Aktuelles

Aktuelles

Hier finden Sie Stellungsnahmen der Geschäftsführung oder unserer Spezialisten zu aktuellen Themen, Trends oder Technik. Die Artikel sind chronologisch absteigend sortiert. Bitte klicken Sie auf eine Überschrift, um den entsprechenden Artikel anzuzeigen.

03.07.2018 SOLIT Sandbox - Managed Security Service made in Germany! ONLINE

Ab sofort unterstützt SOLIT SYSTEMS Unternehmen mit SOLIT Sandbox bei der Cyber-Abwehr, damit Mitarbeiter wieder unbesorgt E-Mails empfangen und im Internet surfen können

SOLIT Sandbox steht dabei als Managed Security Service oder On Premise zur Verfügung. Die E-Mail-Kommunikation und Web-Zugriffe werden vor schädlichen Eingriffen zuverlässig gesichert, ohne dabei die gewohnte tägliche Nutzbarkeit dieser Kommunikationsplattformen einzuschränken. Dabei garantiert SOLIT SYSTEMS die Einhaltung aller in Deutschland geltenden Datenschutzbestimmungen.

Weitere Informationen unter:

https://sandbox.solit.systems
sandbox@solit.systems
+49 3641 3161-112

28.06.2017 NotPetya – Was hilft gegen WannaCry "2.0"?

Was macht NotPetya im Vergleich zu WannaCry so gefährlich?

Zunächst einmal haben beide Schadcodes gemeinsam, dass sie im ersten Schritt die gleiche Sicherheitslücke in Windows-Systemen ausnutzen, die eigentlich durch einen Patch vom März dieses Jahres bereits ausgemerzt wurde.

Aber ACHTUNG!
Der Schutz durch Patching der Systeme oder das Deaktivieren von SMBv1 – wie im Falle von WannaCry – HILFT NICHT gegen die wurmartige Verbreitung von PC zu PC!!!

NotPetya benutzt hierfür die lokalen Windows-Administrationstools WMI oder PSEXEC:
Sofern eine entsprechende Einstellung zur Fernwartung nicht deaktiviert und die Admin-Kennung z.B. durch ungeänderte Werkseinstellungen auf den PCs einheitlich ist, verschafft sich NotPetya über Wartungszugänge Zugriff auf andere PCs und infiziert sie auf diese Weise trotz sorgfältigen Windows-Patchings.

Ein weiterer Unterschied liegt in der Wirkung von NotPetya:
Die Verschlüsselung befallener PCs betrifft nicht wie bei WannaCry das individuelle Filesystem, sondern den Master Boot Record, so dass der PC nicht mehr booten kann.

Was kann man akut tun?

In unserem Artikel zur WannaCry-Attacke haben wir bereits grundlegendes Handwerkszeug für den Schutz bereitgestellt.

Aufgrund des zusätzlichen Risikos durch das Ausnutzen der lokalen Windows-Administrationstools muss der Maßnahmenkatalog jedoch um zusätzliche schärfere Schutzmaßnahmen erweitert werden:

1. Maßnahmen direkt am externen MX:

a) Harte SPAM-Policy:

Über eine harte SPAM-Policy soll die grundsätzliche Auslieferung von Schadcode über SPAM-Netzwerke stark eigeschränkt werden.
Dies ist aber nur eine "90%-Maßnahme".

b) Thread-Prüfung auf Match gegen eine Thread-Datenbank (Checksumme):

Zumindest bei globalen Outbreaks ist es recht wahrscheinlich, dass die betreffenden Mail-Attachments schon in einer zentralen Thread-Datenbank als bösartig bekannt sind.
Nachteil:
Bei kleinsten Schadcode-Variationen gelingt das Matching nicht mehr.

c) Aktualisierung der Virenscanner:

Derzeit werden NotPetya und einige Varianten von bestimmten AV-Herstellern gut erkannt.
Nachteil:
Aus den letzten Monaten sehr intensiver Beobachtung ist bekannt, dass es ein teilweise deutliches Zeitfenster zwischen dem Angriff durch neue Schadcode-Varianten und ihrer Erkennung durch AntiVirus-Software gibt (4 bis 12 Stunden). Dieses Zeitfenster ist ausreichend für eine direkte Erstinfektion und nachfolgende Verbreitung in internen Netzen als Wurm, die dann durch AV-Software nicht mehr abgewehrt werden kann.
Aktuell ist ersichtlich, dass erfolgreiche Angriffsmethoden unmittelbar durch zahlreiche Schadcodevarianten adaptiert werden, die in zeitlich extrem gut gemachten Wellen bspw. über SPAM-Netzwerke unerkannt von der AV-Software in die Systeme gelangen.

2. Sandboxing für die Eintrittskanäle Web und E-Mail vor der Übergabe an den internen Mailserver wie bspw. Exchange:

Aus den Erfahrungen der letzten Monate umfangreicher Testumgebungen und produktiver Systeme liefert ein leistungsfähiges Sandboxing eine 100%ige Erkennung auch bisher unbekannten Schadcodes und nachfolgender Varianten.
Allerdings ist darauf zu achten, dass das eingesetzte Sandboxing
- eine Verschleierung der aktuell stattfindenden Untersuchungssituation vor dem Schadcode durch Sandboxing auf „Bare-Metal“-Hardware bietet, so dass eventuelle Versteckfunktionen des Schadcodes deaktiviert bleiben
- und auch für besonders sensible Unternehmens- und personenbezogene Daten geeignet ist.

