Das BSI stellt vor: WiBA - Weg in die Basis-Absicherung. Wem als Kommune oder Firma das sog. "Kommunalprofil" oder die eigentliche Basis-Absicherung des IT-Grundschutzes noch als zu aufwändig erscheint, kann mittels WiBA erste Schritte in deren Richtung unternehmen. In 18 Kapiteln mit handverlesenen (und wenigen) Fragen zur Informationssicherheit kann der Status Quo des eigenen Sicherheitsniveaus grob identifiziert werden. Einen kontinuierlichen Betrieb eines Sicherheitskonzepts kann WiBA jedoch nicht leisten. Dazu sind die größeren Informationssicherheitsmanagementsysteme notwendig. Wie eben die BSI IT-Grundschutz Basis-Absicherung, ISO 27001, die sog. "Arbeitshilfe" der Innovationsstiftung Bayerische Kommune, ISIS12 / CISIS12 oder z.B. ISMS4KMO. Aber jeder Schritt hin zu mehr Informationssicherheit zählt. Von daher, well done, BSI. Mehr im Blogbeitrag.
Wieso der "Ändere-Dein-Passwort-Tag" besser in "Nutze-2FA-Tag" umbenannt werden sollte? Über Sinn und Unsinn von Passwortwechseln und wieso 2FA die bessere Wahl ist. Übrigens: 2FA ist keine Raketenwissenschaft, sondern Stand der Technik in der IT-Sicherheit.
Software-Unterstützung für ein Informationssicherheitskonzept auf Basis der sog. Arbeitshilfe der Innovationsstiftung Bayerische Kommune
In der dritten Juniwoche 2020 ist der Start der Corona App geplant. Kurz zuvor hatte man Teile einer Version der Entwicklung prüfen lassen. Andere Bereiche dessen blieben ungeprüft. Nähere Informationen im Beitrag ..
Teil 2 des chronologischen Einblicks in die größten und gravierendsten Datenpannen, Sicherheitslücken und Hackings der letzten 12 Monate. Extra-Inhalt zum Post vom 16.04.2020 - Teil 2
Chronologischer Einblick in die größten und gravierendsten Datenpannen, Sicherheitslücken und Hackings der letzten 12 Monate. Extra-Inhalt zum Post vom 16.04.2020 - Teil 1
Das NIST hat seine 14 Jahre alten (und leider falschen) Empfehlungen zur Passwort-Sicherheit überarbeitet. Der damalige Verfasser bekennt gegenüber der Washington Post: "Die Wahrheit ist: Ich war auf dem falschen Dampfer." Seine Empfehlungen finden sich noch heute in den verschiedensten Sicherheitsstandards. Täglich kosten Sie Zeit und Nerven der Endanwender. Passwörter müssen Sonderzeichen enthalten und alle 90 Tage gewechselt werden, hieß es bisher. Obwohl sich diese Annahme schon lange als fehlerhaft erwiesen hat (siehe auch unsere Blogbeiträge dazu), wurde und wird seitens der Verantwortlichen an diesen starren Passwort-Regelungen festgehalten. Sicherheit wurde hierdurch jedoch keine geschaffen. Daher hat das NIST seine Passwort-Empfehlungen endlich überarbeitet und an die wirkliche Bedrohungslage angepasst. Und welch Freude: Sogar das BSI lenkt in 2020 endlich ein plant eine Anpassung des Bausteins ORP.4 .Wie nutzerfreundliche und sichere Passwort-Richtlinien aussehen können, lesen Sie in unserem Blogbeitrag. Gerne dürfen Sie diesen teilen :-)
Art. 32 DSGVO geht eigentlich nur mit einem Informationssicherheitskonzept zu erfüllen. Für kleine Einrichtungen (Kommune und Unternehmen) eignet sich die "Arbeitshilfe" aus Bayern. Jetzt in Version 3.0 am Start. Für kommunale Einrichtungen stehen die Anpassungen zum Erhalt des LSI Siegels "Kommunale IT-Sicherheit" im Vordergrund. a.s.k. Datenschutz hat wie bereits wie die Vorgängerversionen der Arbeitshilfe auch die Version 3.0 im Auftrag der Innovationsstiftung Bayerische Kommune und der Bayerischen Kommunalen Spitzenverbände weiterentwickelt. Die Arbeitshilfe kann sowohl von Kommunen als auch Unternehmen kostenfrei genutzt werde. Mehr Details und Download-Link im Blogbeitrag.
IT-Notfallkarte für Mitarbeiter, wenn ein IT-Sicherheitsvorfall eintritt. Als erste Reaktion zur Bewältigung und Nachbearbeitung Top 12 Maßnahmen bei Cyberangriffen. Für ein professionelles Notfallmanagement Einführung eines Notfallmanagements nach 100-4 des IT-Grundschutzes. Die Allianz für Cybersicherheit und das BSI geben Hilfestellung. Ohne funktionierendes Notfallmanagement steht Ihre Organisation im Notfall mit heruntergelassenen Hosen da. Nun ist die Einführung eines Notfallmanagements keine Angelegenheit von ein paar Tagen, sondern ein respektabler und ressourcenintensiver Prozeß. Mit den richtigen Anleitungen und (externer) Unterstützung jedoch durchaus machbar, auch in kleinen Organisationen. Sie versichern Ihr Haus ja auch nicht erst gegen Feuer, wenn es abgebrannt ist, oder? Übrigens ist ein Notfallplan das Ergebnis eines Notfallvorsorgekonzepts und nicht dessen Ersatz. Wir haben die wichtigsten Punkte und Links in diesem Beitrag zusammengefasst.
Neue Angriffe über Bewerbungen per Email: Ransomware GermanWiper löscht alle Daten statt sie zu verschlüsseln. Das BSI warnt in seinen CERT-Meldungen. Weitere Infos zur Funktionsweise sowie möglichen Schutzmaßnahmen im Blogbeitrag.
Forscher haben eine Angriffstechnik über Microsofts Power Query entdeckt (externer Link), die sogar ohne Zutun des Anwenders nach dem Öffnen eines präparierten Excel-Sheets Schadcode nachlädt und ausführt. Betroffen sind Excel 2016, Excel 2019 und alle älteren Versionen, in denen Power Query als Add-In nachträglich installiert wurde. Aktuell soll dieses Angriffszenario noch nicht ausgenutzt werden, Angriffe sind noch keine bekannt. Zeit genug, sich dagegen zu wappnen. Eine Möglichkeit besteht darin, Power Query komplett zu deaktivieren (Registry). Weitere Schutzmaßnahmen beschreibt Microsoft im Security Advisory 4053440. Weitere Details und Link zum Microsoft Security Advisory 4053440 finden Sie im Blogbeitrag.
Emotet ist zur Zeit in aller Munde: Wer schon immer mal prüfen wollte, wie der eigene Mailserver auf risikoreiche Datei-Anhänge reagiert, kann dies mit einem Service von Heise nun testen. Zur Auswahl stehen verschiedene Arten von Bedrohungen, die man sich an die eigene Mail-Adresse schicken lassen kann. Doch Vorsicht: Bei dienstlich oder geschäftlich genutzten Email-Adressen sollten Sie das nicht ohne Rücksprache mit Ihrer IT machen. Mehr Infos und den Link zum Versand der Test-Emails im Blogbeitrag.
Nach einem knapp zweijährigen Prozeß hat die Gemeinde Haar im Mai 2019 die ISIS12-Zertifizierung erreicht. a.s.k. Datenschutz durfte den Prozeß als externer Berater begleiten. Jetzt heißt es, das Informationssicherheitskonzept zu betreiben und mit Leben zu erfüllen. Mehr im Blogbeitrag.
Microsoft meldet eine aktuelle Bedrohung mit Schwerpunkt Europa über eine ältere Schwachstelle CVE-2017-1182 in Microsoft Office. Ein präpariertes RTF Dokument infiziert das System mit einem Backdoor-Trojaner.
Es ist ein Kreuz mit den Passwörtern. Kommt man langsam zwar von den unsicheren Komplexitätsregeln und Wechselintervallen - endlich - ab, so hat man als Anwender immer noch mit einer Vielzahl an Passwörtern zu kämpfen. Denn es ist schon was Wahres dran, wenn es heißt, nicht für alle Anmeldungen und Accounts das selbe Passwort zu verwenden. Ist nämlich einer gehackt, sind damit auch alle anderen Zugänge gefährdet, die das selbe Passwort verwenden. Und im Laufe seines digitalen Lebens sammelt ein Anwender Zugangsdaten wie früher andere Leute Briefmarken. Sich diese alle zu merken, mag dem einen oder anderen gelingen. Uns und wohl den meisten anderen Anwendern wird dies schwer fallen. Abhilfe schaffen sogenannte Passwort-Tresore wie Keepass. Wie dieser zu installieren und zu bedienen ist, welche Einsatzmöglichkeiten ein solcher Tresor bietet und wieso man von Online-Diensten für die Passwort-Verwaltung besser die Finger lassen sollte, erfahren Sie in unserem Blogbeitrag inklusive ausführlicher PDF Anleitung zu Installation und Nutzung von Keepass. Feel free to download!
Unsere kostenlose Checkliste soll helfen, vorhandene Schwachstellen zu identifizieren und möglichst zeitnah zu schließen. Auch wenn hier hauptsächlich von Multifunktionsgeräten die Rede ist, so können die Schwachstellen auf bei Einzelfunktionsgeräten vorhanden sein.
Sie wollen eine Rechnung als PDF an Emails anhängen und versenden? Da gibt es einige Aspekte zu beachten im Sinne des Datenschutzes bzw. der DSGVO. Nein, generelle Verschlüsselung ist keine Pflicht. Wie Sie die datenschutzrechtlichen Anforderungen an Rechnungsversand per Email erfüllen können, skizziert unser Beitrag mit Tipps & Tricks.
Seit dem 06. August 2015 ist es offiziell - a.s.k. Datenschutz Sascha Kuhrau ist geprüfter und zertifizierter ISIS12-Berater. Damit können Kommunen und Behörden bei der Einführung eines ISMS nach ISIS12 unterstützen.
a.s.k. Datenschutz Sascha Kuhrau mit Gastvortrag auf der AKDB Hausmesse in Würzburg am 09.07.2015. Zukunft gestalten, IT Systeme sichern. Auch unter Einsatz moderner ISMS Systeme wie ISIS12
Es hat nicht lange gedauert und schon schallte es aus den bekannten politischen Lagern "Die Vorratsdatenspeicherung muss her". Ohne diese seien die abscheulichen Anschläge in Paris zukünftig nicht zu verhindern, die Sicherheit der Republik gar in Gefahr. Zum Glück bewahren einige Augenmaß.
Meistgelesen
Checkliste TOM Auftragsverarbeitung nach Art. 28 + 32 DSGVO — technische und organisatorische Maßnahmen 
Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie – ein kostenloses Muster 
Rechnung per Email versenden und der Datenschutz 
Tipp: Microsoft Analytics “MyAnalytics” in Office 365 deaktivieren 
Checkliste Prüfung Technische und Organisatorische Maßnahmen (TOM) aktualisiert
Partner / Kooperationen
Anwaltskanzlei Diercks, Hamburg
Spirit Legal Rechtsanwälte, Leipzig
RA Stephan Hansen-Oest, Flensburg
Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
Gesellschaft für kommunalen Datenschutz (GKDS), München
Datenschutz Schmidt (Datenschutz Assistent), Lauf a.d. Pegnitz
Hahn IT Services, Schwaig
Mitgliedschaften
