Dritte Runde für den TÜV SÜD Innovationspreis

TÜV SÜD ruft kleine und mittelständische Unternehmen (KMU) aus dem gesamten Bundesgebiet auf, am TÜV SÜD Innovationspreis teilzunehmen. Die Auszeichnung, mit der zum dritten Mal Kooperationen zwischen Unternehmen und der Wissenschaft prämiert werden, ist mit insgesamt 50.000 Euro für die Erstplatzierten dotiert. Die Preisverleihung findet Anfang Juli 2019 im Rahmen des TÜV SÜD Forums statt. Interessierte Unternehmen können sich ab sofort bis zum 22. Februar 2019 online unter www.tuev-sued.de/Innovationspreis bewerben.

Die Idee des TÜV SÜD Innovationspreises ist es, die Zusammenarbeit von wissenschaftlichen Institutionen mit kleinen und mittelständischen Unternehmen zu stärken. Dank der Unterstützung von Forschungs­einrichtungen können KMU ihre Innovationen erfolgreich auf den Markt bringen: Die enge Zusammenarbeit bereits in der Entwicklungsphase stellt dabei sowohl einen hohen Innovationsgrad als auch die solide Qualität der neuen Produkte und Dienstleistungen sicher. Dies entspricht dem Auftrag von TÜV SÜD seit mehr als 150 Jahren, Menschen, Umwelt und Sachgüter vor nachteiligen Auswirkungen der Technik zu schützen und durch diese Minimierung von Risiken den jeweils neuesten Technologien den Weg zu ebnen.

Innovative Ansätze aus dem gesamten Bundesgebiet gesucht

Die wichtigsten Eckdaten für Bewerber: Der TÜV SÜD Innovationspreis richtet sich an KMU aus dem gesamten Bundesgebiet, die ein Produkt, eine Verfahrensinnovation oder eine technologieorientierte Dienstleistung entwickeln. Voraussetzung ist die Zusammenarbeit mit einer Hochschule, Universität oder einer anderen außeruniversitären wissenschaftlichen Einrichtung (bspw. der Helmholtz-, Max-Planck- oder Fraunhofer-Gesellschaft), mit der sich das Unternehmen gemeinsam bewirbt. Die eingereichten Innovationen können aus allen Branchen stammen, die Markteinführung des Produktes oder der Dienstleistung sollte innerhalb der letzten drei Jahre erfolgt sein, der Jahresumsatz des Unternehmens maximal 50 Millionen Euro betragen.

Kriterien für die Bewertung sind unter anderem ein hoher Innovationsgehalt (Neuheit, Produktreife und Zukunftsorientierung), der erkennbare Nutzen (Effizienzsteigerung, Profitabilität, Synergieeffekte), die Mittelstandseignung (Relevanz für kleine Unternehmen) sowie die Praktikabilität und erfolgreiche Umsetzung. Die Sieger werden von einer hochrangigen Jury ermittelt, die Preisverleihung wird im Rahmen des TÜV SÜD Forums Anfang Juli 2019 stattfinden.

Die Bewerbungskriterien im Detail sowie ein Online-Formular sind zu finden unter www.tuev-sued.de/Innovationspreis sowie weitere Informationen unter www.tuev-sued.de.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Vorsicht Datenschutz: Auch in der Zusammenarbeit mit Versanddienst-leistern können Verträge zur Verarbeitung im Auftrag erforderlich sein

Für die Zusammenarbeit mit Versanddienstleistern sind in der Regel keine gesonderten Vereinbarungen zur Auftragsverarbeitung erforderlich. Die Nutzung von Diensten wie z.B. einer Online-Adressverwaltung eines Versanddienstes kann jedoch eine zusätzliche vertragliche Regelung gemäß Art. 28 DS-GVO erfordern. Dies konnte Dr. Krempl für einen Kunden zusammen mit einem der führenden Versanddienstleister erfolgreich klären.

Rechtlicher Hintergrund

Beauftragt ein Unternehmen ein anderes mit der Verarbeitung von personenbezogenen Daten, so ist in der Regel der Abschluss eines sogenannten Vertrages zur Verarbeitung im Auftrag oder ADV-Vertrages erforderlich. Die Details dazu sind im Art. 28 der EU Datenschutzgrundverordnung (DSGVO) geregelt. Bei der Beauftragung zum Versand von Sendungen handelt es sich aber nicht um eine Verarbeitung im Auftrag sondern um eine Inanspruchnahme fremder Fachleistungen, wie in vielen Fällen auch bei Leistungen von Steuerberatern, Rechtsanwälten, Wirtschaftsprüfern und sonstigen im §203 StGB aufgeführten Berufsgruppen. Dennoch gibt es in der Praxis immer wieder Fälle, in denen es strittig ist, ob der Abschluss einer Vereinbarung zur Verarbeitung im Auftrag gemäß Art. 28 DSGVO erforderlich ist.

Konkreter Fall

Hier ging es um die Nutzung eine Web-Portals der eines Versanddienstleister durch einen Kunden der Süd IT das den Versand von Paketen vereinfacht, indem es eine Funktion für die Verwaltung von Adressen anbietet. Auch wenn diese Funktion ungemein praktisch ist, so ist sie doch für die Beförderung des Paketes nicht erforderlich. Die Speicherung und Verwaltung der Adressen ist auch keine unabhängige Leistung des Versanddienstleisters, sondern sollte nur nach Weisung des Kunden erfolgen. D.h. der Dienstleister darf die gespeicherten Adressen z.B. nicht für eigene Zwecke nutzen und muss sie spätestens bei Vertragsende wieder löschen. Es handelt sich also um einen typischen Fall einer weisungsgebundenen Verarbeitung personenbezogener Daten oder eben das, was die DSGVO „Verarbeitung im Auftrag“ nennt.

Auf Anfrage von Dr. Krempl bei dem Versanddienstleister verwies man zuerst darauf, dass ein ADV-Vertrag aufgrund des besonderen Status nicht erforderlich sei. Erst eine tiefergehende Diskussion mit dem Datenschutzbeauftragten des Dienstleisters brachte ein Umdenken und dieser hat den Fall „zum Anlass genommen, um das Thema Auftragsverarbeitung zur Nutzung des Geschäftskundenportals grundlegend neu zu regeln“

Fazit

Die Einführung der DSGVO erzeugte bei Unternehmen unterschiedliche Reaktionen, von Hysterie bis Fatalismus oder Apathie. Nach Ansicht der Süd IT sind die Extreme nicht angebracht. Die anstehenden Probleme können in der Regel mit vertretbarem Aufwand gelöst werden. Sicher kommen auf die Unternehmen neue Anforderungen zu, z.B. was die Rechenschaftspflicht oder die Sicherheit der Verarbeitung betrifft. An manchen Punkten vereinfacht die DSGVO auch den Umgang mit dem Datenschutz. Bei manchen Themen besteht aber auch nach wie vor noch keine abschließende Klarheit bei der Interpretation der neuen Regeln. Es wäre daher wünschenswert, wenn sich alle Akteure mit Maß und Ziel dem Thema widmen und unterschiedliche Auffassungen, wie im vorliegenden Beispiel, konstruktiv gemeinsam lösen.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Mac-Malware im Kommen

WatchGuard Technologies hat seinen Internet Security Report für das dritte Quartal 2018 veröffentlicht. Dieser zeigt deutlich die zunehmende Verbreitung von Malware: Zum ersten Mal überhaupt hat es dabei auch eine Mac-basierte Variante in die Top Ten geschafft. Darüber hinaus verzeichnete WatchGuard im asiatisch-pazifischen Wirtschaftsraum mehr Malware-Treffer als in jeder anderen geografischen Region. Zudem offenbart sich, dass 6,8 Prozent der 100.000 weltweit führenden Webseiten noch alte, unsichere SSL-Verschlüsselungsprotokolle akzeptieren.

„Abgesehen vom doch recht überraschenden Eintritt einer Mac-basierten Malware in unsere Top Ten-Liste wird eines ganz klar: Die Angreifer halten an den Angriffsszenarien fest, die sie bereits kennen, und verwenden diese modifiziert weiter. Eine große Anzahl von Attacken basiert nicht auf ultramodernen Zero-Day-Exploits, sondern auf Cross-Site-Scripting, Mimikatz und Kryptominern. Das Gute daran: Die überwiegende Mehrzahl der Angriffsarten kann durch einen mehrschichtigen Sicherheitsansatz mit fortschrittlicher Malware-Erkennungsfunktionen sowie sicheren WLAN- und Authentifizierungs-Lösungen abgewehrt werden", sagt Corey Nachreiner, Chief Technology Officer bei WatchGuard Technologies, und ergänzt: "Wir sind jedoch sehr besorgt darüber, wie viele große Websites immer noch unsichere SSL-Protokolle verwenden. Hier für die nötige Sicherheit zu sorgen, ist eine grundlegende Sicherheits-Best-Practice, die flächendeckend Anwendung finden sollte – aktuell sind jedoch immer noch Hunderttausende Benutzer gefährdet".

Die Erkenntnisse, Forschungsergebnisse und Sicherheits-Best-Practices im vierteljährlichen Internet Security Report helfen mittelständischen Unternehmen ebenso wie großen, dezentral aufgestellten Organisationen dabei, die aktuelle Cyber-Sicherheitslandschaft zu verstehen. In Folge können sie sich selbst, ihre Partner und Kunden vor neuen Bedrohungen besser schützen. Die wichtigsten Erkenntnisse aus dem Bericht Q3 2018:

  • 6,8 Prozent der Top 100.000 Websites unterstützen noch immer alte, unsichere Versionen des SSL-Protokolls. Obwohl die anfälligen Versionen SSL 2.0 und SSL 3.0 bereits seit Jahren von der Internet Engineering Task Force missbilligt werden, akzeptieren 5.383 Websites unter den laut Alexa meistbesuchten 100.000 Websites immer noch darauf basierende Verschlüsselungen. 20,9 Prozent der 100.000 nutzen darüber hinaus überhaupt keine Web-Verschlüsselung.
  • Eine Mac-Malware schafft es zum ersten Mal überhaupt in die einschlägigen Top Ten und dann gleich auf Platz 6. Die „Scareware" wird hauptsächlich per E-Mail zugestellt. Sie versucht, ihre Opfer zur Installation einer gefälschten Cleaner-Software zu verführen.
  • Hacker zielen auf den asiatisch-pazifischen Wirtschaftsraum (APAC). Zum zweiten Mal in Folge vermeldete diese Region mehr Malware-Attacken als EMEA oder die USA. Zu den Top-Varianten gehörten Razy, die fast ausschließlich in APAC auftrat, sowie Win32/Heur und MAC.OSX.AMCleanerCA.
  • Kryptominer sind nach wie vor beliebt. Razy, die zweithäufigste von WatchGuard erkannte Malware, entwickelte sich im dritten Quartal zu einem Kryptominer. Sie alleine machte vier Prozent aller vom WatchGuard-Antivirendienst weltweit blockierten Malware aus.
  • Mimikatz ist auch im dritten Quartal die häufigste Malware. Die bösartige Software zum Passwort-Diebstahl dominiert seit mehreren Quartalen die Top Ten der Malware-Liste von WatchGuard und erfreut sich unter Cyberkriminellen weiter großer Beliebtheit.
  • Angreifer attackieren Webanwendungen mittels Cross-Site-Skripting. Diese Angriffsart zeichnete im dritten Quartal für 39,3 Prozent der Top-Ten-Exploits verantwortlich.

Der vollständige Internet Security Report von WatchGuard für das dritte Quartal 2018 enthält auch eine Analyse der Facebook "View As"-Datenverletzung. Es wird erläutert, wie Hacker durch die Verkettung von Schwachstellen persönliche Informationen von 50 Millionen Facebook-Konten stehlen konnten. Darüber hinaus sind Best Practices für Security-Profis enthalten, die auf den in diesem Bericht erläuterten Trends zu Malware und Netzwerkangriffen basieren.

Die Ergebnisse des Reports basieren auf anonymisierten Firebox Feed-Daten von über 40.000 aktiven WatchGuard UTM-Appliances weltweit – weit mehr als noch im vergangenen Jahr. Insgesamt blockierten diese im dritten Quartal 2018 fast 18 Millionen Malware-Varianten (445 pro Gerät) und rund 850.000 Netzwerkangriffe (21 pro Gerät).

Der vollständige Bericht mit vielen weiteren Informationen steht online zum Download zur Verfügung. Das Datenvisualisierungstool Threat Landscape von WatchGuard bietet darüber hinaus Echtzeitinformationen zu den unterschiedlichsten Bedrohungen. 

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Diso AG jetzt auch ISO 27001:2013 zertifiziert

Grosse Freude bei der Diso AG in Bern. Die Zertifizierungsstelle Swiss Safety Center AG bescheinigt, dass die Firma Diso AG für den Geltungsbereich Software Entwicklung für Projekte sowie Cloud Services (DaaS, IaaS) ein Informationssicherheits-Managementsystem (ISMS) erfolgreich nach ISO 27001:2013 umgesetzt hat.

ISO 27001:2013 ist der weltweit angewendete Standard für die Zertifizierung eines Informationssicherheits-Managementsystems. Sie beinhaltet die konkreten Massnahmen zur Sicherstellung der Informationssicherheit.

"Wir verstehen uns als Innovationstreiber mit einem hohen Qualitätsanspruch. Die erlangte Zertifizierung ist einmal mehr eine Bestätigung unseres eingeschlagenen Weges. Als Anbieter des Diso Secure Workplace sind wir geradezu dazu verpflichtet die Zertifizierung nach ISO 27001:2013 durchzuführen", erklärt Daniel Meienberg, CSO der Diso AG. "Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sind heute unverzichtbar".

Um die Auditierung erfolgreich durchzuführen, wurden alle Mitarbeiter geschult und geprüft. "Ich bedanke mich bei den Mitarbeitern, die mit großem Engagement unsere Prozesse weiterentwickelt und verbessert haben", ergänzt Daniel Meienberg.

 

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Workshop zu Informationssicherheit und Datenschutz – GRC Partner GmbH lädt Kunden und Partner nach Hamburg ein

Mit der Veranstaltung knüpften die Organisatoren an den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) koordinierten European Cyber Security Month an. Die Workshop-Teilnehmer diskutierten über die Anwendung der etablierten Methodiken BSI IT-Grundschutz und ISO/IEC 27001, Herausforderungen aus der Umstellung der BSI-Standards auf 200-x und die Umsetzung von Informationssicherheit in sog. Kritischen Infrastrukturen. Der Austausch war umso spannender als sich unter den geladenen Gästen sowohl unmittelbare ISMS-Verantwortliche von Unternehmen und Behörden als auch Mitarbeiter mehrerer national und international agierender Beratungshäuser wie Sopra Steria Consulting, HiSolutions, Secion, Matthias Leimpek Unternehmensberatung, Magellan Netzwerke, Allgeier One u.a. befanden. Den Rahmen für die Veranstaltung stellte die von GRC Partner GmbH seit mittlerweile fünfzehn Jahren entwickelte und vermarktete Compliance Management Software DocSetMinder® dar. Der Geschäftsführer des Unternehmens, Krzysztof Paschke, präsentierte die Umsetzung eines Informationssicherheitskonzeptes entlang der gewählten Methodik und untermauerte seine Ausführungen mit zahlreichen Flipchart-Zeichnungen und Beispielen in der Software: Einige typische Geschäftsprozesse wurden in DocSetMinder® strukturiert und revisionssicher inventarisiert und in Relation zu Ressourcen gebracht. Anschließend wurden die Inhalte im ISMS bei der Abarbeitung einzelner Schritte der Plan-Do-Check-Act-Sequenz verwendet.

„Durch eine solche Hands-on-Präsentation lassen sich aus unserer Sicht der generische Charakter von DocSetMinder® und die Leichtigkeit der Bedienung sehr konkret darstellen. Anpassungen an die individuellen Gegebenheiten der Organisation können nämlich mit wenigen Klicks realisiert werden. Auch der Aufwand einer initialen Schulung ist minimal. Die Struktur und Dokumentklassen in DocSetMinder® sind an den umzusetzenden Normen und Standards ausgerichtet, sodass man jeden Arbeitsschritt im betreffenden Originaltext der herausgebenden Stelle nachschlagen kann.“ – fasste Krzysztof Paschke zusammen.

Zum Ende der Veranstaltung zeigten die Berater der GRC Partner auch Möglichkeiten auf, aus der Informationssicherheit Brücken zum Datenschutz zu schlagen und dabei durch eine konsolidierte Planung, Umsetzung, Überprüfung und Verbesserung der beiden Managementsysteme nicht nur die quantitativ messbaren Faktoren wie Zeit und Geld, sondern auch qualitative Aspekte wie die Akzeptanz aufseiten der Mitarbeiter optimal anzugehen.

Der Workshop am 6. Dezember war keine einmalige Veranstaltung. Weitere Termine, darunter auch Webcasts zur Umsetzung der EU-DS-GVO, sind bereits geplant und werden Anfang 2019 über die Webseite von GRC Partner und soziale Medien bekanntgegeben.

GRC Publikationen:

"(IT) NOTFALLMANAGEMENT IM UNTERNEHMEN UND IN DER BEHÖRDE – Planung, Umsetzung und Dokumentation gemäß BSI-Standard 100-4, ISO 22301 und BCI-GPG 2013. Praxisleitfaden für eine softwaregestützte Implementierung eines unternehmensweiten Notfallmanagementsystems mit DocSetMinder®" ISBN: 978-3-7322-7418-5
http://www.grc-partner.de/publikation/items/it-notfallmanagement-im-unternehmen-und-in-der-behoerde.html 

"ORGANISATIONSHANDBUCH – Umsetzung, Dokumentation und Kommunikation. Praxisleitfaden für eine softwaregestützte Dokumentation eine Intergrierten Managementssystems" ISBN 978-3-8423-6533-9.
http://www.grc-partner.de/publikation/items/organisationshandbuch-umsetzung-dokumentation-und-kommunikation.html 

"INTERNES KONTROLLSYSTEM (IKS) – Umsetzung, Dokumentation und Prüfung" ISBN 978-3-8423-1436-8.
http://www.grc-partner.de/publikation/items/internes-kontrollsystem-iks-umsetzung-dokumentation-und-pruefung.html 

"INTERNES KONTROLLSYSTEM (IKS) – In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen" ISBN-978-3-8448-1569-6.
http://www.grc-partner.de/publikation/items/IKS_in_12_Schritten.html 

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Beratungsunternehmen stellt Mitarbeiter für den Datenschutz zur Verfügung

Wer sich derzeit Stellenanzeigen in Zeitungen und Onlineportalen ansieht, könnte leicht der Annahme unterliegen, dass mit der Einführung der neuen Datenschutz-Grundverordnung innerhalb kürzester Zeit ein ganzer Wirtschaftszweig neu entstanden ist und dass es mittlerweile ganze Fabriken geben müsste, in denen ausschließlich Datenschutzbeauftragte und Datenschutzkoordinatoren an Fließbändern ihre äußerst profitable Arbeit verrichten. Dieser Eindruck kann angesichts der zahllosen Stellenanzeigen, die ununterbrochen aus den HR-Abteilungen der gesamten Republik zu kommen scheinen, tatsächlich schnell entstehen.

Weit und breit keine Datenschutzprofis verfügbar

"Sicherlich ist die Nachfrage nach betrieblichen Datenschutzbeauftragten seit Inkrafttreten der DS-GVO angestiegen, da einerseits mehr Unternehmen der gesetzlichen Pflicht unterliegen, einen Datenschutzbeauftragten zu benennen und andererseits die neuen Anforderungen einen erhöhten Arbeits- und Zeitaufwand mit sich bringen", sagt René Rautenberg, Geschäftsführer der Beratungsfirma ER Secure GmbH und langjähriger Datenschutzexperte.

Doch Herr Rautenberg sieht auch einen anderen Grund für die intensive Fahndung nach dem geeigneten Fachpersonal: "Auf dem Arbeitsmarkt ist schlicht so gut wie kein Personal mit einer adäquaten Ausbildung verfügbar. Juristen und IT-Experten mit entsprechender Ausbildung und Erfahrung gibt es meist nur in teuren Kanzleien oder als hochbezahlte, selbstständige Berater."

Auch die Auswahl eines internen Mitarbeiters zum Datenschutzbeauftragten oder zum Datenschutzkoordinator stellt Unternehmen vor große Herausforderungen. Denn einerseits fehlt der Mitarbeiter in seinem bisherigen Aufgabenbereich und andererseits ist das Ausbildungsniveau meist recht dürftig und lückenhaft. "Der Besuch eines Kurses, auch eines qualitativ hochwertigen, kann keine ausreichend tiefe Kenntnis vermitteln und auch keine langjährige Praxiserfahrung ersetzen", so René Rautenberg.

Die Datenschutzexperten von ER Secure kennen diese Nöte auch von ihren Kunden und haben sich ein Lösungskonzept einfallen lassen, von dem beide Seiten profitieren können.

Datenschutzexperten als vorübergehende Kollegen

So bietet die ER Secure GmbH neuerdings Kunden und Interessenten an, ihre Datenschutzexperten für einen begrenzten Zeitraum von maximal 6 Monaten zur Verfügung zu stellen, damit diese sich bei den Kunden vor Ort um die professionelle Umsetzung des Datenschutzes kümmern.

Vorteile für Unternehmen

Dieser Ansatz bringt den Unternehmen, die sich einen Experten "mieten" eine Reihe von Vorteilen. "Unsere Berater kommen mit einem klaren Ziel in das Unternehmen und wissen genau, was und in welcher Reihenfolge abgearbeitet werden muss. Zudem können sie jederzeit auf die Expertise unseres Backoffice zurückgreifen und somit auch die sensibelsten und komplexesten datenschutzrechtlichen Problemstellungen lösen.", so René Rautenberg.

Tatsächlich bringen nicht nur die Kompetenz und Erfahrung der Datenschutzexperten Vorteile mit sich, sondern das gesamte Konzept. So kann ein Experte in der Zeit, in der ein Unternehmen einen internen Datenschutzbeauftragten sucht, eigenständig alle Anforderungen im Unternehmen umsetzen und es mit der entsprechenden Dokumentation auf den neuesten Stand bringen. Wenn endlich ein interner Datenschutzbeauftragter gefunden ist, hat dieser bereits ein bestelltes Feld vor sich und muss nicht bei Null beginnen. Außerdem kann der geliehene Experte während seiner Tätigkeit interne Mitarbeiter schulen und für die Aufgaben des Datenschutzkoordinators vorbereiten. So bleibt die Fachkenntnis auch nach Beendigung der Tätigkeit des Experten dauerhaft im Unternehmen. "Dies vereinfacht die Zusammenarbeit mit Kunden, die wir später weiterhin betreuen, erheblich und verringert entsprechend den Aufwand und die Kosten.", sagt René Rautenberg. Darüberhinaus wird das Risiko, in der Übergangsphase, bis ein interner Datenschutzbeauftragter gefunden und eingelernt wurde, mit Bußgeldern belegt zu werden, so gut wie ausgeschlossen.

Fazit

Dies führt uns zu dem Fazit, dass das Konzept der ER Secure GmbH ein innovatives und zielführendes Modell darstellt, um dem Mangel an gut ausgebildeten Datenschützern zu begegnen, das angesichts des allgemein herrschenden Fachkräftemangels in Zukunft auch in anderen Bereichen Nachahmer finden wird.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Ein Ausblick auf 2019: Warum der europäische Datenschutz zum Exportschlager werden könnte

Aus astrologischer Sicht steht das Jahr 2019 ganz im Zeichen des Planeten Merkur, aus politischer Sicht werden Themen wie der Brexit die Agenda bestimmen. Und in der IT? Schon alleine wegen der Europäischen Datenschutz-Grundverordnung war 2018 ein bedeutendes Jahr. Im Zusammenhang damit wird 2019 von einigen Geldbußen die Rede sein. Vor dem Hintergrund der in diesem Jahr bekannt gewordenen Sicherheitsvorfälle hat Apple-CEO Tim Cook vor Kurzem die DS-GVO ausdrücklich gelobt, während die ersten US-Bundesstaaten bereits neue strenge Gesetze erlassen haben. Der Datenschutz nach Vorbild der DS-GVO wird 2019 zum Exportschlager.

Es war kein Geringerer als Tim Cook, der vor wenigen Wochen die DS-GVO als Basis für einen weltumspannenden Datenschutz lobte. Der Weg zu einem besseren Datenschutz sei wie eine Reise, sagte der Apple-Chef – und auch die längste Reise beginnt bekanntermaßen mit dem ersten Schritt, möchte man hinzufügen. Einen langen Weg noch vor sich haben da die Vereinigten Staaten, die beim Schutz der Privatsphäre schon geradezu traditionell hinter Europa herhinken.

Doch nun kommt Bewegung in die Sache, Politik und Unternehmen in den USA sind aufmerksam geworden und suchen nach Lösungen. Nach europäischem Vorbild haben die US-Bundesstaaten Kalifornien und Vermont bereits neue Datenschutzgesetze erlassen. Ich nehme an, dass die Bundesebene in den USA nachziehen wird – und dass diese Datenschutzgesetze die IT-Branche und ihre Kunden nachhaltig beeinflussen werden. Als die DS-GVO im Mai endgültig in Kraft trat, endete eine zweijährige Übergangszeit – und damit die Schonfrist für Unternehmen und Behörden. Von Geldbußen, die wegen vermeidbarer Datenverstöße verhängt werden, wird 2019 einiges zu hören sein.

Präzedenzfall geschaffen
Ein Präzedenzfall wurde mit Artikel 25 der DS-GVO bereits geschaffen. Hier sind die Rahmenbedingungen formuliert, wie Unternehmen Datenschutz durch Technikgestaltung und Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“) umsetzen müssen. Diese Grundsätze erfordern es, Daten, wo immer es möglich ist, anonymisiert beziehungsweise pseudonymisiert zu erheben und verschlüsselt zu verarbeiten. Keine leichte Aufgabe…

Während die DS-GVO in vielen Fällen bewusst vage vom „Stand der Technik“ spricht, so auch in Artikel 32 („Sicherheit der Verarbeitung“), fordert sie dort explizit die „Verschlüsselung personenbezogener Daten“. Damit ist natürlich nicht gemeint, dass Unternehmen nur noch über verschlüsselte E-Mails kommunizieren dürfen. Wohl aber, dass Faktoren wie der Schutzbedarf der Daten zu berücksichtigen sind. Die Verordnung bezieht sich ausschließlich auf personenbezogene Daten, aber auch andere vertrauliche Daten sollten diesen Schutz erfahren.

Die E-Mail ist tot, lange lebe die E-Mail
Und dennoch haben Forscher in diesem Jahr geraten, vorerst auf Verschlüsselung in E-Mail-Clients zu verzichten. Sie hatten die Verschlüsselung von E-Mail-Systemen ausgehebelt und Details über Sicherheitslücken in den beiden Verschlüsselungsverfahren PGP und S/MIME veröffentlicht. Unter bestimmten Bedingungen lassen sich E-Mails entschlüsseln, auch nachträglich.

Die Folgerung der Forscher – E-Mail sei kein sicheres Kommunikationsmedium – ist nichts Neues. Was zugleich die gute und die schlechte Nachricht ist. Im Prinzip entspricht eine E-Mail einer Postkarte: Sie ist günstig und schnell zuzustellen, ihr Inhalt ist aber für jeden lesbar und auch modifizierbar, der sie transportiert. Was auf dem Transportweg der einzelnen E-Mails passiert, welche Stationen beteiligt sind, bleibt den Anwendern verborgen. Auf Verschlüsselung in E-Mail-Clients zu verzichten, wäre also in etwa so, als ob man grundsätzlich seine Haustüre offenstehen lässt, weil es ohnehin zu viele Einbruchsdelikte zu beklagen gibt. Auch 2019 werden wir also nicht das Ende der E-Mail-Verschlüsselung erleben, warum auch?

Die Chefmasche bleibt „attraktiv“
Ziel der „Business E-Mail Compromise“ (auch „Chefmasche“, „Chefbetrug“ oder „CEO Fraud“) genannten Methode ist es, ein Unternehmen – genauer gesagt: einen Mitarbeiter – so hereinzulegen, dass Geld auf das Konto der Angreifer fließt. Dafür nutzen die Cyber-Kriminellen ganz gezielt die „Schwachstelle Mensch“ aus: Sie schlüpfen in die Rolle eines Vorgesetzten oder wichtigen Kollegen und senden Social-Engineering-Mails direkt an ihr vorher identifiziertes Opfer, um es zur Überweisung zu veranlassen.

Mehrere Aspekte machen die Chefmasche für Angreifer so „attraktiv“. Sie lässt sich relativ unkompliziert handhaben und ist mit vergleichsweise geringen Kosten verbunden, weil eine aufwändige Infrastruktur nicht nötig ist. Zwar können die Kriminellen nicht wie bei herkömmlichen Online-Betrugsfällen nach dem Gießkannenprinzip vorgehen, sondern müssen zuerst den besten Weg auskundschaften, um eine für das Opfer glaubhafte E-Mail überhaupt erstellen zu können – aber das lässt sich häufig schon mit einer ausgeklügelten Suchabfrage in sozialen Medien bewerkstelligen.

Zumal den höheren Vorabinvestitionen auch größere Gewinne gegenüberstehen: Das FBI, das diese Angriffsart seit Oktober 2013 beobachtet, beziffert den weltweit seitdem entstandenen Schaden auf über zwölf Milliarden US-Dollar – das ist noch einmal mehr als eine Verdopplung über die vergangenen eineinhalb Jahre. Und schließlich sind die Angriffe sehr schwer zu entdecken, weil die E-Mails ja eben keinen Schadcode enthalten, bei dem IT-Sicherheitslösungen Alarm schlagen könnten.

Sind Unternehmen all dem schutzlos ausgeliefert? Keinesfalls. Voraussetzung ist, dass sie die Art ändern, in der die Anwender kommunizieren. Die bisher bekannt gewordenen Vorfälle – bis hin zur aktuellen Warnung des BSI im Fall „Emotet“ – zeigen, dass die Sensibilisierung von Mitarbeitern für das Thema Cyber-Sicherheit in Form von regelmäßigen Schulungen unabdingbar ist, aber nicht isoliert betrachtet werden sollte.

Passwort-Verwaltung wird einfacher
Das Internet ist seit langem aus unserem täglichen Leben nicht mehr wegzudenken, und stellt die Menschen doch vor große Herausforderungen. Man denke nur an die Verwendung von Passwörtern im Rahmen von Multi-Faktor-Authentifizierung.

Die gute Nachricht: Best-Practice-Methoden für Online-Sicherheit werden immer wichtiger. Die schlechte Nachricht: Das ist mit Aufwand verbunden, (zu) viele Benutzer leiden inzwischen an „Passwort-Ermüdung“. Sie müssen den Überblick über eine wachsende Anzahl von Online-Konten und Kennwörtern behalten. Die Folge sind unsichere Praktiken wie die Nutzung desselben Benutzernamens und Kennworts für mehrere Websites – oder das häufige Zurücksetzen von Passwörtern, was eine gern ausgenutzte Sicherheitslücke darstellt. In der Tat sind Passwort-Missbrauch und -Missmanagement die Ursache für die meisten Datenschutzverletzungen.

Ich glaube, dass neue Technologie-Ansätze künftig den Spagat schaffen und die Anwendung von Passwörtern beim Austausch verschlüsselter Nachrichten und Dateien deutlich vereinfachen werden.

Über Matthias Kess
Matthias Kess ist CTO der befine Solutions AG mit Sitz in Freiburg im Breisgau, die Kommunikationslösungen für Unternehmen entwickelt und vertreibt.

Anwender können sich auch im Blog informieren.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Neuauflage Lehrerhandbuch für Umgang mit sensiblen Daten

Wie Kinder und Jugendliche den „sensiblen Umgang mit persönlichen Daten“ lernen können, beschreibt das Lehrerhandbuch der BvD-Initiative „Datenschutz geht zur Schule“, das jetzt in der 3. überarbeiteten Neuauflage vorliegt.

Der fast 330 Seiten umfassende Band gibt Lehrern Unterrichtsmaterialien an die Hand, mit denen Schüler klare und einfache Verhaltensregeln im Umgang mit ihren persönlichen Daten im Netz, in den Sozialen Medien und auf dem Smartphone erlernen können. Die Materialien wurden als Ergänzung zu den Vorträgen der BvD-Initiative „Datenschutz geht zur Schule“ entwickelt, können aber unabhängig davon im Unterricht eingesetzt werden.

Die überwiegende Zahl der pädagogisch aufbereiteten Inhalte stellt die Internet-Initiative klicksafe.de zur Verfügung. „Der Erfolg der ersten Auflage 2016 und die stete Nachfrage nach diesem ‚best of’ der Lehrmaterialien von klicksafe bestärkten uns, das Lehrerhandout zu überarbeiten“, schreibt der Sprecher der BvD-Initiative „Datenschutz geht zur Schu- le“, Rudi Kramer, im Vorwort zur Neuauflage.

Klicksafe selbst will damit „einen Beitrag zur Idee vom informierten Nutzer leisten“, unterstrich Birgit Kimmel, pädagogische Leiter von klicksafe.de.

Eckhard Schwarzer, Vorstandsvorsitzender der DATEV-Stiftung Zukunft, die die Neuauflage förderte, unterstrich, dass die Datenschutz-Grundverordnung (DS-GVO) neben Verbesserungen beim Datenschutz auch Unsicherheit bei Unternehmen, Institutionen und Privatpersonen entstehen ließ. Der Stiftung sei es daher ein besonderes Anliegen, vor allem jungen Menschen Wissen über Datenschutz und IT-Sicherheit zu vermitteln.

Die 3. Auflage ist an die seit 25. Mai 2018 geltende DS-GVO angepasst. Zudem wurde der Teil Cybermobbing durch ein Kapitel zur Selbstdarstellung im Netz ersetzt. Neu sind Arbeitsblätter zu den Themen „Datensatz – Datenschatz“ sowie „Drohnen“. Weitere Kapitel umfassen die Themen Big Data und Profiling, Internet der Dinge, Soziale Netzwerke in Schule und Arbeit, das Recht am eigenen Bild, Passwortschutz und PC-Sicherheit, Sexting und Selfies sowie Lehrer und Datenschutz.

Das Handbuch kann auf bvdnet.de unter dem Verbandsthema „Datenschutz geht zur Schule“ kostenlos heruntergeladen werden. 

https://www.bvdnet.de/datenschutz-geht-zur-schule/lehrerhandout/

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

SD-WAN und UTM in einem

Am 5. Dezember 2018 hat der Netzwerksicherheitsspezialist WatchGuard Technologies die neue Version seines Betriebssystems für die Security-Appliances vorgestellt. Das Update „Fireware 12.3“ bringt Anwendern vor allem einen entscheidenden Vorteil: Es umfasst dynamische Pfadauswahlfunktionen, mit denen sich WAN-Ressourcen in komplexen, verteilten Netzwerken optimieren und gleichzeitig Zweigstellen via UTM-Plattform umfassend absichern lassen. Davon profitieren Unternehmen und Managed Service Provider gleichermaßen – zumal sie dank des bewährten, cloudbasierten Bereitstellungs- und Konfigurationswerkzeugs „RapidDeploy“ denkbar einfach in den Genuss der neuen Möglichkeiten kommen. Mithilfe der SD-WAN-Erweiterung können Anwender ab sofort für nahtlose Sicherheit und gleichzeitig mehr Effizienz im gesamten Netzwerk sorgen – da sich die Verwaltung der jeweiligen Prozesse künftig über nur eine Plattform steuern lässt. Damit ergibt sich ebenfalls eine klare Alternative zu nach wie vor gängigen, aber meist sehr kostspieligen Verbindungsdiensten wie MPLS. 

Mit diesem funktionalen Ausbau reagiert WatchGuard auf einen offensichtlichen Trend. Laut IDC wird der SD-WAN-Markt bis 2022 um jährlich durchschnittlich 40 Prozent auf insgesamt 4,5 Milliarden Dollar wachsen. Vor dem Hintergrund des erhöhten Bandbreitenbedarfs und steigender Kosten für Internetleistungen wollen Unternehmen ihre Budgets unter Kontrolle behalten und setzen alles daran, die Abhängigkeit von teuren Verbindungsdiensten aufzulösen. Gleichzeitig gilt es, die Produktivität und Effizienz ihrer Mitarbeiter durch schnellen, direkten Zugriff auf Cloud-Anwendungen zu gewährleisten und eine hohe Netzwerkleistung sicherzustellen, die beispielsweise auch qualitativ hochwertige VoIP-Anwendungen und den Einsatz von Video ermöglicht. Deshalb wechseln immer mehr Unternehmen zu Hybrid-WAN-Architekturen und SD-WAN-Technologie, um den Datenverkehr messen und über zahlreiche WAN-Verbindungen verteilen zu können – für bessere Leistung und weniger Kosten. Diese Vorteile kommen auf Seiten großer, dezentral aufgestellter Unternehmen besonders zum Tragen.  

Doppelpack aus Schutz und Netzwerkoptimierung
Im Zuge des SD-WAN-Vormarschs geht es WatchGuard nicht mehr nur allein darum, einzelne Niederlassungen vor Bedrohungen zu schützen. Unternehmen müssen zudem in die Lage versetzt werden, WAN-Ressourcen via SD-WAN-Funktionalität zu optimieren. Multi-WAN, richtlinienbasiertes Routing, RapidDeploy oder auch anwendungsspezifisches Traffic Management gehören seit Jahren zum Leistungsumfang der Firebox-Appliances. Per RapidDeploy läuft die SD-WAN-Ausführung ab sofort genauso einfach ab wie die Inbetriebnahme einer UTM-Appliance, die sich entsprechend der zentral hinterlegten Konfigurationsvorgabe selbst einrichtet, sobald sie angeschaltet und mit dem Internet verbunden ist. Unternehmen müssen nur im Voraus die entsprechenden Richtlinien bzw. Vorgaben für das SD-WAN-Einsatzszenario definieren. Auf Basis von Fireware 12.3 und dynamischer Pfadauswahl können alle aktiven Firebox-Appliances – je nach gemessener Leistung der einzelnen WAN-Verbindungen – für jede Art von Datenverkehr den passenden Übermittlungsweg auswählen – exakt nach Vorgabe.

"WatchGuard kombiniert in seinem Portfolio bereits zahlreiche Sicherheitsdienste für umfassenden Schutz, die sich alle über eine intuitive Plattform bereitstellen und verwalten lassen. Mit Fireware 12.3 gehen wir jetzt auch das komplexe Thema SD-WAN an und schaffen auf diese Weise zusätzlichen Wert für unsere Partner und Kunden", so Michael Haas, Area Sales Director Central Europe bei WatchGuard. "Unternehmen wollen immer öfter SD-WAN-Technologie nutzen, um Betriebskosten zu reduzieren und eine höhere Netzwerkqualität zu erreichen. Gleichzeitig verschärft sich auch die Bedrohungslage und erfordert lückenlose Sicherheit. Durch den erweiterten Funktionsumfang verknüpfen wir das Beste aus beiden Welten und tragen dazu bei, dass Anwender die Komplexität von SD-WAN-Implementierungen reduzieren und gleichzeitig auf umfassenden Schutz ihrer Niederlassungen vertrauen können".

Über die SD-WAN-Funktionen hinaus bietet die Fireware-Version 12.3 folgende Erweiterungen:

  • Professional Services Automation (PSA)-Integration mit Tigerpaw ermöglicht Managed Service Providern über zusätzliche Daten und intelligente Auswertung eine bessere Verwaltung ihres Geschäfts
  • dank neuer Policy-Optionen im Rahmen der Geolokalisierung lassen sich Vorgaben für DNS und Mail weniger restriktiv gestalten 
  • mithilfe schnellerer Systemwiederherstellungsmöglichkeiten dank Auto-Restore über USB-verbundene Speicher können Unternehmen im Falle eines Ausfalls zügiger und zielgenauer handeln 
  • IPv6-Single-Sign-On-Updates gewährleisten jetzt auch die Anzeige von Benutzernamen statt IP-Adressen im Rahmen des WatchGuard Dimension-Reportings 

Alle Informationen zu den neuen SD-WAN-Funktionen von WatchGuard und den weiteren Features von Fireware 12.3 finden Sie unter: https://www.watchguard.com/wgrd-resource-center/sdwan-just-turn-it-on. Einen Überblick zu den neuen Möglichkeiten bieten auch die deutschsprachigen Webinare am 10. und 14. Dezember 2018.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Rheinmetall to supply Germany’s Federal Police with protective vest inserts

Rheinmetall has won an order to supply the German Federal Police with ballistic inserts for protective vests.

The framework agreement lasts 36 months and is worth a total of around €10 million. Representing roughly €1 million in sales, a first batch consisting of over 5,000 ballistic inserts will be shipped in spring 2019. The contract encompasses an option for the supply of an additional 36,000 inserts.

Developed and produced by Rheinmetall Ballistic Protection in Krefeld, Germany, the inserts exploit the latest technology in order to achieve high protection at the lowest possible weight. Among the lightest of their kind, these inserts withstand shots fired from an AK-47 assault rifle. As a result, law enforcement officers who find themselves in complex, life-threatening situations are not only well protected, but able to manoeuvre easily as well.

Rheinmetall – a powerful partner of the police and security services

Headquartered in Düsseldorf, Rheinmetall AG is a publicly traded, globally operating technology group. It consists of two operational units: Rheinmetall Defence and Rheinmetall Automotive. In 2017 the Group’s 23,000 employees generated sales of just under €6 billion.

Rheinmetall feels a special obligation to make the best-possible equipment available to those whose task it is to protect our society. Its Public Security product portfolio – tailored to meet the needs of law enforcement agencies and security services – covers a wide array of capabilities, ranging from reconnaissance and surveillance to command and control, cyber operations, kinetics, force protection and tactical mobility.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox