Sichere Videokonferenzsysteme

Videokonferenz

Videokonferenzsysteme haben sich in den letzten Jahren im Bereich Funktionsumfang und Komfort sehr weiterentwickelt. Gerade in der aktuellen COVID-19-Krise ist die Nachfrage nach Videokonferenzsysteme stark gestiegen und ist für viele Firmen ein wichtiges Werkzeug für den täglichen Arbeitsablauf. Eine Konferenz per Web-Anwendung mit Sprache und Video in Verbindung mit Chat und dem Teilen von Desktops und Anwendungen bis hin zur gemeinsamen Bearbeitung von Dokumenten mit einer einzigen Plattform ist mittlerweile problemlos möglich und ersetzt in manchen Bereichen komplett die klassische Telefonkonferenz und E-Mail-Kommunikation. Ein solches Videokonferenzsystem kann betriebssystemübergreifend eingesetzt werden egal ob Windows-PC, iMac von Apple oder das Handy (iPhone oder Android).

Kurzum, es gibt offensichtlich nur Vorteile, solch ein System einzusetzen. Das allerdings nur die halbe Wahrheit, denn die Nutzung vieler Videokonferenzsysteme ist möglicherweise datenschutzrechtlich problematisch. Das Beispiel der Negativ-Schlagzeilen des beliebten US-Amerikanischen Anbieters Zoom Video Communications zeigt, dass in der Praxis noch große Unsicherheit im Umgang mit der Datenschutzgrundverordnung (DSGVO) herrscht beim Einsatz sicherer Videokonferenzsysteme. Dabei bieten die für den Datenschutz verantwortlichen Behörden aktuell keine große Unterstützung und stellen nur sehr allgemein formulierte Hinweise und FAQs wie z. B. der Hamburgische Datenschutzbeauftragte zur Verfügung.

Datenschutzrelevante Anforderungen

Die DSGVO beschreibt den Datenschutz für technische Einrichtungen u. a. in Art. 25. Daher sollten folgende datenschutzrelevanten Anforderungen bei der Auswahl des Videokonferenzsystems beachtet werden:

  • EU-Anbieter immer vorziehen, nur diese Anbieter unterliegen der DSGVO-Anforderungen
  • Verschlüsselte Verbindung der Kommunikation
  • Bildschirmübertragung müssen eine Zustimmung voraussetzen
  • Gesprächsverläufe und Aufzeichnungen sollten nach Gesprächsende gelöscht werden können bzw. sicher abgelegt werden
  • Geschäftliche Nutzung muss verfügbar sein, da hierfür auch andere Datenschutzregeln seitens des Anbieters gelten als bei privater Nutzung
  • Abschluss eines Auftragsverarbeitungsvertrages mit dem Anbieter
  • Angaben zu den technischen und organisatorischen Maßnahmen des Anbieters müssen zur Verfügung gestellt werden

BSI veröffentlicht Kompendium für Videokonferenzsysteme

Eine sehr gute Unterstützung bei der Einführung eines Videokonferenzsystems bietet das aktuell vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Kompendium für Videokonferenzsysteme. Es richtet sich an Entscheider, Planer, Beschaffer, Betreiber, Administratoren, Auditoren und auch Endnutzer, die über die Videokonferenzlösung Inhalte bzw. Informationen mit normalem und erhöhtem Schutzbedarf austauschen wollen. Dabei orientiert sich die Vorgehensweise und Struktur des Kompendiums am BSI IT-Grundschutz-Kompendium.

Das Kompendium für Videokonferenzsysteme soll bei der Absicherung aktueller Videokonferenzlösungen über den gesamten Lebenszyklus von der Planung bis zum Rückbau unterstützen und berücksichtigt dabei insbesondere auch Bereiche mit erhöhtem Schutzbedarf. In 9 Kapiteln werden Themen beschrieben, wie die Betrachtung zum Funktionsumfang, der technische Aufbau moderner Videokonferenzsysteme, operative Aspekte (Planung, Nutzung und Betrieb) sowie die Analyse der Gefährdungslage, Sicherheitsanforderungen und Umsetzungsempfehlungen. Weiterhin werden im letzten Kapitel Hilfsmittel zur Beschaffung einer Videokonferenzlösung bereitgestellt, die Auswahlkriterien und ein Beispiel für ein Leistungsverzeichnis liefern.

IT-Sicherheit im Homeoffice

Homeoffice

Heutzutage arbeiten viele Menschen im Homeoffice und dabei ergeben sich auf Grund der unterschiedlichen häuslichen, technischen und organisatorischen Gegebenheiten Gefahren für die IT-Sicherheit.

Grundregeln der IT-Sicherheit im Homeoffice

Im Folgenden habe ich die wichtigsten Grundregeln zusammengefasst, die auch im Homeoffice die IT-Sicherheit gewährleisten:

  1. Sicherer Zugriff auf das Firmen-Netz
    Für den Zugriff auf die Netze Ihrer Firma nutzen Sie bitte immer den VPN-Zugang. Sprechen Sie dazu am besten Ihre IT-Abteilung an. Bauen Sie den VPN-Zugang nur in einem sicheren und vertrauenswürdigen LAN/WLAN auf.
  2. Eindeutige Kontaktstellen und Kommunikationswege
    Klären Sie mit Ihrem Vorgesetzten eindeutige Kontaktstellen und Kommunikationswege. Verifizieren Sie eventuell neue Kontaktdaten mit dem entsprechenden Kollegen/Vorgesetzten.
  3. Vorsicht vor Phishing
    Auch im Homeoffice besteht die Gefahr von Phishing E-Mails oder auch Anrufen. Seien Sie dabei genauso wachsam wie im Büro. Verifizieren Sie seltsam wirkende Anweisungen mit einem Rückruf beim Vorgesetzten, bevor Sie diese ausführen.
  4. Dokumente mit erhöhtem Schutzbedarf
    Stimmen Sie bitte mit Ihrem Vorgesetzten ab, wie Sie Dokumente mit erhöhtem Schutzbedarf z. B. vertrauliche Vertragsdokumente bearbeiten sollen. Dabei kann Sie auch Ihr IT-Sicherheitsbeauftragter beraten.
  5. Zutritts- und Zugriffsschutz
    Im Homeoffice besteht meist nicht die gleiche infrastrukturelle Sicherheit wie im Büro. So ist der häusliche Arbeitsplatz oft auch für Besucher und Familienmitglieder zugänglich. Daher muss sichergestellt werden, dass Unbefugte zu keiner Zeit auf dienstliche IT und Unterlagen zugreifen können. Das bedeutet, dass der Zugriff auf Ihre dienstliche IT bei Nichtnutzung gesperrt ist und das keine sensitiven Informationen frei zugänglich sind. Räumen Sie dazu nach Arbeitsende Ihren Arbeitsplatz auf und schließen Sie wenn möglich alle Dokumente und die dienstliche IT z. B. in einem Schrank ein. Weiterhin sollte Ihr PC oder Notebook über eine entsprechende Verschlüsselung verfügen, sodass bei Verlust die Daten auf dem Gerät sicher vor Zugriffen Dritter sind. Sprechen Sie dazu am besten Ihre IT-Abteilung an.
  6. Datensicherung
    Speichern Sie Ihre Arbeit nicht lokal auf Ihrem Arbeitsplatz-PC sondern immer auf den Servern Ihrer Firma.
  7. Zeitnahe Meldungen von Sicherheitsvorfällen
    Melden Sie zeitnah Sicherheitsvorfälle (z.B. Verlust Laptop, Mobilfunkgeräte, Einbruch etc.) an Ihren Vorgesetzten und ggf. an Ihren IT-Sicherheitsbeauftragten.
  8. Entsorgung vertrauenswürdiger Dokumente und Datenträger
    Bitte entsorgen Sie vertrauenswürdige Dokumente und Datenträger nicht privat sondern transportieren Sie sie zurück ins Büro und entsorgen Sie diese dort auf bekanntem Wege.
  9. Support im Homeoffice
    Stimmen Sie mit Ihrem Vorgesetzten ab, wie der Support im Homeoffice gewährleistet ist. Es kann sein, dass Ihr PC oder Notebook für den Support aus der Ferne erst noch vorbereitet werden muss z. B: Remote-Berechtigungen oder die Installation von Support-Tools.

Quick-Check der Initiative #wirvsvirus

Mit dem “Quick-Check Test” der der Initiative #wirvsvirus der Bundesregierung können Sie prüfen, wie viele der Maßnahmen Sie bereits umgesetzt haben und was sie tun können, um die IT-Sicherheit im Homeoffice zu verbessern.
(Quelle: https://virus-foerdert-viren.netlify.com/)

Mozilla’s Firefox Monitor prüft und informiert über gestohlene Daten

Firefox Monitor prüft und informiert über gestohlene Daten

Mozilla´s neuer in Zusammenarbeit mit Troy Hunt’s “Have I Been Pwned” vorgestellter Dienst namens Firefox Monitor prüft, ob persönliche Daten wie eine E-Mail-Adresse zum Beispiel nach einem Hack im Internet veröffentlicht wurde.

Über die Webseite https://monitor.firefox.com gelangt Ihr auf direktem Wege zum neuen Tool und könnt mit der Prüfung beginnen. Im oberen Bereich der Website könnt Ihr Eure E-Mailadresse eingeben und mit einem Klick auf den “Scan” prüfen, ob diese E-Mail-Adresse zusammen mit anderen persönlichen Daten durch Hacks oder Leaks im Internet veröffentlich wurden. Die Prüfung erfolgt gegen die Datenbank der bekannten Webseite von Troy Hunt´s “Have I Been Pwned”.

Weiterhin besteht die Möglichkeit, dass Ihr Euch im unteren Bereich der Webseite registrieren könnt, um bei zukünftigen möglichen Kompromittierungen Eurer E-Mailadresse benachrichtigt zu werden.

Mehr Informationen auf “Have I Been Pwned”

Firefox Monitor liefert zwar die selben Funktionen wie die Webseite von “Have I Been Pwned”, allerdings liefert die Webseite von Troy Hunt teilweise detaillierte Ergebnisse und Erklärungen. Die Mozilla-Variante listet lediglich die Dienste auf, bei deren Hack oder Leak die E-Mail-Adresse kompromittiert wurde, finden sich auf haveibeenpwned.com auch die zugehörigen Listen, mit denen die E-Mail-Adresse im Internet veröffentlicht wurde sowie Hintergrundinformationen zu den entsprechenden Leaks.

Firefox Monitor nur eines von vielen neuen Features

Firefox Monitor ist nur eines von vielen Features, die Mozilla diesen Herbst veröffentlichen möchte, um das Web für Firefox-Nutzer(innen) noch sicherer zu machen. In der kürzlich von Mozilla vorgestellten Roadmap für einen noch besseren Tracking-Schutz werden Funktionen wie Cross-Site-Tracking blockieren bereitgestellt, die helfen sollen, den persönlichen Datenschutz im Web noch besser durchsetzen zu können.

Probiert den neuen Dienst am besten direkt mal aus und prüft, ob Ihr von einem Hack betroffen seid. Informationen bei Identitätsmissbrauch könnt Ihre in meinem Ratgeber “Hilfe bei Identitätsmissbrauch” finden.

 

Kurzcheck für mehr E-Mail-Sicherheit

Kurzcheck für mehr E-Mail-Sicherheit

Spam-Mails sind der Hauptgrund für die Infizierung von Computern durch Schadprogramme. Ransomware steht dabei an der Spitze, die durch schadhafte Mail-Anhänge ganze Systeme infizieren. Zu diesem Ergebnis kommt eine aktuelle Befragung des Bundesamts für Sicherheit in der Informationstechnik (BSI) durch die Allianz für Cyber-Sicherheit. Die Auswirkungen reichen vom Befall einzelner Arbeitsplatzrechner über den Ausfall von Teilen der IT-Infrastruktur bis hin zum Totalverlust wichtiger Daten. Häufige Ursache ist der Mensch, welcher zu unbedacht die elektronische Post öffnet.

Mit einem Kurzcheck der E-Mail können Sie das Risiko einer Infizierung schon stark mindern. Dazu müssen Sie sich folgende Fragen beantworten, bevor Sie eine E-Mail öffnen.

Ist der Absender bekannt?

Ist der Betreff sinnvoll?

Wird ein Anhang von diesem Absender erwartet?

Kurzcheck

In Kombination liefern die Antworten dieser Fragen einen guten Anhaltspunkt für die Entscheidung, ob Sie die E-Mail als vertrauenswürdig einzustufen können.

In vielen Spam-Mails ist der Betreff bewusst vage formuliert, damit Sie als Empfänger neugierig werden. Dabei werden Formulierungen gewählt wie “Ihre Rechnung”, “Mahnung”, “Dringende Nachricht” oder “Fax”. Hier ist von Ihnen besonders kritisch zu hinterfragen, ob eine Nachricht vom jeweiligen Absender sinnig erscheint, vor allem wenn Mail-Anhänge beigefügt sind. Erhalten Sie beispielsweise eine E-Mail mit dem Betreff „Mahnung“ von einem Dienstleister, den Sie kennen, aber keine Zahlung offen haben, könnte dies ein Hinweis für eine Spam-Mail sein. Auch schlecht formulierte E-Mails sind ein klarer Hinweis auf Spam-Mails. Daher ist es wichtig, dass Sie jede E-Mail hinterfragen: Ergibt die Überprüfung der drei Checkpunkte Absender, Betreff, Anhang kein stimmiges Bild, sollten Sie die E-Mail noch vor dem Öffnen löschen. Selbst der kleinste Zweifel sollte Anlass sein, diese E-Mail nicht zu öffnen. Alternativ besteht auch die Möglichkeit, persönlich beim Absender nachzufragen oder einen Experten über die E-Mail schauen zu lassen. Im Unternehmen könnte dazu die IT-Abteilung oder der IT-Dienstleister kontaktiert werden. Dazu werden u. a. die Meta-Daten der E-Mail überprüft, in der klar hervorgeht, woher die E-Mail wirklich kommt.

Kostenloser Online-Kurs des BSI zum Thema IT-Sicherheit

Das BSI bietet ein frei zugänglichen Online-Kurs zur IT-Sicherheit an, welcher auf dem IT-Grundschutz-Kompendium und den BSI-Standards 200-1,-2 und -3 basiert.

BSI kstenloser Online-Kurs
Bild: Bundesamt für Sicherheit in der Informationstechnik

Was bietet der Online-Kurs

Der Kurs betrachtet in neun Lektionen die IT-Grundschutz-Vorgehensweise. Damit möchte das BSI besonders neuen Anwendern den Einstieg in die Vorgehensweise des IT-Grundschutzes erleichtern. Am Ende jeder Lektion gibt es entsprechende Testfragen, um den Kenntnisstand zu überprüfen.

Der Online-Kurs steht sowohl Online als auch im PDF-Format zur Verfügung.

BSI_Notfallmanagement
Bild: Bundesamt für Sicherheit in der Informationstechnik

Neben dem Kurs zum IT-Grundschutz hat das BSI auch einen Online-Kurs zum Thema Notfallmanagement veröffentlich. Dieser enthält die wichtigsten Aspekte des Notfallmanagements gemäß BSI-Standard 100-4 und deren Anwendung. Der Schwerpunkt liegt hier auf die Planungsaktivitäten, womit angemessene Notfallvorsorgekonzepte entwickelt werden können.

Den Online-Kurs zum Notfallmanagement sowie die PDF-Version finden Sie hier.

An wen richtet sich der Online-Kurs

Empfehlenswert sind beide Kurse sicher für Anwender aus Wirtschaft und Verwaltung sowie Studierende. Besonders können kleine und mittelgroße Unternehmen den jeweiligen Kurs zur Betrachtung sowie Prüfung der eigenen IT-Sicherheit nutzen.

 

Facebook – So schützt ihr eure Daten

Facebook Daten schützen

Facebook ist aktuell durch den Cambridge Analytica-Fall sehr stark in der Presse vertreten. Dabei geht es vorangig um den Missbrauch von Nutzerdaten der Facebook-Anwender. Das zeigt, wie schnell persönliche Daten in fremde Hände gelangen können. Aus diesem Grund ist es wichtiger denn je, mit seinen Daten sensibel umzugehen und sie zu schützen. Dafür bietet Facebook bereits einige Einstellungen, die zum Schutz eurer Daten kritisch überprüft werden sollten. Es ist möglich, selbst zu steuern, welche Informationen in Facebook preisgegeben werden sollen. Auf Süddeutsche.de gibt es dazu den aktuellen Bericht “So füttert man Facebook mit möglichst wenig Daten“, den ich sehr empfehlen kann.

Social_MediaGrundsätzlich solltet ihr aber folgende Regeln für die Nutzung sozialer Netzwerke einhalten

  1. Datensparsamkeit – überlegt euch gut, wie und welche Informationen ihr veröffentlichen möchtet. Denn das Netz vergisst nichts. Es gibt in den gängigen Netzwerken auch die Möglichkeit, Informationen öffentlich oder nur einem bestimmten Personenkreis zugänglich zu machen.
  2. Arbeitgeberdaten sind tabu – vertrauliche Daten des Arbeitgebers haben in sozialen Netzwerken nichts zu suchen und können schwerwiegende Konsequenzen für euch haben, falls über euren Account Informationen an die Öffentlichkeit gelangen.
  3. Kontaktanfragen prüfen – nicht jede Kontaktanfrage ist von einem Freund oder der Familie. Es können sich auch Kriminelle dahinter verstecken.
  4. Unterschiedliche Passwörter – verwendet für eure Netzwerke und euren weitern Zugängen wie E-Mailpostfach oder Banking unterschiedliche Passwörter, damit bei einem Datendiebstahl dem Kriminellen nicht direkt alle Zugänge frei zur Verfügung stehen.
  5. Phishing – Neben E-Mails als Medium ist das soziale Netzwerk eine wunderbare Plattform für Kriminelle, um Phishing zu betreiben. Dabei werden z. B. in Beiträgen Links zu Phishing-Seiten verbreitet. Dementsprechend sollten Posts und Beiträge immer kritisch geprüft werden.
  6. Kinder aufklären – ein wichtiger Punkt in der Kindererziehung sollte auch das Thema sein, wie sie mit sozialen Netzwerken umgehen und sie auf die Gefahren sensibilisieren. Nur so können eure Kinder sowohl auf die Sicherheit achten als auch Spaß haben.
  7. Account löschen – falls das soziale Netzwerk mal uninteressant wird, solltet ihr immer eure Daten löschen bzw. vom Betreiber löschen lassen. Wenn ihr ein Angehöriger eines Verstorbenen seid, könnt ihr auch an den Betreiber heran treten und mit entsprechendem Nachweis, den Account löschen lassen. Bei Facebook könnt ihr so ein Fall auf dieser Seite melden https://www.facebook.com/help/contact/?id=228813257197480.
  8. gehackten Account melden – wenn das eigene Konto mal  gehackt wurde, solltet ihr zeitnah den Betreiber informieren. Für solche Fälle stehen entsprechende Anlaufseiten zur Verfügung wie z. B. bei Facebook https://www.facebook.com/hacked.
  9. Digitales Erbe klären – klärt rechtzeitig, wie mit eurem digitalem Erbe umgegangen werden soll. Dies kann zu Lebzeiten z. B. in einem Testament schriftlich festgehalten werden. Dabei spielen Fragen eine Rolle wie:
    • Was soll gelöscht, was soll erhalten bleiben?
    • Was soll mit meinen Daten geschehen?
    • Wer soll auf den Computer Zugriff bekommen?
    • Wer soll meinen Nachlass verwalten bzw. ist Bevollmächtigter?

 

Hilfe bei Identitätsmissbrauch

Digitale IdentitätMit Identitätsmissbrauch wird die missbräuchliche Nutzung personenbezogener Daten, also der Identität, einer natürlichen Person definiert. Damit versucht der Betrüger durch Betrug, Erpressung, Begünstigung oder Täuschung einen Vermögensvorteil zu erreichen – sprich Profit daraus zu schlagen oder dem Opfer zu schaden.

Häufige Schäden

  • finanziellen Vorteil erzielen – Typisch ist der Warenbetrug. Dabei wird eine Ware auf die Identität des Opfers auf Rechnung bestellt und an eine abweichende Lieferadresse geliefert. Der Betrüger kann auch einen Vertrag z. B. einen Handytarif auf den Namen des Opfers abschließen sowie Konten damit eröffnen und überziehen.
  • Straftaten – Der Betrüger nutzt die Identität des Opfers zur Ausübung einer Straftat z. B. dem Kauf von Drogen oder gibt die Identität bei einer polizeilichen Vernehmung an.
  • Rufschädigung – Mit Daten und Fotos versucht der Betrüger den Ruf des Opfers zu schädigen oder erpresst das Opfer damit.
  • Leistungen erschleichen – Dieser Schaden kommt nicht sehr häufig vor, aber die gezetzlichen Kranken- und Pflegekassen sind auch Fälle bekannt, bei denen sich die Betrüber auf Basis der missbrauchten Identität teure Arztbehandlungen oder Medikamente erschleichen.

Anzeichen eines Identitätsmissbrauchs

Identitätsmissbrauch lässt sich meistens nicht sofort feststellen. Oft fällt erst Tage oder auch Wochen später auf, dass etwas nicht stimmt. Anzeichen dafür sind auffällige Zahlungen vom Bankkonto, Mahnungen per Post oder E-Mail, Sperrungen von Kreditkarten oder Bezahldiensten wie PayPal. Erste Warnhinweise sind auch verweigerte Logins des E-Mailanbieters, welcher in solchen Fällen entsprechend  informiert.

Erste Schritte und Hilfe

Das Wichtigste ist Ruhe bewahren und zeitnah die ersten Schritte einzuleiten. Dabei solltest du Forderungen und Mahnungen nicht ignorieren. Es muss also jedes Unternehmen oder jede Bank direkt über den Missbrauch informiert werden. Weiterhin solltest du den Missbrauch bei der Polizei angezeigen. Nur unter Vorlage dieser Anzeige können unbe­rechtigte Ansprüche wirk­sam zurück­weisen werden.

Wenn der Missbrauchsfall aufgeklärt ist, muss auch überprüft werden, wie der Betrüger an die Identitätsdaten herangekommen ist. Was kann noch getan werden, damit zukünftig Betrüger nicht so einfach ein deine Daten kommen? Wo warst du ggf. zu nachlässig? Es sollten z. B. Passwörter immer stark genug sein und für jeden Dienst ein unterschiedliches genutzt werden. Wichtig ist auch, dass du sensibel mit der Veröffentlichung deiner Daten umgehst. Dazu habe ich mit So schützt ihr eure Daten auch einen interessanten Beitrag verfasst.

Deutschland bietet bestes Cloud Computing Umfeld

Laut einer diesjährigen Studie der Business Software Alliance unter 24 Ländern bietet Deutschland vor Japan und den USA das beste Cloud Computing Umfeld. Das bestätigt unsere hohen Datenschutzanforderungen mit dem DSGVO und unserem Justizsystem. Nicht ganz so gut wird dagegen die zugehörige Infrastruktur bewertet, die ja bekannterweise nur sehr schleppend in Deutschland ausgebaut wird.

2018 BSA Global Cloud Computing Scorecard (Bild: BSA)