Was empfehlen wir mittel- bis langfristig?

Um zukünftig besser gegen drohende Angriffe geschützt zu sein und massive Einschränkungen in Ihrer Produktivität durch reine Akutmaßnahmen zu vermeiden, empfehlen wir weitergehende mittel- und langfristige Maßnahmen sowohl in technischer als auch in organisatorischer Hinsicht und passend zu Ihren Unternehmensprozessen.

1. Schließen Sie ggfs. weitere für initiale Infektionen nutzbare (und derzeit bekannte) Lücken in allen Systemen und Applikationen wie z.B. in Microsoft Office durch entsprechende Patches.

2. Entfernen Sie (lokale) Admin-Zugänge auf Server und PCs, die über WMI und/oder Powershell sowie gemeinsam genutzte Kennwörter eine Verbreitung bspw. von NotPetya ermöglichen.

3. Bauen Sie weitere allgemeine und spezielle Sicherheitsmaßnahmen auf:

a) Patch-Management-Prozesse für eine zeitnahe und vollständige Aktualisierung aller Systeme:
Denken Sie dabei auch an "schwierige" Systeme, unter anderem
- Nicht-Büro PCs und Server bspw. an Produktions- und Maschinen-Steuerungen,
- Embedded Systems oder
- durch Dritt-Lieferanten fest mit Systemen verbundene Controller-PCs wie z.B. Fahrstuhlsteuerungen oder ähnliches.

b) Netzsegmentierung mit mehreren (!) internen Sicherheitszonen mit genauer Festlegung und Filterung auf nur tatsächlich benötigte Dienste:
Hierzu sollten auch organisatorische Verfahren zur Ableitung von (strengen) Filter-Policies aus den tatsächlich für die Geschäftsprozesse benötigten Kommunikationsbeziehungen geprüft und geschärft werden.

c) Intrusion-Detection/-Prevention-Systeme (IDS/IPS) zwischen den unter b) genannten internen Netz-Zonen, um auf Netzwerk-Ebene ggfs. per Signatur-Datenbank erkennbare Angriffe abzuwehren.

d) Sandboxing made in Germany von SOLIT SYSTEMS mit strengen und weiterführenden Kontrollen der zufließenden Dateninhalte (E-Mail, Web, USB-Sticks, "Dropbox" etc.) an den äußeren Unternehmensgrenzen:
Verwenden Sie "Sandboxing"-Lösungen zum "testweise Ausführen von Inhalten" und automatisierter Prüfung auf gefährliche Inhalte sowie ggf. SSL-Aufbruch für Web-Proxy.
Aber Achtung: Viele Sandboxing-Lösungen sind technisch wertlos und können durch gut gemachten Schadcode leicht erkannt und umgangen werden! Zudem besteht meist die technische Notwendigkeit zum Upload von zu untersuchenden Dateien in "Hersteller-Clouds", was den Anforderungen aus dem gesetzlichen Datenschutz und dem Schutz vor Industriespionage widersprechen kann!

e) "Dynamisches SIEM" (= Security Information & Event Management System) als umfassende Lösung zur Erfassung, Bewertung und ggfs. Reaktion auf unplausible Aktionen innerhalb Ihrer Netzwerke als Schutz vor noch unbekannten Bedrohungen und zur zeitnahen Aufdeckung vorhandener subtiler Infektionen und "Unterwanderungen".


Sprechen Sie uns an, wie wir Sie per Planung, Aufbau und Betrieb unterstützen können.

16.05.2017 WannaCry - Analyse und Hilfe zur Selbsthilfe

Wie funktioniert "WannaCry"?

Nach einer initialen Infektion verbreitet sich "WannaCry" wurmartig von PC zu PC.

Ein direktes Infektionsrisiko besteht grundsätzlich nur bei Vorhandensein einer bestimmten Sicherheitslücke im "Windows-SMB-Protokoll" (Ports tcp/udp 137 bis 139 und ggfs. 445), die nicht durch geeignete Microsoft-Patches behoben wurde.
Sofern ein entsprechend betroffenes System über das Internet für die oben genannten SMB-Ports erreichbar ist, kann direkt eine Infektion mit "WannaCry" ausgelöst werden.
Häufig wird aktueller Schadcode jedoch zudem über infizierte PDF- oder Office-Dokumente in gut getarnte"Phishing"-E-Mails verteilt und durch das Öffnen der Anhänge oder den Klick unbedarfter Benutzer auf Web-Links auf dem PC gestartet.

Was kann man akut tun?

1. Abkapseln infizierter PCs:

Trennen Sie infizierte PCs von Ihrem Unternehmensnetzwerk, bzw. errichten Sie um infizierte Bereiche Quarantänezonen.

2. Schützen noch nicht infizierte PCs:

Die gute Nachricht: Für die von der Sicherheitslücke betroffenen Betriebssysteme gibt es bereits Patches, so dass eine zukünftige Infektion durch "WannaCry" auf gepatchte Rechner verhindert werden kann. Windows 10 ist im Übrigen nicht betroffen.

Microsoft-Patches:
a) für Windows 7 und 8.x sowie Windows Server ab2008R2:
MS17-010, siehe auch:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
b) für WindowsXP und Server2003:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Stellen Sie somit bitte sicher, dass sämtliche Systeme in Ihrem Unternehmen entsprechend mit Patches versorgt und neu gebootet wurden.

3. Grundschutz durch Virenscanner:

Sorgen Sie dafür, dass alle Server und PCs mit Virenscannern ausgerüstet sind und aktuelle Signaturen verwenden, um zumindest bereits bekannte Schadcodemuster identifizieren und blockieren zu können.
Aber Achtung: Bei neuartigen oder auch gelegentlich nur leicht veränderten Angriffsmustern und bereits erfolgter Infektion über andere Wege ist die Maßnahme häufig unwirksam.
Wir warnen ausdrücklich davor, Antiviren-Software als alleinigem Schutz zu vertrauen! Beachten Sie zudem, dass der Einsatz von qualitativ schlechter Virenscan-Software die Sicherheit ggfs. sogar deutlich negativ beeinflussen kann!

4. Einrichten von Schutz-/Quarantänezonen:

Als Ergänzungsmaßnahme können verwundbare Systeme per (Host)-Firewall auf den genannten Ports abgeschottet werden.

Welche weiteren Gefahren bestehen?

Vermutlich hat die aktuelle "WannaCry"-Welle nur Unternehmen sofort betroffen, die extrem riskant ungepatchte Systeme direkt per SMB über das Internet erreichbar betreiben. Daher scheint auch Deutschland in einer ersten Einschätzung des BSI "mit einem blauen Auge davongekommen zu sein".
Dies ist jedoch möglicherweise eine trügerische Ruhe.
Unabhängig von der ursächlichen "SMB-Lücke" muss damit gerechnet werden, dass Angreifer in eventuell bald erscheinenden Varianten versuchen werden, "WannaCry" durch einen sogenannten "initialen Dropper-Code" auf Zielsysteme bringen.
In der Regel geschieht dies durch Zusendung von SPAM-/Phishing-E-Mails mit angehängten als harmlos getarnten Dateianhängen (PDF, ZIP, Word, Excel etc.) oder Links, um durch das Öffnen/Anklicken durch den unbedarften Anwender eine Erstinfektion eines PCs auszulösen.
Dies kann technisch nur durch ein Erkennen und Filtern von gefährlichen Anhängen/Links in E-Mails oder Webseiten bekämpft werden. Hier gilt das Prinzip: Mit fast jeder neuen Variante beginnt das "Hase-Igel-Spiel" zwischen Gut und Böse von vorn.
Die Erfahrung zeigt leider, dass die "Antiviren-Hersteller" seit vielen Monaten eher unterdurchschnittliche Erkennungsraten haben und damit an vielen Stellen AntiVirus praktisch "nutzlos" wird.

Was empfehlen wir mittel- bis langfristig?

1. Schließen Sie ggfs. weitere für initiale Infektionen nutzbare (und derzeit bekannte) Lücken in allen Systemen und Applikationen wie z.B. in Microsoft Office durch entsprechende Patches.

2. Bauen Sie weitere allgemeine und spezielle Sicherheitsmaßnahmen auf:

a) Patch-Management-Prozesse für eine zeitnahe und vollständige Aktualisierung aller Systeme:
Denken Sie dabei auch an "schwierige" Systeme, unter anderem
- Nicht-Büro PCs und Server bspw. an Produktions- und Maschinen-Steuerungen,
- Embedded Systems oder
- durch Dritt-Lieferanten fest mit Systemen verbundene Controller-PCs wie z.B. Fahrstuhlsteuerungen oder ähnliches.

b) Netzsegmentierung mit mehreren (!) internen Sicherheitszonen mit genauer Festlegung und Filterung auf nur tatsächlich benötigte Dienste:
Hierzu sollten auch organisatorische Verfahren zur Ableitung von (strengen) Filter-Policies aus den tatsächlich für die Geschäftsprozesse benötigten Kommunikationsbeziehungen geprüft und geschärft werden.

c) Intrusion-Detection/-Prevention-Systeme (IDS/IPS) zwischen den unter b) genannten internen Netz-Zonen, um auf Netzwerk-Ebene ggfs. per Signatur-Datenbank erkennbare Angriffe abzuwehren.

d) Strenge und weiterführende Kontrollen der zufließenden Dateninhalte (E-Mail, Web, USB-Sticks, "Dropbox" etc.) an den äußeren Unternehmensgrenzen:
Verwenden Sie dazu "Sandboxing"-Lösungen zum "testweise Ausführen von Inhalten" und automatisierter Prüfung auf gefährliche Inhalte sowie ggf. SSL-Aufbruch für Web-Proxy.
Aber Achtung: Viele Sandboxing-Lösungen sind technisch wertlos und können durch gut gemachten Schadcode leicht erkannt und umgangen werden! Zudem besteht meist die technische Notwendigkeit zum Upload von zu untersuchenden Dateien in "Hersteller-Clouds", was den Anforderungen aus dem gesetzlichen Datenschutz und dem Schutz vor Industriespionage widersprechen kann!

e) "Dynamisches SIEM" (= Security Information & Event Management System) als umfassende Lösung zur Erfassung, Bewertung und ggfs. Reaktion auf unplausible Aktionen innerhalb Ihrer Netzwerke als Schutz vor noch unbekannten Bedrohungen und zur zeitnahen Aufdeckung vorhandener subtiler Infektionen und "Unterwanderungen".


Sprechen Sie uns an, wie wir Sie per Planung, Aufbau und Betrieb unterstützen können.

02.03.2016 „Locky“ – ein Erfahrungsbericht

„Locky“ – ein Erfahrungsbericht
Seit dem 15. Februar schwappt die Berichtswelle zur Bedrohung und den massiven Schäden durch den Verschlüsselungstrojaner „Locky“ über Deutschland hinweg (Krypto-Trojaner Locky wütet in Deutschland (Heise 19.02.16)).

Inzwischen ist die perfide Strategie des Schadcodes umfassend publik gemacht worden, die durch eine Kombination besticht, welche auch in der Biologie von Viren in ähnlicher Weise erfolgreich genutzt wird:
- ein technisch gut gemachter Schadcode mit sauberer Krypto-Implementierung und Vernichtung von Schattendateien,
- eine geschickte Tarnung als geschäftsübliche Dateianhänge,
- eine hohe Latenzzeit ohne „Symptome“ zur Verbreitung in (Firmen-)Netzwerken,
- effiziente Ausnutzung des Social Engineerings über Datenabgriff aus Social Media Netzwerken.

Durch das bequeme im Internet angebotene Baukastensystem zur einfachen Zusammenstellung des Wunsch-Schadcodes werden die Cyber-Angriffe zudem ein kommerzieller Erfolgsgarant. Sprich jeweils modifizierte „Locky“-Varianten werden immer häufiger in konzentrierten Wellen vor einer neuen Erkennbarkeit in Firmennetzwerke geschickt.
Es ist dabei kein Geheimnis in der Branche: Firewalls und Virenscanner bieten ungeachtet der Aussagen von Herstellern erwiesenermaßen gegen bestimmte Bedrohungen nur einen teilweisen oder gar völlig unzureichenden Schutz.

Doch wie fühlt sich die Bedrohung durch „Locky“ im Alltag eines IT-Dienstleisters mit Verantwortung für die IT-Sicherheit an? Hier unser Logbuch zur Betreuung unserer mittelständischen Firmenkunden im norddeutschen Raum:

SOLIT SYSTEMS Logbuch

15.02.16:
Erste Infos über „Locky“-Infizierungen in der Presse

17.02.16:
Abfangen und Prüfung aller E-Mails der Kunden mit zip-Dateien als Sofortmaßnahme

19.02.16:
Ausgabe einer offiziellen Warnung an die Kunden

22.02.16:
Ab sofort Regelmäßige Abstimmung mit Ansprechpartnern bei Kunden zum weiteren Vorgehen

25.02.16:
E-Mails mit zip-Dateien unter Quarantäne; Information an alle Anwender

26.02.16:
Blockade von Mails mit weiteren Anhängen; Quarantäne-Lösung für Excel, Word, Powerpoint
Beschaffung und Sichtung des „Locky“ Schadcodes
Test der bei den Kunden verwendeten Antivirensoftware auf Durchlässigkeit von „Locky“: „Locky“ wird von den aktuellen Versionen der renommierten Hersteller nicht abgefangen!

29.02.16:
Erste erfolgreiche Abwehr von „Locky“ durch die Antivirensoftware-Updates
1000 Mails mit Office-Anhängen bei den Kunden in Warteschleife >> Prozess zu „Bereinigung“ der z.T. internationalen Firmennetzwerke gestartet
Workaround zum Dateiversand für wichtige Ausnahmen implementiert, um den Geschäftsprozesse nicht zu behindern
Abgestimmter Helpdeskprozess für die Anwender kommuniziert

02.03.16:
Neue Schadcodevariante entdeckt und durch SOLIT blockiert; Antivirensoftware wieder wirkungslos.

Zusammengefasst:
„Locky“ beschäftigt uns seit Mitte Februar zusätzlich zu unserem „normalen“ IT-Sicherheitsbetrieb. Die späte Aktualisierung der renommierten Anti-Virensoftware konnten wir nur durch eigenes KnowHow, einen ernsthaften 24 x 7 Servicegedanken und eine schlagkräftige strategische Zusammenarbeit mit unseren Kunden ausgleichen.

Dabei wäre ein verlässlicher proaktiver und prospektiver Schutz möglich gewesen!

Als Spezialist für Managed IT-Security bietet SOLIT SYSTEMS bereits seit langem ein umfassendes und dauerhaft betreutes Watchguard-System an, das auch formal für Wirtschaftsprüfer und Auditoren geeignet und bspw. nach der Norm ISO27001 auslegbar ist:

Mit dem 24 x 7 Monitoring durch unsere PandoraBox erfassen wir nicht nur das Geschehen (Datenströme und Auffälligkeiten) im Kundennetzwerk und gleichen dann die Konsistenz der Regeln auf Firewalls/Proxies etc ab. Mit regelmäßigen Reviews und Kenntnis der kundenspezifischen Geschäftsprozesse und Owner der Flows beurteilen unsere Sicherheits-Spezialisten, ob der Netzwerkverkehr zum üblichen Nutzerverhalten passt. Durch diese Kombination aus maschineller und menschlicher Intelligenz bieten wir unseren Kunden somit echte proaktive Threat Intelligence an – und dies mit deutschem Datenschutz und Compliance nach deutschen Qualitätsstandards.

19.02.2016 Neues Schulungszentrum in Jena

Neues Schulungszentrum in Jena
Die SOLIT SYSTEMS GmbH hat ihren Standort Ost ausgebaut. Zentral gelegen am renommierten historischen Markt in Jena sind unsere Sicherheitsspezialisten nun noch besser erreichbar. Neben den Büroräumen für unsere Mitarbeiter steht uns für Beratungsgespräche und Trainings nun auch ein eigener Schulungs-/Tagungsraum zur Verfügung. In gemütlicher Arbeitsatmosphäre in einem schönen Altbau bieten wir unseren Kunden eine intensive Sicherheits-Konzeptionierung, Projektplanung sowie Consulting zu Datenschutz und IT-Sicherheit auf höchstem Niveau und weiterhin passgenau für ihr Unternehmen an.
Standort Jena

04.05.2015 "Goldene Regeln" zum Datenschutz

Datenschutz fängt bei den Mitarbeiterinnen und Mitarbeitern im Unternehmen an.
Alle noch so sicheren technischen Finessen können durch die Unachtsamkeit einer einzelnen Person vollständig unterlaufen werden. Aus diesem Grund ist es für die Gestaltung organisatorischer Maßnahmen zwingend notwendig, die Menschen an ihrem Arbeitssplatz mit ihren ureigensten Schwächen „abzuholen“. Eine Benutzerordnung taugt eben nur dann etwas, wenn sie von den Benutzern auch akzeptiert und tatsächlich beachtet wird. Es geht um die „Awareness“, also Sensibilisierung, der Kolleginnen und Kollegen. Vereinzelte lange Vorträge oder Handbücher, die ohnehin niemand liest außer dem Verfasser, sind eher kontraproduktiv und schädigen sogar das Ansehen des Datenschutzes innerhalb des Unternehmens. Ebenso ungeeignet sind Anforderungen an die Mitarbeiterinnen und Mitarbeiter, die zu massiv in den täglichen Arbeitsablauf eingreifen. Hier müssen geeignete weitere technische Hilfsmittel und konkrete praktikable Lösungsstrategien unterstützen.
Beispielsweise gibt es einfache Tricks, um sich komplizierte sichere Passwörter zu merken, oder Passwort-Safes, die den üblichen Passwort-Zettel unter der Schreibtischunterlage mit größerer Sicherheit ersetzen.

Wir empfehlen daher einfache schlagkräftige „Goldene Regeln“ zum Datenschutz im Unternehmen zu implementieren.
Die „Goldenen Regeln“ werden im Hintergrund – von jedem gut erreichbar – durch die eigentliche ausführliche Anwenderrichtlinie als Nachschlagewerk gestützt und durch regelmäßige, mindestens jährliche Datenschutz-Schulungen flankiert.
Die ausführliche Anwenderrichtlinie stellt ohnehin einen essentiellen Bestandteil eines IT-Sicherheitskonzeptes dar und ist für die Umsetzung der ISO27001 unumgänglich. Bitte bachten Sie, dass sämtliche technische und organisatorische Sicherheitsmaßnahmen einschließlich der Anwenderrichtlinie eine (strategische) Einheit bilden müssen, um ihre volle Wirksamkeit zu entfalten. Dies hatten wir bereits im vorangegangenen Artikel zur "Herausforderung Industrie 4.0" umrissen.

Den nachfolgenden Textvorschlag für die "Goldenen Regeln" zum Datenschutz dürfen Sie gerne kopieren und in Ihrem Unternehmen verwenden.


„Goldene Regeln“ zum Datenschutz

Unser Geschäftsbetrieb wird in wesentlichen Bereichen durch die IT-Systeme und Applikationen unterstützt. Alle Mitarbeiterinnen und Mitarbeiter können zur IT-Sicherheit beitragen, indem sie unsere Sicherheitsregeln berücksichtigen.

Da sich IT-Sicherheit beständig und in besonderem Tempo immer weiter entwickelt, unterstützen wir unsere Mitarbeiter über weitere aktuelle Online-Informationsangebote und regelmäßige Aktualisierungen. Hier finden Sie auch die ausführliche Anwenderrichtlinie mit konkreten Anleitungen beispielsweise zur Auswahl sicherer Kennwörter oder zur E-Mail-Verschlüsselung.

Ihr Ansprechpartner bei Fragen oder Problemen:
Vorname Nachname (Kontaktdaten)

Bitte informieren Sie uns bei Sicherheitsproblemen und fragen Sie bei Unklarheiten nach!

Kennwörter und Zugangsdaten: Wählen Sie sichere Kennwörter und geben Sie diese nicht weiter!
Verwenden Sie ausschließlich sichere sowie nicht leicht zu erratende Kennwörter und bewahren Sie Ihre Kennwörter nicht an leicht zugänglichen Orten, z.B. auf Ihrem Schreibtisch, auf. Geben Sie Ihre Zugangsdaten nicht an Kollegen oder andere Personen weiter und achten Sie immer darauf, Ihr Passwort unbeobachtet einzutippen. Bei der Wahl guter Kennwörter und ihrer sicheren Aufbewahrung hilft Ihnen die ausführliche Anwenderrichtlinie.

Arbeitsgeräte: Verwenden Sie nur unternehmens-eigene Geräte!
Aus Sicherheitsgründen darf nur unternehmenseigene Hardware wie z.B. Computer, USB-Sticks, Tablets und Smartphones für Ihre Arbeit verwendet werden. Der Anschluss fremder Geräte – auch von Besuchern oder Dienstleistern – direkt an unser internes Netzwerk ist aus Sicherheitsgründen nicht gestattet. Bitte installieren Sie selbst keine eigene oder fremde Software auf den Geräten. Stimmen Sie den Einsatz neuer Software oder die Nutzung von Cloudangeboten vorher mit der IT-Sicherheit ab.

Datenschutz: Prüfen Sie immer, ob Daten weitergegeben werden dürfen!
Alle Informationen innerhalb unseres Unternehmens sind grundsätzlich vertrauliche Geschäftsdaten, die nur unseren Mitarbeitern oder den jeweiligen Geschäftspartnern zugänglich gemacht werden dürfen. Prüfen Sie bitte in jedem Fall, ob eine Datenweitergabe zulässig ist. Nehmen Sie selbst keine Daten ohne Berechtigung aus dem Unternehmen mit und speichern bzw. senden Sie Geschäftsdaten bitte nur über die in der ausführlichen Anwenderrichtlinie beschriebenen sicheren Wege und Medien.

Datenträger: Verwenden Sie nur verschlüsselte Datenträger!
Die Daten auf mobilen Geräten wie Notebooks, transportablen Festplatten oder USB-Sticks für sensible Inhalte müssen grundsätzlich verschlüsselt werden. Bitte nutzen Sie für den Datenaustausch mit Geschäftspartnern die Wege über E-Mail, Web-Downloads und die Unternehmens-eigenen Lösungen zum Datentransfer. Entsorgen Sie nicht mehr benötigte oder defekte Datenträger nie über den normalen Abfall. Anleitungen dazu finden Sie in der ausführlichen Anwenderrichtlinie.

Mobiles Arbeiten und Fernzugriff: Geben Sie Zugänge nicht weiter und sperren Sie immer Ihren Computer!
Verwenden Sie zum Fernzugriff auf das Unternehmens-Netzwerk ausschließlich die Ihnen von uns zur Verfügung gestellten Lösungen für einen sicheren Zugang. Lassen Sie keine andere Person Ihren persönlichen Fernzugriff nutzen und sperren Sie Ihren Computer bitte bereits bei kürzeren Abwesenheiten.

E-Mails: Vorsicht vor unbekannten Anhängen und Absendern!
Bitte öffnen Sie keine unbekannten Dateianhänge oder Links, wenn der Absender Ihnen nicht bekannt ist, Ihnen die E-Mail merkwürdig vorkommt oder Sie nicht ausdrücklich eine Datensendung erwarten. Bitte beachten Sie immer, dass E-Mails im Internet auch von Dritten im Klartext eingesehen werden können. Versenden Sie sensible Daten wie Geschäftsgeheimnisse oder kundenbezogene Daten daher nur bei tatsächlicher Notwendigkeit und nur an vertrauenswürdige Empfänger sowie ausschließlich in verschlüsselter Form. Eine Anleitung dazu finden Sie in der ausführlichen Anwenderrichtlinie.

Webseiten: Bitte nutzen Sie das Internet verantwortungsbewusst!
Laden Sie bitte keine Software aus dem Internet auf Ihren Computer. Rufen Sie keine Art von Webseiten auf, die der Außendarstellung unseres Unternehmens schaden können. Bitte äußern Sie sich auf Webseiten und in Foren nicht im Namen unseres Unternehmens, wenn Sie dazu dienstlich nicht den Auftrag haben. Bitte beachten Sie, dass eine private Nutzung der geschäftlich zur Verfügung gestellten Geräte grundsätzlich untersagt ist. Im angemessenen Rahmen können Sie die dafür explizit bereitgestellten und speziell gekennzeichneten betrieblichen Kommunikationssysteme und -dienste verwenden.

Arbeitsplätze: Sichern Sie Geschäftsunterlagen und Ihren Computer!
Schützen Sie Geschäftsunterlagen an Ihrem Arbeitsplatz nach Verlassen durch sichere Ablage in abgeschlossenen Schränken. Verlassen Sie abends Ihren Arbeitsplatz als „CleanDesk“. Bitte sperren Sie Ihren Computer bereits schon bei kürzeren Abwesenheiten.

Ausdruck von Daten: Achten Sie darauf, dass Ausdrucke nicht in fremde Hände geraten!
Bitte entfernen Sie gedruckte Seiten unverzüglich aus den Druckern. Drucken Sie sensible Daten in frei zugänglichen Räumen grundsätzlich nur mit einem „Druckjob-Kennwort“ aus. Bitte entsorgen Sie nicht mehr benötigte Ausdrucke und Unterlagen über die jeweils aufgestellten abgesicherten Entsorgungsbehälter.

Büroräume: Begleiten Sie Ihren Besuch und achten Sie auf Ihren Mitarbeiterausweis!
Begleiten Sie Besucher bitte während der gesamten Zeit, auch am Ende wieder zum Empfang. Sprechen Sie dazu auch unbedingt unbekannte Personen im Gebäude bitte an. Verleihen Sie Ihre Zugangskarte nicht und melden Sie unverzüglich Verluste.

Kundendaten: Bitte behandeln Sie Kundendaten immer vertraulich!
Kundendaten müssen immer vertraulich und diskret behandelt werden. Nutzen Sie Kundendaten nur in den dafür vorgesehenen Systemen und zu dem geschäftsmäßig notwendigen Zweck. Geben Sie diese Daten auf keinen Fall an Dritte weiter, auch nicht für Softwaretests.

Und:
Haben Sie überhaupt schon alle Ihre internen und externen Mitarbeiter zum Datenschutz nach §5 BDSG und zur Einhaltung des Fernmeldegeheimnisses nach §88 TKG verpflichtet?

24.03.2015 Besser verkaufen durch IT-Sicherheit und Datenschutz

Bei den Themen IT-Sicherheit und Datenschutz liegt der Fokus üblicherweise auf den internen geschäftsstützenden Prozessen. Aktivitäten im Kundenkontakt werden unter den Stichpunkten "Mobile Device", "Remote-Einwahl (VPN)" oder noch allgemeiner "Sicherer Datenaustausch mit Dritten" einfach pauschal integriert.
Dabei kommen gerade die Besonderheiten der Vertriebsprozesse in diesen Betrachtungen zu kurz: Stärker noch als bei internen Mitarbeitern liegt der Schwerpunkt der Arbeitsweise auf dem Kontakt von Mensch zu Mensch mit den damit verbundenen erhöhten Sicherheits- und Datenschutzrisiken durch fehlendes Wissen oder mangelnde Sensibilität.
Gleichzeitig bedarf es gezielter technischer Sicherheits-Lösungen zur Unterstützung der ganz eigenen Prozesse und Datenverarbeitungen, damit IT-Sicherheit und Datenschutz von den Vertriebsmitarbeitern akzeptiert und nicht als Behinderung (auch für das Unternehmen) wahrgenommen werden. Um diese Lösungen entwickeln zu können, sind die Vertriebsmitarbeiter selbst gefordert, denn nur sie können die für ihre Arbeit optimalen Datenpakete und Ströme identifizieren.

Unser nachfolgender Artikel gibt anhand der Perspektive des Vertriebs gleichzeitig einen guten Einblick in die allgemeine Problematik rund um das sichere Erheben, Verarbeiten und Nutzen von Daten sowie Tipps zur pragmatischen Herangehensweise an die Herausforderung des Datenschutzes - unabhängig davon, ob es sich um personenbezogene Kundendaten oder wichtige Geschäftsdaten der Produktion handelt.


Besser verkaufen durch IT-Sicherheit und Datenschutz!

Zugegeben, der Druck im Vertrieb ist groß – und dann sollen zusätzlich noch Zeit und Geld für den Schutz der Daten veranschlagt werden? Sicherheit erscheint zunächst immer als zusätzlicher Aufwand und behindert in der täglichen Arbeit.

Und die Anforderungen sind enorm: In den Nachrichten häufen sich besorgniserregende Berichte über oftmals sogar unbemerkte Angriffe auf IT-Systeme und den Diebstahl von Daten selbst bei kleineren Mittelständlern. Unabhängig vom direkten finanziellen Verlust – wie hoch ist der Imageverlust in den Augen von Kunden und Mitarbeitern?
Zudem: Gesetzliche Vorgaben wie der bundesdeutsche Datenschutz untersagen bestimmte hilfreiche Verwendungen von Kundendaten und drohen mit empfindlichen Strafen für die Geschäftsleitung.

Durch die rasante Entwicklung der Technik und des beständigen Komplexitätszuwachses entstehen nicht zuletzt unkalkulierbare Kosten durch die IT. Das eigene KnowHow vieler Unternehmen reicht derzeit für eine ausreichende Reaktion zur Bewältigung der teilweise extrem schnell veränderlichen Bedrohungslage nicht mehr aus.

Bislang versuchen die Unternehmen mit isolierten Sicherheitsmaßnahmen wie der Installation von Firewall-Boxen und der Beschneidung eigentlich wichtiger Funktionen wie dem mobilen Datenzugriff der Lage Herr zu werden. Dies erzeugt im schlechtesten Fall jedoch nur eine scheinbare Sicherheit und behindert real sogar das Unternehmenswachstum.

Die komplexe und für manche Verantwortliche schier unübersichtliche Aufgabe des Schutzes der Daten lässt sich jedoch mit etwas Erfahrung geschickt strukturieren und überraschenderweise zur Weiterentwicklung der eigenen Organisation und des systematischen Verkaufs nutzen. Denn Datenschutz bedeutet: Welche Daten brauche ich und für welche Zwecke? Welche Daten besitze ich bereits und wo liegen sie? Wer hat auf welche Weise Zugriff auf diese Daten? Und wie lange benötige ich diese Daten überhaupt? Eine strenge Zweckbindung und sichere Datenablage legitimiert bspw durchaus eine Langzeitarchivierung von sensiblen Maklerdaten.

Durch diese Fragestellungen kann man bereits typische Problemfelder eingrenzen:
Datenhalden und überladene CRM-Systeme lassen sich vermeiden. Die Datenpflege wird erleichtert, der Blick auf das Wesentliche konzentriert. Mit geringerem Zeitaufwand filtern Sie nun die notwendigen Informationen für den Vertriebsprozess heraus. Schlanke Anschlussprozesse senken die Bearbeitungszeit und verbessern die Kundenbetreuung.
Datenschutz nutzt also die gleichen Werkzeuge wie die Prozessoptimierung. Sie als Fachleute können sich mit Ihrem KnowHow aktiv an der Etablierung passender Vertriebsprozesse beteiligen.

Nach Beantwortung der Datenschutzfragen analysieren Sie sodann, für welche Prozesse rein organisatorische Maßnahmen ausreichen und welche technische Schutzvorkehrungen erfordern.

Aber: IT-Systeme sind komplexe Lösungen mit facettenreichen Wechselwirkungen. Zur Bewältigung sind gleichermaßen profunde technische und organisatorische Kompetenzen und Erfahrungen notwendig. Anwender wünschen sich unkompliziert nutzbare IT-Dienste mit moderner Software und interessieren sich nicht für technische Details. Die Arbeitsweise aller Beteiligten in der IT muss sich an verbindlichen Betriebsprozessen und anerkannten Standards ausrichten. Diese müssen daher zentral koordiniert sein. Eine extrem anspruchsvolle Aufgabe für die IT-Abteilungen der Unternehmen, die teilweise bereits mit der laufenden Modernisierung und grundlegenden Betriebssicherung der Systeme und Applikationen mehr als ausgelastet sind.

In einer idealen IT-Lösung liegen alle wichtigen Daten gut strukturiert und miteinander logisch eng verknüpft in besonders gesicherten Systemen. Alle Anwender können unabhängig von Ort und Art der verwendeten Geräte mit dem PC im Büro oder über mobile Devices einheitlich auf diese Daten zugreifen. Die Zugriffsrechte ergeben sich aus der Zweckbindung; Risiken zum Verlust von Daten sind effektiv minimiert. In direkter Konsequenz tritt die Frage in den Hintergrund, ob ein Server im eigenen Hause steht oder onDemand von einem Cloudanbieter gemietet wird.

Aus diesen Gründen müssen Sie sich als Unternehmen zwischen zwei vollkommen verschiedenen Lösungsstrategien final entscheiden, Mittelwege führen nicht zum gewünschten Ziel:

Sie übernehmen durch eigenes Können vollkommen selbst die Verantwortung für das Design, zudem für den Aufbau und den Betrieb Ihrer IT-Lösungen. IT-Kompetenz wird zur langfristigen strategischen Komponente Ihres Unternehmens,

ODER

Sie verpflichten EINEN verlässlichen Partner, der die oben genannte Verantwortung für Sie schultert. Entscheidend ist hierbei jedoch die Auswahl eines kompetenten und zur Unternehmensstrategie passenden IT-Dienstleisters mit technisch sicheren und rechtlich zulässigen Lösungen, die insbesondere beim Umgang mit sensiblen Daten 100%ige Transparenz bieten müssen. In diesem Fall scheiden leider Anbieter, die sich nicht ausschließlich dem deutschen Recht unterwerfen, bereits aus. Dies betrifft derzeit nahezu alle großen Player am Markt.

07.03.2015 Herausforderung Industrie 4.0

Freihandelsabkommen – Industrie 4.0. – Cyber War
In den Medien häufen sich die Schlagzeilen zu den Bedrohungen für europäische Unternehmen:
Die Welt berichtet einerseits von gezielten Hackerangriffen (Hacker zielen auf das Herz der Industrie (26.02.2015)) und beschreibt andererseits eine ungenügende strategische Vorbereitung auf das digitale Zeitalter (Bei der digitalen Strategie müssen viele Chefs passen (17.01.2015)).

Doch wie können Unternehmen diesen Herausforderungen an ihre strategische Entwicklung begegnen, ohne derartige schwerwiegende offene Baustellen zu riskieren?
In Gesprächen mit unseren Kunden hat sich vor allem ein Aspekt als Antwort herauskristallisiert:
Das eigene KnowHow und die Kernkompetenzen als Grundpfeiler der deutschen Wirtschaft sichern!
Dies erfordert mittlerweile jedoch sogar schon einen nachhaltigen Schutz vor den bekanntgewordenen gezielten hochentwickelten Angriffen auf die IT-gestützten Informationen und Geschäftsprozesse und damit robuste technische wie organisatorische Mechanismen für eine leistungsfähige und sichere Unternehmens-IT –- eine extrem anspruchsvolle Aufgabe für die IT-Abteilungen der Unternehmen, die teilweise bereits mit der laufenden Modernisierung und grundlegenden Betriebssicherung der Systeme und Applikationen mehr als ausgelastet sind.

Selbst bei kleineren Mittelständlern ist jedoch derzeit ein Zustand unannehmbarer Risiken und erfolgter, größtenteils unbemerkter Einbrüche und Unterwanderungen der Systeme und Netzwerke erreicht. Isolierte Sicherheitsmaßnahmen durch die eigene IT oder abgegrenzte, teilweise sogar nur rein technische Lösungen bisher üblicher Vertragspartner (z.B. klassischer Systemhäuser mit der Installation einzelner Firewalls und Virenscanner) sind daher für die aktuell benötigte IT-Sicherheit absolut unzureichend und liefern nur eine scheinbare Sicherheit.
Zudem werden sich typische Unternehmen nicht gegen den Fachkräftemangel in der IT behaupten können.

Die Konzentration auf die Kernkompetenz bedeutet als logische Konsequenz also die möglichst GANZHEITLICHE Auslagerung des vermeintlichen „Beiwerks“, d.h. aller IT-Bestandteile, welche die eigentlichen Geschäftsprozesse langfristig sicher stützen sollen.
Ganzheitlich meint hier sowohl die notwendige Verbindung Technik-Organisation-Prozesse als auch die umfassende Sicherheitsbetrachtung angefangen von einfachen Tools wie Firewalls über spezialisierte Lösungen zum Schutz vor Denial-of-Service (DDoS) bis hin zur Erkennung und zeitnahen Bekämpfung von Unterwanderung und Abfluss vertraulicher Unternehmensdaten.

Nur an wen kann und darf man aus Sicherheitsgründen überhaupt Verantwortung abgeben? Die Frage des Vertrauens wird also zunehmend die Auswahl und das Verhältnis zu etwaigen Dienstleistern bestimmen. Unseres Erachtens sitzt ein geeigneter Dienstleister „im selben Boot“ wie sein Auftraggeber und vertritt die gleichen deutschen Wertvorstellungen von Sicherheit und Verbindlichkeit. Dies haben inzwischen auch Bund und Länder für ihre IT-Vergaberichtlinien erkannt (CSC Deutschland - umstrittener NSA-Dienstleister verliert Ausschreibung (Süddeutsche Zeitung vom 04.03.2015)).

Einfach zusammengefasst: Das „Beiwerk“ des einen muss die Kernkompetenz des anderen sein.