING-Profile unserer Mitarbeiter." Zum Thema "Abmahnungen und korrektes Impressum" berichteten wir hier bereits im März 2012.

So sieht das fertige XING-Impressum dann für Besucher Ihres XING-Profils aus:

XING-Impressum von Thomas Ströbele mit Link zum yourIT-Impressum

Leider hat es XING bisher nicht geschafft, einen Impressum-Button auch für das XING-Unternehmenprofil bereitzustellen. Als Zwischenlösung empfehlen wir daher, einen direkten Link auf das Impressum der Firmen-Webseite zu setzen. Ein korrektes Beispiel sehen Sie auf dem XING-Unternehmensprofil von yourIT.

Achtung: Weisen Sie Ihre Mitarbeiter unbedingt in Ihrer Social Media Policy auf die korrekte Vorgehensweise mit dem XING-Impressum hin. Die wesentlichen Inhalte einer solchen Social Media Policy finden Sie in meinem Post "Chefsache Facebook".

Für weitere Fragen zum Thema Datenschutz und Social Media stehe ich Ihnen mit unserem Team gerne zur Verfügung. Fordern Sie uns!

Ihr Thomas Ströbele

Datenschutz Now! - 2 Jahre Mandanten- und Mitarbeiterzeitung

Für regelmäßige Datenschutz-Schulungen bzw. -Einweisungen ist in erfolgreichen mittelständischen Unternehmen in der Regel wenig Zeit. Außerdem haben theoretisch geführte Datenschutz-Schulungen mit klein beschriebenen PowerPoint-Folien nicht gerade einen hohen Beliebtheitsgrad bei den Mitarbeitern.

Vor etwa 2 Jahren haben wir von yourIT uns dieses Problems angenommen. Unsere Lösung lautet seither "Datenschutz Now!" und erscheint seither alle 2 Monate, also 6x im Jahr.

yourIT - unsere Mitarbeiter- und Mandantenzeitung Datenschutz Now!

In unserer Mitarbeiter- und Mandantenzeitung Datenschutz Now! versuchen wir, für viele langweilige Datenschutzproblematiken aus der privaten Sicht der Mitarbeiter zu beleuchten. Unser Themen-Mix und die Relevanz der Beiträge auch für das Privatleben unserer Leser sorgen für mehr Motivation und Aufmerksamkeit und gehören deshalb zu Ihrer erfolgreichen Strategie bei der Mitarbeitersensibilisierung.

Wir machen Ihre Mitarbeiter mit Datenschutz Now! erfolgreicher fit im Datenschutz

Für uns und unsere Kunden ist Datenschutz Now! seither eine sehr effektive Datenschutz-Maßnahme und führt zu einer positiven Wirkung auch beim internen Datenschutz-Audit.

Und das Beste: Datenschutz Now! ist für Sie als (potentieller) Kunde kostenlos. Abonnieren Sie Datenschutz Now! hier.

Alle Themen unserer bisherigen Ausgaben der Datenschutz Now! haben wir Ihnen hier zusammengestellt. Zu jeder Ausgabe haben wir die behandelten Themen kurz zusammengefasst. Wir wünschen viel Spaß beim Lesen.

Datenschutz mit uns bedeutet Nutzen für Sie

Datenschutz ist ein wichtiges Qualitätsmerkmal, das gerade in der immer stärker vernetzten Welt eine zentrale Rolle spielt. Datenschutz ist

• mehr als nur gesetzliche Pflicht und
• mehr als bürokratische Notwendigkeit.

Gelebter Datenschutz mit uns ist

• qualitätsverbessernd für Ihr Unternehmen
• motivierend für Ihre Mitarbeiter und Kunden
• transparent durch klare Strukturierung
• revisionssicher durch übersichtliche Dokumentation
• und nachhaltig nutzbringend für Sie

Optimieren Sie jetzt mit uns den Datenschutz in Ihrem Unternehmen und nutzen Sie den daraus entstehenden Wettbewerbsvorteil.

Empfehlen Sie uns weiter!

Achtung Kontrolle - BayLDA prüft Mindestanforderungen von Mailservern

Ein durch Verschlüsselung geschützter E-Mail-Transport ist zwar schon seit 1999 standardisiert, aber erst durch die Abhörskandale der letzten Zeit ins öffentliche Bewusstsein geraten. Nun testet das Bayrische Landesamt für Datenschutz die Mailserver von Firmen, Freiberuflern, Verbänden und Vereinen, ob sie eine verschlüsselte Datenübertragung nach den aktuellen Standards unterstützen, da diese auch für den gesetzlich vorgeschriebenen Schutz personenbezogener Daten notwendig ist. Wie und was prüft das Bayrische Landesamt für Datenschutzaufsicht BayLDA und wer ist davon betroffen?

Wie findet das BayLDA die relevanten Mailserver?

Die Bayrische Datenschutz Aufsicht beginnt bei der Prüfung der Mailserver zunächst bei den Webangeboten in Bayern ansässiger Firmen und anderer nichtöffentlicher Organisationen. Damit eine Webseite in einem Browser aufrufbar ist, muss die Domain im DNS, der globalen Adressdatenbank des Internet eingetragen sein. Zusätzlich zu den für Webzugriffe nötigen Address-Records finden sich dort in der Regel auch MX-Records, Einträge für sogenannte Mail Exchanger, die für den E-Mail-Transport innerhalb der Domain verantwortlich sind. Diese verweisen auf Mailserver, die vom Domaininhaber selbst oder einem externen Dienstleister betrieben werden. Hier setzt die Bayerische Datenschutz Behörde an und führt stichprobenartige Prüfungen der so erreichbaren Server durch.

Achtung Kontrolle - BayLDA kontrolliert aktuell Mailserver

Was prüft das Bayerische Landesamt für Datenschutzaufsicht?

Die Bayerische Datenschutz Behörde hat drei Punkte identifiziert, die für die Datensicherheit beim E-Mail-Transport und damit für den Datenschutz relevant sind. Zuallererst muss der Mailserver die verschlüsselte Datenübertragung zulassen und unterstützen. Anders als bei den Webzugriffen, die zwischen HTTP und HTTPS unterscheiden, gibt es dafür beim E-Mail-Transport per SMTP keinen vollständig separaten Dienst, sondern die Verschlüsselung wird nach einem normalen Verbindungsaufbau ausgehandelt. Dies geschieht mit dem Kommando STARTTLS, das der Mailclient an den Server sendet. Ob ein Mailserver die verschlüsselte Datenübertragung grundsätzlich unterstützt lässt sich dadurch überprüfen, ob er das STARTTLS-Kommando akzeptiert oder mit einem Fehlercode beantwortet.

Zusätzlich zur Verfügbarkeit der Verschlüsselung prüft das BayLDA zwei Faktoren, die zu einer Beeinträchtigung der Sicherheit führen können, beziehungsweise diese verbessern. Perfect Forward Secrecy ist eine Option, die sicherstellt, dass die Datenkommunikation im Nachhinein auch mit dem Hauptschlüssel nicht mehr entschlüsselt werden kann. Der Heartbleed Bug ist dagegen ein schwerwiegender Softwarefehler in der meistgenutzten Verschlüsselungssoftware OpenSSL, der im April 2014 bekannt wurde (wir berichteten).

Was tun wenn sich das BayLDA meldet?

Wenn ein Schreiben vom BayLDA eintrifft besteht bei mindestens einem der oben genannten Punkte Handlungsbedarf. Dem Schreiben liegt ein Fragebogen bei, den Sie ausfüllen und an die Behörde zurücksenden sollten, da eine mangelnde Mitwirkung nach dem Bundesdatenschutzgesetz eine Ordnungswidrigkeit darstellt und eine Geldbuße nach sich ziehen kann. Bei Unklarheiten und Fragen zur Vorgehensweise helfe ich Ihnen als Datenschutz-Berater gerne weiter.

Ich freue mich auf Ihre Anfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Sicherheitslücke Mensch - Schwachstellen gibt es nicht nur in der Technik

Der IT-Service ist in jedem Unternehmen ein beliebter Ansprechpartner. Doch so häufig die Mitarbeiter mit den EDV-Fachkenntnissen gerufen werden, so selten liegt ein echter Software- oder Hardwaredefekt vor. Die Hauptursache aller Störungen sind Bedienfehler, Versäumnisse und andere menschliche Fehler. Das muss jedoch nicht so bleiben.

Handgemachte Serviceausfälle oft vorhersehbar

Die Vielfalt der Programme und Möglichkeiten ist für viele Mitarbeiter nicht leicht zu verstehen. Gerade das Zusammenspiel von Geräten und Software im Firmennetzwerk führt immer wieder dazu, dass Mitarbeiter im falschen Moment Eingaben machen oder ungünstige Prozesse in Gang setzen. Regelmäßige Fortbildungen wirken gegen die Problematik an. Neben der initialen Ausbildung der Mitarbeiter und Arbeitnehmer darf also die Option "Schulungen bei neuer Software oder neueren Versionen" nicht vergessen werden.

Datenschutz & IT-Sicherheit im Zwiebelschalenmodell

Betrachtet man Datenschutz & IT-Sicherheit im Zwiebelschalenmodell, so stellt der Mensch / Mitarbeiter immer die größte Schwachstelle dar. Er befindet sich regelmäßig in der kritischen äußersten Schale.

Schwachstelle Mensch: Datenschutz & IT-Sicherheit im Zwiebelschalenmodell

Lebenszyklus elektronischer Geräte verstehen

Nicht nur bei reinen PC-Arbeitsplätzen, auch in ausführenden Gewerken gilt: Je höher das Verständnis für die Maschinen und Programme, desto niedriger die Fehlerquote. Um ein Netzwerk aus elektronischen Geräten in einem Betrieb möglichst lange verfügbar zu halten, sollten die Mitarbeiter über die Phasen der Lebenszyklen aufgeklärt sein und somit die Ersatzteilplanung effizient laufen. Sind die Mitarbeiter über die Auswirkungen von Geräteausfällen in Kenntnis gesetzt, so können sie sensibler mit den entsprechenden Maschinen und Rechengeräten umgehen.

Kostenintensive, menschengemachte Fehler vermeiden

Bei Aus- und Fortbildungen entstehen gewisse Kosten für den Dozenten, Materialien sowie Reisekosten. Welche Mitarbeiter wann in den Genuss welcher Schulung gelangen, sollte wohlüberlegt werden. Bei der Auswertung der vielfältigen Angebote im Bereich der Erwachsenenbildung zu IT-Themen, lassen Sie sich am besten von Insidern beraten. Informieren Sie sich bei uns über Fortbildungen und vermeiden Sie somit künftig Anwendungsfehler, durch mangelhaft geschulte Mitarbeiter!

Kostenlose Erstberatung

Nehmen Sie unverbindlich Kontakt mit uns auf und wir zeigen Ihnen Ihre individuellen Möglichkeiten, wie Ihr Unternehmen durch Fortbildungen und gekonnten Umgang mit Hard- und Software Kosten einsparen kann.

Ich freue mich auf Ihre Anfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Lückenhafter Datenschutz - Die Gefahr lauert im Unternehmen

Um Angriffe auf ihre Daten abzuwehren, investieren Unternehmen viel Geld. Dabei wird aber meist nur die Gefahr von außen berücksichtigt. Doch auch eine wirkungsvolle Firewall bietet keinen Schutz, wenn der Angreifer zum Zugriff autorisiert ist. Jüngste Erhebungen zeigen, dass eine große Gefahr besonders im Unternehmen selbst lauert. Mit einem Beschneiden der Zugriffsrechte sowie restriktiveren Vorgaben beim Passwortschutz ließe sich schon viel gewinnen.

Denn der Datenklau wird in den meisten Fällen nicht durch Hacker von außen, sondern durch Insider verursacht. In vielen Unternehmen wird mit Administrator-Rechten aus Bequemlichkeit zu nachlässig umgegangen. Weil ein kleiner Kreis Privilegierter die Personal- und Prozessplanung zumindest im Bereich der Flexibilität erschweren kann, werden auf Kosten eines schlüssigen Sicherheitskonzepts oft großzügig Zugriffsrechte eingeräumt.

Wie sich bei einer kürzlich durchgeführten Befragung ergab, wird die Nutzung der (Admin-) Rechte in der Regel nicht überwacht. Doch auch wenn eine Kontrolle stattfindet, wird der Sicherheit nicht immer ausreichend gedient: In vielen Fällen lassen sich die genutzten Mechanismen ganz einfach umgehen.

Verhängnisvolle Partnerschaft: Sicherheitskonzept muss kooperierende Firmen einschließen

Ein umfassendes Sicherheits- und Datenschutzkonzept wird umso notwendiger, wenn ein Zugriff von Dienstleistern wie z.B. IT-Systemhäusern auf die eigenen Daten möglich ist. Denn hier kommt zu der grundsätzlichen Problematik, bereits den eigenen Mitarbeitern vertrauen zu müssen, die Schwierigkeit hinzu, auch Dritte an den Prozessen zu beteiligen und Einsicht zu gewähren. Bedenken Sie: Wettbewerber haben immer ein Interesse an Ihren sensiblen Geheimnissen. Nicht umsonst gebietet § 11 BDSG die regelmäßige Kontrolle aller Auftragsdatenverarbeiter. Tipp: Wählen Sie wenn möglich ausschließlich Auftragsdatenverarbeiter aus, die entsprechend geprüft und zertifiziert sind. Wir wissen was zu tun ist und können die §-11-Zertifzierung gerne bei Ihren bestehenden Dienstleistern durchführen. Empfehlen Sie uns weiter!

Nutzer-Monitoring deckt Missbrauch auf

Obwohl dieses Problem von immer mehr Unternehmen erkannt wird, fehlt es häufig an wirksamen Maßnahmen. Dabei sind diese meist recht einfach umsetzbar. Zu den Grundregeln gehört es beispielsweise, dass jeder Mitarbeiter und besonders jeder Admin nur jene Zugriffsrechte bekommen darf, die für seine Arbeit auch tatsächlich benötigt werden. Pauschale Vollzugriffe erhöhen die Gefahr erheblich.

Die Nutzung sogenannter "Shared-Accounts" sollte vermieden werden. Personalisierte Zugriffe ermöglichen es, die Mitarbeiter im Zweifel auch persönlich zur Verantwortung ziehen zu können.
Sollten eventuell Super-User oder Root-Rechte vergeben werden, dann dürfen diese bei einem einzelnen Mitarbeiter nicht alle in der IT genutzten Systeme umfassen, sondern nur jene, für die er auch zuständig ist.

Die Einführung eines Nutzer-Monitorings sollte in jedem Fall erfolgen. Wichtig ist dabei die Möglichkeit des "Privileged Activity Monitoring": Darunter versteht man die Möglichkeit, im Zweifel auch den Inhalt einer Aktion nachverfolgen zu können. Viele einfache Monitoring-Lösungen speichern nur eine Aktion als solches.

Wir beraten - Sie erhalten die staatliche Fördermittel

Welche Maßnahmen konkret sinnvoll sind, können auf IT-Sicherheit & Datenschutz spezialisierte Beratungsdienstleister wie yourIT am besten beurteilen. Die Voraussetzung ist allerdings, dass die betroffenen Firmen die Risiken zunächst erkennen und angemessen bewerten. Denn glaubt man den Auskünften, die die Verantwortlichen in der Studie gegeben haben, ist ein Bewusstsein für die Problematik häufig vorhanden. Einzig die Konsequenzen daraus werden noch viel zu selten gezogen.

yourIT_Sicherheitsaudit_IT-Infrastruktur-sponsored_by_ESF

Unser yourIT-Beratungskonzept ist zertifiziert - dadurch erhält Ihr Unternehmen unter bestimmten Voraussetzungen Fördermittel aus dem Europäischen Sozialfonds (ESF) zur Unterstützung der Beratung.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT

Am 16.03.2015 wurden unsere Beratungspakete

• Kern-Prozessanalyse
• Sicherheitsaudit "IT-Infrastruktur"
• Informations-Sicherheitsanalyse ISA+

beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete