Archiv für den Monat: Februar 2018

der Countdown läuft, die EU-Datenschutz-Grundverordnung tritt am 25. Mai in Kraft.

Sind Sie schon fit für die neuen Anforderungen?

Die Neue DSGVO gilt bereits seit April 2016, aber nun läuft die Übergangsfrist ab.

Jedes 3te Unternehmen hat sich noch nicht mit der Umsetzung beschäftigt. Das wird aber nicht vor den möglichen Strafen schützen.

Wir Informieren Sie gerne über nötige Umsetzung in Ihrem Betrieb.

Künstliche Intelligenz und BIG DATA

Künstliche Intelligenz ist in aller Munde. Aber was bedeutet das konkret? Und wie intelligent kann eine Maschine wirklich sein?

Künstliche Itelligenz, kurz KI, kann nur effektiv zusammen mit menschlicher Intelligenz arbeiten. Eine KI benötigt sehr viele Daten und kann trotzdem nicht den abtrakten Zusammenhang des „großen Ganzen“ erkennen. Dies kann der Mensch bereits innerhalb weniger Sekunden.

KI bedeutet einfach, dass aufgrund von Daten und dazu passenden Entscheidungen eine logische Aktion ausgeführt wird. Aber das ist gar nicht so einfach.

„Die Herdplatte ist heiß, also ziehe ich die Hand weg“.

Wenn alles so einfach wäre. Die IT kämpft da mit komplexeren Problemen und die Daten liefern immer wieder neue Ausnahmen, die wiederum zu neuen Regeln führen.

KI steckt noch in den Kinderschuhen, aber der Weg ist schon vorherbestimmt. Google sammelt nicht umsonst so viele „nutzlose“ Daten. Über die Zeit werden diese wieder zu einem wertvollen Objekt.

 

VSS Shadow auf einem CORE-Server aktivieren

Anbei ein Powershellscript, um auf einem CORE-Server ohne GUI den VSS Shadow zu aktivieren.

 

vssadmin add shadowstorage /for=c: /on=c: /maxsize=200gb

schtasks /create /SC daily /TN morgens_Snapshot /TR "vssadmin create shadow /for=c:" /ST 07:30 /RU DOMAIN\USER /RP MEINGEHEIMESPASSWORT

schtasks /create /SC daily /TN nachmittags_Snapshot /TR "vssadmin create shadow /for=c:" /ST 17:30 /RU DOMAIN\USER /RP MEINGEHEIMESPASSWORT

 

 

 

Datenschutz-Grundverordnung, Artikel 32

Die Datenschutz-Grundverordnung sorgt bei vielen Unternehmen ohnehin schon für reichlich Stress, aber eine spezielle Anforderung der DSGVO sorgt für besondere Verwirrung: Artikel 32 verpflichtet Unternehmen, ihre Daten dem „Stand der Technik“ entsprechend zu schützen. Das Problem dabei: IT-Entscheider und Hersteller sind sich in der Interpretation dieser Vorgabe alles andere als einig.

Die Formulierung „Stand der Technik“ findet sich bereits in § 8a des Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) von 2015. Dieses schreibt vor, dass kritische Infrastrukturen (KRITIS) entsprechend geschützt werden. Mit Artikel 32 der DSGVO ist der Gesetzgeber nun noch einen Schritt weitergegangen und hat den „Stand der Technik“ zur allgemeinen Richtschnur für IT-Sicherheit zum Schutz personenbezogener Daten erklärt. Für viele IT-Entscheider stellt das eine enorme Herausforderung dar. Schließlich kommen Datenverluste leider noch immer regelmäßig in deutschen Unternehmen vor und können ab Mai 2018 empfindliche Strafen nach sich ziehen.

Was bedeutet also der „Stand der Technik“ für Unternehmen und warum verwendet der Gesetzgeber diesen Begriff anstatt klar zu definieren, was er sich darunter vorstellt? Hierzu muss zunächst die Natur von Sicherheitslösungen allgemein betrachtet werden.

Präzise Formulierungen schaden mehr als sie nützen

In den ersten Gesetzen im IT-Bereich verwendete der Gesetzgeber noch den Begriff „Antivirus“ und schrieb vor, dass dieses auf allen Endpunkten installiert sein müsse. Diese klare Vorgabe war für die betroffenen Unternehmen einfach einzuhalten. Das Problem an solchen präzisen Formulierungen ist allerdings, dass sie auch auf der „anderen Seite“ bekannt und dementsprechend leicht zu umgehen sind. Wenig überraschend kam die Antivirus-Technologie, die damals hauptsächlich aus Pattern-gestützten Updates bestand, schnell an Ihre Grenzen und war in puncto Sicherheit bereits nach wenigen Jahren obsolet. Daran wird deutlich, dass Sicherheit und Zuverlässigkeit einer Schutztechnologie in der Regel mindestens genauso sehr von ihrem Verbreitungsgrad abhängt wie von der Technik selbst.

Häufige Anpassungen nötig

Ein Blick auf die letzten 30 Jahre Endpunktsicherheit verdeutlicht, dass etwa alle zwei bis drei Jahre eine neue Technologie auf den Markt kommt, die wirkungsvoller ist als alles zuvor Bekannte. Vor etwa vier Jahren war das Sandboxing eine solche revolutionäre Technologie, seit etwa einem Jahr ist maschinelles Lernen das bestimmende Thema. In der Regel dauert es nicht lange bis Cyberkriminelle erste Gegenmaßnahmen entwickelt haben und auch die neueste Technik nicht mehr wirkungsvoll funktioniert. So arbeiteten bereits 2016 viele Ransomware-Varianten mit sogenannten Sandbox-Evasion-Technologien. Für rechtliche Regelungen bedeutet dies: Würde der Gesetzgeber genaue Technologien vorschreiben, müsste er diese etwa alle zwei bis drei Jahre aktualisieren.

Nicht allgemein gültig

Zudem hat jedes Unternehmen bei der IT-Sicherheit ein eigenes Anforderungs- und Gefährdungsprofil. Was in größeren Unternehmen hervorragend funktioniert, scheitert beim Mittelstand oft an den verfügbaren Ressourcen. Während eine vorgeschriebene Technologie für das eine Unternehmen nicht ausreicht, kann sie für ein anderes bereits zu komplex sein.

„Stand der Technik“ in der Praxis

Aus diesen Gründen erscheint es durchaus zweckmäßig, dass sich der Gesetzgeber für die allgemeine Formulierung „Stand der Technik“ entschieden hat. Doch was bedeutet diese Vorgabe für die Praxis? Diese Fragestellung, markiert bereits den ersten Schritt zur Erfüllung der Vorgabe. Der „Stand der Technik“ erfordert eine Auseinandersetzung mit dem Thema anstatt einfach das erstbeste Produkt zu kaufen. Damit verbunden ist das Bewusstsein, dass IT-Sicherheit kein Zustand ist, der einfach erreicht werden kann und dann für immer unveränderlich ist. Vielmehr stellt IT-Sicherheit einen ständigen Prozess dar, der eine sinnvolle Strategie erfordert, um wirksam zu sein.

Schutz von Daten ernst nehmen

IT-Sicherheit war bislang vor allem ein Kostenfaktor und wurde deshalb in vielen Firmen nur im Rahmen des vorgeschriebenen Minimums eingesetzt. Ausnahmen gab es häufig erst dann, wenn tatsächlich ernsthafte Beeinträchtigungen der Geschäftsprozesse zu beobachten waren, beispielsweise bei Ransomware-Vorfällen. Damit verbunden war oftmals die Ansicht, dass der Diebstahl personenbezogener Daten für das betroffene Unternehmen nur ein geringes Problem mit vernachlässigbaren Folgen darstellte. Mit der DSGVO hat der Gesetzgeber diesen Daten einen hohen Wert verliehen und ihren Verlust mit empfindlichen Strafen belegt. Dies soll zu einem Umdenken in den Unternehmen führen.

Schutz – Erkennung – Bereinigung

Zur Planung der IT-Sicherheit gehört nicht nur die Optimierung des Schutzes. Auch der Gesetzgeber hat erkannt, dass vollständige Sicherheit nicht erreicht werden kann. Schließlich kann heute noch niemand vorhersagen, wie die Cyberangriffe von morgen aussehen werden. Umso wichtiger ist es, eine Strategie für den Fall zu haben, dass es einem Angreifer gelingt, die Verteidigung zu überwinden. Diese sollte unter anderem folgende Fragen beantworten können: Wie kann ein erfolgreicher Angriff schnellstmöglich erkannt und auf ihn reagiert werden? Was hat der Angreifer im System gemacht? Kam es zu Datenverlust? Befindet sich der Angreifer noch immer im System? Wenn ja, wo und wie kann er wieder aus dem Netzwerk entfernt werden? Eine verbreitete Vorgehensweise in solchen Fällen ist es, externe Forensiker zu beauftragen, um diese Analysen durchzuführen. Damit werden Unternehmen zukünftig jedoch weder den kurzen Benachrichtigungsfristen noch der Forderung nach dem „Stand der Technik“ gerecht werden können. Vielmehr sind technologische Lösungen gefragt, die proaktiver sind und den Forensikern im Zweifel schnelle Antworten liefern können.

…und technologisch?

Die einzusetzenden Technologien hängen unter anderem von Unternehmensgröße und Arbeitsweise ab. Es gibt aber durchaus ein paar Grundregeln, die zu beachten sind:

Managebarkeit

Sicherheitstechnologie muss stets managebar sein. Dabei ist es unerheblich wie viele unterschiedliche Hersteller eingesetzt werden. Managebarkeit bedeutet in erster Linie, dass die produzierten Ergebnisse nicht nur einen punktuellen Einblick geben, sondern einen möglichst umfassenden Überblick über das Geschehen im gesamten System bieten. Beispielsweise kann eine ungewöhnliche Kommunikation im Netzwerk darauf hindeuten, dass einer oder mehrere Clients verseucht wurden. Ermöglicht die Sicherheitslösung nun, die Informationen beider Seiten miteinander zu kombinieren, ergibt sich ein genaueres Bild der Vorgänge, die dann effektiver bekämpft werden können. Bietet die IT-Sicherheit hingegen nur punktuellen Einblick, sind die Verantwortlichen oftmals nur damit beschäftigt, Löcher zu stopfen und übersehen wichtige Schwachstellen.

Technologischen Fortschritt einplanen

Bei der Entscheidung für einen Anbieter sollte der zu erwartende technologische Fortschritt mit eingeplant werden. Die Vergangenheit hat gezeigt, dass etwa alle zwei bis drei Jahre mit einer neuen, wirksameren Technologie zu rechnen ist. IT-Entscheider sollten sich schon heute überlegen, wie sie damit umgehen wollen: Möchten sie jede Technologie durch einen anderen, möglicherweise spezialisierten Hersteller abdecken oder entscheiden sie sich für einen Generalisten, der mit seinen Lösungen auch in einigen Jahren noch den nächsten Schritt mitgeht?

Analystenmeinungen – Fachmeinungen

Gerade im Mittelstand ist es oftmals schwer, sich selbst ein Bild zu machen und immer einen Blick auf die neuesten Entwicklungen zu haben. IT-Verantwortliche sollten sich an vertrauenswürdige Partner wenden oder die Berichte von Analysten zu Rate ziehen, die sie bei der Entscheidungsfindung unterstützen können. Analysten beurteilen Hersteller hinsichtlich ihrer Fähigkeiten. Partner bieten oft den Service, Systeme nicht nur aufzusetzen, sondern sie auch zu betreiben. Mit dieser Unterstützung fällt es meist leichter, sich für die richtigen Systeme zu entscheiden.

Mehr Datensicherheit wagen

Im direkten Gespräch mit Unternehmen ist häufig zu hören, dass die neue Datenschutzgrundverordnung als „Gängelung“ der Unternehmen verstanden wird. Man erwartet keine ernstzunehmenden Bestrafungen und wenn es doch dazu komme, werde es ohnehin zunächst die anderen treffen. Zudem werden fehlende spezifische Vorgaben bemängelt und neue erwartet, an die man sich dann halten könne. Hier ist dringend ein Umdenken nötig!

Zum einen stehen bei der DSGVO weniger die betroffenen Unternehmen, als vielmehr die ihnen anvertrauten Werte, nämlich die personenbezogenen Daten von Kunden und Mitarbeitern, im Mittelpunkt. Zum anderen tut der Gesetzgeber gut daran, eben die verkrusteten Strukturen für obsolet zu erklären, die für den bisherigen, desolaten Zustand der Datensicherheit verantwortlich sind. Diese sind – so paradox es klingen mag – vor allem in den bisherigen gesetzlichen Regelungen begründet. Denn Unternehmen neigen dazu, sich möglichst genau an diese Vorgaben zu halten und sich dabei auf das gesetzlich vorgeschriebene Minimum zu beschränken. So sollen die Kosten möglichst niedrig gehalten und dennoch der reibungslose Geschäftsbetrieb gewährleistet werden. IT-Sicherheit ist nach diesem Verständnis ein reiner Kostentreiber.

Kam es in der Vergangenheit zum Verlust personenbezogener Daten, wurde der Konsument mit den Folgen oft alleine gelassen. Die Politik wird mit der DSGVO lediglich Ihrem Auftrag gerecht, den Bürger in diesem Punkt besser zu schützen. Wenn das dazu führt, dass die IT-Sicherheit spürbar verbessert und auf den „Stand der Technik“ gebracht wird, profitieren davon nicht zuletzt die Unternehmen selbst.

Quelle :

https://www.security-insider.de/dsgvo-sorgt-mit-stand-der-technik-fuer-verwirrung-a-683024/

Online-Shopping wird europaweit einfacher

Das Europaparlament hat dem Geoblocking in der EU ein Ende bereitet. Künftig können Verbraucher auf Waren und Buchungen von Hotelzimmern EU-weit zugreifen. Eine Ausnahme gibt es allerdings weiterhin.

Am Dienstag hat das Europaparlament die Geoblocking-Verordnung verabschiedet. Diese wurde mit 557 Stimmen angenommen, bei 89 Gegenstimmen und 33 Enthaltungen.

So war es bisher

Bislang war es mitunter schwierig auf Websites aus dem EU-Ausland einzukaufen. Eine Umfrage hatte ergeben, dass 63 Prozent der untersuchten Websites Kunden aus dem EU-Ausland nicht zuließen. Bei materiellen Gütern war das Geoblocking bei den elektrischen Haushaltsgeräten (86 Prozent) sowie bei Dienstleistungen, z.B. beim Kauf von Eintrittskarten für Sportveranstaltungen (40 Prozent), am größten. Was im stationären Handel undenkbar wäre – einen Kühlschrank kann man auch in Italien kaufen – war somit bislang online gang und gäbe.

So wird es künftig

Die neue Verordnung sieht nun vor, dass Online-Anbieter Käufer aus einem anderen EU-Land genauso behandeln müssen wie einheimische Kunden. Ihnen also Zugang zu gleichen Preisen oder Verkaufsbedingungen gewähren, wenn eine der folgenden Bedingungen erfüllt wird:

  • Der Zielort der Bestellung (z.B. von Haushaltsgeräten, Elektronik, Kleidung) ist ein Mitgliedstaat, den der Gewerbetreibende in seinen allgemeinen Geschäftsbedingungen als Lieferziel ausweist, oder Kunde und Verkäufer vereinbaren einen Ort zur Abholung in einem solchen EU-Land (Verkäufer müssten nicht in alle EU-Länder liefern, aber Käufer sollten die Möglichkeit haben, das Paket an einem mit dem Händler vereinbarten Ort abzuholen);
  • Es handelt sich um elektronisch erbrachte, nicht urheberrechtlich geschützte Leistungen wie zum Beispiel Cloud-Dienste, Data-Warehousing, Webhosting oder die Bereitstellung von Firewalls;
  • Die erworbene Dienstleistung wird in den Räumlichkeiten des Anbieters oder an einem Standort, an dem der Anbieter tätig ist, erbracht, wie Hotelunterbringung, Sportveranstaltungen, Autovermietung sowie Eintrittskarten für Musikfestivals oder Freizeitparks.

Weiterhin steht es den Online-Händlern frei über die Art des Zahlungsmittels zu entscheiden. Innerhalb einer Zahlungsart darf aber nicht mehr aufgrund der Nationalität diskriminiert werden. So können Verbraucher künftig nicht mehr nach dem Ausstellungsort einer Kreditkarte unterschiedlich behandelt werden.

Ausdrücklich ausgenommen von der Geoblocking-Verordnung sind urheberrechtlich geschützte Inhalte, wie es in der Pressemitteilung heißt: „Digitale urheberrechtlich geschützte Inhalte wie E-Books, Musik, Online-Spiele oder audiovisuelle und Transportdienstleistungen fallen vorerst nicht unter die neuen Regeln. Die Verhandlungsführer des Parlaments haben jedoch eine Überprüfungsklausel in das Gesetz aufgenommen, die die EU-Kommission verpflichtet, innerhalb von zwei Jahren zu prüfen, ob das Verbot von Geoblocking auf solche Inhalte ausgeweitet werden sollte.“

So geht es weiter

Die Verordnung muss noch formell vom Europarat gebilligt werden und soll dann neun Monate nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft treten.

Quelle : IT-Business
https://www.it-business.de/online-shopping-wird-europaweit-einfacher-a-683953/

World Economic Forum Global Risks Report 2018

Cybersicherheitsrisiken nehmen zu – sowohl hinsichtlich ihrer Wahrscheinlichkeit als auch
was ihr Störpotenzial betrifft. Angriffe auf Unternehmen haben sich innerhalb von fünf Jahren fast verdoppelt und Vorfälle, die früher als außergewöhnlich galten, werden immer alltäglicher. Die finanziellen Auswirkungen von Cybersicherheitslücken steigen; einige der höchsten Schadensfälle im Jahr 2017 entstanden durch erpresserische Angriffe mit Ransomware; sie machten 64 % aller E-Mail-Bedrohungen aus. Beträchtliche Auswirkungen hatten zum Beispiel der WannaCry-Angriff, von dem 300.000 Computer in 150 Ländern betroffen waren, und NotPetya, der bei einer Reihe betroffener Unternehmen Quartals-Verluste von 300 Millionen US-Dollar verursachte. Ein weiterer wachsender Trend sind Cyberangriffe auf kritische Infrastruktur und strategische Industriesektoren – das schürt Befürchtungen, Angreifer könnten im schlimmsten Fall einen Zusammenbruch der Systeme verursachen, die für ein Funktionieren unserer Gesellschaften unentbehrlich sind.

Der Mittelstand und die Datenschutz-Grundverordnung

Kein Unternehmen sollte glauben, von der Datenschutz-Grundverordnung höchstens am Rande betroffen zu sein. Auch die Industriebranchen verarbeiten personenbezogene Daten in großem Umfang. Dabei geht es nicht nur um die Daten der Kunden, Lieferanten und Mitarbeiter, es geht auch um die Maschinendaten, die durchaus einen Personenbezug haben können, wie ein Blick in die DSGVO zeigt.

Die meisten Umfragen zur Datenschutz-Grundverordnung und dem Stand der Umsetzung in Unternehmen greifen keine spezielle Branche heraus, wenn überhaupt werden Unternehmensgrößen unterschieden. Der branchenübergreifende Ansatz ist richtig, denn die DSGVO ist für alle Wirtschaftsbranchen gültig.

Ohne Zweifel verarbeiten auch alle Wirtschaftsbranchen personenbezogene Daten. Wenn eine der Bitkom-Studien zur DSGVO besagt, dass jedes dritte Unternehmen personenbezogene Daten zur Verbesserung von Produkten und Dienstleistungen einsetzt und 42 Prozent der befragten Unternehmen angeben, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist, dann gibt es im Detail natürlich Unterschiede bei verschiedenen Branchen. Verneinen würde die Bedeutung der personenbezogenen Daten jedoch kaum ein Branchenvertreter.

 

Quelle :

https://www.security-insider.de/was-industrieunternehmen-fuer-die-dsgvo-noch-tun-muessen-a-682804/

 

Juristische Grundlage beim Einsatz von Spam und Virenfiltern

Ein Administrator der Emails filtert oder blockiert kann sich nach § 206 Abs. 2 StGB strafbar machen . Der Einsatz von Spamfiltern kann eine Unterdrückung nach §206 bedeuten. Unterdrückt im Sinne des §206 ist eine Email dann, wenn sie dem normalen Telekommunikationsverkehr entzogen wird. Eine Unterdrückung, tritt bei Einsatz einer Quarantäne durch einen Spam-Filter, schon in Kraft. Strafbar ist der ganze Vorgang nur dann, wenn er unbefugt durchgeführt wird. Durch Einholen einer Befugnis des Nutzers kann das Problem beseitigt werden.
Jede Veränderung einer Email ist ebenso strafbar nach §303a StGB. Dazu zählt die Löschung, Unterdrückung und Veränderung von Daten. Bereits das Markieren einer Spam-Email im Header gilt hierbei als strafrechtlich relevante Datenveränderung. Auch hier gilt, strafbar ist nur das unbefugte Durchführen.
Das Vorgehen gegen Viren und andere Schädlinge ist zur Vermeidung von Betriebsstörungen oder als Notwehr abgesichert. Das elektronische Analysieren von Emails auf Spamverdacht ist ohne Einwilligung nicht gestattet. Eine Überprüfung auf Virenverdacht hingegen schon.

Durch die Ergänzung der Nutzungsbedingungen des Emaildienstes mit dem Hinweis auf den Einsatz von Spam-Filter Software wird dieses Problem umgangen.
Alternativ muss der Benutzer den Spam Filter selbst einschalten zum Beispiel durch ein Web-Interface und so seine Zustimmung für den Einsatz eines Spamfilters geben.