Posts mit dem Label ISO27001 werden angezeigt. Alle Posts anzeigen
Posts mit dem Label ISO27001 werden angezeigt. Alle Posts anzeigen

Montag, 31. Juli 2023

Hilfe mein Kunde ist jetzt ISO zertifiziert! Was muss ich als Systemhaus jetzt tun?

Hilfe! Mein Kunde ist jetzt ISO 27001 zertifiziert! Die neue Herausforderung für unser Systemhaus

Herzlichen Glückwunsch an Ihren Kunden zur ISO 27001 Zertifizierung! Das ist in der Tat eine wichtige Anerkennung für die Einhaltung von Informationssicherheitsstandards in ihrem Unternehmen. 

Neue Herausforderungen für Systemhäuser

Als Systemhaus stehen Sie jetzt vor der Herausforderung, die ISO 27001-Anforderungen in Ihre Dienstleistungen und Prozesse zu integrieren, um den Anforderungen Ihres zertifizierten Kunden gerecht zu werden.


Dienstag, 30. August 2022

ISO-27001-Zertifikat - Nur echt mit DAkkS-Akkreditierung

Immer wieder stoßen wir auf Marktbegleiter, die angeblich nach ISO 27001 zertifiziert sind  - so wie unsere yourIT GmbH. Bei genauerem Hinsehen fällt aber auf, dass dem angeblichen Zertifikat das Wichtigste fehlt: Die Akkreditierung des Zertifikats durch die Deutsche Akkreditierungsstelle (DAkkS).

Bitte überlegen Sie kurz: Sie wollen künftig einen IT-Dienstleister oder einen Softwarehersteller mit ISO-27001-Zertifizierung einsetzen? Sie erwarten bei einem solchen mehr Expertise in Sachen Informationssicherheit und damit z.B. mehr Schutz vor Cyberattacken? Dann sollten Sie darauf achten, dass dieses Vertrauen durch eine DAkkS-Akkreditierung auf dem Zertifikat auch gerechtfertigt wird.

Fehlt die DAkkS-Akkreditierung, sollten Sie sich fragen, weshalb auf dieses wichtige Prädikat verzichtet wurde. Verlassen Sie sich nicht auf die "Normkonformität" der Zertifizierung. Grund: Es geht dabei um Ihre Informationssicherheit! 

Nachweis der DAkkS-Akkreditierung auf dem ISO-27001-Zertifikat der yourIT
Nachweis der DAkkS-Akkreditierung auf dem ISO-27001-Zertifikat der yourIT

Das Problem: Ein "ISO-27001-Zertifikat" kann praktisch jeder ausstellen. Aber nur eine DAkkS-Akkreditierung stellt sicher, dass das Zertifikat auch "echt" ist und Sie auf eine normkonforme Zertifizierung vertrauen können.

Freitag, 1. April 2016

Erpressungs-Trojaner: So reagieren Sie richtig

Aktuell überstürzen sich die Meldungen über Erpressungs-Trojander, die sich auf Rechnern einschleichen. Diese "Ransomware" verschlüsselt wichtige Daten der Opfer und verlangt Lösegeld für die Entschlüsselung. Sowohl Unternehmen als auch Privatnutzer sind in Gefahr. Was tun, um dem zu begegnen?


Erpresser kommen per E-Mail sowie über Internet und Apps


2016 wird das Jahr der Online-Erpressung, da sind sich IT-Sicherheits-Experten einig. Bereits seit über zehn Jahren versuchen Internet-Kriminelle, ihren Opfern Angst einzujagen und Geld zu erpressen. Früher behaupteten die Erpresser, sie hätten die Nutzer bei einer illegalen Tat erwischt, zum Beispiel bei der Nutzung einer Raubkopie. Nur gegen Zahlung eines Geldbetrags würden sie der Polizei gegenüber schweigen. Die Erpressermasche hat sich inzwischen geändert und bedroht nun das Herzstück jeder IT, die Daten.

yourIT warnt vor gefährlichen Erpresser-Trojanern

Die Erpressung beginnt mit einer Schadsoftware, die über E-Mail, Browser oder mobile Apps auf das Gerät des Opfers kommt. Dort verschlüsselt das Schadprogramm alle Daten des Nutzers. Nur gegen Zahlung des Lösegelds werden die Daten wieder freigegeben, also entschlüsselt, so die Drohung.  Diese Art von Attacken werden auch als Ransomware bezeichnet ("Ransome" ist der englische Begriff für "Lösegeld").

