Lesedauer: ca. 8 Minuten

Zeitgenössische Gesellschaften mit hochentwickelter Dienstleistungs- und Industriewirtschaft zeichnen sich durch ein hohes Maß an Digitalisierung, Wendigkeit, Konkurrenzfähigkeit und intensiver Teilnahme an der Globalisierung aus. In Anbetracht dessen sind moderne Unternehmen immer stärker von einer hochleistungsfähigen, funktionstüchtigen und ausfallsicheren IT-Infrastruktur abhängig – das gilt insbesondere für systemrelevante Unternehmen der kritischen Infrastruktur.

Diese als KRITIS bezeichneten Infrastrukturen werden so zu einem der bedeutendsten wirtschaftlichen Stützpfeiler. Deshalb muss deren reibungsloser Betrieb zu jeder Zeit gewährleistet sein – fallen sie infolge von Internetangriffen, Havarien oder technischem Versagen aus, hat das gravierende Auswirkungen auf die Sicherheit und Versorgungslage des Landes.

Aus diesem Grund hat die Politik rechtliche Vorgaben und Regelungen festgelegt, um solchen gefährlichen Szenarien vorzubeugen. Welche dies sind, wann eine Infrastruktur als ‘kritisch’ bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Unternehmen der kritischen Infrastruktur begegnen, lesen Sie in unserem folgenden Blogartikel.

Wie sich eine kritische Infrastruktur definiert

Laut der öffentlichen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie (BSI) wie auch des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe (BBK) handelt es sich bei kritischen Infrastrukturen um die ‘Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.’

Merkmale kritischer Infrastrukturen

Demzufolge sind private und staatliche Betriebe der kritischen Infrastruktur für die Instandhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheitssituation, der Sicherheit und des ökonomischen oder sozialen Wohlseins der Bevölkerung elementar – und somit äußerst schützenswert.

Die Nationale Strategie zur Sicherheit kritischer Infrastrukturen, die am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat (BMI) verabschiedet wurde, definiert 9 Bereiche der kritischen Infrastrukturen:

1. Staat und Verwaltung
2. Stromerzeugung
3. Informationstechnik und Telekommunikation
4. Transport und Verkehr
5. Gesundheitszustand
6. Wasser
7. Ernährung
8. Finanz- und Versicherungswesen
9. Medien plus Kultur

Mit der Novellierung des BSIG im Jahr 2021 kam mit der Siedlungsabfallentsorgung ein zehnter Bereich hinzu (der jedoch auf Bundesebene noch nicht allgemeingültig ist).

Inwiefern ein Unternehmen als kritische Infrastruktur eingestuft wird, kann nur eine individuelle Prüfung mit Sicherheit beantworten. Es existieren jedoch bekannte Anhaltspunkte, anhand derer eine erste Einstufung möglich ist:

Schwellenwert – Das BSI hat in der KRITIS-Verordnung 2021 für jeden Bereich spezielle Schwellenwerte festgelegt. Diese bestimmen, ab wann ein Unternehmen der kritischen Infrastruktur zuzuschreiben ist. Eine übersichtliche Aufzählung finden Sie hier.

IT-Netzwerk – Die sog. IT-Independenz von Unternehmen ist ein weiterer aussagekräftiger Faktor. Hier geht es darum, ob ein Betrieb mit mehreren Standorten diese IT-seitig zentral oder dezentral verwaltet. Verständlicherweise unterstützt eine zentrale Verwaltung die Einstufung als kritische Infrastruktur.

Verschärfte Bedrohungslage erfordert verschärfte Maßnahmen

Grundsätzlich sind kritische Infrastrukturen vorteilhaft beschützt. Nichtsdestotrotz stellen sie aufgrund deren Bedeutsamkeit sowie Sensibilität für Wirtschaft und Gesellschaft und Staat ein lukratives Geschäft für Internetkriminelle, Terroristen und verfeindete Staaten dar.

Deshalb überrascht es absolut nicht, dass in der Presse immer wieder von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu lesen ist. So sorgte zum Beispiel im Mai 2021 ein Ransomware-Zugriff auf eines der größten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA temporär für Treibstoffengpässe an der gesamten Ostküste.

Dies ist kein Einzelfall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Sektoren Informationstechnik sowie Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den vergangenen Jahren merklich zugenommen. Zeitgleich zeigen die Ergebnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der EDV, dass in den erwähnten Branchen insgesamt 1.805 Sicherheitsmängel festgestellt wurden, die insbesondere auf Problematiken im Fachbereich Netztrennung, Notfallmanagement und physische Sicherheit zu begründen sind.

Nebst Internetangriffen gehen auch Naturgewalten, Havarien, menschliches Scheitern oder technische Fehler mit teilweise schwerwiegenden Folgen für die Sicherheit und das Wohlergehen der Menschen einher, wie der 31-stündige Stromausfall in Berlin-Köpenick Ende Februar 2019 mit Nachdruck verdeutlichte.

Gesetze zum Schutz kritischer Infrastrukturen

Mit dem Ziel, derartige Worst-Case-Szenarien zu verhindern, gilt es für Betriebe der kritischen Infrastruktur Gefahren und Bedrohungen frühzeitig zu ermitteln und abzuwehren. Die gesetzlichen Bedingungen sowie Regelungen sind dazu im IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz (BSIG), sowie der BSI-KRITIS-Verordnung (BSI-KritisV) festgelegt. Demnach sind Betriebe der kritischen Infrastruktur dazu verordnet,

eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen.

die IT-Sicherheit auf den ‘Stand der Technik’ umzusetzen und passende organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Prävention, Ausmachung und Bewältigung von IT-Sicherheitsvorfällen oder IT-Störungen zu implementieren (vor allem ein ISO 27001-konformes Informationssicherheitsmanagementsystem) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse sicherzustellen.

IT-Sicherheitsvorfälle und erhebliche IT-Störungen, welche zu einem IT-Störfall führen, zu melden.

die getroffenen IT-Sicherheitsvorkehrungen gemäß § 8a Absatz 3 BSIG mittels eines Gutachtens gegenüber dem Bundesamt für Sicherheit in der Informationstechnik zu belegen.

Stabile Netzwerke – ein Muss

Das Bundesamt für Sicherheit in der Informationstechnik hat bereits im März 2020 die ‘Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen‘ veröffentlicht. Mit diesem Anforderungskatalog stellt das BSI allen Betrieben der kritischen Infrastruktur und ihren Gutachtern einen konkreten Bereich zur Wahl, Umsetzung und Prüfung aller IT-Sicherheitsmaßnahmen, welche im Rahmen der IT-Sicherheit umzusetzen sind. Hierbei deckt der Anforderungskatalog alle aufgeführten Bereiche ab:

Informationsmanagementsystem
Asset Management
Risikoanalysemethode
Continuity Management
Technische Informationssicherheit
Personelle sowie organisatorische Sicherheit
Bauliche / physische Absicherung
Vorfallserkennung und Bearbeitung
Begutachtung im laufenden Betrieb
Externe Informationsversorgung sowie Unterstützung
Lieferanten, Dienstleistungsunternehmen und Dritte
Meldewesen

Sind Sie ein Unternehmen der kritischen Infrastruktur und auf der Recherche nach effektiven und innovativen IT-Sicherheitslösungen? Ihr Ziel ist es, ihre IT-Infrastruktur intelligent vor potenziellen Bedrohungen zu beschützen? Sie haben weitere Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-KRITIS-Verordnung oder kritische Infrastrukturen? Sprechen Sie uns unter der 0800 4883 338 gerne an!

Foto © Elijah O’Donnell von Pexels

Lesedauer: ca. 7 Minuten

Die Aufforderung zur Kontobestätigung der Sparkasse, die Aktualisierung persönlicher Zugangsdaten bei PayPal – sogenannte Phishing Mails, gefälschte Nachrichten mit dem Ziel des Datenklaus, werden immer raffinierter. Mittlerweile sind diese selbst von Experten nur noch schwerlich von echten Nachrichten zu unterscheiden.

Gleichzeitig werden im Geschäftsalltag tagtäglich vertrauliche Informationen per Mail versendet – oft ohne Gedanken daran, dass diese Informationen nach dem Versand ebenfalls in falsche Hände gelangen können. Denn neben Phishing gibt es noch etliche weitere Techniken von Hackern, um an vertrauliche Daten wie Passwörter, Kreditkarteninformationen etc. zu gelangen.

Mit anderen Worten: Elektronische Nachrichten sind nicht (mehr) sicher.

Sicherheit mit Brief und Siegel

Eine Möglichkeit zur Beseitigung dieses Problems ist die elektronische Mail-Signatur. Nicht zu verwechseln mit der Auflistung der Kontaktinformationen am Ende des schriftlichen Inhaltes einer Nachricht, handelt es sich hierbei um eine Art Briefsiegel: Die elektronische Signatur sorgt dafür, dass der Empfänger klar feststellen kann, wer der Absender der Mail ist und ob der Inhalt auch genauso ankommt, wie er verschickt wurde.

Ist der Absender tatsächlich der, der er vorgibt zu sein? Kann ausgeschlossen werden, dass die Inhalte der Mail auf dem Weg vom Absender zu mir als Empfänger aufgehalten und manipuliert wurden? Mithilfe einer elektronischen Unterschrift landen mehr Mails im Posteingang, bei denen die Antwort auf diese Fragen ‘Ja’ lautet.

Technisch betrachtet handelt es sich bei der elektronischen Signatur, die auch als digitale Unterschrift bezeichnet wird, um ein Zertifikat, welches zusammen mit der normalen Mail versendet wird.

Von Ämtern zu Wirtschaftsunternehmen

Anfangs wurde die elektronische Signatur vor allem in der öffentlichen Verwaltung eingesetzt. Die immer größere Verbreitung von E-Commerce-Konzepten förderte dann den Einsatz in der Privatwirtschaft. Immer mehr Unternehmen verwenden die elektronische Unterschrift zudem für ganz spezielle Anwendungsfälle, beispielsweise wenn für elektronisch zu unterzeichnende und verschickende Policen.

Ausgangspunkt für den gegenwärtigen Stand der Technik bei der digitalen Unterschrift ist im Übrigen die sog. ‘Signaturrichtlinie’ der Europäischen Union. Jene regelt, welche Bedingungen erfüllt sein müssen, damit eine digitale Signatur vor Gericht als rechtswirksam anerkannt wird. Diese Bedingungen wurden im vorangegangenen Absatz beschrieben: Der eindeutig bestimmbare Absender sowie der garantiert unveränderte Inhalt.

So erstellt man eine digitale Unterschrift

Will man eine Mail elektronisch unterzeichnen, gibt es zwei Standards, welche sich bewährt haben: S/MIME und OpenPGP. Die Verfahrensweisen agieren beide nach dem gleichen Prinzip (auf der Grundlage von Hashwerten gepaart mit einem Public-Private-Key-Verfahren, siehe unten), verwenden aber verschiedene Datenformate. Bedeutsam für die Auswahl einer Methode ist die Unterstützung durch den zutreffenden Mail Client, denn etliche Softwarelösungen fördern entweder das eine oder das andere Verfahren, aber nicht alle beide gleichzeitig.

Technisch betrachtet ist eine digitale Unterschrift eine Form der asymmetrischen Verschlüsselung. Das bedeutet: Im Zuge des Mailversandes werden zwei Schlüssel mit verschickt – ein privater und ein öffentlicher. Wichtig dabei: Das Schlüsselpaar muss von einer offiziellen Zertifizierungsstelle verifiziert werden. Wird nun eine Mail verschickt, passiert Folgendes: Durch Hashfunktion wird der Text mit einer Prüfsumme ausgestattet, welche nochmals mit dem nicht-öffentlichen Schlüssel verschlüsselt und der Mail-Nachricht ebenfalls angehängt wird. Trifft die Mail nun beim Empfänger ein, wird anhand des Schlüssels die Prüfsumme entschlüsselt und obendrein nochmals errechnet. Entspricht die frisch errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, ist sichergestellt, dass der Inhalt unberührt geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der Mail mitgesendet oder alternativ vom Empfänger über ein öffentlich zugängliches Register eingeholt werden.

Geschäftskommunikation sicherer machen

Einige Mail Clients bieten entsprechende Konfigurationen für elektronische Signaturen an, um die oben erwähnte Vorgehensweise zu automatisieren. Wer allerdings über den unternehmensweiten Gebrauch einer digitalen Signatur nachdenkt, sollte die Signierung mittels Gateway in Erwägung ziehen, welches alle abgehenden Mails zentral signiert. Ansonsten ist der Aufwand äußerst hoch, da man für jeden einzelnen Angestellten ein dediziertes Zertifikat benötigt und im Mail-Programm hinterlegen muss. Außer der vereinfachten Anpassung und zentralen Verwaltung ist der Nutzen eines Gateway zudem, dass die Signaturprüfung eingehender Mails erfolgt, bevor diese auf dem Mail Server landen (und hier womöglich Schaden verursachen).

Aber Achtung: Zwar sind Gateway-Zertifikate, die meist für alle Mailadressen unter einer Domain gelten, international standardisiert. Dennoch können manche Mail Clients diese (noch) nicht korrekt verarbeiten und lösen entsprechend Fehlermeldungen auf Empfängerseite aus. Deshalb kann es durchaus ratsam sein, lediglich einzelne Team-Postfächer wie buchhaltung@… oder bewerbung@… zu zertifizieren – besonders eben die Postfächer, die mit sensiblen Daten arbeiten.

Mails verschlüsseln und signieren – für sicheren Mailverkehr

Mailverschlüsselung und digitale Unterschrift sind zwei verschiedene Paar Schuhe – und beide sind wichtig.

Die Unterschrift kommt wie erwähnt einem Briefsiegel gleich. Zum einen wird sichergestellt, dass der Inhalt unverändert bleibt und zum anderen ist die Identität des Versenders eindeutig gewährleistet.

Dennoch: Besagter Inhalt kann auf dem Versandweg eingesehen werden. Um beim Beispiel zu bleiben, kann man einen versiegelten Brief beispielsweise gegen das (virtuelle) Licht halten, um an inhaltliche Informationen zu gelangen. Deshalb ist eine zusätzliche Verschlüsselung grundsätzlich sinnvoll – sie macht den digitalen Briefumschlag quasi blickdicht.

Für allerhöchste Sicherheitsansprüche: Die qualifizierte digitale Signatur

Zuletzt sei noch erwähnt, dass es nicht nur eine, sondern gleich drei Varianten der elektronischen Signatur gibt: 1. Die allgemeine (AES), 2. die fortgeschrittene (FES) und 3. die qualifizierte elektronische Signatur (QES).

Am hochwertigsten ist die letztgenannte. Diese ist dann nötig und sinnvoll, wenn allerhöchste Sicherheitsstandards gefordert sind – ist sie dem Gesetz (§ 2 Nr. 3 SigG) zufolge doch ebenbürtig mit einer handschriftlich getätigten Unterschrift auf Papier. Entsprechend wird wird sie zur Unterzeichnung von sensibelsten Dokumenten und Verträgen genutzt. Für den alltäglichen Mail-Austausch hingegen ist diese Art der Unterschrift tatsächlich zu viel des Guten, da sie zusätzlich den Gebrauch spezieller Hardware (Chipkarten und dazugehörige Lesegeräte) voraussetzt.

Sie haben Fragen oder Interesse an eletronischer Mail-Signatur? Möchten Sie wissen, welche Art und welcher Grad der digitalen Unterschrift für Ihre geschäftliche Korrespondenz erforderlich ist? Kontaktieren Sie uns unter 0800 4883 338.

Foto © cottonbro von Pexels

Lesedauer: 2 Min

In Zusammenhang mit den aktuellen, schrecklichen Ereignissen in Europa wurde jüngst durch das Bundesamt für Informationssicherheit die zweithöchste Warnstufe bezüglich der IT-Bedrohungslage ausgerufen.

Es wurde ein erheblicher Anstieg von Phishing-Mails, offensiven Netzwerkscans und Social Engineering-Aktivitäten festgestellt. So werden beispielsweise gezielt Mitarbeiter kontaktiert, um durch Manipulation sensible Daten abzugreifen. Die Angriffe sind nicht zielgerichtet und verfolgen nicht zwingend wirtschaftliche Zwecke, sondern gleichen momentan eher Vandalismus.

Sensibilisieren Sie Ihre Mitarbeiter daher zwingend bezüglich dieser Gefahren und zeigen Sie ihnen Mittel und Wege, derartige Vorgehensweisen frühzeitig erkennen zu können. Der Faktor ‘Mensch’ nimmt eine zentrale Rolle ein, wenn es um die Unternehmenssicherheit geht!

Ferner sollten Sie prüfen, inwieweit Systeme, die aus dem Internet erreichbar wären, in Ihrem Hause abgesichert sind – hier besteht meist ein erhöhtes Angriffspotenzial. Insbesondere ein funktionierendes Patch-, Antivirenschutz- und Datensicherungs-Management sollte umgesetzt worden sein. Gerade der Backup-Prozess ist die elementarste Versicherung für die akute Bedrohung durch Ransomware. Prüfen Sie daher, ob eine Datensicherung existiert, die nicht aus dem Netzwerk erreichbar ist, um ein Ausbreiten von Ransomware auf das Backup zu verhindern.

