Mein Datenschutz-Blog - #THEPRIVÄCY

Ein durch Verschlüsselung geschützter E-Mail-Transport ist zwar schon seit 1999 standardisiert, aber erst durch die Abhörskandale der letzten Zeit ins öffentliche Bewusstsein geraten. Nun testet das Bayrische Landesamt für Datenschutz die Mailserver von Firmen, Freiberuflern, Verbänden und Vereinen, ob sie eine verschlüsselte Datenübertragung nach den aktuellen Standards unterstützen, da diese auch für den gesetzlich vorgeschriebenen Schutz personenbezogener Daten notwendig ist. Wie und was prüft das Bayrische Landesamt für Datenschutzaufsicht BayLDA und wer ist davon betroffen?

Wie findet das BayLDA die relevanten Mailserver?

Die Bayrische Datenschutz Aufsicht beginnt bei der Prüfung der Mailserver zunächst bei den Webangeboten in Bayern ansässiger Firmen und anderer nichtöffentlicher Organisationen. Damit eine Webseite in einem Browser aufrufbar ist, muss die Domain im DNS, der globalen Adressdatenbank des Internet eingetragen sein. Zusätzlich zu den für Webzugriffe nötigen Address-Records finden sich dort in der Regel auch MX-Records, Einträge für sogenannte Mail Exchanger, die für den E-Mail-Transport innerhalb der Domain verantwortlich sind. Diese verweisen auf Mailserver, die vom Domaininhaber selbst oder einem externen Dienstleister betrieben werden. Hier setzt die Bayerische Datenschutz Behörde an und führt stichprobenartige Prüfungen der so erreichbaren Server durch.

Achtung Kontrolle - BayLDA kontrolliert aktuell Mailserver

Was prüft das Bayerische Landesamt für Datenschutzaufsicht?

Die Bayerische Datenschutz Behörde hat drei Punkte identifiziert, die für die Datensicherheit beim E-Mail-Transport und damit für den Datenschutz relevant sind. Zuallererst muss der Mailserver die verschlüsselte Datenübertragung zulassen und unterstützen. Anders als bei den Webzugriffen, die zwischen HTTP und HTTPS unterscheiden, gibt es dafür beim E-Mail-Transport per SMTP keinen vollständig separaten Dienst, sondern die Verschlüsselung wird nach einem normalen Verbindungsaufbau ausgehandelt. Dies geschieht mit dem Kommando STARTTLS, das der Mailclient an den Server sendet. Ob ein Mailserver die verschlüsselte Datenübertragung grundsätzlich unterstützt lässt sich dadurch überprüfen, ob er das STARTTLS-Kommando akzeptiert oder mit einem Fehlercode beantwortet.

Zusätzlich zur Verfügbarkeit der Verschlüsselung prüft das BayLDA zwei Faktoren, die zu einer Beeinträchtigung der Sicherheit führen können, beziehungsweise diese verbessern. Perfect Forward Secrecy ist eine Option, die sicherstellt, dass die Datenkommunikation im Nachhinein auch mit dem Hauptschlüssel nicht mehr entschlüsselt werden kann. Der Heartbleed Bug ist dagegen ein schwerwiegender Softwarefehler in der meistgenutzten Verschlüsselungssoftware OpenSSL, der im April 2014 bekannt wurde (wir berichteten).

Was tun wenn sich das BayLDA meldet?

Wenn ein Schreiben vom BayLDA eintrifft besteht bei mindestens einem der oben genannten Punkte Handlungsbedarf. Dem Schreiben liegt ein Fragebogen bei, den Sie ausfüllen und an die Behörde zurücksenden sollten, da eine mangelnde Mitwirkung nach dem Bundesdatenschutzgesetz eine Ordnungswidrigkeit darstellt und eine Geldbuße nach sich ziehen kann. Bei Unklarheiten und Fragen zur Vorgehensweise helfe ich Ihnen als Datenschutz-Berater gerne weiter.

Ich freue mich auf Ihre Anfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Der IT-Service ist in jedem Unternehmen ein beliebter Ansprechpartner. Doch so häufig die Mitarbeiter mit den EDV-Fachkenntnissen gerufen werden, so selten liegt ein echter Software- oder Hardwaredefekt vor. Die Hauptursache aller Störungen sind Bedienfehler, Versäumnisse und andere menschliche Fehler. Das muss jedoch nicht so bleiben.

Handgemachte Serviceausfälle oft vorhersehbar

Die Vielfalt der Programme und Möglichkeiten ist für viele Mitarbeiter nicht leicht zu verstehen. Gerade das Zusammenspiel von Geräten und Software im Firmennetzwerk führt immer wieder dazu, dass Mitarbeiter im falschen Moment Eingaben machen oder ungünstige Prozesse in Gang setzen. Regelmäßige Fortbildungen wirken gegen die Problematik an. Neben der initialen Ausbildung der Mitarbeiter und Arbeitnehmer darf also die Option "Schulungen bei neuer Software oder neueren Versionen" nicht vergessen werden.

Datenschutz & IT-Sicherheit im Zwiebelschalenmodell

Betrachtet man Datenschutz & IT-Sicherheit im Zwiebelschalenmodell, so stellt der Mensch / Mitarbeiter immer die größte Schwachstelle dar. Er befindet sich regelmäßig in der kritischen äußersten Schale.

Schwachstelle Mensch: Datenschutz & IT-Sicherheit im Zwiebelschalenmodell

Lebenszyklus elektronischer Geräte verstehen

Nicht nur bei reinen PC-Arbeitsplätzen, auch in ausführenden Gewerken gilt: Je höher das Verständnis für die Maschinen und Programme, desto niedriger die Fehlerquote. Um ein Netzwerk aus elektronischen Geräten in einem Betrieb möglichst lange verfügbar zu halten, sollten die Mitarbeiter über die Phasen der Lebenszyklen aufgeklärt sein und somit die Ersatzteilplanung effizient laufen. Sind die Mitarbeiter über die Auswirkungen von Geräteausfällen in Kenntnis gesetzt, so können sie sensibler mit den entsprechenden Maschinen und Rechengeräten umgehen.

Kostenintensive, menschengemachte Fehler vermeiden

Bei Aus- und Fortbildungen entstehen gewisse Kosten für den Dozenten, Materialien sowie Reisekosten. Welche Mitarbeiter wann in den Genuss welcher Schulung gelangen, sollte wohlüberlegt werden. Bei der Auswertung der vielfältigen Angebote im Bereich der Erwachsenenbildung zu IT-Themen, lassen Sie sich am besten von Insidern beraten. Informieren Sie sich bei uns über Fortbildungen und vermeiden Sie somit künftig Anwendungsfehler, durch mangelhaft geschulte Mitarbeiter!

Kostenlose Erstberatung

Nehmen Sie unverbindlich Kontakt mit uns auf und wir zeigen Ihnen Ihre individuellen Möglichkeiten, wie Ihr Unternehmen durch Fortbildungen und gekonnten Umgang mit Hard- und Software Kosten einsparen kann.

Ich freue mich auf Ihre Anfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Um Angriffe auf ihre Daten abzuwehren, investieren Unternehmen viel Geld. Dabei wird aber meist nur die Gefahr von außen berücksichtigt. Doch auch eine wirkungsvolle Firewall bietet keinen Schutz, wenn der Angreifer zum Zugriff autorisiert ist. Jüngste Erhebungen zeigen, dass eine große Gefahr besonders im Unternehmen selbst lauert. Mit einem Beschneiden der Zugriffsrechte sowie restriktiveren Vorgaben beim Passwortschutz ließe sich schon viel gewinnen.

Denn der Datenklau wird in den meisten Fällen nicht durch Hacker von außen, sondern durch Insider verursacht. In vielen Unternehmen wird mit Administrator-Rechten aus Bequemlichkeit zu nachlässig umgegangen. Weil ein kleiner Kreis Privilegierter die Personal- und Prozessplanung zumindest im Bereich der Flexibilität erschweren kann, werden auf Kosten eines schlüssigen Sicherheitskonzepts oft großzügig Zugriffsrechte eingeräumt.

Wie sich bei einer kürzlich durchgeführten Befragung ergab, wird die Nutzung der (Admin-) Rechte in der Regel nicht überwacht. Doch auch wenn eine Kontrolle stattfindet, wird der Sicherheit nicht immer ausreichend gedient: In vielen Fällen lassen sich die genutzten Mechanismen ganz einfach umgehen.

Verhängnisvolle Partnerschaft: Sicherheitskonzept muss kooperierende Firmen einschließen

Ein umfassendes Sicherheits- und Datenschutzkonzept wird umso notwendiger, wenn ein Zugriff von Dienstleistern wie z.B. IT-Systemhäusern auf die eigenen Daten möglich ist. Denn hier kommt zu der grundsätzlichen Problematik, bereits den eigenen Mitarbeitern vertrauen zu müssen, die Schwierigkeit hinzu, auch Dritte an den Prozessen zu beteiligen und Einsicht zu gewähren. Bedenken Sie: Wettbewerber haben immer ein Interesse an Ihren sensiblen Geheimnissen. Nicht umsonst gebietet § 11 BDSG die regelmäßige Kontrolle aller Auftragsdatenverarbeiter. Tipp: Wählen Sie wenn möglich ausschließlich Auftragsdatenverarbeiter aus, die entsprechend geprüft und zertifiziert sind. Wir wissen was zu tun ist und können die §-11-Zertifzierung gerne bei Ihren bestehenden Dienstleistern durchführen. Empfehlen Sie uns weiter!

Nutzer-Monitoring deckt Missbrauch auf

Obwohl dieses Problem von immer mehr Unternehmen erkannt wird, fehlt es häufig an wirksamen Maßnahmen. Dabei sind diese meist recht einfach umsetzbar. Zu den Grundregeln gehört es beispielsweise, dass jeder Mitarbeiter und besonders jeder Admin nur jene Zugriffsrechte bekommen darf, die für seine Arbeit auch tatsächlich benötigt werden. Pauschale Vollzugriffe erhöhen die Gefahr erheblich.

Die Nutzung sogenannter "Shared-Accounts" sollte vermieden werden. Personalisierte Zugriffe ermöglichen es, die Mitarbeiter im Zweifel auch persönlich zur Verantwortung ziehen zu können.
Sollten eventuell Super-User oder Root-Rechte vergeben werden, dann dürfen diese bei einem einzelnen Mitarbeiter nicht alle in der IT genutzten Systeme umfassen, sondern nur jene, für die er auch zuständig ist.

Die Einführung eines Nutzer-Monitorings sollte in jedem Fall erfolgen. Wichtig ist dabei die Möglichkeit des "Privileged Activity Monitoring": Darunter versteht man die Möglichkeit, im Zweifel auch den Inhalt einer Aktion nachverfolgen zu können. Viele einfache Monitoring-Lösungen speichern nur eine Aktion als solches.

Wir beraten - Sie erhalten die staatliche Fördermittel

Welche Maßnahmen konkret sinnvoll sind, können auf IT-Sicherheit & Datenschutz spezialisierte Beratungsdienstleister wie yourIT am besten beurteilen. Die Voraussetzung ist allerdings, dass die betroffenen Firmen die Risiken zunächst erkennen und angemessen bewerten. Denn glaubt man den Auskünften, die die Verantwortlichen in der Studie gegeben haben, ist ein Bewusstsein für die Problematik häufig vorhanden. Einzig die Konsequenzen daraus werden noch viel zu selten gezogen.

yourIT_Sicherheitsaudit_IT-Infrastruktur-sponsored_by_ESF

Unser yourIT-Beratungskonzept ist zertifiziert - dadurch erhält Ihr Unternehmen unter bestimmten Voraussetzungen Fördermittel aus dem Europäischen Sozialfonds (ESF) zur Unterstützung der Beratung.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT

Am 16.03.2015 wurden unsere Beratungspakete

• Kern-Prozessanalyse
• Sicherheitsaudit "IT-Infrastruktur"
• Informations-Sicherheitsanalyse ISA+

beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete