Posts mit dem Label Schwachstellen werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Schwachstellen werden angezeigt. Alle Posts anzeigen

Dienstag, 31. Januar 2023

Phishing-Mails erkennen und damit umgehen

Phishing-Mails sind ein beliebtes Mittel von Cyberkriminellen. Phishing-Mails zu erkennen ist nicht immer einfach. Wir zeigen auf, wie Sie sich Verhalten sollten - auch im Ernstfall. 

Aktuell sind viele Phishing-Mails im Umlauf. Die Menschen werden durch aktuelle Themen auf Fake-Seiten gelockt oder es werden Schadsoftware auf den Rechner installiert.





Phishing-Mails müssen erkannt werden
- anderenfalls muss entsprechen gehandelt werden

Mittwoch, 22. Dezember 2021

Wenn der Admin aus dem Haus ist, tanzen die Hacker auf dem Tisch

Warnung vor erhöhtem Risiko von Ransomeware-Angriffen über die Feiertage durch BSI und BKA.


Für Unternehmen besteht über die bevorstehenden Weihnachtsfeiertage wieder ein erhöhtes Risiko für Cyber-Angriffe. Davor warnen die Sicherheits-Experten der yourIT aus Balingen.  


Bin dann mal weg
Bin dann mal weg - Gruß Admin
Durch bekannte aber nicht behobene Sicherheitslücken wie z.B. Log4Shell in Log4j oder HAFNIUM in MS Exchange sind ist so manche vermeintlich stabile Burgmauer von Unternehmen bereits untertunnelt. Angreifer nutzen gerne die Abwesenheit der Administratoren, um z.B. bereits installierte Backdoors auszunutzen. Die Empfehlung der Experten lautet:

"Niemals ungepacht ins lange Wochenende!"


Dienstag, 1. Oktober 2019

Websites: Mehr als die Datenschutzerklärung

Sind Sie mit dem Webbrowser im Internet unterwegs, können Ihre personenbezogenen Daten schnell in Gefahr geraten. Viele Webseiten haben Datenschutzmängel. Dabei ist eine unvollständige Datenschutzerklärung nur ein Beispiel.


Datenschutz bei Webseiten oftmals mangelhaft


Wer glaubt, weniger prominente Webauftritte sind in Datenschutzfragen ein Risiko, bekannte Webseiten dagegen nicht, der irrt sich. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat vor einigen Monaten Websites mit sehr großer Reichweite untersucht. Obwohl sich einige der prominentesten Internetdienste unter den Geprüften befanden, fiel das Ergebnis aus Datenschutzsicht ernüchternd aus: Im Umgang mit Passwörtern und Tracking-Werkzeugen erkannte das Landesamt zahlreiche Mängel.

Websites: Mehr als die Datenschutzerklärung
Websites: Mehr als die Datenschutzerklärung

Ähnliche Resultate erhielt auch der Europäische Datenschutzbeauftragte (EDPS). Seine Prüfungen bei den Websites der wichtigsten EU-Organe und -Einrichtungen ergab, dass bei sieben von zehn geprüften Websites Datenschutz- und Datensicherheits-probleme aufgetreten sind. Eines der Probleme war das Tracking durch Dritte ohne vorherige Zustimmung. Weitere Schwachstellen betrafen die Verwendung von Trackern für Webanalysen ohne vorherige Zustimmung der Besucher und die Übermittlung personenbezogener Daten, die die Webseitenbetreiber über Webformulare mithilfe unverschlüsselter Verbindungen erfassten.

Montag, 24. Juni 2019

Achtung! Gefälschte E-Mails von IHK-Studien.de im Umlauf

Wieder sind gefälschte E-Mails im Umlauf und dabei besser getarnt denn je. Daher gilt es: Gehen Sie behutsam mit empfangenen E-Mails um. Öffnen Sie die Anhänge nicht wahllos und klicken Sie nicht auf die Links.


Falls Sie heute oder in den nächsten Tagen und Wochen eine E-Mail der IHK-Studien erhalten, welche mehrere Links erhält, dann klicken Sie bitte keinen hiervon an. Informieren Sie sofort Ihren IT-Administrator oder Ihr zuständiges IT-Systemhaus.


Gefälschte E-Mails IHK-Studien.de Anhänge Links IT-Sicherheit Datenschutz
Gefälschte E-Mails sind besser getarnt denn je!


Der Aufbau der E-Mail entspricht diesem Schema:
_____________________________________________
Von: Andre Schneider <schneider@ihk-studien.de>
Gesendet: Montag, 24.06.2019 09:01
An: Musterfirma <
info@musterfirma.de>
Betreff: [MASSMAIL]Re: Angebotsanfrage Studie New Work Arbeitswelt



Mittwoch, 7. Februar 2018

Datenrisiken 2018: Mit welchen IT-Bedrohungen müssen wir rechnen?

2018 ist ein spannendes Jahr für den Datenschutz. Nicht nur die EU-Datenschutz-Grundverordnung erwartet uns, auch die IT bringt viele Neuheiten. Leider sind damit zugleich neue Risiken verbunden.


Mehr als Malware-Attacken


Vielleicht haben Sie schon in der einen oder anderen Computer-Zeitschrift von den Prognosen für die Datensicherheit 2018 gelesen. Kaum ein IT-Anbieter lässt die Chance ungenutzt, seine Einschätzung dazu zu veröffentlichen. Virenschutz-Hersteller berichten naturgemäß von neuen Computer-Schädlingen, die uns 2018 bedrohen. Anbieter im Bereich E-Mail-Sicherheit weisen auf die steigende Gefahr durch Phishing-Angriffe hin, die es auf Passwörter der Opfer abgesehen haben. Hier soll jedoch nun nicht eine weitere Liste der neuen IT-Gefahren folgen, sondern es geht um den richtigen Umgang mit neuen Risiken.

Schützen Sie sich vor den Datenrisiken 2018
Schützen Sie sich vor den Datenrisiken 2018

Die Vielzahl der Prognosen für 2018 kann verwirrend sein. Einige der Vorhersagen stimmen überein, andere führen IT-Bedrohungen auf, von denen man als Nutzer vorher noch nie gehört hat...


Mittwoch, 2. Dezember 2015

Win-win durch Datenschutz

5 typische Schwachstellen und wie Sie diese beheben können


„Datenschutz in Deutschland bedeutet „mit Gürtel + Hosenträger“ weiß Thomas Ströbele von yourIT aus seiner Erfahrung als externer Datenschutzbeauftragter. Das BDSG ist bekannt für seine Strenge. Für Unternehmen, die sich an die gesetzlichen Vorgaben halten, bringt Datenschutz aber auch einige Vorteile.


Vor allem mittelständische Unternehmen konzentrieren sich immer noch auf Schwachstellen in der Informationssicherheit. Wertvolle Unternehmensdaten sollen nicht durch technische Defekte oder menschliche Fehler verloren gehen oder von Unbefugten unberechtigt kopiert oder ausgeschnüffelt werden. Das ist zweifelsohne wichtig.

Dabei wird aber oft der Datenschutz vernachlässigt, also die sichere Handhabung personenbezogener Daten. Dabei hängen Informationssicherheit und Datenschutz eng zusammen, denn was personenbezogene Daten schützt, schützt auch Betriebs- und Geschäftsgeheimnisse.


yourIT - Datenschutz im Informationssicherheits-Kontext

Das Bundesdatenschutzgesetz (BDSG) kümmert sich um personenbezogene Daten und verpflichtet Unternehmen dazu, Mitarbeiter-, Kunden und Lieferantendaten zu schützen und nur zweckgebunden zu verwenden.

Verbot mit Erlaubnisvorbehalt


„Das BDSG verbietet jegliche Nutzung von personenbezogenen Daten, es sei denn, diese ist erlaubt.“ Für Thomas Ströbele, Geschäftsführer der yourIT aus Hechingen ist damit der Auftrag klar. Als externer Datenschutzbeauftragter und Lead Auditor ISO27001 hilft er mittelständischen und großen Unternehmen, personenbezogene Daten genau so zu schützen wie andere für das Unternehmen wertvolle Daten – und bringt damit den Unternehmen Vorteile.

Win-win durch Datenschutz


Zu den Vorteilen für Unternehmen gehört eine geringere Geschäftsführer-Haftung durch die Einhaltung gesetzlicher Vorgaben. Daneben macht sich die Vorbeugung gegen Schäden wie Umsatzeinbußen bei Datenverlust sowie Bußgelder bezahlt. Kunden bevorzugen immer häufiger sichere Unternehmen und die Maßnahmen führen zudem zu einer besseren Organisation und zu effektiveren Prozessen. „Investitionen in Datenschutz und Informationssicherheit machen bereits aus gesundem Menschenverstand Sinn.“


Datenschutz - mit yourIT



Datenschutzkonzept in 4 Phasen


Um Unternehmen ohne große Reibungsverluste in das Thea Datenschutz einzuführen, hat yourIT ein Datenschutzkonzept in 4 Phasen entwickelt. „In der ersten Phase analysieren wir den aktuellen Zustand des Unternehmens sowie was  in welcher Form geschützt werden muss, um den Umfang – und die Kosten - klein zu halten.“ erklärt Ströbele den Start in den Datenschutz.
In der nächsten Phase wird das Datenschutz-Pflichtenheft erstellt. Welche Maßnahmen sind zu ergreifen, um die gefundenen Schwachstellen zu eliminieren? „Als Schwabe liebe ich es, nach dem Minimax-Prinzip zu arbeiten: Wie kann ein Unternehmen mit minimalem Ressourcenaufwand die maximalen Fortschritte machen!“ Dieser Plan gefällt den Verantwortlichen in den Unternehmen verständlicherweise.

Erst jetzt in Phase 3 macht sich der Datenschutz-Experte an die Umsetzung der notwendigen Maßnahmen im Unternehmen. Dabei unterscheidet er technische, organisatorische und qualifizierende Maßnahmen. Letztere bedeuten die Sensibilisierung der Mitarbeiter. „Die meisten Datenschutzpannen entstehen wegen Fehlern von Mitarbeitern!“ warnt Ströbele. Eine sinnvolle Einweisung der Mitarbeiter ist unverzichtbar. yourIT setzt hier auf kurze Präsenz- und Onlineschulungen gemäß dem Prinzip „Man kann über alles reden, aber nicht über 45 Minuten! Bewährt hat sich auch die Mandantenzeitung „Datenschutz Now!“, welche yourIT ihren Kunden 6x im Jahr kostenfrei zur Verfügung stellt.

Datenschutz Now!
Unsere Mandantenzeitung Datenschutz Now!


In der vierten und letzten Phase übt Ströbele mit den Unternehmen das Dranbleiben. Dazu gehören die Aufnahme neuer Verfahren genauso wie die Durchführung von Kontrollen zur Einhaltung der getroffenen Schritte.

5 typische Schwachstellen


Zum Schluss nennt Ströbele noch 5 typische Schwachstellen, die Sie selbst eliminieren können.

1. Rechner nicht gesperrt

Damit führen Mitarbeiter jedes Berechtigungskonzept ad absurdum. Schulen Sie Ihre Mitarbeiter, beim Verlassen des Arbeitsplatzes den Rechner zu sperren. Unglaublich, aber oft scheitert dies am mangelnden Wissen der Mitarbeiter um die Tastenkombination Windows-Taste + L.

2. Verwendung unsicherer Passwörter

Der Name des Ehepartners oder Hundes ist genauso ungeeignet wie ein Geburtsdatum. Schulen Sie ihren Mitarbeitern, wie sie ein sicheres Passwort mit 8-12 Klein-/Großbuchstaben, Zahlen und Sonderzeichen generieren und es sich merken, ohne es aufzuschreiben. Unterschiedliche Passwörter je Anwendung und ein regelmäßiger Wechsel der Passwörter machen Angreifern das Leben schwer.

3. Sorgloses Klicken auf Links und Öffnen von Dateianhängen

Ein falscher Klick und ein Trojaner verschlüsselt alle Unternehmensdaten. Meist folgt auf diesen Angriff eine erpresserische Zahlungsaufforderung. Aber egal ob Sie bezahlen oder nicht – die Daten bleiben meist verloren. Hier helfen nur vorbeugende Schulung der Mitarbeiter und funktionierende Viren-, Spam und Backup-Konzepte.

4. Steuernummer auf der Website

In vielen Finanzämtern ist Datenschutz noch immer ein Fremdwort. Wenn ein Unbefugter geschickt anfragt, funktioniert die Steuernummer wie eine Art „PIN“ zur Steuerakte und damit zu vertraulichen Finanzdaten. Verwenden Sie stattdessen ausschließlich die Umsatzsteuer-ID.

5. Newsletter-Versand an offenen E-Mail-Verteiler

Sicher haben auch Sie schon einmal eine Serienmail erhalten, bei der sie sehen können, wer außer Ihnen diese noch erhalten hat. E-Mail-Adressen sind personenbezogene Daten. Manche Empfänger finden diese unerlaubte Veröffentlichung unpassend. So wurde unlängst in einem solchen Fall ein Bußgeld festgesetzt. Hier hilft nur Schulung.

„IT’s not your business!“


So lautet die Empfehlung von yourIT an mittelständische Geschäftsführer. „Holen Sie sich externe Experten für Datenschutz und IT-Sicherheit ins Haus und nutzen Sie deren Erfahrung aus anderen Projekten. Dann bleibt mehr Zeit für Ihre eigentlichen Wertschöpfungsprozesse.“


Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.