Neue Maschen der Ransomware


Täglich erreichen unsere Security-Experten erschreckende  Meldungen über neue Arten von Erpressungs-Trojanern. Einer schlimmer als der letzte. Die neuesten Maschen sind:

  • 30.03.2016: Der Erpressungs-Trojaner SAMSA (auch Samsam, Samas oder Mokoponi genannt) wird über Hacker aktiv eingeschleust. Mittels aktive durchgeführter Penetrationstests finden die Cyber-Verbrecher bekannte und nicht geschlossene Schwachstellen in Ihrem IT-Netzwerk und nutzen diese daraufhin aus. Im nächsten Schritt versuchen die Erpresser soviele Systeme im Netz zu übernehmen wie möglich. Erst zum Schluß wird der eigentliche Erpressungs-Trojaner SAMSA eingeschleust und hat dann natürlich leichtes Spiel, einen großen Teil des Unternehmensnetzwerks zu verschlüsseln. 
  • 29.03.2016: Gelangt der Erpressungs-Trojaner PETYA auf ihren Rechner (häufig per Dropbox!), tut er erstmal so, als ob Windows abgestürzt wäre. Erst in einer zweiten Phase - beim Neustart des Systems - werden die Daten verschlüsselt. Startet man das System nicht neu, kann man die daten noch retten. Also: Aktuell sollte man Vorsicht walten lassen, wenn der Rechner plötzlich abstürzt.


Opfer sind größtenteils völlig hilf- und schutzlos


Leider sind viele Opfer so hilflos, dass sie tatsächlich bezahlen, oft aber ohne dass die versprochene Entschlüsselung stattfindet. Bezahlt man mit Kreditkarte, missbrauchen die Täter womöglich auch diese Daten, zusätzlich zu den unbrauchbaren eigenen Daten.

Der Schaden ist enorm 


Wie erfolgreich die Online-Erpresser sind, zeigen aktuelle Beispiele: Die Schadsoftware CryptoWall konnten IT-Sicherheitsforscher in über 406.000 Fällen nachweisen. Die Erpresser erbeuteten dabei 325 Millionen US-Dollar als Lösegeld. Leider ist das kein Einzelfall. Der Schaden für die betroffenen Unternehmen und Nutzer geht aber noch weiter, als es die Höhe des Lösegelds vermuten lässt. Da die Angreifer die Daten häufig gar nicht mehr entschlüsseln, fehlen sie dauerhaft.

Verschlüsselte Daten als Super-Gau


Häufig gibt es keine Datensicherung bei den Betroffenen, oder die Datensicherung war ebenso schlecht geschützt wie die Daten selbst, und beides wurde verschlüsselt. Je nach Daten und Art des Unternehmens kann ein solcher Datenverlust die Existenz bedrohen oder aber den Ruf so stark schädigen, dass Kundenzahl und Umsatz drastisch zurückgehen.

Bei Privatnutzern ist der Schaden finanziell gesehen zwar meist geringer. Aber wenn sich wichtige Daten wie die einzigen Fotos, die von einem geliebten Menschen noch vorhanden sind, nicht mehr öffnen lassen, ist der Verlust ebenfalls groß.

Nicht erpressen lassen, sondern Daten besser schützen


Auch Deutsche Sicherheitsbehörden wie das Bundeskriminalamt oder die Landeskriminalämter warnen derzeit vor Erpressungs-Trojanern. Sie raten dazu, den Online-Erpressern kein Lösegeld zu zahlen. Gegen diese Online-Erpresser können Sie sich nur durch eine gute Absicherung der IT wappnen: Ein professionelles Firewall-Konzept, aktuelle Antiviren-Software und eine Begrenzung der Berechtigungen auf den Computern, die mit dem Internet verbunden sind.

Entscheidend ist vor allem die regelmäßige, vollständige und geschützte Sicherung der Daten, um Erpressungs-Trojanern den Schrecken zu nehmen. Hat man ein Backup, braucht man keine Entschlüsselung – die oft sowieso nie kommen würde.

So schützen Sie sich vor den aktuellen Erpressungs-Trojanern



Liebe Unternehmer, den effektivsten Schutz für Ihre Daten bringt derzeit eine umfassende Sensibilisierung der Mitarbeiter! Schulen Sie diese jetzt und weisen Sie dabei auf folgende Punkte hin:

  • Prüfen Sie eingehende E-Mails sorgfältig, insbesondere dann, wenn Sie über einen Link zum Download von Unterlagen unbekannter Quellen aufgefordert werden.
  • Öffnen Sie niemals Links oder Dateianhänge in Nachrichten von Ihnen unbekanntem Absendern.
  • Überprüfen Sie Links hinsichtlich der tatsächlichen Zieladresse, indem Sie mit dem Zeiger der Maus über den Link streifen („Mouse-Over“). Bitte nicht klicken!
  • Öffnen Sie niemals Dateianhänge mit unüblichen Dateitypen (.exe, .vbs, .pdf.exe, .js, etc.). Achten Sie darauf, dass Ihr System Dateianhänge vollständig anzeigt. Sonst wird z.B. die Endung *.pdf.exe als *.pdf angezeigt.
  • Prüfen Sie ein- und ausgehende E-Mails und Dateien mit Anti Malware Tools (Spamfilter, etc.)
  • Sichern Sie Ihre Systeme mit Schutzsoftware (Firewall, Anti-Viren-Programm) und halten Sie diese aktuell
  • Installieren Sie regelmäßig Updates für Adobe Flash, Java, Adobe Reader etc.
  • Führen Sie regelmäßige Datensicherungen auf externe Medien bzw. Online-Backups durch.
  • Denken Sie zweimal nach, bevor Sie in Portalen wie Facebook auf sensationshaschende oder neugierigmachende Meldungen klicken.


Sollten Sie doch einmal Opfer eines solchen Angriffs werden: Ruhe bewahren!

Bleiben Sie ruhig und gehen Sie wie folgt vor:

  • Trennen Sie das befallene Gerät umgehend vom Netzwerk (durch Abziehen des LAN-Kabels).
  • Gehen Sie auf keinen Fall auf die Forderung der Kriminellen ein. Bezahlen Sie nicht!
  • Melden Sie das Problem Ihrem Vorgesetzten, dem IT-Verantwortlichen oder Ihrem IT-Dienstleister.
  • Erstatten Sie eine Anzeige bei der nächsten Polizeidienststelle.
  • Stellen Sie Ihre Daten aus einem Backup wieder her, gegebenenfalls mit der Unterstützung externer IT-Sicherheits-Spezialisten wie yourIT.

Wie können wir von yourIT Sie unterstützen?


Wir haben einen Leitfaden entwickelt. Gefahr erkannt - Gefahr gebannt: So schütze ich mich vor Viren und Erpressungs-Trojanern. Fragen Sie uns jetzt an.

Erpressungs-Trojaner Wir von yourIT helfen Ihnen gern!
Leitfaden: So schütze ich mich vor Viren und Erpressungs-Trojanern

Sie benötigen professionelle Unterstützung? Als IT-Systemhaus bieten wir Ihnen beispielsweise folgende Leistungen:

  • Beratung und Implementierung von Datenschutz- und IT-Sicherheits-Konzepten
  • Durchführung von Sicherheitsaudits für "IT-Infrastruktur" und "Webapplikationen"
  • Durchführung Basis-Check ISO27001 und Einführung eines ISMS
  • Stellung des externen Datenschutzbeauftragten / IT-Sicherheitsbeauftragten
  • Technische Maßnahmen wie Firewall, Anti-Viren-Software, Spam-Schutz, Offline- und Online-Backup, Clientmanagement, IT-Monitoring, Managed Services, etc.
  • Konzeption und Durchführung von Schulungs- / Sensibilisierungsmaßnahmen für Ihre Mitarbeiter
  • ...

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.


Donnerstag, 4. Dezember 2014

yourIT stellt mit Thomas Ströbele ab sofort einen leitenden Auditor ISO 27001

Das Netzwerk zum Institut für Datenschutz und Informationssicherheit in Europa verstärkt sein Engagement im Bereich Informationssicherheit. Mitglieder aus dem Netzwerk zum Institut für Datenschutz und Informationssicherheit in Europa (IDIE) nahmen in der Woche vom 24.11.2014 bis zum 28.11.2014 an der Schulung zum „ISO/IEC 27001:2013 Leitender Auditor“ in Bad Arolsen teil. Für die yourIT GmbH aus Balingen (damals noch Hechingen) nahm Thomas Ströbele erfolgreich teil. Nach eigenen Recherchen ist er damit einer von derzeit gerade mal etwa 80 ISO 27001:2013 Lead Auditoren in ganz Baden-Württemberg.


Das Seminar durchgeführt hat der Marktführer für Normung, Zertifizierung und Weiterbildung, die British Standards Institution (kurz: BSI – http://www.bsigroup.com/de-DE/). Der Tutor Adrian Lambeck begleitete die Teilnehmer durch das fünftägige Training und vermittelte die notwendigen Fähigkeiten und Fertigkeiten, um ein Informationssicherheits-Management-Audit kompetent und konform bis zur höchsten Stufe durchführen zu können.

Die Teilnehmer der BSI-Schulung zum "ISO/IEC 27001:2013 Lead Auditor" mit Thomas Ströbele (5. v.links) von yourIT


Inhalte des Seminars


Durch die Schulung wurde das Fundament der modernen Informationssicherheits-Management-Systeme (ISMS - Information Security Management System) beschrieben und vermittelt, im Einzelnen:
  • der internationale Standard für Informationssicherheit ISO/IEC 27001:2013,
  • der dazugehörige Implementierungsleitfaden ISO/IEC 27002 mit
  • allen wichtigen Teilbereichen wie Security Policies, Risikomanagement, Business Continuity Planning oder internes Auditing.
In den fünf Tagen wurden nicht nur die wesentlichen Grundlagen der Informationssicherheit dargelegt, erörtert und besprochen, sondern auch übergeordnete Aspekte wie die Organisation, Technik oder das Prozessmanagement kamen nicht zu kurz. Zudem wurden die nachfolgenden Inhalte im Kurs erarbeitet:
  • Erstellung eines ISMS, Auswahl und Handhabung der Kontrollinstrumente;
  • Audit- und Interviewtechniken, Führen und Leiten des Auditteams;
  • Einleitung und Durchführung eines Audits, Organisation von Einführungs- und Abschlussmeeting;
  • Auditbericht, Formulierung von Abweichungen und Ausarbeitung von Korrekturmaßnahmen.

bsi.-Zertifikat ISO 27001:2013 Lead Auditor Thomas Ströbele

Resümee eines Teilnehmers


Mit erfolgreichem Bestehen der IRCA Prüfung haben die Teilnehmer die Fähigkeit mitgenommen, exzellente interne und externe Audits nach ISO/IEC 27001:2013 planen und durchführen zu können. Dies kann Thomas Ströbele, Geschäftsführer der yourIT GmbH aus Hechingen und Teilnehmer des ISO/IEC 27001:2013-Seminars, nur bestätigen: "Zusammen mit anderen Experten aus den Bereichen Datenschutz & IT-Sicherheit an einem fünftägigen Intensivtraining teilzunehmen war ein besonderes Erlebnis. Ohne die langjährige Erfahrung aus vielen Datenschutz- und IT-Sicherheits-Audits wäre der Stoff kaum zu meistern gewesen. Wir werden unsere Vorgehensweise nun noch mehr an den Standards der Norm ISO 27001 ausrichten. Dennoch steht für unsere mittelständischen Kunden die Zertifizierung nach ISA+ weiterhin im Vordergrund - eventuell als Zwischenschritt zur ISO 27001.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+

Abgrenzung Datenschutz & Informationssicherheit

Der Begriff "Informationssicherheit" bezieht sich auf alle schutzwürdigen Informationen im Unternehmen (wie z.B. Betriebsgeheimnisse, Technologie-Knowhow, etc.). Zur Informationssicherheit zählt somit auch die Sicherheit personenbezogener Daten. Der Schutz personenbezogener Daten wird als Datenschutz bezeichnet und ist somit Teil der Informationssicherheit.

Abgrenzung Informationssicherheit und Datenschutz

Ein wichtiger Unterschied: Der Schutz personenbezogener Daten ist gesetzlich vorgeschrieben und somit für Unternehmen unumgänglich.

In beiden Bereichen sind vom Unternehmen bestimmte Sicherheitsstandards einzuhalten. Dies kann über Informations-Sicherheits-Management-Systeme (ISMS - Information Security Management System) geschehen sowie über proaktives Vorgehen zum Datenschutz. Damit erfüllen Unternehmen die gesetzliche Vorschriften (Datenschutzgesetze) und gewinnen und sichern gleichzeitig das Vertrauen von Kunden, Lieferanten und Partnern.

yourIT - securITy in everything we do

… so lautet der Leitgedanke von yourIT. Unser Ziel ist es, Ihre IT-Prozesse zu optimieren und damit langfristig Ihre Wettbewerbsfähigkeit im globalen Markt zu steigern. Als innovatives Systemhaus prüfen wir den Sicherheits-Status Ihrer IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT-Sicherheit & Datenschutz und implementieren die für Sie besten Lösungen.

Wir unterstützen Sie ebenso bei der Richtlinien-Definition, Einhaltung der Policies und sichern den laufenden Betrieb. Lernen Sie unsere bedarfsgerechte und praxiserprobte Arbeitsweise jetzt in einem kostenlosen Vor-Ort-Termin kennen und überzeugen Sie sich selbst!

yourIT - securITy in everything we do

Wir stehen für Sicherheit in allen IT-Fragen und freuen uns auf Ihre Projektanfragen.

Ihr yourIT-Team

Für weitere Fragen zum Thema Datenschutz und Informationssicherheit steht Ihnen Herr Ströbele gerne zur Verfügung. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

Samstag, 14. Juni 2014

yourIT bietet mit ISA+ die Einführung eines vom ESF-geförderten ISMS

Mit yourIT und ISA+ Cert. haben kleine und mittelständische Unternehmen ab sofort die Möglichkeit einer kostengünstigen Zertifizierung ihrer Informationssicherheit auf Basis einer Informations Sicherheits Analyse eines akkreditierten Beraters gemäß dem öffentlichen ISA+ Fragenkataloges. 


Auf Basis eines vom Bayerischen IT-Sicherheitscluster e.V. speziell erstellten Fragenkataloges entwickelte das Forum ISA+ Cert des Instituts für Datenschutz und Informationssicherheit in Europa ein Prüf- und Zertifizierungsverfahren für die Erhebung und Bewertung des im Unternehmen erreichten Schutzniveaus für Informationen und Daten.

Muster-Zertifikat des IDIE auf Basis des ISA+ Standards



Mit dem Projekt ISA+ (Informations-Sicherheits-Analyse) bietet das Bayerische IT-Sicherheitscluster für kleine und mittelständische Unternehmen einen einfachen Einstieg in die Informationssicherheit. Mit Hilfe erfahrener Projektmitglieder aus dem IT-Bereich wurde eine für kleine und mittelständische Unternehmen (KMU) angepasste Bedarfsanalyse entwickelt. In der Bedarfsanalyse werden folgende Themenblöcke abgehandelt:
  • Allgemein
  • Organisatorisch
  • Technisch und
  • Rechtlich
Danach werden auf die Anforderungen von kleinen und mittleren Unternehmen angepasste Handlungsempfehlungen ausgesprochen.

Ziele der Informations-Sicherheits-Analyse mit dem ISA+ Fragenkatalog:


  • Entwicklung eines IT-Sicherheitsprozesses, der verständlich die Notwendigkeit von IT-Sicherheit erklärt;
  • auf die Bedürfnisse von kleineren Unternehmen abgestimmt ist;
  • mit vertretbarem Aufwand auch von kleunen und mittelständischen Unternehmen zu bewältigen ist.

In Zusammenarbeit mit dem Institut für Datenschutz und Informationssicherheit in Europa (IDIE) bietet yourIT ab sofort eine einfache, schnelle und transparente Möglichkeit einer Bestandsaufnahme und Bewertung des aktuellen Informations-Sicherheitsniveaus auf Basis des ISA+ Fragenkataloges.

Offizielles Logo der Informations-Sicherheits-Analyse ISA+

Wozu noch ein Informationssicherheits-Management-System (ISMS)?


Angesichts der vielfältigen Gefährdungspotentiale nimmt die Informations-Sicherheit eine immer wichtigere Rolle ein. Wie sicher ist die verwendete IT-Infrastruktur? Welche technischen und organisatorischen Maßnahmen müssen konkret in der Organisation umgesetzt werden? Hierzu standen auch bisher schon eine Reihe von Sicherheitsstandards zur Verfügung:
Aus bisherigen Projekten wissen wir, dass die Einstiegshürden für diese ISMS für kleine und mittelständische Unternehmen (KMU) meist zu hoch sind. Vorbereitung, Durchführung und Zertifizierung überfordern diese schnell. Die erforderlichen Ressourcen und Spezialisten fehlen und müssen teuer zugekauft werden. Aus diesen und weiteren Gründen verzichten viele KMU daher auf die Einführung eines ISMS - auch wenn Ihnen die Risiken bewußt sind. Das führt dazu, dass KMU in der Regel bereits an den ISMS-Einstiegsfragen scheitern, weil z.B.  Datenschutzrichtline, Informationssicherheitsleitlinie, Notfallplan, etc. fehlen.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+


Aus diesem Grund halten wir ISA+ für das sinnvolle ISMS bei kleinen und mittelständischen Unternehmen - vor allem, wenn diese sich das erste Mal an solch ein Projekt heranwagen. Eine spätere Erweiterung auf die größeren Standards ISIS12, BSI IT-Grundschutz und sogar ISO 27001 ist später problemlos machbar. Der Grundgedanke ist derselbe.

Und das Beste zum Schluss: Sponsored by ESF



Die im Rahmen der Informations-Sicherheits-Analyse ISA+ erforderliche Beratungsleistung bei kleinen und mittelständischen  Unternehmen (KMU) bildet ab sofort und noch für das restliche Jahr 2014 unser nächstes ESF-gesponsortes Beratungspaket.

yourIT - ESF-gefördertes Beratungskonzept Informations-Sicherheits-Analyse ISA+

Weitere vom Europäischen Sozialfonds (ESF) geförderte yourIT-Beratungspakete finden Sie hier: http://www.mitgroup.eu.


Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr
ISO 27001 Lead Auditor (ab 12/2014)

Thomas Ströbele


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Am 16.03.2015 wurden unsere Beratungspakete
beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete