Informationssicherheit und Datenschutz -Pannen 2019 2020

Infor­ma­ti­ons­si­cher­heit – IT-Sicher­heits­lü­cken und Daten­pan­nen 2019 und 2020 – Teil 2

Teil 2 des chro­no­lo­gi­schen Ein­blicks in die größ­ten und gra­vie­rends­ten Daten­pan­nen, Sicher­heits­lü­cken und Hackings der letz­ten 12 Mona­te. Extra-Inhalt zum Post vom 16.04.2020 – Teil 2

Hacking und Datenpannen 2019 2020

Hacking, Sicher­heits­lü­cken und pro­mi­nen­te Daten­pan­nen aus 2019 und 2020 – Teil 1

Chro­no­lo­gi­scher Ein­blick in die größ­ten und gra­vie­rends­ten Daten­pan­nen, Sicher­heits­lü­cken und Hackings der letz­ten 12 Mona­te. Extra-Inhalt zum Post vom 16.04.2020 – Teil 1

Mann Ärger Haare raufen

“Ich bereue den Pass­wort-Wahn­sinn” – weg mit den Pass­wort Mythen

Das NIST hat sei­ne 14 Jah­re alten (und lei­der fal­schen) Emp­feh­lun­gen zur Pass­wort-Sicher­heit über­ar­bei­tet. Der dama­li­ge Ver­fas­ser bekennt gegen­über der Washing­ton Post:  “Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.” Sei­ne Emp­feh­lun­gen fin­den sich noch heu­te in den ver­schie­dens­ten Sicher­heits­stan­dards. Täg­lich kos­ten Sie Zeit und Ner­ven der End­an­wen­der. Pass­wör­ter müs­sen Son­der­zei­chen ent­hal­ten und alle 90 Tage gewech­selt wer­den, hieß es bis­her. Obwohl sich die­se Annah­me schon lan­ge als feh­ler­haft erwie­sen hat (sie­he auch unse­re Blog­bei­trä­ge dazu), wur­de und wird sei­tens der Ver­ant­wort­li­chen an die­sen star­ren Pass­wort-Rege­lun­gen fest­ge­hal­ten. Sicher­heit wur­de hier­durch jedoch kei­ne geschaf­fen. Daher hat das NIST sei­ne Pass­wort-Emp­feh­lun­gen end­lich über­ar­bei­tet und an die wirk­li­che Bedro­hungs­la­ge ange­passt. Und welch Freu­de: Sogar das BSI lenkt in 2020 end­lich ein plant eine Anpas­sung des Bau­steins ORP.4 .Wie nut­zer­freund­li­che und siche­re Pass­wort-Richt­li­ni­en aus­se­hen kön­nen, lesen Sie in unse­rem Blog­bei­trag. Ger­ne dür­fen Sie die­sen tei­len :-)

Berg Anstieg Hilfe

Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe V 3.0 erschie­nen – jetzt mit LSI Sie­gel

Art. 32 DSGVO geht eigent­lich nur mit einem Infor­ma­ti­ons­si­cher­heits­kon­zept zu erfül­len. Für klei­ne Ein­rich­tun­gen (Kom­mu­ne und Unter­neh­men) eig­net sich die “Arbeits­hil­fe” aus Bay­ern. Jetzt in Ver­si­on 3.0 am Start. Für kom­mu­na­le Ein­rich­tun­gen ste­hen die Anpas­sun­gen zum Erhalt des LSI Sie­gels “Kom­mu­na­le IT-Sicher­heit” im Vor­der­grund. a.s.k. Daten­schutz hat wie bereits wie die Vor­gän­ger­ver­sio­nen der Arbeits­hil­fe auch die Ver­si­on 3.0 im Auf­trag der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne und der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de wei­ter­ent­wi­ckelt. Die Arbeits­hil­fe kann sowohl von Kom­mu­nen als auch Unter­neh­men kos­ten­frei genutzt wer­de. Mehr Details und Down­load-Link im Blog­bei­trag.

Help Button

IT-Not­fall­kar­te für Mit­ar­bei­ter (Hil­fe­stel­lung der Alli­anz für Cyber­si­cher­heit und des BSI)

IT-Not­fall­kar­te für Mit­ar­bei­ter, wenn ein IT-Sicher­heits­vor­fall ein­tritt. Als ers­te Reak­ti­on zur Bewäl­ti­gung und Nach­be­ar­bei­tung Top 12 Maß­nah­men bei Cyber­an­grif­fen. Für ein pro­fes­sio­nel­les Not­fall­ma­nage­ment Ein­füh­rung eines Not­fall­ma­nage­ments nach 100 – 4 des IT-Grund­schut­zes. Die Alli­anz für Cyber­si­cher­heit und das BSI geben Hil­fe­stel­lung. Ohne funk­tio­nie­ren­des Not­fall­ma­nage­ment steht Ihre Orga­ni­sa­ti­on im Not­fall mit her­un­ter­ge­las­se­nen Hosen da. Nun ist die Ein­füh­rung eines Not­fall­ma­nage­ments kei­ne Ange­le­gen­heit von ein paar Tagen, son­dern ein respek­ta­bler und res­sour­cen­in­ten­si­ver Pro­zeß. Mit den rich­ti­gen Anlei­tun­gen und (exter­ner) Unter­stüt­zung jedoch durch­aus mach­bar, auch in klei­nen Orga­ni­sa­tio­nen. Sie ver­si­chern Ihr Haus ja auch nicht erst gegen Feu­er, wenn es abge­brannt ist, oder? Übri­gens ist ein Not­fall­plan das Ergeb­nis eines Not­fall­vor­sor­ge­kon­zepts und nicht des­sen Ersatz. Wir haben die wich­tigs­ten Punk­te und Links in die­sem Bei­trag zusam­men­ge­fasst.

Trojanisches Pferd

BSI warnt vor Ger­man­Wi­per: Löschen statt Ver­schlüs­seln ist die Devi­se die­ses Tro­ja­ners

Neue Angrif­fe über Bewer­bun­gen per Email: Ran­som­wa­re Ger­man­Wi­per löscht alle Daten statt sie zu ver­schlüs­seln. Das BSI warnt in sei­nen CERT-Mel­dun­gen. Wei­te­re Infos zur Funk­ti­ons­wei­se sowie mög­li­chen Schutz­maß­nah­men im Blog­bei­trag.

Schadcode über Excel Power Query statt Makros

Schad­code über Excel Power Que­ry statt Makros

For­scher haben eine Angriffs­tech­nik über Micro­softs Power Que­ry ent­deckt (exter­ner Link), die sogar ohne Zutun des Anwen­ders nach dem Öff­nen eines prä­pa­rier­ten Excel-She­ets Schad­code nach­lädt und aus­führt. Betrof­fen sind Excel 2016, Excel 2019 und alle älte­ren Ver­sio­nen, in denen Power Que­ry als Add-In nach­träg­lich instal­liert wur­de. Aktu­ell soll die­ses Angriff­sze­na­rio noch nicht aus­ge­nutzt wer­den, Angrif­fe sind noch kei­ne bekannt. Zeit genug, sich dage­gen zu wapp­nen. Eine Mög­lich­keit besteht dar­in, Power Que­ry kom­plett zu deak­ti­vie­ren (Regis­try). Wei­te­re Schutz­maß­nah­men beschreibt Micro­soft im Secu­ri­ty Advi­so­ry 4053440. Wei­te­re Details und Link zum Micro­soft Secu­ri­ty Advi­so­ry 4053440 fin­den Sie im Blog­bei­trag.

Emotet: Eigenen Mailserver auf Umgang mit potentiell schädlichen Datei-Anhängen prüfen

Emo­tet: Eige­nen Mail­ser­ver auf Umgang mit poten­ti­ell schäd­li­chen Datei-Anhän­gen prü­fen

Emo­tet ist zur Zeit in aller Mun­de: Wer schon immer mal prü­fen woll­te, wie der eige­ne Mail­ser­ver auf risi­ko­rei­che Datei-Anhän­ge reagiert, kann dies mit einem Ser­vice von Hei­se nun tes­ten. Zur Aus­wahl ste­hen ver­schie­de­ne Arten von Bedro­hun­gen, die man sich an die eige­ne Mail-Adres­se schi­cken las­sen kann. Doch Vor­sicht: Bei dienst­lich oder geschäft­lich genutz­ten Email-Adres­sen soll­ten Sie das nicht ohne Rück­spra­che mit Ihrer IT machen. Mehr Infos und den Link zum Ver­sand der Test-Emails im Blog­bei­trag.

Fördermittel zur Einführung ISIS12 für bayerische Kommunen

Infor­ma­ti­ons­si­cher­heit im Fokus: Gemein­de Haar ist ISI­S12-zer­ti­fi­ziert

Nach einem knapp zwei­jäh­ri­gen Pro­zeß hat die Gemein­de Haar im Mai 2019 die ISI­S12-Zer­ti­fi­zie­rung erreicht. a.s.k. Daten­schutz durf­te den Pro­zeß als exter­ner Bera­ter beglei­ten. Jetzt heißt es, das Infor­ma­ti­ons­si­cher­heits­kon­zept zu betrei­ben und mit Leben zu erfül­len. Mehr im Blog­bei­trag.

Sichere und komfortable Passwort-Verwaltung mit Keepass

Siche­re und kom­for­ta­ble Pass­wort-Ver­wal­tung mit Kee­pass

Es ist ein Kreuz mit den Pass­wör­tern. Kommt man lang­sam zwar von den unsi­che­ren Kom­ple­xi­täts­re­geln und Wech­sel­in­ter­val­len – end­lich – ab, so hat man als Anwen­der immer noch mit einer Viel­zahl an Pass­wör­tern zu kämp­fen. Denn es ist schon was Wah­res dran, wenn es heißt, nicht für alle Anmel­dun­gen und Accounts das sel­be Pass­wort zu ver­wen­den. Ist näm­lich einer gehackt, sind damit auch alle ande­ren Zugän­ge gefähr­det, die das sel­be Pass­wort ver­wen­den. Und im Lau­fe sei­nes digi­ta­len Lebens sam­melt ein Anwen­der Zugangs­da­ten wie frü­her ande­re Leu­te Brief­mar­ken. Sich die­se alle zu mer­ken, mag dem einen oder ande­ren gelin­gen. Uns und wohl den meis­ten ande­ren Anwen­dern wird dies schwer fal­len. Abhil­fe schaf­fen soge­nann­te Pass­wort-Tre­so­re wie Kee­pass. Wie die­ser zu instal­lie­ren und zu bedie­nen ist, wel­che Ein­satz­mög­lich­kei­ten ein sol­cher Tre­sor bie­tet und wie­so man von Online-Diens­ten für die Pass­wort-Ver­wal­tung bes­ser die Fin­ger las­sen soll­te, erfah­ren Sie in unse­rem Blog­bei­trag inklu­si­ve aus­führ­li­cher PDF Anlei­tung zu Instal­la­ti­on und Nut­zung von Kee­pass. Feel free to down­load!

Kostenlose Checkliste Multifunktionsgeräte Datenschutz und Informationssicherheit

Kos­ten­lo­se Check­lis­te Mul­ti­funk­ti­ons­ge­rä­te Daten­schutz und Infor­ma­ti­ons­si­cher­heit

Unse­re kos­ten­lo­se Check­lis­te soll hel­fen, vor­han­de­ne Schwach­stel­len zu iden­ti­fi­zie­ren und mög­lichst zeit­nah zu schlie­ßen. Auch wenn hier haupt­säch­lich von Mul­ti­funk­ti­ons­ge­rä­ten die Rede ist, so kön­nen die Schwach­stel­len auf bei Ein­zel­funk­ti­ons­ge­rä­ten vor­han­den sein.

Rechnung per Email versenden und der Datenschutz

Rech­nung per Email ver­sen­den und der Daten­schutz

Sie wol­len eine Rech­nung als PDF an Emails anhän­gen und ver­sen­den? Da gibt es eini­ge Aspek­te zu beach­ten im Sin­ne des Daten­schut­zes bzw. der DSGVO. Nein, gene­rel­le Ver­schlüs­se­lung ist kei­ne Pflicht. Wie Sie die daten­schutz­recht­li­chen Anfor­de­run­gen an Rech­nungs­ver­sand per Email erfül­len kön­nen, skiz­ziert unser Bei­trag mit Tipps & Tricks.

BadUSB: Mani­pu­lier­te USB Sticks (erneut) zum Alb­traum mutiert

Nur per Soft­ware mani­pu­lier­te Firm­ware von USB Sticks schafft neue Bedro­hun­gen. Neben Abgrei­fen aller Tas­ta­tur­ein­ga­ben ist die­se neue Mani­pu­la­ti­on in der Lage, sich selbst auf das Gast-Sys­tem und zukünf­tig ange­schlos­se­ne USB Sticks zu ver­brei­ten. Der Anwen­der, das Betriebs­sys­tem und auch Schutz­soft­ware mer­ken davon nichts.