All diese Schutzmaßnahmen sind keine einmaligen Handlungen, die eine Sicherheit per Knopfdruck herstellen, sondern müssen kontinuierlich gepflegt und überwacht werden.

Soweit Sie unsicher bezüglich der Sicherheit Ihres Unternehmens sind, zögern Sie nicht, uns zu kontaktieren. Mit Ihnen gemeinsam gehen wir die einzelnen Themen an – ganz gleich, ob es rein technische Schutzmaßnahmen sind oder solche aus dem organisatorischen Bereich. Sie erreichen uns über die kostenfreie Nummer

0800 4883 338

Mit freundlichem Gruß,
Ihr Team von Schneider + Wulf

Foto © cottonbro von Pexels

Lesedauer: ca. 8 Min

Die E-Mail ist weiterhin das populärste sowie meistgenutzte Kommunikationsmedium in der Geschäftswelt. Aber nur wenige Unternehmen machen sich Gedanken darüber, dass geschäftliche E-Mails steuer- sowie handelsrechtlich wichtige Daten enthalten können und daher revisionssicher archiviert werden müssen.

Welche E-Mails von der Archivierungspflicht berührt sind, worin sich E-Mail-Archive und E-Mail-Backups differenzieren und warum eine E-Mail-Archivierung ein bedeutender Baustein einer IT-Sicherheitsstrategie sein sollte, lesen Sie in dem nachfolgenden Blogbeitrag.

Der Kommunikationsweg E-Mail ist aus dem heutigen Arbeitsalltag nicht mehr fortzudenken. Mittlerweile werden komplette Firmenprozesse wie die Angebotserstellung, der Versand von Verträgen, Abrechnungen und Zahlungsbelege oder etwa das Reklamationsmanagement mittels E-Mails bewerkstelligt.

Allein in Deutschland erhält heutzutage jeder Büroangestellte im Durchschnitt 26 geschäftliche E-Mails am Tag – das sind 26 steuerrechtlich und handelsrechtlich wichtige Firmendokumente!

Angesichts dessen ist völlig offensichtlich, dass die Archivierung der elektronischen Geschäftskorrespondenz zunehmend an Bedeutung gewinnt.

Gesetzliche Vorgaben zur revisionssicheren E-Mail-Archivierung

Im Prinzip ist jede Firma in Deutschland dazu verpflichtet, nicht nur die analoge, sondern auch ihre digitale Geschäftskorrespondenz mehrere Jahre lang komplett, originalgetreu und manipulationssicher aufzubewahren. Ein zentrales E-Mail-Archivierungsgesetz existiert dafür jedoch nicht!

Im Detail bildet sich die juristische Grundlage zur Aufbewahrung von E-Mails aus unzähligen Vorschriften sowie Gesetzen. Dazu zählen u.a.:

  • die Grundsätze zur ordnungsgemäßen Führung sowie Verwahrung von Büchern, Aufzeichnungen und Dokumenten in elektronischer Form sowie zum Datenzugriff, kurz GoBD
  • das Handelsgesetzbuch, kurz HGB
  • die Abgabenordnung, kurz AO
  • die Grundsätze ordnungsgemäßer Buchführung, kurz GBO
  • das Aktiengesetz, kurz AktG
  • das Gesetz betreffend die Gesellschaft mit beschränkter Haftung, kurz GmbHG
  • das Umsatzsteuergesetz, kurz UStG
  • das Bundesdatenschutzgesetz, kurz BDSG
  • das Telekommunikationsgesetz, kurz TKG
  • das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG

Die rechtlichen Archivierungspflichten sind dabei unter anderem im § 257 des Handelsgesetzbuchs festgelegt. Demnach müssen Unternehmen sämtliche E-Mails, die nach diesem Paragraph und §147 der Abgabenordnung als Handelsbrief oder Geschäftsbrief gelten und für die Besteuerung relevant sind, für einen Zeitraum von sechs bis zehn Jahren aufbewahren.

Von der Aufbewahrung ausgeschlossen sind dagegen private E-Mails von Arbeitnehmern, solange diese der Archivierung im E-Mail-Archiv nicht ausdrücklich beigestimmt haben, und E-Mails mit Bewerberdaten. Gleiches gilt für interne E-Mails, über welche kein Geschäft zustande gekommen ist, Spammails sowie Marketingtools wie zum Beispiel Newsletter.

Revisionssichere Archivierung schützt vor Geldbußen und Freiheitsstrafen

Die Anforderungen an eine revisionssichere E-Mail-Archivierung sind in den Grundsätzen zur ordnungsgemäßen Verwaltung und Archivierung von Büchern, Aufzeichnungen und Dokumente in elektronischer Form sowie zum Datenzugriff geregelt.

Demzufolge müssen Unternehmen ihre digitale Geschäftskorrespondenz einschließlich ihrer Anhänge erklärlich, auffindbar, unveränderbar und verfälschungssicher archivieren.

Das heißt aber, dass gewöhnliche E-Mail-Programme diesen Anforderungen nicht zur Genüge leisten – besonders in Bezug auf die Unveränderbarkeit von E-Mails. Deshalb ist der Gebrauch einer kompetenten und leistungsfähigen E-Mail-Archivierungslösung unerlässlich.

Zum einen bietet sie Firmen die Revisionssicherheit und damit die geforderte Rechtssicherheit der digitalen Geschäftskorrespondenz. Zum anderen betreut Sie die Unternehmen unter anderem darin, Arbeitsabläufe zu verbessern, E-Mail- und Speicherinfrastrukturen zu entlasten wie auch den Verwaltungsaufwand und dadurch die IT-Ausgaben zu minimieren.

Kommen Firmen den gesetzlichen Archivierungspflichten von E-Mails jedoch nicht nach, drohen ihnen nicht nur hohe Bußgelder, sondern auch Freiheitsstrafen.

Ein E-Mail-Backup ist kein E-Mail-Archiv

Entgegen der oft vertretenen Meinung können E-Mail-Backups keine E-Mail-Archive ablösen. Das Backup eines E-Mail-Servers ist für die kurzzeitige und auch mittelfristige Speicherung von Nachrichten gedacht, um diese im Falle eines Datenverlustes schleunigst wiederherzustellen. Die E-Mail-Archivierung unter Einsatz von einer leistungsfähigen und kompetenten E-Mail-Archivierungslösung dagegen ermöglicht eine dauerhafte und insbesondere revisionssichere Speicherung des E-Mail-Verkehrs – die das Gesetz für die Archivierung der digitalen Geschäftskorrespondenz verlangt.

Ergänzend kommt die Tatsache, dass E-Mails bei einem Backup manipuliert oder gar gelöscht werden können. Bei einer E-Mail-Archivierung werden Gegebenheiten dieser Art verhindert.

Der Datenschutz und die E-Mail-Archivierung

Wie schon genannt gibt es Ausnahmefälle, bei welchen E-Mails aus gesetzlichen Motiven gar nicht oder nur eingeschränkt archiviert werden dürfen.

Private Nutzung des geschäftlichen E-Mail-Kontos. Grundsätzlich dürfen persönliche E-Mails der Mitarbeiter bei der privaten Nutzung des geschäftlichen E-Mail-Kontos nicht aufbewahrt werden, außer diese haben der E-Mail-Archivierung ausdrücklich zugestimmt.

Grundsätze der Datenminimierung. Im Sinne des Artikels 5 Abs. 1 lit. c. DSGVO sowie § 47 Nr. 5 BDSG dürfen personenbezogene Datensammlungen nur so lang gespeichert werden, wie es für die Erfüllung des Zwecks notwendig ist. Hier gilt: Bestehen für die Daten gesetzlich vorgeschriebene Aufbewahrungspflichten, die sich über einen längeren Zeitabschnitt erstrecken als der datenschutzrechtliche Zweck, so sind Daten bis zum Ablauf der längsten für sie einschlägigen Aufbewahrungspflicht vorzuhalten, ansonsten ist dringlich ein Löschkonzept zu empfehlen.

Merksätze zur revisionssicheren E-Mail-Archivierung

Weltweit werden täglich ca. 319,6 Milliarden geschäftliche und persönliche E-Mails versendet und entgegengenommen.

Diese Zahlen machen deutlich: Insbesondere im Arbeitsumfeld ist die revisionssichere und rechtskonforme E-Mail-Archivierung essenziell.

Der Verband ‘Organisations- und Informationssysteme e.V.’, kurz VOI, bietet folgende grundsätzliche Merksätze zur revisionssicheren elektronischen Aufbewahrung an:

  • Jede E-Mail muss nach Richtlinie der gesetzlichen und organisationsinternen Anforderungen ordnungsgemäß aufbewahrt werden.
  • Die Archivierung hat gänzlich zu geschehen – keine E-Mail darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
  • Wirklich jede E-Mail ist zum organisatorisch frühestmöglichen Termin zu archivieren.
  • Jede E-Mail muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.
  • Jede E-Mail vermag nur von entsprechend berechtigten Benutzern eingesehen werden.
  • Jede E-Mail muss in angemessener Zeit wiedergefunden und auch reproduziert werden können.
  • Jede E-Mail darf nicht früher als nach Ablauf seiner Aufbewahrungsfrist vernichtet, d.h. aus dem Archiv gelöscht werden.
  • Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte erklärlich aufgeschrieben werden. Das gesamte organisatorische und technische Verfahren der Archivierung muss von einem sachverständigen Dritten stets überprüfbar sein.
  • Bei allen Migrationen und Veränderungen am E-Mail-Archivsystem muss die Einhaltung aller zuvor aufgelisteten Grundsätze gewährleistet sein.

Mehrwerte für Ihr Unternehmen

Die E-Mail ist und bleibt wichtiges Kommunikationsmedium. Im gleichen Atemzug ist die bestehende Rechtsordnung zum Thema E-Mail-Archivierung eindeutig.

Es ist deshalb höchste Zeit sich darum zu kümmern, alle Anforderungen an die E-Mail-Archivierung zu erfüllen.

Sie wollen mehr zum Thema rechtssichere E-Mail-Archivierung erfahren oder suchen nach einer geeigneten Archivierungslösung, mit der Sie Ihre E-Mail- und Speicherinfrastruktur entlasten und dabei die Leistungsfähigkeit und Tatkraft Ihrer internen Firmenprozesse steigern können? Sprechen Sie uns gerne an.

Foto © Maksim Goncharenok von Pexels

 

Lesedauer: ca. 10 Min

In Zeiten zunehmender digitaler Vernetzung sowie konstant wachsender Online-Kriminalität ist die Aufrechterhaltung der IT-Sicherheit schon lange zu einer Schlüsselaufgabe für den Staat, die Volkswirtschaft ebenso wie die Gesellschaft avanciert. Jedoch wird dieser Entwicklung in der Arbeitsrealität noch lange nicht die notwendige Achtsamkeit eingeräumt, was beachtliche juristische Konsequenzen haben kann.

Welche gesetzlichen Vorschriften und Verordnungen Geschäftsbetriebe im Hinblick auf die IT-Security beachten und realisieren müssen, lernen Sie in unserem nachfolgenden Blog.

Mittlerweile sind die Wettbewerbsfähigkeit sowie der Erfolg eines Unternehmens ohne den Einsatz einer leistungsfähigen sowie hochverfügbaren IT-Umgebung nicht denkbar.

Laut aktueller Analysen sind mittlerweile ca. 81 Prozent der befragten Manager davon überzeugt, dass eine aktuelle IT-Umgebung Innovationskraft, Einfallsreichtum und Ertragsfähigkeit begünstigt.

Obgleich der Einsatz moderner Systeme elementare sowie zukunftsweisende Vorzüge für Firmen bereithält, resultieren diese häufig ebenso in einer steigenden IT-Abhängigkeit und erhöhen so die Möglichkeiten für Fehlkonfigurationen, was zu steigender Anfälligkeit für Cyberangriffe führt und darüber hinaus geltendes Datenschutzrecht verletzen kann.

Aus diesem Grund ist inzwischen in sämtlichen Wirtschaftssektoren eine zunehmende juristische Reglementierung der IT-Security festzustellen.

Bedrohungen aus dem Internet mit Rechtsnormen abwenden

Das Schlüsselthema IT-Security beschäftigt im Zuge der zunehmenden Vernetzung der Geschäftsprozesse immer mehr Firmen. Allerdings sind die einschlägigen staatlichen Vorgaben an Unternehmungen zunächst alles andere als leicht überblickbar.

Denn bis jetzt existiert kein Sammelgesetz, das sämtliche Regelungen mit Wechselbeziehung zur IT-Sicherheit bündelt. Vielmehr fungieren mehrere verschiedenartige Normen zusammen, um Unternehmen zu verpflichten, ein IT-Risikomanagement zu realisieren und in die Implementierung risikoangepasster IT-Sicherheitsvorkehrungen und IT-Sicherheitslösungen zu investieren.

Wird dies jedoch verpasst, können im Kontext eines IT-Sicherheitsvorfalls zusätzlich zu schweren Reputationsschäden mitunter Geldbußen in enormer Höhe fällig werden.

Alleinig im Kalenderjahr 2020 wurden in der Europäischen Union zusammen 160 Mio Euro Geldbußen wegen Übertretungen gegen die Europäische Datenschutzgrundverordnung fällig. In der Bundesrepublik erging die größte Geldbuße mit 35,3 Millionen € an das H&M Servicecenter in Nürnberg, welches die persönlichen Lebenssituationen 100ter Angestellter ausgeforscht haben soll.

Relevante Rechtsvorschriften zur IT-Sicherheit im Überblick

Im Zuge der immer schwerer werdenden Bedrohungssituation sehen sich die Legislative ebenso wie Unternehmen selbst vermehrt in der Pflicht, zu agieren. Einerseits entstehen neue und innovative IT-Sicherheitslösungen und Dienste, die das IT-Sicherheitsniveau erhöhen. Auf der anderen Seite werden striktere Erfordernisse an eine firmeninterne IT-Sicherheit formuliert, um so IT-Risiken über technologische, organisatorische, infrastrukturelle sowie personelle IT-Securitymaßnahmen zu vermindern.

Normen, die vor allem die IT-Security betreffen, haben im Zuge dessen in erster Linie die Zielsetzung, die IT-Umgebung eines Unternehmens vor Internetangriffen, unberechtigtem Zugriff und Manipulation zu schützen. Regelungen, welche den Datenschutz anbelangen, haben die Zielsetzung, einen zuverlässigen Schutz für Betriebsdaten im Hinblick auf Nutzbarkeit, Vertraulichkeit, Integrität und Authentizität zu erreichen.

Damit Unternehmen vorschriftsmäßige IT-Securitymaßnahmen implementieren können, sind etwa die nachstehenden Gesetze und Verordnungen für sie von Belang:

Das IT-Sicherheitsgesetz

Beimm IT-Sicherheitsgesetz, kurz IT-SiG, handelt es sich um ein Artikelgesetz, welches die Absicht verfolgt, die Integrität von Datensammlungen und IT-Systemen zu sichern sowie zu garantieren. Bei dem Gesetz stehen vor allen Dingen die Provider systemkritischer Infrastrukturen aus den Bereichen Strom- und Wasserversorgung, Finanzen oder Ernährung im Mittelpunkt. Die Anbieter sind gesetzlich in der Verpflichtung, ihre Geschäfts-IT angemessen zu schützen ebenso wie minimum alle zwei Kalenderjahre kontrollieren zu lassen. Dazu kommen Pflichten zur Meldung an das Bundesamt für Sicherheit in der Informationstechnik nach eingetretenen IT-Sicherheitsvorfällen.

Die EU-Datenschutzgrundverordnung

Die EU-Datenschutzgrundverordnung ist wie das IT-SiG ein Artikelgesetz. Es verfolgt die Absicht, europaweit für deckungsgleiche Bestimmungen zu sorgen, die den Datenschutz anbelangen. Hierdurch erhöhen sich die Erfordernisse an die Datenschutz-Compliance und ein gut funktionierendes Datenschutz-Verwaltungs-System. Die Regelungen des inländischen Datenschutzgesetzes, kurz BDSG, erweitern die EU-DSGVO, indem unterschiedliche Parameter weiter verdeutlicht werden.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Verbesserung der Grundlagen der Unternehmensführung ab. Weiter sollen Firmen motiviert werden, sich stärker mit dem Thema IT-Risikomanagement auseinanderzusetzen sowie in ein unternehmensweites Früherkennungssystem zu investieren.

Die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff

Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, kurz GoBD, handelt es sich um Vorgaben aus einer Verwaltungsanweisung des Bundesministeriums der Finanzen für die Dokumentationsprozesse in Firmen. Die GoBD sollen sicherstellen, dass Betriebe, in welchen unternehmerische Prozesse und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten gegeben sind, verschiedene Sorgfaltspflichten bei der Weiterverarbeitung, Speicherung und Bereitstellung der Daten zu beachten. Jedoch müssen sämtliche Anforderungen über ein firmeninternes Kontrollsystem verwirklicht werden. Auch ist eine Prozessdokumentation als Nachweis eines rechtskonformen Betriebes verlangt.

Neben diesen vier bedeutsamen rechtlichen Grundlagen sollten Betriebe bei der Implementierung einer risikoadäquaten IT-Sicherheitsstrategie noch die nachfolgenden Richtlinien berücksichtigen:

Gesetze zur IT-Sicherheit schützen Ihren unternehmerischen Erfolg

Mittelständische Unternehmen müssen heutzutage eine Fülle gesetzlicher Vorgaben im Hinblick auf ihre IT-Sicherheit einhalten – andernfalls können hohe Geldbußen drohen.

Daher ist es wesentlich, dass sich Geschäftsbetriebe früh genug mit den wichtigsten Gesetzesnormen und Verordnungen zum Thema IT-Sicherheit befassen. Nur so können sie ein konstant hohes IT-Sicherheitsniveau und die erforderliche IT-Compliance gewährleisten.

Möchten Sie mehr über die gesetzlichen Komponenten der IT-Sicherheit lernen oder benötigen Sie einen externen IT-Sicherheitsbeauftragten? Wir stehen Ihnen mit unserer langjährigen Erfahrung und Expertise gerne zur Seite!

Foto © Sora Shimazaki von Pexels

Lesedauer: ca. 6 Min

Im Zugeder Nutzung des Kommunikationsmediums E-Mail werden nicht selten personenbezogene und unternehmenskritische Daten versendet. Diese können bei unzulänglichem Schutz abgefangen, ausspioniert und böswillig verändert werden. Aus diesem Grund ist es wichtig, dass Betriebe ihre Kommunikationsdaten mit einer Verschlüsselung absichern. Nachfolgend erfahren Sie, wie Mail-Verschlüsselung gegenwärtig funktioniert, welche Protokolle genutzt werden und wie Sie Mail-Verschlüsselung erfolgreich im Unternehmen implementieren.

Die E-Mail-Kommunikation ist aus unserer massiv vernetzten Businesswelt nicht mehr wegzudenken. Für das Kalenderjahr 2021 hat die Radicati Group ein internationales Email-Volumen im betrieblichen und privaten Umfeld von 319,6 Mrd (Quelle) pro Tag prognostiziert.

Gemäß einer aktuellen Branchenverband-Befragung erhalten Arbeitnehmer hierzulande im Schnitt ca. 26 berufliche Mails pro Tag (Quelle) – angefangen bei Abstimmungen und Terminvereinbarungen über Bestellungen, Vertragsabschlüsse sowie automatisierte Rechnungen bis hin zu vertraulichen Produktinformationen, Gehaltsinformationen oder empfindlichen Unternehmensdaten.

Doch kaum einer denkt darüber nach, dass E-Mails normalerweise im Klartext versendet werden und somit eine eventuelle sowie nicht zu unterschätzende Angriffsfläche für Cyberkriminelle darstellen.

E-Mails als Einfallstor

Nach wie vor wird ein Großteil aller Cyberattacken durch Mails umgesetzt. Dies ist kein Wunder, denn ungesicherte Mails sind wie Postkarten aus Papier – für jeden, der sie in die Finger bekommt, mitlesbar, änderbar und verfälschbar.

Somit ist es vorteilhaft, auf schlagkräftige E-Mail-Verschlüsselungsmethoden zu setzen.  Zum einen können Betriebe mit der Mail-Chiffrierung das Ausspionieren fremder Dritter unterbinden sowie die Integrität einer Email gewährleisten; zum anderen fördert es Betriebe darin, die juristischen Anforderungen zur Sicherung von personenbezogenen Informationen aus der EU DSGVO, deren Verfehlungen mit Geldbußen bis hin zu 20 Millionen Euro geahndet werden, einzuhalten.

Optimale Kommunikation auf Basis von Verschlüsselung

Um E-Mail-Kommunikation wirkungsvoll sichern zu können, müssen prinzipiell drei Bereiche verschlüsselt werden:

1. Chiffrierung des Mail-Transfers

Das nötige Werkzeug für einen zuverlässigen Mail-Transfer ist das allgemein verwendbare Netzprotokoll Transport Layer Security, kurz TLS. Eine E-Mail mit TLS-Chiffrierung – ebenso bekannt als Transportverschlüsselung – besteht darin, dass die Verknüpfung zwischen zwei Webservern im Moment der Übertragung verschlüsselt wird. Der Nachteil: Sowohl beim E-Mail-Provider als ebenso an den Knotenpunkten des Email-Austasches liegen die Emails unverschlüsselt vor, weswegen technisch passend ausgerüstete Internetangreifer einen ‘Man-in-the-Middle-Angriff’ einleiten könnten, welcher auf diese Angriffspunkte abgestimmt ist.

2. Verschlüsselung der Mail-Nachricht

Um die Unversehrtheit des eigentlichen Textes von E-Mail-Nachrichtensendungen zu garantieren, sollte eine Inhaltschiffrierung stattfinden. Zu den beliebtesten Methoden zählen hier die Verschlüsselung mittels Pretty Good Privacy, kurz PGP, wie auch die Chiffrierung vermittels Secure / Multipurpose Internet Mail Extensions, abgekürzt S/MIME. Bei der Verschlüsselung mithilfe PGP oder S/MIME kann die Mail inbegriffen Attachments nur vom entsprechenden Absender und Adressaten gelesen werden, sofern sie über den notwendigen Key verfügen. Weder die beteiligten Email-Anbieter noch potenzielle Angreifer haben die Option, die E-Mails mitzulesen bzw. zu modifizieren. Dadurch offeriert lediglich diese Technik ein hohes Maß an Schutz.

3. Chiffrierung archivierter Mails

Da erhaltene E-Mails typischerweise nach dem Durchlesen in der Mailbox bzw. im Archiv verbleiben und vor Manipulation Dritter nicht gesichert sind, ist gleichfalls die Verschlüsselung von gespeicherten Mail essenziell. In diesem Zusammenhang ist zu berücksichtigen, dass die Archivierung der Mails nicht client- sondern serverseitig stattfindet, da ersteres u.a. auf Grund der beschränkten Lesbarkeit gegen staatliche Vorschriften verstößt. Hiermit sind die User in die eigentliche Verschlüsselung und Entschlüsselung nicht direkt eingebunden, wodurch die Datensicherstellung sichergestellt wird. Für extra Schutz sorgt ansonsten die Benutzung einer Zwei-Faktor-Identitätsüberprüfung, hauptsächlich bei der Benutzung von Web Clients.

Datenschutzkonforme Mailkommunikation von Anfang an

Im Allgemeinen lässt sich feststellen: Die Verschlüsselung von Mails muss nicht schwierig sein!

Dank unterschiedlicher Techniken und Vorgehensweisen zur Chiffrierung von Mails ist es Unternehmen gegenwärtig möglich, die Diskretion, Originalität und Integrität von E-Mails zu garantieren und die Anforderungen zum Datenschutz gem. Art. 32 Abs. 1 lit. a und lit. b der DSGVO einzuhalten.

Haben Sie noch ergänzende Fragestellungen zum Thema Mail-Chiffrierung oder sind Sie auf der Suche nach einem effektiven Chiffrierungsprogramm für eine verlässliche und rechtssichere E-Mail-Kommunikation? Wir sind jederzeit für Sie da!

Foto © cottonbro von Pexels

Lesedauer: ca. 7 Min

Dezentrales Arbeiten ist im Trend. Auf der ganzen Welt bieten immer mehr Firmen ihren Angestellten die Option, ‘remote’ tätig zu sein. Um ihnen hierbei eine geschützte Kommunikation zu ermöglichen, ist die Nutzung von virtuellen privaten Netzwerken elementar. Wie ein virtuelles privates Netzwerk funktioniert sowie welche Nutzeffekte ihr Einsatz bietet, lernen Sie im nachfolgenden Blogbeitrag.

Unwesentlich, ob im Café, am Airport, im Coworking-Space oder aber im Homeoffice: Mobiles Arbeiten ist mittlerweile bei weitem keine Utopie mehr. Fachkundig organisiert ermöglicht es Arbeitnehmern wie Betrieben mehr Rentabilität und Effektivität.

Gemäß dem Forschungs- und Consultingunternehmen Gartner waren gegen Jahresende 2021 ca. 51 % aller weltweit tätigen Büroangestellten remote tätig. Im Jahr 2019 waren es nur 27 Prozent. Darüber hinaus geht das Beratungsunternehmen davon aus, dass aktuell ca. 32 Prozent aller international tätigen Arbeitnehmer remote arbeiten – 2019 waren es um die 17 %.

Eine Erhebung im Namen von LogMeIn – einem Anbieter für Remote-IT und Fernsupport – zeigt, dass mobiles Arbeiten für den Unternehmenserfolg wie auch die Mitarbeiterzufriedenheit unentbehrlich ist. Ganze 62 % der teilnehmenden Arbeitnehmer sind zufriedener, wenn sie flexibler arbeiten können. Darüber hinaus kann Remote Work sowie seine flexible Realisierung in Zukunft entscheidend sein, um Beschäftigte an eine Firma zu binden.

Jedoch: Ungeachtet all der Chancen und Entwicklungsmöglichkeiten birgt die Remote-Jobwelt erhebliche Risiken und Gefahren im Hinblick auf die digitale Sicherheit.

Somit ist jedwede zusätzlich durchgeführte IT-Securitymaßnahme, die etwa einen gesicherten Fernzugriff auf Betriebsressourcen, einen verschlüsselten Datenverkehr oder aber eine verlässliche Voice-over-IP-Telefonie beim Remote Work möglich macht, von Vorteil – wie etwa der Einsatz eines virtuellen privaten Netzwerks (englisch ‘Virtual Private Network’), kurz VPN.

Was kann ein VPN?

Bei einem VPN handelt es sich um ein virtuelles, in sich abgeschlossenes Netz, das das Internet als Transportmedium verwendet und einen verschlüsselten und zielgerichteten Datenverkehr zwischen zwei oder mehr Networkdevices gewährleistet.

Zwischen den Teilnehmern entstehen hierbei durch Chiffrierungs- und Tunneling-Protokollen verschlüsselte Tunnelverbindungen, die die Vertraulichkeit, Integrität wie auch Authentizität der versendeten Informationen gewährleisten und diese vor Zugriff, Modifikation oder missbräuchlicher Verwendung durch Unberechtigte schützen.

Zu den bekanntesten Chiffrierungs- und Tunneling-Protokollen zählen:

  • das Point-to-Point-Tunneling-Protokoll
  • das Secure Socket Tunneling Protocol
  • das OpenVPN-Protokoll
  • das Layer 2 Tunneling-Protokoll und
  • das Internet Key Exchange Version 2

Virtuelle private Netzwerke – Die unterschiedlichen Varianten

Mittlerweile kommen virtuelle private Netzwerke in unzähligen Bereichen zum Einsatz. Je nach Einsatzumgebung müssen diese jedoch unterschiedlich verwirklicht werden, um die spezifischen Erfordernisse erfüllen zu können.

Prinzipiell differenziert man bei Virtual Private Networks zwischen drei unterschiedlichen Arten:

Site-to-Site-VPN

Mittels einem Site-to-Site VPN können Firmen diverse Betriebsstandorte, Filialen oder Niederlassungen untereinander vernetzen. Somit sind Devices wie Server, Netzwerkfestplatten und Voice over IP-Gateways aus beiden verbundenen Lokationen erreichbar. Bei einem Site-to-Site VPN senden und empfangen die Endpoints normalen TCP/IP-Traffic über ein sogenanntes VPN-Gateway, das für die Chiffrierung sowie die Verpackung des abgehenden Datentraffics verantwortlich ist. der Datenaustausch an sich wird anschließend über einen VPN-Tunnel über das Web an ein entsprechendes Ziel-Gateway gesendet, das den Inhalt dechiffriert sowie die Datenpakete an den jeweiligen Endpoint innerhalb des privaten Netzwerks weiterleitet.

End-to-Site-VPN

Mit einem End-to-Site-VPN können Firmen ihren Remote-Arbeitnehmern den Zugriff auf ihr Geschäftsnetzwerk erlauben. Der Virtual Private Network-Tunnel zum örtlichen Computernetz wird durch den VPN-Client auf dem Endgerät des remote Angestellten bereitgestellt. Als Medium kommt das Web zum Einsatz. Dies erlaubt es den Beschäftigten, über einen beliebigen Internetzugang auf das Firmennetz und somit auf File- und Mail-Server, bzw. spezielle Unternehmensanwendungen, zuzugreifen.

End-to-End-VPN

Erfolgt der Fernzugriff von einem Endpoint auf einen zweiten, redet man von End-to-End-Virtual Private Network. Das gewöhnliche Einsatzszenario für diese Art der VPN-Verbindung ist Remote Desktop. Zu bedenken ist in diesem Zusammenhang, dass auf jedwedem Endpunkt, welches an das Private Network angebunden ist, ein entsprechendes VPN-Protokoll eingerichtet sein muss, zumal die Endpoints direkt miteinander und nicht via zwischengeschaltete VPN-Server bzw. Gateways verbunden werden.

Die wichtigsten Vorzüge von VPN

Inzwischen verwenden viele Unternehmungen VPN, um ihre Firmenstandorte zu koppeln ebenso wie ihren Remote-Angestellten einen verlässlichen Fernzugriff auf die hausinternen Ressourcen und Applikationen des Betriebes zu gewähren.

Die Pluspunkte sprechen für sich: Denn virtuelle private Netzwerke können,

vor Ausschnüffeln sowie Identitätsdiebstahl schützen. Durch den Einsatz eines VPNs können Unternehmungen Cyberattacken effizient vorbeugen, zumal der Virtual Private Network-Client dafür Sorge trägt, dass nur ungefährliche Connections aufgebaut werden. Sollte eine VPN-Verbindung einmal unterbrechen, wird keine erneute Verbindung aufgebaut, die mitgelesen werden könnte.

risikolose Voice over IP-Telefonie gewährleisten. Besonders beim mobilen Arbeiten ist Voice over IP-Kommunikation (Lesen Sie hierzu auch unseren Blogbeitrag …) ein Segen. Durch die Benutzung von VPNs können die Sprachpakete der Voice over IP-Telefonie ungefährdet über das World Wide Web übermittelt werden, wodurch eine abhörsichere Firmenkommunikation sichergestellt wird.

die Datenkommunikation neuer Endpoints sicherstellen. Durch das standortunabhängige Arbeiten werden immer mehr End Devices -oftmals auch persönliche Endgeräte der Angestellten- in die Firmenprozesse miteinbezogen. Durch den Einsatz von VPNs können Unternehmen die Sicherheitsrisiken, die dabei entstehen, vermindern sowie ihren Remote-Mitarbeitern eine verlässliche Kommunikation gestatten.

einen sicheren Datentraffic in fremden Netzen gewähren. Immer mehr benutzen Remote-Beschäftigte aus Komfort frei zugängliche WLANs, welche von Herbergen, Bars oder ähnlichen Hotspots zur Verfügung gestellt werden. Unerfreulicherweise sind öffentliche Hotspots im eigentlichen Sinn öffentlich und daher überhaupt nicht gesichert. Durch den Einsatz von VPNs können Firmen auch bei Benutzung öffentlicher Hotspots ihren Datenverkehr vor dem Aushorchen oder Ausspähen abschirmen.

Starke Datensicherheit und eine verbesserte Datenkommunikation auf Basis von VPN

Der neueste Situationsbericht IT-Sicherheit in Deutschland 2021 des BSI macht deutlich: Die Bedrohungslage ist besorgniserregend!

Deswegen wird es ständig bedeutender, sowohl dienstliche als auch persönliche Kommunikationswege vor unbefugtem Zugriff, Lauschangriffen sowie Manipulierung zu sichern.

Durchgesetzt hat sich hierbei ein vollständiges, mehrschichtiges IT-Sicherheitskonzept, das nebst modernen Antivirenprogrammen und Firewalls der nächsten Generation auch die Verwendung von VPN für die gesamte Datenkommunikation vorsieht.

Möchten auch Sie mit einer effizienten VPN-Lösung Ihren Remote-Mitarbeitern einen hochsicheren Remotezugriff ermöglichen und haben Sie noch Fragen zu virtuellen privaten Netzwerken? Sprechen Sie uns an!

Foto © Jakub Novacek von Pexels

Lesedauer: ca. 4 Min

Bedrohlicher als Naturkatastrophen oder die Corona-Pandemie … das ist das Fazit einer aktuellen Studie der Allianz AG. In Bezug auf die Höhe eines möglichen wirtschaftlichen Schadens ‘kürt’ sie Angriffe auf IT-Infrastrukturen mit der Goldmedaille.

Das Ausmaß eines solchen Schadens ist immens und nicht selten existensbedrohend, falls sich ein betroffendes Unternehmen mit verschlüsselten Festplatten oder dem Diebstahl sensibler Daten konfrontiert sieht.

Aus diesem Grund ist die Schadensprävention das A und O zur Sicherung der wirtschaftlichen Stabilität eines jeden Unternehmens.

Jedoch muss klar sein: Eine neue Firewall zu konfigurieren oder den Mail-Versand zu verschlüsseln, genügt bei weitem nicht. All diese Lösungen sind heutzutage nicht mehr als ein technisches Fundament – welches zunehmend angreifbarer wird durch die Ausnutzung vorhandener Schwachstellen. So fällt es Angreifern leicht, Firmennetzwerke zu infiltrieren.

“Die Unternehmen stecken sehr viel Geld in die Weiterentwicklung der IT-Sicherheit, aber dennoch stellen wir fest, dass Angreifer durchkommen und Unternehmen zum Teil enorm schädigen können.”

    • – Jens Krickhahn, AGCS (Industrieversicherungsunternehmen und Teil der Allianz-Gruppe)

IT-Security-Analysen aus Sicht möglicher Angreifer sind ein probates Mittel, um sich einen Überblick über das allgemeine Sicherheitsniveau im Unternehmen zu verschaffen.

Die Schwachstellenanalyse deckt Sicherheitslücken auf und bietet über einen Maßnahmenkatalog in Listenform ein effektives Werkzeug zur Beseitigung dieser Missstände.

Mit einem Penetrationstest werden mögliche Angriffsszenarien auf die Live-Umgebung angewendet – direkt auf die interne Netzwerk-Infrastruktur, durch eine der über das Internet erreichbaren Systeme als Attacke auf Cloud-Dienste wie Microsoft Azure. Der Penetrationstest bietet demnach die Möglichkeit einer detaillierten Bereichsanalyse der IT-Infrastruktur eines Unternehmens.

Immer relevanter werden Phishing-Kampagnen – der Mensch als entscheidender Faktor Mensch rückt in den Fokus dieser Variante der Sicherheitsanalyse. Das Mitarbeiterverhalten wird dahingehend geprüft, ob Unternehmensvorgaben in der Praxis umgesetzt werden. Phishing-Kampagnen gelten als essenzieller Teil der Mitarbeitersensibilisierung.

Für Unternehmen ist die Wahl der passenden IT-Sicherheitsanalyse von maßgeblicher Bedeutung. Hierzu müssen Entscheider die Optimierung des IT-Sicherheitsniveaus als kontinuierlichen Vorgang begreifen. Solche Analysen sind für die Existenzsicherung und den wirtschaftlichen Erfolg eines Unternehmens unverzichtbar.

CRISEC – IT-Sicherheitsanalysen von Profis

Seit über 30 Jahren steht Schneider + Wulf für individuelle, hochprofessionelle IT-Dienstleistung. Ein partnerschaftliches Verhältnis auf Augenhöhe ist uns in der Zusammenarbeit mit unseren Kunden besonders wichtig. Erreicht wird dies durch 100%ige Klarheit in der Kommunikation. Denn nur, wer versteht, kann richtig handeln.

 width=

Aus diesem Grund haben wir CRISEC als Service der Schneider & Wulf EDV-Beratung GmbH & Co. KG ins Leben gerufen. Spezialisiert auf IT-Sicherheitsanalysen aus Angreifersicht; unabhängig, neutral und – im wahrsten Sinne des Wortes mit der Hand gemacht – bieten die Spezialisten von CRISEC Unternehmen maßgeschneiderte Analysemethoden nach internationalen Standards, aussagekräftige Berichte mit eindeutigen Handlungsanweisungen sowie kontinuierliche Betreuung und Retesting.

Wissen Sie, welchen Schaden Internet-Kriminalität in Ihrem Unternehmen anrichten kann? Wissen Sie, ob und in welchem Maß Ihre IT-Infrastruktur dagegen geschützt ist? Wissen Sie, welchen unerwünschten Zugriff von außerhalb im Unternehmen genutzte Web-Anwendungen ermöglichen? Wissen Sie, ob Ihre Mitarbeiter in Bezug auf IT-Sicherheit ’sensibel‘ sind?

Mit modularen Sicherheitsanalysen testen die Experten von CRISEC Ihre Systeme individuell.

Hier geht’s direkt zur Website von CRISEC >>

Foto © Markus Spiske von Pexels

Lesedauer: ca. 6 Min

Digitalverband-Untersuchung: Rekordschäden in Milliardenhöhe verursacht durch Cyberangriffe!

Internetangriffe sorgen nach wie vor für Rekordeinbußen in Milliardenhöhe. Zur gleichen Zeit geben die deutschen Unternehmen zu wenig für eine zeitgemäße IT-Security aus. Dabei ist die Wahrscheinlichkeit für Unternehmen, Geschädigter eines gezielten Internetangriffs zu werden, dramatisch gestiegen. Genau das zeigen die unten aufgeführten Resultate einer kürzlich erschienenen Untersuchung des Branchenverbandes Bitkom.

Stetig mehr Betriebe geraten ins Visier von Internetangreifern.

Gemäß der aktuellen Bitkom-Studie „Wirtschaftsschutz 2021“ gibt es in der BRD dieser Tage kaum noch Unternehmungen, welche von Cyberangriffen sowie aktuellen Betrugsmaschen verschont bleiben. Bereits in den letzten zwei Jahren waren schätzungsweise 9 von zehn Geschäftsbetrieben von Datendiebstahl, Spionage und Cybermanipulation betroffen.

Die zunehmende Internetkriminalität kommt Unternehmungen unterdessen teuer zu stehen: Nebst Reputationsschäden sowie der zeitlich begrenzten Verminderung der Wettbewerbsfähigkeit bewirkt sie heute einen monetären Verlust von etwa 223 Milliarden € für jedes Jahr. Diese Summe hat sich dementsprechend im Vergleich zum Untersuchungszeitraum 2018 und 2019 mehr als verzweifacht.

Kryptotrojaner auf dem Vormarsch

Als Hauptursache für diese Entwicklung gelten primär Erpressungen, Systemausfälle ebenso wie Betriebsstörungen auf Basis durchgeführter Kryptotrojaner-Attacken.

Relativ zu den Kalenderjahren 2018 und 2019 haben sich die Ransomware-basierenden Verluste mehr als vervierfacht (+358 Prozent).

Nebst Ransomware-Bedrohungen wurden im Laufe der Digitalverband-Auswertung alternative Bedrohungsarten identifiziert, deren Prävention Unternehmungen vor enorm große Herausforderungen stellt. Dazu gehören exemplarisch:

• Distributed-Denial-of-Service-Attacken: Von einem Distributed-Denial-of-Service-Angriff, kurz DDoS, waren entsprechend der Branchenverband-Erhebung, 27 v. H. der befragten Firmen betroffen. Dabei waren die Distributed-Denial-of-Service-Attacken darauf abgezielt, spezielle IT-Strukturen wie beispielsweise konkrete Webserver zielgerichtet zu überlasten und damit letztlich außer Betrieb zu setzen.
• Spoofing und Phishing: Von Spoofing, dem Vortäuschen einer fremden Identität, wie auch Phishing, dem Abfangen personenbezogener Daten, waren der Branchenverband-Auswertung zufolge 20 bzw. 18 Prozent der befragten Firmen betroffen. Dabei stieg die Summe der Spoofing-Attacken merklich an und erhöhte sich im Vergleich zu den Jahren 2018 und 2019 um 12 Prozent.

Zwischenmenschliche Beeinflussung sowie Homeoffice als Angriffspunkt!

Inzwischen beginnen die meisten jeglicher Cyberattacken im Übrigen mit zwischenmenschlicher Beeinflussung. Bei dieser Sorte von Attacke versuchen Attackierende durch zielgerichtete psychologische Manipulierung der Beschäftigten an Accountdaten oder aber sensible Geschäftsdaten zu kommen.

In den Kalenderjahren 2020 und 2021 geschahen bei 41 von Hundert der befragten Unternehmen zuletzt jene Betrugsversuche. 27 von Hundert der befragten Betriebe berichteten, dass sie fernmündlich angesprochen worden sind, 24 % wiederum per Scam-Mail. Dies dürfte in erster Linie mit auf die unterschiedlichen Arbeitsumgebungen im Zuge der COVID-19-Plage zurückzuführen sein.

Außerdem hat die erhöhte Arbeit im Home-Office ein weiteres Einfallstor für Internetkriminelle und deren strafbare Aktivitäten eröffnet. Dementsprechend lassen sich bei 59 % der teilnehmenden Unternehmen, bei denen Heimarbeit möglich ist, IT-Sicherheitsvorfälle auf diese Heimarbeit zurückführen.

Kommunikationsdaten und Betriebs-Know-how als Ziel der Cyberkriminellen!

Bei den Techniken haben es die Angreifer oft auf vertrauliche Kommunikation und kritisches Unternehmens-Know-how abgesehen. Gemäß der Verbandsauswertung handelte es sich in 63 Prozent der Fälle, in denen in der nahen Vergangenheit vertrauliche Daten erbeutet wurden, um Kommunikationsdaten. Bei 18 % der Unternehmungen wurden Firmenwissen wie zum Beispiel Konstruktionspatente oder Forschungsinformationen entwendet. Darüber hinaus wurden bei 44 % Geschäftsdaten, bei 31 % Kundendaten sowie in 19 Prozent der Fälle entscheidende Geschäftsinformationen wie bspw. Marktanalysen erbeutet.

Trotz zunehmender Anzahl erfolgreicher Kryptotrojaner-Angriffe und Szenarien von Datendiebstahl haben lediglich 24 Prozent der teilnehmenden Unternehmungen ihre Aufwendungen für IT-Sicherheit, Informationssicherheit und Internetsicherheit aufgestockt. Bei 33 % der Firmen sind die Ausgaben immer noch gleich geblieben. Verglichen mit dem kompletten IT-Finanzbedarf setzen die Unternehmen, laut Bitkom, augenblicklich nur ca. 7 Prozent für die IT-Sicherheit ein.

Nur ein zeitgemäßer Sicherheitsansatz führt zum Erfolg!

Die Bedrohungslage durch Internetkriminalität bleibt weiter ernst. Sie wird nach Einschätzung der teilnehmenden Geschäftsbetriebe in den nächsten Kalendermonaten fortschreitend kritischer. Das größte Risiko messen die Firmen hierbei Attacken mit Erpressungssoftware sowie der Ausnutzung neuer Sicherheitslücken zu.

Im Zuge dieser besorgniserregenden Entwicklung ist es besonders relevant, dass Firmen ihre Maßnahmen und Maßnahmen betreffend IT-Security, Datenschutz und darüber hinaus Internet Security permanent überprüfen, reflektieren wie auch verbessern.

Ein gutes IT-Sicherheitskonzept ist im Zuge dessen in der Regel allumfassend konzipiert.

Ausgangspunkt ist und bleibt ein aktuelles Antivirenprogramm, welches Schadprogramme reliabel bestimmt ebenso wie die Integrität und Verfügbarkeit der Firmendaten sicherstellt.

Neben einer Antivirlösung gehören heutzutage effiziente Firewall-Solutions der aktuellsten Generation wie auch Lösungen für die Netzwerksegmentierung und den Endpunkt- und Geräteschutz zu den Säulen jeglicher Unternehmens-IT. Ferner sollte jegliches umfassende IT-Schutzkonzept eine logisch geplante Backup-und Recovery Strategie, ein wirkungsvolles Patch- und Notfallmanagement und geregelte Security-Awareness-Trainings für die Angestellten, die eine wichtige Sensibilität sowie ein Bewußtsein für sicherheitskritische Aspekte erzeugen, umfassen.

IT-Sicherheit sollte zur Alltagsroutine werden!

Die Ergebnisse der Bitkom-Untersuchung sind alarmierend und pointieren die Notwendigkeit eines aktuellen IT-Securitykonzeptes.

Hierbei ist es wichtig, dass Firmen technologische, organisatorische, infrastrukturelle sowie personelle IT-Schutzmaßnahmen ergreifen, welche zum Betrieb passen, an der real bestehenden Risikolage orientiert sind, zielgerichtet zusammenwirken sowie insbesondere von den Führungskräften bis hin zu den Endusern positiv aufgenommen und beherrscht werden.

Denn nur so sind Geschäftsbetriebe in der Position, die gegenwärtigen Internetattacken abzuwehren sowie zur selben Zeit für höchste IT-Security, Datensicherheit wie auch Internetsicherheit zu sorgen.

Sie möchten mehr zum Thema Cybercrime lernen? Oder etwa Ihre IT-Schutzmaßnahmen gründlich überprüfen und sich mit zeitgemäßen präventiven, detektiven und reaktiven IT-Securitymaßnamen vor zielgerichteten Cyberangriffen schützen? Kommen Sie jederzeit gerne auf uns zu!

Foto © Mikhail Nilov von Pexels

Lesedauer: ca. 3 Min

Dass Kriminelle oft schneller und weiter sind als die Kriminalisten, ist bekannt. Das gilt auch und umso mehr für die Cyber-Kriminalität. Deshalb schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in dem auf seiner Webseite veröffentlichtem Bericht „Die Lage der IT-Sicherheit in Deutschland 2020“:

„Wie wichtig Flexibilität und Praxisorientierung im Bereich der Cyber-Sicherheit sind, wird auch am Beispiel der Corona-Krise deutlich. Denn diese hat gezeigt, wie adaptionsfähig auch Cyber-Kriminelle sind und welche Bedrohungslage daraus entstehen kann. Das BSI beobachtete eine Zunahme von Cyber-Angriffen mit Bezug zur Corona-Thematik auf Unternehmen ebenso wie auf Bürgerinnen und Bürger.“

Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2020.pdf?__blob=publicationFile&v=2 (Seite 80)

Und auf Focus Online stand im Dezember zu lesen:

„Mittwoch, 23.12.2020 | 12:43
Ein Hackerangriff legt die Produktion des deutschen Aromaherstellers und Dax-Kandidaten Symrise lahm. Es ist das nächste Beispiel dafür, dass eine bestmögliche Cyber-Sicherheit im Zeitalter der Digitalisierung für Unternehmen essenziell ist. …
Der Hersteller von Duft- und Aromastoffen aus dem niedersächsischen Holzminden ist unter der Woche das nächste, prominente Opfer von Cyber-Kriminalität in Deutschland geworden. Unbekannte Täter sollen ein Virus installiert haben. Die Behörden ermitteln. Bis der Sachverhalt geklärt ist, steht ein Konzern mit einem Jahresumsatz von 3,4 Milliarden Euro und über 10.000 Mitarbeitern quasi still. In einem eng getakteten Wertschöpfungs- und Lieferkettensystem eine wirtschaftliche Katastrophe. Für das Unternehmen selbst, wie auch für Zulieferer und Abnehmer.“

Quelle: https://www.focus.de/finanzen/boerse/aktien/s-s_id_12783995.html

Was das für Unternehmen bedeutet

IT-Security ist nicht nur essenziell, sie ist auch weder statisch noch eine einmalige Angelegenheit. Vielmehr fordert sie Unternehmen und Mitarbeiter – vor allem auch diejenigen, die seit Corona im Home-Office arbeiten – immer wieder heraus.

Das betrifft die Bereiche:

  • IT-Sicherheit
  • Computersicherheit
  • Datensicherheit
  • Datensicherung
  • Datenschutz

Auch wenn sich diese Bereiche teilweise überschneiden, so erfordern Sie doch unterschiedliche Sicherheitsinstrumente und Sicherheitsmaßnahmen. Beides möglichst aufeinander abgestimmt und in regelmäßigen Abständen angewendet. Am besten noch durch externe Sicherheitsexperten, denn die haben eine gewisse Distanz zu den ansonsten eingefahrenen Abläufen und Prozessen in den Unternehmen und damit eher die Chance, Schwachstellen, die immer wieder neu und anders entstehen können, aufzudecken.

Was können IT- bzw. Management-Verantwortliche tun?

Beginnen Sie damit, Informationssicherheit als einen dynamischen Zyklus zu verstehen. Nach einem Penetrationstest und der Ermittlung des Sicherheitsstandes werden die erforderlichen Sicherheitsmaßnahmen implementiert und umgesetzt. Dann folgen regelmäßig wiederkehrende Prüfungen, ob die ermittelten Risiken weiterhin erfolgreich beseitigt oder neue hinzugekommen sind. Dabei werden die technischen wie auch organisatorischen sowie infrastrukturellen Voraussetzungen geprüft und entsprechende Maßnahmen besprochen, die die Sicherheit optimieren.

Fragen Sie einfach unsere Sicherheitsexperten nach der Basisprüfung ITQ. Sie beraten Sie gerne und besprechen mit Ihnen die relevanten Sicherheitsbereiche hinsichtlich Ihrer Geschäftsprozesse, IT-Anwendungen, IT-Systeme und betriebsrelevanten Räumlichkeiten des Unternehmens. Einen Termin dazu können Sie gerne auch online vereinbaren. Zur online Terminvereinbarung geht es hier.