drimalski header 988x296px V02 vs 2106213

Aktuelles

Passwortsicherheit - Bild von mohamed Hassan auf PixabayAm 6. Mai 2021 ist Welt-Passwort-Tag... und sind wir ehrlich - Benutzerkennwörter sind für uns alle unbequem und der Fluch eines jeden IT-Verantwortlichen. Mitarbeiter möchten keinen häufigen Kennwortwechsel und wissen oftmals nicht, worauf es bei einem „sicheren Kennwort“ überhaupt ankommt. In der Folge verwenden Mitarbeiter teilweise Kennwörter, welche vorhersehbaren Mustern folgen und somit für Dritte systematisch errechnet werden können.

Aus Sicht der IT-Sicherheit muss das Thema der Benutzerkennwörter jedoch ernst genommen werden. Auf der einen Seite investieren Unternehmen viel Zeit und Geld in IT-Sicherheitsmaßnahmen wie Firewalls oder Virenscanner. Das Risiko schwacher Benutzerkennwörter wird jedoch oftmals außer Acht gelassen.

In diesem Beitrag zeigen wir auf, warum schwache Benutzerkennwörter ein Risiko für Unternehmensnetzwerke darstellen, wie Unternehmen sich wirksam schützen können und wie Sie Ihren Anwendern dennoch ein Stück entgegen kommen können.

weiterlesen

(Bildnachweis: Subscribe von Mohamed Hassan auf Pixabay)

 

Bildungsmesse2021
Am Freitag, den 23.04. und Samstag, den 24.04.2021 fand das erste Mal die Bildungsmesse digital statt! Auf der Seite www.berufsorientierung-fulda.de konnte man per Video-Call oder Chat mit unseren Azubis in Kontakt treten und alles zu den Ausbildungsberufen

  • Kauffrau-/mann für IT-System-Management
  • Fachinformatiker/in Systemintegration
  • Fachinformatiker/in Daten und Prozessentwicklung

erfragen. Ihr interessiert euch für eine Ausbildung im IT-Bereich? Dann bewerbt euch gerne für einen der genannten Ausbildungsberufe - Start der Ausbildung ist der 1. August 2022.

Sendet eine Mail mit kurzem Anschreiben, Lebenslauf und dem letzten Zeugnis(sen) an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Vor wenigen Tagen haben Microsoft und das Bundesamt für Sicherheit in der Informationstechnik (BSI) mehrere Zero-Day-Sicherheitslücken in Microsoft Exchange Servern öffentlich gemacht. Zehntausende Systeme wurden weltweit gehackt, dabei wurde zumeist eine Webshell installiert, die Cyberkriminellen die Möglichkeit gibt, Daten abzugreifen oder weitere Schadsoftware zu installieren.

Diese Lücken machen Unternehmen oder andere Verantwortliche über das Internet angreifbar, sobald sie Microsoft Exchange Server unter einer bestimmten Konfiguration einsetzen. Das kann zu Ausfall vieler Dienste führen und ggf. den Regelbetrieb erheblich stören oder komplett stilllegen. Das BSI hat am gestrigen Tag (09.03.21) die IT-Bedrohungslage als extrem kritisch eingestuft (Stufe 4 / ROT). Diese Sicherheitslücke wird bereits flächendeckend aktiv ausgenutzt und somit ist die Wahrscheinlichkeit der Kompromittierung der betroffenen Systeme als realistisch anzusehen. Laut BSI wurde bei den beobachteten Angriffen Zugang zu den E-Mail-Accounts erlangt, sowie weitere Malware zur Langzeit-Persistenz installiert.

Der Hersteller Microsoft stellt auf seiner Homepage mehrere Sicherheitspatches zur Verfügung, die unbedingt und umgehend zu installieren sind. Des Weiteren hat Microsoft im März zahlreiche weitere Schwachstellen geschlossen. Betroffen sind alle aktuellen Windows Versionen, der Edge Browser und der Internet Explorer, Exchange, Azure, sowie verschiedene Office Programme. Hier wird ebenfalls die umgehende Installation der Sicherheitsupdates empfohlen.

Lesen hier die Warnmeldung des BSI: BSI-Cybersicherheitswarnung

Aktuell hat sich auch das Bayrische Landesamt für Datenschutz der Sicherheitslücke angenommen und auf mögliche Bußgeldtatbestände bei Nichtbeachtung hingewiesen:
https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html

Weitere Stellungnahmen der Landesaufsichtsbehörden für den Datenschutz finden sie hier:

  • HBDI (Hessen): https://datenschutz.hessen.de/pressemitteilungen/unmittelbarer-handlungsbedarf-wegen-schwachstellen-in-microsoft-exchange-server
    „Die Behebung der Schwachstellen durch das Einspielen entsprechender, von der Firma Microsoft bereitgestellter Patches allein ist hierbei nicht ausreichend. Zusätzlich müssen Verantwortliche überprüfen, ob es bereits zu erfolgreichen Angriffen auf betroffene Systeme gekommen ist. […] Weiterführende Maßnahmen sind dann zu ergreifen, wenn erfolgreiche Angriffe identifiziert beziehungsweise nicht mit hinreichender Sicherheit ausgeschlossen werden können. Hierzu gehört auch, unabhängig davon ob ein konkreter Datenabfluss identifiziert werden konnte, eine Meldung gemäß Art. 33 DS-GVO an die zuständige Datenschutzaufsichtsbehörde. Hierbei ist die zugehörige Frist von 72 Stunden für eine Meldung zu wahren ist. […] Das Vorliegen vollständiger und umfassender Informationen ist keine Voraussetzung für die Abgabe einer Meldung. Fehlende Informationen können gemäß Art. 33 Abs. 4 DS-GVO nachgereicht werden. Auch ist der Bedarf nach einer Information betroffener Personen gemäß Art. 34 DS-GVO zu prüfen. […] Der HBDI behält sich vor, dies zu gegebener Zeit zu überprüfen.“
  • LFD Niedersachsen: https://lfd.niedersachsen.de/startseite/themen/wirtschaft/kompromittierte-exchange-server-meldepflichtig-198287.html - Stellt eine Meldepflicht für kompromittierte Server fest mit einem Verweis auf die Einschätzung des BSI, dass Exchange Server, bei denen am 5. März das bereitgestellte Sicherheitsupdate noch nicht installiert war, kompromittiert sind.
  • LfDI Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/aktive-ausnutzung-der-microsoft-exchange-schwachstelle/ - „Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen.
  • LfDI Mecklenburg-Vorpommern: https://www.datenschutz-mv.de/presse/?id=168262&processor=processor.sa.pressemitteilung - Weist bei Feststellung von etwaiger Kompromittierung der Systeme ausdrücklich auf Meldepflicht an die Behörde und abhängig vom Einzelfall ggf. bestehende Benachrichtigungspflicht hin.
  • Hamburgische Beauftragte: https://datenschutz-hamburg.de/pages/microsoft-exchange/  - Im Fall eines festgestellten Datenabflusses muss ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden. Darüber hinaus kann in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen.“

Weiterführende Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Sie brauchen Hilfe oder Unterstützung für ihr IT-System oder zum Thema Datenschutz, dann senden Sie uns eine Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Die Kollegen des Cyber Security Teams werden sich umgehend bei Ihnen melden.  

Auch wenn die Einhaltung der DSGVO in Zeiten von Corona aus Sicht der Unternehmen nicht oberste Priorität hat, herrscht bei der Verwendung von Online-Tools kein rechtsfreier Raum. Bei der Auswahl und beim Einsatz von Videokonferenzsystemen sind bestimmte Punkte zu berücksichtigen, die auch von der Datenschutzkonferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in der Orientierungshilfe vom 23.10.2020 kritisch betrachtet wurden. Zusammenfassend sind die nachfolgenden Punkte zu beachten:

  • Betriebsmodelle / Möglichkeiten für den Einsatz von Videokonferenzsystemen,
  • Rechtliche Anforderungen an die Nutzung von Videokonferenzen,
  • Technische Anforderungen an Videokonferenzen.Vergleich Videokonferenzanbieter Tabelle

Die o.g. Orientierungshilfe der DSK zeigt deutlich auf, dass Videokonferenzen nicht einfach mal so eingesetzt werden sollten. Unternehmen sollten also zügig daran arbeiten die eingesetzten Tools für Videokonferenzen (möglichst) datenschutzkonform zu betreiben. Die Datenschutzbehörden haben angekündigt, in den nächsten Wochen und Monaten die Anbieter von Videokonferenz-Lösungen noch sehr viel stärker unter die Lupe zu nehmen und zu kontrollieren sowie ggfs. zu sanktionieren.

Wir haben Ihnen hier in unseren Datenschutz-NEWS die wichtigsten Informationen und neusten Entwicklungen der letzten Wochen zusammengefasst.

Wenn Sie noch mehr Informationen hierzu erfahren möchten, können Sie bei uns auf Anfrage an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! einen Datenschutz-Vergleich mit Bewertung der wichtigsten Videokonferenz-Anbieter als Übersichtsliste erhalten.

deutschlandstipendiumHFD DStip20 Dankeskarte PressemeldungIm Rahmen des Deutschland STIPENDIUM unterstützt Drimalski & Partner Studierende der Hochschule Fulda.

Das Stipendium ermöglicht leistungsstarken Studierenden Bildungschancen unabhängig von ihrer sozialen Herkunft und dem Standort ihrer Hochschule und hat sich nach wenigen Jahren bereits als fester Bestandteil der Begabtenförderung in Deutschland etabliert. Gefördert werden die Stipendiatinnen und Stipendiaten für zwei Semester. Sie erhalten pro Monat 150 Euro als finanzielle Unterstützung und Auszeichnung für hervorragende Leistungen. Bei der virtuellen Vergabefeier konnten wir gratulieren. 

zur Pressemeldung

Microsoft ruft aufgrund einer als "kritisch" eingestuften Sicherheitslücke (CVE-2020-1472) dazu auf, auf den Active Directory Domain Controllern die erforderlichen Sicherheitsupdates zu installieren. Im Detail handelt es sich dabei um eine Schwachstelle, die das Netlogon-Protokoll betrifft. Für eine erfolgreiche Attacke müsste sich ein Angreifer über das Netlogon Remote Protocol (MS-NRPC) mit einem Domänencontroller verbinden und könnte darüber uneingeschränkten Zugriff auf alle Daten und Systeme erlangen.

In einer eigenen Warnmeldung listet Microsoft die betroffenen Windows-Server-Versionen 2019, 2016, 2012 (R2), und das bereits seit Januar 2020 nicht mehr unter Support stehende 2008 R2 auf. Dort finden Sie auch detailliertere Informationen zu den Sicherheitsupdates.

Gerne überprüft unser Patchmanagement-Team, ob Ihre Systeme betroffen sind und führt auf Wunsch die nötigen Updates durch.

Hackaton Logo Mit einem 25-Stunden-Ideen-Marathon, einem sogenannten Hackathon, will der Landkreis Fulda junge, innovative Kräfte gewinnen. Bei einem Hackaton können nicht nur Programmierer teilnehmen, sondern auch Interessierte aus allen Bereichen, die Spaß am Entwickeln neuer Ideen haben.

DRIMALSKI & Partner freut sich, diese Veranstaltung auch in diesem Jahr als Sponsor zu unterstützen und stiftet eines der Preisgelder. Weitere Infos auf hackathon-fulda.de

In diesem Jahr haben die Teilnehmer am 24. und 25.10.2020 25 Stunden Zeit kreativ zu werden und das alles von zu Hause aus.

Die Challenge des Hackathon Fulda in diesem Jahr: Eine einfache, benutzerfreundliche und datenschutzkonforme Applikation zur Kontaktnachverfolgung bei privaten Events, Business-Meetings, in der Gastronomie sowie für Sport und Freizeit.

DatenschutzauditorWir freuen uns, unseren Kunden einen weiteren Kollegen als Berater für Cybersicherheit für Projekte im Umfeld der VdS 10000 anbieten zu können.

Neben Marcel Bruckner ist nun auch Matthias Kraft als Dienstleister für die Beratung von Unternehmen zum Informationssicherheitsmanagement auf Grundlage der Anforderungen gemäß VdS 10000 zertifiziert.

Die Unternehmenssicherheit ist ein Bestandteil des unternehmerischen Risikomanagements, das zunehmend auch Security-Aspekte berücksichtigen muss. Wir bieten Unternehmen mit dem Regelwerk der VdS 10000 den Aufbau eines Informationssicherheitsmanagementsystems, das gerade für Klein- und Mittelständische Unternehmen eine Teilmenge der Basisabsicherung  des IT-Grundschutzes bietet und so eine gute Grundlage für die Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001.

Sollten Sie Fragen zum Thema IT-Security haben, sprechen Sie uns direkt an.

 

IHK News

Veröffentlichung in der Wirtschaft Region Fulda 05/2020

Europa befindet sich zurzeit im „Notfallmodus“. Um die Geschäfte aufrecht zu halten, verteilen Unternehmen ihre Mitarbeitenden auf verschiedene Standorte oder schicken sie ins Homeoffice.

Laut der Eurostatt-Statistik lag der Anteil der „Heimarbeiter“ vor zwei Jahren gerade einmal bei fünf Prozent. Im Zuge der Corona-Krise sollen alleine in Deutschland bis zu 25 Millionen mobile Arbeitsplätze entstanden sein.

Jedoch ist in den meisten Arbeitsverträgen bislang noch keine Homeoffice-Regelung vorhanden. Manche Unternehmen haben jedoch mündliche Vereinbarungen mit ihren Mitarbeitenden getroffen. Solche Abreden sind für Arbeitgeber und Arbeitnehmer dennoch bindend und können notfalls vor dem Arbeitsgericht durchgesetzt werden. hier den ganzen Artikel lesen

Die intensive Nutzung von Home-Office und mobilem Arbeiten ist eine empfohlene Maßnahme im Zusammenhang mit der Corona-Prävention. Dafür gilt es, pragmatische Lösungen zu finden, die einerseits die Arbeitsfähigkeit einer Organisation erhalten, gleichzeitig jedoch Vertraulichkeit, Verfügbarkeit und Integrität gewährleisten.

Trotz der gegebenen herausfordernden Situation sollte auch bei der Einrichtung von Home-Office-Arbeitsplätzen die IT-Sicherheit angemessen berücksichtigt werden.

Das BSI empfiehlt eine Reihe von Maßnahmen, die einen Grundstein für IT-Sicherheit im mobilen Arbeiten darstellen.

1. Klare Regeln zum Thema IT-Sicherheit
2. Sicherheitsniveau am Heim-Arbeitsplatz wie im Büro
3. Eindeutige Verifizierung ermöglichen
4. Vorsicht! Es sind aktuell viele Phishing-Mails im Umlauf.
5. Nutzen Sie eine VPN-Verbindung!

Den kompletten Artikel finden Sie hier