Exploits – IT-Schwachstellen und unterschätztes Hacker-Werkzeug

,

Lesedauer ‚Exploits – IT-Schwachstellen und unterschätztes Hacker-Werkzeug‘: 5 Minuten

Meltdown. Spectre. Shitrix. Log4Shell. BlueKeep. PrintNightmare. Log4j. Die Liste neuartiger IT-Sicherheitslücken vergrößert sich täglich. Richtig ernst wird es, wenn diese Lücken für kriminelle Zwecke missbraucht werden. Ein hierfür häufig eingesetztes Werkzweug: Exploits. Als ‚Brecheisen‘ oder ‚Dietrich‘ helfen sie Angreifern dabei, in ein IT-System, Betriebssystem oder Netzwerk einzudringen. Was sich hinter dieser Angriffsmethode versteckt, welche Arten es gibt und wie Sie Ihr Unternehmen davor beschützen können, lesen Sie im folgenden Beitrag.

Die Bedrohungslage durch Internetangriffe hat sich weiter verschärft. Belastend kommt hinzu, dass jene Angriffsmethoden eine zunehmende Professionalisierung, technische Entwicklung und wirtschaftliche Entfaltung erleben – und aufgrund dessen deutlich an Schlagkraft gewinnen.

Aktuellsten Studienergebnissen von SoSafe zufolge war im vorangegangenen Jahr jedes dritte Unternehmen Ziel eines ‚erfolgreichen‘ Internetangriffs. Zudem sind drei von vier dieser Unternehmen der Meinung, dass sich die Angriffslage durch Homeoffice und ‚remote‘ Arbeitsmodelle zugespitzt hat.

Wenngleich mittlerweile minütlich neue Angriffsformen erschaffen werden, sind Internetkriminelle zur Ausbreitung von Malware, Ransomware und Co. auf Sicherheitslücken und Schwachstellen in Hardware-Produkten und Software-Lösungen angewiesen. Um diese zu finden, bauen sie auf besagte Exploits.

Was ist ein Exploit?

Unter dem Oberbegriff ‚Exploit‚ wird zum einen die rein theoretische Detailbeschreibung einer IT-Schwachstelle und zum anderen ein Programm mit ausführbaren Daten und Codezeilen verstanden, mit dem IT-Sicherheitslücken sowie IT-Schwachstellen aufgezeigt wie auch ausgenutzt werden können.

Im Allgemeinen stellen Exploit-basierte Angriffe ein potentes Mittel zum Einschleusen von Schadcode dar. So erhalten Internetkriminelle weiterführenden Zugriff und die Möglichkeit, an sensible Unternehmensdaten zu gelangen. Allerdings können Exploits auch im Kontext legitimer Sicherheitsüberprüfungen genutzt werden, um etwa eine Software oder Netzwerkkomponente auf Sicherheitslücken hin zu durchleuchten. Zu guter Letzt lässt sich durch Exploits die Wirksamkeit von Sicherheitsupdates oder Patches verifizieren.

Infektionsmethoden von Exploits

Mittlerweile gibt es unterschiedlichste Wege, auf welchen Exploits auf Hardware, Software oder auch Netzwerkkomponenten gelangen können. Zwei der gängigsten Methoden sind ‚Drive-by-Download‘ und ‚Drive-by-Exploits‘:

Drive-by-Download: Beim Drive-by-Download findet die Infizierung beim Surfen auf einer speziell dafür präparierten Internetseite statt – ohne dass die Opfer etwas davon merken. In vielen Fällen kommen dabei sogenannte Exploit Kits zum Einsatz. Diese enthalten eine Sammlung verschiedener Exploits für unterschiedliche Ziele, etwa für PDF Reader oder Webbrowser wie Firefox.

Drive-by-Exploits: Bei einem Drive-by-Exploit werden die Opfer gezielt infiziert. Hierzu werden die Exploits via Dokumenten in E-Mail-Anhängen, auf USB Sticks oder externen Festplatten verteilt.

Wie funktioniert ein Angriff mit Exploits?

Eine Attacke mit Exploits läuft meist in mehreren Schritten ab.

1. Sicherheitslücken finden: Im allerersten Schritt muss eine ausnutzbare IT-Schwachstelle gefunden werden. Dafür nutzen Bedrohungsakteure meist eine der zuvor genannten Methoden, um die Exploits auf die Zielsysteme zu bringen. Sobald diese installiert sind, suchen sie nach angreifbaren IT-Sicherheitslücken bzw. IT-Schwachstellen.

2. Schadcode ablegen und Programmfluss umleiten: Sobald die Exploits eine geeignete IT-Schwachstelle entdeckt haben, platzieren diese einen Schadcode, der den normalen Programmfluss auf den manipulierten Code lenkt.

3. Aktiv werden und Malware nachladen: Der aktive Schadcode ist dann in der Position, die Eigenschaften des gekaperten IT-Systems sowie die allgemein zugänglichen Betriebssystem-Funktionen aufzurufen. Auf diese Weise sammelt der Exploit beispielsweise Auskünfte über das System und kann weiteren Schadcode, etwa eine Ransomware, einen Banking-Trojaner oder auch anderweitige Malware aus dem Internet auf das IT-System laden.

Exploits: Angriffsklassen und Verfahren

Abhängig von der genutzten Angriffsart und – der konkreten Situation geschuldet – individuellen Aspekten lassen sich Exploits in verschiedene Klassen aufgliedern:

Zero-Day-Exploits: Zero-Day-Exploits sind wohl die bekannteste und gefürchtetste Form von Exploits. Hierbei handelt es sich um Sicherheitslücken, deren Existenz nur auf Angreiferseite bekannt ist. Das bedeutet, dass herstellerseitige Gegenmaßnahmen erst nach mindestens einem erfolgreichen Angriff eingeleitet werden können. Zudem muss ein Patch dann erst entwickelt werden, wodurch Angreifer Zeit haben, weitere IT-Systeme zu manipulieren und größeren Schaden anzurichten.

Remote ausgeführte Exploits: Remote Exploits zielen auf Schwachstellen der Netzwerksoftware und benutzen manipulierte Datenpakete für ihre Angriffe.

Denial-of-Service-Exploits: Auch bekannt als DoS-Exploits. Sie führen keinerlei eigenen Programmcode auf den angegriffenen Systemen aus, sondern verursachen eine Überlastung der Anwendung.

SQL-Injection-Exploits: Webanwendungen, die auf Grundlage von SQL-Datenbanken ihre Features ausführen, sind möglicherweise über SQL-Injection-Exploits verwundbar.

Command-Execution-Exploits: Anhand eines Command-Execution-Exploits wird Schadcode vom Angreifer gelenkt und mit umfänglichen Rechten auf dem kompromittierten System umgesetzt.

Wie man sich vor Angriffen mit Exploits schützt

IT-Sicherheitslücken sind eine der größten Herausforderungen für die Sicherung der Unternehmens-IT. Um Exploit-basierten Angriffen möglichst wenig Angriffsmöglichkeit zu geben, sollten IT-Verantwortliche dafür sorgen, dass sie die aktuellsten Software- und Sicherheits-Updates auf allen IT-Systemen installiert und in sämtlichen Anwendungen implementiert haben. Diese beseitigen IT-Sicherheitslücken und sorgen dafür, dass IT-Systeme vor bereits vertrauten Angriffsmustern abgesichert sind.

Exploits, die ihre Angriffe über das Web ausführen, lassen sich in den meisten Fällen durch den Gebrauch von innovativen Firewall-Lösungen der nächsten Generation oder auch Intrusion Detection sowie Intrusion Prevention-Lösungen unterdrücken.

Fazit: Schlagen Sie Internetkriminelle mit ihren eigenen Waffen!

Die wachsende Zahl kritischer IT-Sicherheitslücken und die damit verbundenen Exploit-Angriffe werden auch in Zukunft eine unvermeidbare Gefahr bleiben. Umso entscheidender ist es für Unternehmen, ihre IT-Infrastruktur durch eine mehrschichtige IT-Sicherheitsstrategie mit wirksamen Techniken zur Exploit-Abwehr sowie IT-Sicherheitsschulungen zum Thema abzusichern. Denn nur auf diese Weise lassen sich Risiken sowie Spätfolgen eines Exploit-Angriffs erheblich verringern.

Möchten auch Sie Ihre IT-Systeme und Geschäftsanwendungen mit leistungsstarken Lösungen zur Exploit-Abwehr schützen? Oder haben Sie noch weitere Fragen zum Thema? Kontaktieren Sie uns unter 0800 4883 338 kostenfrei, wir beraten Sie gerne!

Mehr zum Thema

Hier finden Sie weiterführende Informationen zu IT-Sicherheitskonzepten im Allgemeinen, zur Datensicherheit und zu Firewall-Lösungen. Zur Website von CRISEC, unserem Service für IT-Sicherheitsanalysen, geht es hier.

Foto © Fernando Mamberti @ Pexels

/von

SSL- und TLS-Zertifikate: Sichere Websites dank Verschlüsselung

,

Lesedauer ‚SSL- und TLS-Zertifikate: Sicherer Datenverkehr dank Verschlüsselung‘: 5 Minuten

Internetkriminalität ist DAS Thema. Ungesicherte Unternehmenswebsites sind in diesem Zusammenhang ein gefundenes Fressen. Gerade Firmenwebsites, auf denen personenbezogene Angaben gemacht werden, sollten demnach gesichert sein. Das Stichwort lautet: SSL-Zertifikat. Was ein SSL-Zertifikat ist, wozu es dient, welche Auswirkungen das Fehlen eines solchen Zertifikats hat und wie Sie zu einem Zertifikat für eine Unternehmenswebsite gelangen, verraten wir Ihnen im nachfolgenden Beitrag.

Die Tage, in denen Unternehmenswebsites als starres Informationsmedium über Zeiträume hinweg die Webseitenbesucher langweilten, sind endgültig vorbei. Heute sind diese Websites mehr als nur eine ‚digitale Visitenkarte‘. Sie sind Marketinginstrument, Vertriebskanal, Service-Portal und Werkzeug zur Neukundengewinnung in einem – ein essenzieller Baustein für unternehmerischen Gewinn.

Allerdings zeichnen sich kompetente Unternehmenswebsites nicht nur durch zeitgemäßes Webdesign, hohe Benutzerfreundlichkeit und schnelle Ladezeiten aus, sondern auch durch ein fundiertes Sicherheitskonzept.

Deshalb ist der Einsatz von SSL- und TLS-Zertifikaten für Unternehmenswebsites ein zwingendes Soll. Nicht zuletzt, um eine stetig zunehmende Anzahl von Rechtsvorschriften sowie weitere verpflichtende Bedingungen zu befolgen, welche aus der europäischen Datenschutz-Grundverordnung (EU-DSGVO), dem Telemediengesetz (TMG), der ePrivacy-Richtlinie oder einem neuen Beschluss des Bundesgerichtshofs (BGH) zur aktiven Einwilligungsmöglichkeit der Cookie-Nutzung resultieren.

SSL- und TLS-Zertifikat kurz erklärt

Einfach gesprochen sind SSL- und TLS-Zertifikate kleine Datenpakete, welche die Identität einer Unternehmenswebsite sicherstellen und sämtliche Datenverbindungen zwischen dem Browser und der Domain auf dem Webserver verschlüsseln.

Die Kurzbezeichnung SSL steht für ‚Secure Socket Layer‚ und ist streng genommen ein altmodisches Protokoll, welches zur Verschlüsselung und Authentifizierung sensibler und vertraulicher Informationen zwischen einer Anwendung und einem Webserver verwendet wird. Mittlerweile funktionieren Zertifikate mit dem moderneren, sichereren Transport Layer Security-Protokoll (TLS). Im allgemeinen Sprachgebrauch wie auch in der Praxis wird allerdings weiterhin von SSL-Zertifikaten gesprochen, sofern es um eine Absicherung von Firmenwebsites sowie Webservern über diese Verschlüsslungstechnik geht.

Üblicherweise werden SSL- und TLS-Zertifikate verwendet, um Kontaktformulare, Login-Areale, Online-Bezahlungen und sonstige Datenübertragungen zu sichern.

Welche SSL- und TLS-Zertifikate gibt es?

Um ein SSL- oder TLS-Zertifikat zu erhalten, müssen sich Unternehmen an eine Zertifizierungsstelle wenden, welche durch das Public Key Infrastructure Consortium (PKI) – der Organisation zur Erhöhung der Datensicherheit im Internet – für den Vertrieb von SSL- und TLS-Zertifikaten berechtigt wurden.

Website-Betreiber können hierbei zwischen drei verschiedenen Versionen von SSL- und TLS-Zertifikaten wählen:

Domain Validation-Zertifikat – Dieses Zertifikat bildet die unterste Stufe der SSL- und TLS-Zertifikate. Das bedeutet, dass die Überprüfung der Websitebetreiber bei der Erstellung dieser Version nicht besonders ausführlich ist. Oftmals versendet die Zertifizierungsstelle lediglich eine Mail an die im ‚WHOIS-Eintrag‘ angegebene Mail-Adresse und fordert die Antragsteller auf, (z.B.) einen DNS-Eintrag zu ändern oder eine besondere Datei auf seinen Server zu ladenund so den Besitz der Domain zu verifizieren. Da der Überprüfungsvorgang hier meist gänzlich automatisiert verläuft, werden Domain-Validation-Zertifikate unter Experten oftmals als nicht sicher eingestuft. Manche Browser markieren daher Domain-Validation-Zertifikate, um auf die vergleichsweise niedrigen Sicherheitsstandards hinzuweisen.

Organization Validation-Zertifikat – Diese Version ist vom Sicherheitsniveau eine Stufe höher angesiedelt und wird erst nach einer präzisen Unternehmensprüfung ausgestellt. Website-Besucher haben die Möglichkeit, die Vertrauenswürdigkeit der Internetseite genau zu kontrollieren.

Extended Validation-Zertifikat – Dieser Typ von SSL-und TLS-Zertifikat wird nach äußerst strikten Auswahlkriterien vergeben und stellt dementsprechend die höchste Sicherheitsstufe dar. Die Zertifizierungsstellen begutachten neben der Website das in Beziehung stehende Unternehmen und den Bewerber selbst.

Alle Varianten sind für eine einzelne Internetseite oder als Multidomain-Lösung (SAN-Zertifikate) verfügbar.

Kostenlose vs. kostenpflichtige Zertifikate

Geht es um die bloße Sicherung einer Unternehmenswebsite, erfüllt ein kostenfreies Zertifikat die Ansprüche ebenso gut wie ein kostenpflichtiges. Nichtsdestotrotz gibt es einige Details, in denen sich kostenlose und kostenpflichtige Zertifikate voneinander unterscheiden.

Validation Level – Die Verschlüsselungs-Levels sind für jedes SSL- und TLS-Zertifikat die selben, jedoch unterscheiden sie sich im erforderlichen Verifizierungsprozess. Grundlegend gilt: Zertifikate mit einer höheren Sicherheitsstufe sind generell kostenpflichtig.

Gültigkeit – Die meisten kostenpflichtigen SSL- und TLS-Zertifikate sind ein bis zwei Jahre gültig. Kostenlose Zertifikate laufen dagegen nach maximal 90 Tagen ab. Firmen, die auf gebührenfreie Zertifikate bauen, müssen diese also ständig neu beantragen bzw. austauschen.

Domain-Zugehörigkeit – Ein kostenloses SSL- oder TLS-Zertifikat lässt sich immer bloß für eine einzelne Domain erzeugen und an diese ist es dann auch gebunden. Kostenpflichtige Zertifikatlösungen sind domainübergreifend nutzbar.

Wie erkenne ich, ob eine Website über SSL erreichbar ist?

Entsprechend zertifizierte Unternehmenswebsites weisen am Anfang der Internetadresse ein ‚https‘ statt ‚http‘ aus. Das ’s‘ steht dabei für ’secure‘ und zeigt dem Website-Besucher, dass dem Hypertext-Transfer-Protocol eine erweiterte Verschlüsselungsschicht angehängt ist. Darüber hinaus kann eine sichere Verbindung durch ein ‚Geschlossenes Vorhängeschloss‘-Symbol oder eine grüne Adressleiste angezeigt werden.

Google rät jedem Unternehmen bzw. Websitebetreiber, SSL- und TLS-Zertifikate zu verwenden. Bereits seit 2014 wird dies zusätzlich mit positivem Suchmaschinen-Ranking honoriert.

Ohne Websitesicherheit kein Kundenvertrauen

Die aktuelle Situation Internetkriminalität betreffend verschafft dem Thema ‚SSL- und TLS-Zertifikate‘ neue Relevanz. Und immer noch sind zu viele Unternehmenswebsites – gerade die kleiner und mittelständischer Betriebe – gar nicht oder nur unzureichend zertifiziert.

Neben dieser existenzsicherenden Tatsache gibt es weitere gute Argumente für den Einsatz eines adäquaten Zertifikats:

  • Das Vertrauen von Kunden und Interessenten wird gefestigt
  • Ein Zertifikat hat positive Auswirkungen auf das Suchmaschinen-Ranking
  • Rechtsvorschriften und Leitlinien werden eingehalten bzw. erfüllt

Es sei aber nochmals ausdrücklich erwähnt: SSL- und TLS-Zertifikate erfüllen ihren Zweck nur dann, wenn sie von einer vertrauenswürdigen Zertifizierungsstelle stammen. Die Bundesdruckerei hat hierzu in einem Artikel die bedeutendsten Faktoren detailliert dargestellt.

Ihre Unternehmenswebsite hat bislang kein SSL- oder TLS-Zertifikat? Dann wird es allerhöchste Zeit! Eine Unternehmenswebsite ohne Zertifikat ist vergleichbar mit einem Unternehmen ohne Schloß an der Eingangstür … Haben Sie weitere Fragen zu Zertifikaten oder Verschlüsselung? Sind Sie auf der Suche nach einer geeigneten Zertifizierungsstelle? Kontaktieren Sie uns unter 0800 4883 338, wir beraten Sie gerne!

Quelle und weitere Details hier | Foto © Ekrulila @ Pexels

/von

Managed IT Service: Dienstleistung aus Experten-Hand

, , , ,

Lesedauer ‚Managed IT Service: Dienstleistung aus einer Hand‘: 8 Minuten

Eine zeitgemäße IT-Infrastruktur ist hyperskaliert, hyperdynamisch und … hyperkomplex. Kein Geheimnis also, dass Unternehmen im Bereich IT zunehmend auf Managed Service-Konzepte bauen, um die interne IT-Abteilung zu entlasten, technische Prozesse zu optimieren, freie Ressourcen zu schaffen sowie IT-Ausgaben zu mindern. Aber was sind Managed IT Services eigentlich und welche Faktoren sprechen für die Buchung solcher Services? Antworten erhalten Sie im folgenden Blogbeitrag.

Ob mittelständisches Unternehmen oder Großkonzern: Eine stabile IT-Infrastruktur ist der Grundstein eines jeden Unternehmens. Allerdings leiten die zunehmende digitale Vernetzung, die Einbeziehung einer großen Anzahl digitaler Technologien (mit immer kürzeren Produktlebenszyklen) sowie die hohen Gesetzesauflagen dazu, dass IT-Strukturen in Betrieben immer umfangreicher werden.

Auf der anderen Seite fehlt es heutzutage in Unternehmen nicht selten an Zeit, Kapital, Fachkräften und passendem Know-how. Deshalb werden immer mehr Teilbereiche der IT-Infrastruktur über Managed IT Services von einem externen IT-Dienstleister betreut.

Einer Datenerhebung des IT-Sicherheitsdienstleisters Eset entsprechend arbeiteten im Jahre 2021 bereits 62 Prozent der befragten Betriebe in der DACH-Region (Deutschland, Österreich, Schweiz) mit einem Managed Service Provider zusammen oder hatten vor, dies im Laufe des Jahres anzugehen.

Managed Service – IT-Administration mit Köpfchen

Zunächst einmal die Definition: Managed IT Services sind wiederkehrende IT-Dienstleistungen, welche im Arbeitsauftrag eines Unternehmens von außenstehenden IT-Dienstleistern (sog. Managed Service Provider oder kurz MSP) geleistet werden. Dazu zählen unter anderem die Zurverfügungstellung, Beaufsichtigung und Administration von Anwendungen, Netzleistungen, Speicherplatz, IT-Sicherheit, die Weiterentwicklung von Geschäftsabläufen sowie technischer IT Support für ArbeitnehmerInnen.

Kategorie und Umfang der entsprechenden IT-Dienstleistungen werden im Voraus im Detail festgelegt und zwischen den beiden Parteien durch sog. Managed Service Agreements (MSA) oder Service Level Agreements (SLA) vertraglich festgelegt.

Managed IT Services werden üblicherweise im monatlichen Turnus erbracht, weshalb die Rechnungstellung in der Regel ebenfalls monatlich und nach definierten Tarifmodellen erfolgt. So ist die Abrechnung 100% transparent und die Erbringung der IT-Dienstleistungen eindeutig messbar.

Welche IT-Dienstleistungen decken Managed IT Services ab?

Managed Service-Modelle bieten drei verschiedene Formen der Leistungserbringung:

  1. IT-Dienstleistung vor Ort – Bei dieser Art der Leistungserbringung laufen die IT-Systeme am Standort des Klienten. Die Verwaltung sowie die Beaufsichtigung finden über ein System für das Remote Monitoring + Management (RMM) statt.
  2. IT-Dienstleistungen via Fernzugriff – Die IT-Dienste werden auf der Infrastruktur des IT-Dienstleisters betrieben und über das Netz bereitgestellt. Einige Managed Service Provider unterhalten hierfür ein persönliches Rechenzentrum, andere wiederum arbeiten mit Colocation-Anbietern zusammen.
  3. IT-Dienstleistungen über die Cloud – Das dritte Modell besteht darin, Managed IT Services auf einer sog. Public Cloud-Plattform bereitzustellen.

Umfassten Managed IT Services zu Beginn vor allem die Beaufsichtigung der Server- sowie Netzwerkinfrastrukturen, decken sie mittlerweile einen enormen Teilbereich der IT ab:

Storage-Services – umfassen die Bereitstellung, Konfiguration und Wartung von Speicherplätzen

Cloud Computing – beinhalten IT-Dienstleistungen rund um Cloud Computing und die Verlagerung der IT in die Cloud

Backup- und Recovery Services – umfassen die Erstellung von Backups und eine Datenwiederherstellung im Katastrophenfall

IT-Sicherheit – beinhalten IT-Dienstleistungen rund um die IT-Sicherheit; zum Beispiel die Bereitstellung, Konfiguration sowie das Aktualisieren von Antivirenprogrammen, Antispam-Lösungen oder aber Firewall-Lösungen, um die Netzwerk-Absicherung und Desktop-Sicherheit zu garantieren

Remote Monitoring – umfasst die kontinuierliche Fernüberwachung und Fernsteuerung der Server, IT-Systeme sowie IT-Lösungen

Update- und Patch Management – umfasst das Aktualisieren sowie Patchen der eingesetzten IT-Systeme sowie IT-Lösungen

Application Services – umfassen die Bereitstellung, Anpassung und Wartung von wichtigen Server-Applikationen

Helpdesk Services – beinhalten alle Support-Dienste

Managed Services und IT Outsourcing – zwei Paar Schuhe

Während IT Outsourcing die Ausgliederung kompletter IT-Aufgaben sowie IT-Segmente an einen IT-Dienstleister bedeutet, werden beim Managed IT Service-Modell häufig nur bestimmte Teilbereiche der IT-Infrastruktur ausgelagert.

Des Weiteren geht IT Outsourcing in der Regel generell mit einem Arbeitsplatzabbau einher. Managed IT Services haben hingegen die Absicht, die IT-Teams zu entlasten, damit sie sich besser auf deren Kernaufgaben konzentrieren können.

Ein anderer essentieller Unterschied zwischen Managed IT Services und IT Outsourcing besteht darin, dass letzteres de facto einem Kontrollverlust über die unternehmerische IT gleichkommt. Im Gegensatz dazu verbleiben die Assets bei Managed Services im Unternehmen.

Welche Vorteile Managed IT Services haben

Managed Services erzeugen vielfältigen strategischen Nutzen. Dazu zählt unter anderem:

Wachstum – Unternehmen im ganzen verfügen über gesteigerte Kapazitäten zur Realisierung einer langfristigen strategischen Ausrichtung.

Kostenkontrolle – Mit Managed Services haben Betriebe ihre IT-Aufwendungen besser im Griff. Kosten sind vertragliche definiert und zusätzlich helfen die Rahmenbedingungen des Konzepts, künftige Anpassungen präzise zu kalkulieren. Unerwartete Ausgaben oder Budget-Engpässe im Bereich IT werden so vermieden.

Effizienz – Besonders für kleinere Unternehmen ist es eine Herausforderung, genügend Fachkräfte für die interne IT-Abteilung zu stellen. Dank Managed IT Services profitieren die Betriebe vom Know-how eines beachtlichen Expertenteams, das ihnen nicht bloß die nötige IT-Beratung bietet, sondern auch herausfordernde Angelegenheiten übernimmt.

Gesteigerte Sicherheit – Durch die stetig steigende Anzahl an Angriffen aus dem Internet erhöht sich der Stressfaktor für Unternehmen, sich in Bezug auf Daten-Compliance abzusichern. Die Sicherheitslösungen von Managed Services gestatten es, auf diese Bedrohung angemessen zu reagieren. Zudem verfügen Managed Service Provider meist über mehr Sicherheitsexpertise und leistungsfähigere Software, als ‚vor Ort‘ in kleinen und mittelständischen Betrieben vorhanden sind.

Digitalisierung – Die digitale Transformation ändert die Arbeitswelt drastisch. Kaum ein Unternehmensbereich ist davon stärker betroffen als die IT. Durch Managed IT Services können Betriebe in Kürze technische Innovationen der Industrie 4.0 (leistungsfähige Cloud-Lösungen o.ä.) realisieren. Dadurch werden Unternehmen agiler und skalierbar.

Hochverfügbarkeit – Da Managed Service Provider typischerweise mit mehrfach redundanten Systemen arbeiten, gewährleisten sie eine hohe Ausfallsicherheit der IT (je nach Leistungsumfang wird eine Verfügbarkeit von bis zu 99,95 Prozent garantiert).

Der Einkauf von Managed IT Services lohnt sich

Managed IT Services sind im Kommen. Dies liegt hauptsächlich daran, dass sie die wachsende Komplexität von IT-Infrastrukturen mindern, für mehr Transparenz sorgen und freie IT-Ressourcen schaffen. Aufgrund dessen sind sich IT-Experten einig: Managed Service-Konzepte sind für jedes Unternehmen eine gute Entscheidung, wenn es um die IT geht.

Möchten Sie mehr über das Thema erfahren? Sind Sie an der Implementierung von Managed Services in Ihrem Unternehmen interessiert? Dann sind unsere Managed Service-Konzepte möglicherweise die passende Lösung für Sie. Unter der kostenfreien Rufnummer 0800 4883 338 beraten wir Sie gerne. Zudem erfahren Sie hier auf unserer Website mehr zu Managed Services von Schneider + Wulf.

Foto © George Morina @ Pexels

/von

HCI – Wissenswertes zum Thema Hyperkonvergente Infrastrukturen

, ,

Lesedauer ‚HCI – Wissenswertes zum Thema Hyperkonvergente Infrastrukturen‘: 5 Minuten

Das Rechenzentrum bildet das Herzstück vieler Unternehmen. Allerdings wird Ihr Betrieb mit zunehmender Digitalisierung von unternehmensinternen Vorgängen sowie dem Gebrauch einer Vielzahl unterschiedlichster Infrastrukturkomponenten diverser Hersteller ständig komplexer. Für viele stellt sich daher die Frage, wie man schnell und einfach für erweiterte Leistungsfähigkeit sorgen kann, ohne dabei IT-Kosten oder die besagte Komplexität weiter nach oben zu treiben. An dieser Stelle kommen hyperkonvergente Infrastrukturen ins Spiel. Um was es bei hyperkonvergenten Infrastrukturen geht, wo die Unterschiede zwischen hyperkonvergenten und konvergenten Infrastrukturlösungen liegen und welche Vorteile hyperkonvergente Infrastrukturen bieten, erfahren Sie in diesem Artikel.

Im Zeitalter von Industrie 4.0, Big Data, dem Internet der Dinge & Co. hängt der ökonomische Erfolg von Unternehmen in erster Linie von der Kompetenz ab, neue Anwendungen, Dienstleistungen und Waren in ständig knapperen Zeiträumen verlässlich sowie flexibel bereitzustellen. Allerdings setzt das eine IT-Systemlandschaft voraus, welche den ansteigenden Anforderungen unseres digitalen Zeitalters standhält und sich durch hohe Skalierbarkeit, Flexibilität sowie Ausfallsicherheit auszeichnet.

Da die konventionelle sowie mehrstufige Rechenzentrumsarchitektur mit ihrer vielschichtigen, heterogenen und steifen Systemlandschaft den modernen Ansprüchen immer weniger gerecht wird, gewinnen hyperkonvergente Infrastrukturen, kurz HCI (Hyper-Converged Infrastructure), immer mehr an Bedeutung – wie die Erkenntnisse einer aktuellen Analyse von techconsult zeigen.

Dieser Analyse zufolge denken bereits bereits zwei Drittel der Unternehmen in Deutschland über denUmstieg auf hyperkonvergente Infrastrukturlösungen nach – oder befinden sich bereits in der Planung.

Das ist auch nicht überraschend, denn einem Whitepaper der International Data Corporation, kurz IDC, entsprechend verzeichnen Unternehmen, welche auf eine solche hyperkonvergente Infrastrukturlösung wechseln, etliche Verbesserungen: Bis zu 50 % niedrigere Unterhaltskosten über fünf Jahre, 91 % geringere spontane Ausfallzeit, 50 % schnellere Entwicklungslebenszyklen für neue Features, 71 % bessere IT-Infrastruktur-Teams sowie 93 % weniger Personalzeit für die Bereitstellung neuer Server.

Was sind hyperkonvergente Infrastrukturen?

Bei hyperkonvergenten Infrastrukturen dreht es sich um den Architekturansatz, bei dem verschiedene Infrastrukturkomponenten des Rechenzentrums wie Server, Datenspeicher, Netzwerk, Virtualisierungsplattform und Managementsoftware in einem dezidierten System gebündelt werden. Dabei setzen hyperkonvergente Infrastrukturen entschlossen auf die Virtualisierung und eine software-zentrierte Gestaltung. Dies bedeutet, dass sämtliche Infrastrukturkomponenten sowie eingebettete Technologien von der Hardware entkoppelt und als flexible Komponenten auf die Schicht des ‚Hypervisors‘ übertragen werden. Die Hypervisor-Software bildet die gesamte IT-Infrastruktur in einer virtuellen Umgebung ab und verteilt die Rechen- sowie Speicherressourcen gleichmäßig auf die unterschiedlichen Infrastrukturkomponenten.

Hyperkonvergente Systeme funktionieren somit grundsätzlich wie Cloud-Dienste: Auf der abstrahierten Ebene werden Services bereitgestellt, welche auf virtuellen Servern funktionieren, wobei die Hardware-Lösung im Hintergrund für den Nutzer weder sichtbar noch von Bedeutung ist.

Inwiefern unterscheidet sich eine hyperkonvergente von einer konvergenten Infrastruktur?

Obgleich konvergente wie auch hyperkonvergente Infrastrukturlösungen die Komplexität heterogener Rechenzentren lösen, gibt es ebenso erhebliche Unterschiede hinsichtlich des Umgangs mit Ressourcen. Bei einer konvergenten Infrastruktur werden die jeweiligen Infrastrukturkomponenten aufeinander abgestimmt und in der sogenannten Appliance orchestriert. Dabei bleiben selbige grundsätzlich autonom, sodass diese abgekoppelt benutzt oder skaliert werden können – doch ebenso administriert sowie gewartet werden müssen. In einer hyperkonvergenten Infrastrukturlösung dagegen steht, wie bereits erörtert, die Software im Mittelpunkt und gestattet die Verwaltung, Steuerung sowie Beaufsichtigung sämtlicher Komponenten und zugehörigen Technologien von einem inneren System aus.

Über eine engere Einbeziehung der jeweiligen Softwarekomponenten schreiten hyperkonvergente Systeme über die reine Rechenkapazität, den Speicher, das Netzwerk sowie die Virtualisierung hinaus. Auf diese Weise beinhalten hyperkonvergente Systeme meist auch Technologien etwa Daten-Deduplizierung, Datenkomprimierung für einen Transport über das Computernetz oder aber WAN-Optimierung. Außerdem enthalten hyperkonvergente Infrastrukturlösungen Gateways für die Cloud-Anbindung oder lassen sich in ein Desaster-Recovery-Konzept einbinden, das mehrere Rechenzentren enthält. Die Verwaltung sowie Bedienung der ganzen IT erfolgt bei HCI über eine relevante Software-Plattform, häufig in Form eines Web-Frontends.

Mehr Performance und Flexibilität mit hyperkonvergenten Infrastrukturen

Hyperkonvergente Infrastrukturen haben sich in den vergangenen Jahren zu einer wahrhaft innovativen Option zur herkömmlichen Rechenzentrumsinfrastruktur entwickelt. Die Vorzüge von hyperkonvergenten Systemen sprechen für sich – hyperkonvergente Infrastrukturen sind beispielsweise

  • skalierbar, flexibel und variabel, weil innovative IT-Services und Server bei Bedarf rasch zur Verfügung gestellt sowie eingebunden werden können.
  • effizient und entlastend, weil sie die Komplexität mindern und einen deutlich kleineren administrativen Aufwand herbeiführen. Außerdem lassen sich Standard-Anwendungen automatisieren.
  • leistungsstark, weil sämtliche Systemkomponenten enger untereinander verzahnt sind, zudem werden erforderliche Ressourcen optimal verteilt.
  • kosteneffizient, weil Betriebe nur für Ressourcen zahlen, die sie de facto benötigen.
  • hochverfügbar und sicher, da zum einen Backup-Vorgänge und Wiederherstellungsfunktionen bereits vorinstalliert sowie automatisiert und zum anderen sämtliche Komponenten digital verfügbar sind. Sodass können Anwendungen und Services ohne Datenverlust oder Systemausfälle gewechselt werden.

Der Umstieg auf HCI lohnt sich

Für agile Unternehmen sind Flexibilität sowie Skalierbarkeit relevante Aspekte für die Wettbewerbsfähigkeit – und somit letztlich für den Geschäftserfolg. Hyperkonvergente Infrastrukturen formen hierzu als schlanke ‚All-in-One-Lösung‘ eine solide Grundlage. Dank der guten Skalierbarkeit gepaart mit der vereinfachten Verfügbarmachung von IT-Ressourcen und einem einfachen Monitoring und Organisieren sind hyperkonvergente Infrastrukturen für sämtliche Betriebe, welche das Rechenzentrum zukunftssicher sowie flexibel positionieren möchten, sinnvoll.

Wollen auch Sie Ihre Rechenzentren mit der hyperkonvergenten Infrastrukturlösung bündeln und so langfristig IT-Kosten senken? Haben Sie weiterführende Fragen zum Thema? Kontaktieren Sie uns unter 0800 4883 338 (kostenfrei innerdeutsch)!

Foto © Digital Buggu @ Pexels

/von

Was steckt in der Cloud-Storage-Lösung OneDrive? Eine Analyse

, ,

Lesedauer: 6 Minuten

Dropbox, Google Drive, iCloud … Cloud-Dienste gibt es mittlerweile viele. Die Lösung aus dem Hause Microsoft auf dem Cloud-Storage-Markt nennt sich OneDrive. Was kann OneDrive? Beeindruckt die Cloud-Lösung in Sachen Datenschutz? Bewährt sich der Service tendenziell für private oder für geschäftliche Anlässe? Wir haben OneDrive genau unter die Lupe genommen.

Mit Unterstützung des von Microsoft bereitgestellten Cloud-Dienstes OneDrive kann man beliebige Daten in der Cloud speichern, damit diese ortsunabhängig auf Abruf verfügbar sind – per Browser, Client-Anwendung oder OneDrive-App (erhältlich für WindowsPhone, iOS und Android).

Cloud-Storage dient aber nicht nur dem reinen Datenzugriff von überall. Vor allem im Falle eines Endgeräteverlusts oder -defekts ist es enorm wertvoll, wenn wichtige Daten an einem anderen Ort, beispielsweise eben in OneDrive, gespeichert sind. Eine Funktion, welche privat, vor allem aber geschäftlich extrem nützlich ist (Vorsicht: Ein Backup wird damit dennoch nicht ersetzt!).

Damit sämtliche Daten immer und überall synchron sind, kann man ganz einfach einen als ‚OneDrive-Ordner‘ bezeichneten Ordner auf dem Computer anlegen. Alle Dateien, die in diesen Ordner bewegt werden, landen dann automatisch in der OneDrive-Cloud. In dem Moment, wo Daten auf irgendeinem Endgerät hinzugefügt, verändert oder beseitigt werden, erfolgt eine automatische Synchronisierung auf allen anderen Geräten bzw. Speicherorten. Einzige Anforderung dafür: Eine Verbindung mit dem Internet.

Für den Dateiaustausch mit Anderen lassen sich Dokumente oder Fotos aus OneDrive problemlos teilen – sei es das Geburtstagsfoto des Enkels für die Oma oder der Geschäftsbericht, den man dem Chef zur Durchsicht zukommen lassen möchte. Statt eine Datei via E-Mail zu verschicken oder sie auf einen USB-Stick zu ziehen (und so für eine Kopie der Datei zu sorgen), verschickt man einen personalisierten Direktlink zur Datei in OneDrive.

Tipp: Wenn Sie Windows 10 als Betriebssystem nutzen, ist OneDrive bereits auf Ihrem PC installiert. Bei einer anderen Windows-Version müssen Sie erst die OneDrive-App installieren.

OneDrive for Business – die Microsoft-Cloud für Unternehmen

Wie erwähnt lässt sich die OneDrive Standard-Lösung auch geschäftlich nutzen – mit ‚OneDrive for Business‘ bietet Microsoft jedoch ein Produkt an, welches dediziert für den Einsatz in Unternehmen konzipiert und somit optimal auf die Zusammenarbeit in Teams individualisiert wurde. Hier beruht die Cloud-Option im Schwerpunkt auf der Technologie von Microsoft SharePoint und kann deshalb weit mehr als ein ’normaler‘ Cloud-Speicherdienst: Per OneDrive for Business können mehrere Personen zeitgleich gemeinsam an einem Dokument arbeiten. ‚Co-Authoring‘ nennt man diese leistungsfähige Arbeitsweise, die effizientes Teamwork möglich macht.

OneDrive ist ein echter Teamplayer und arbeitet Hand in Hand mit anderen Microsoft-Applikationen – insbesondere mit Microsoft 365. Beispielsweise kann eine PowerPoint-Präsentation, die Person A in OneDrive abgelegt hat, von Nutzer B via Browser angesehen und überarbeitet werden, ohne dass Nutzer B PowerPoint auf seinem Endgerät installiert haben muss. Und Person C kann von einem anderen Teil der Welt hierbei zusehen und die Veränderungen beurteilen. Diese Möglichkeiten erleichtern die kollaborative Arbeit enorm, vor allem in den Teams, die mit Betriebssystemen von Microsoft und Apple arbeiten. Dank der automatischen Daten-Synchronisation von OneDrive können zudem alle Mitarbeiter immerzu die aktuelle Version abrufen – ganz ohne ‚Handarbeit‘.

In diesem Zusammenhang steht ein weiterer Vorteil von OneDrive for Business: Die Dokumentenversionierung. So können Benutzer ältere Versionen der in OneDrive gespeicherten Dokumente rekonstruieren (üblicherweise werden die letzten 500 (!) Versionen eines Dokuments gespeichert).

Erfüllt OneDrive auch strenge Sicherheitsstandards?

Eines ist klar: Für eine Lösung wie OneDrive, in der sensible Daten gespeichert sind, spielt das Thema Datenschutz eine zentrale Rolle. Zudem muss nachvollziehbar sein, wer (zumindest theoretisch) Einblick in die dort abgelegten Daten hat.

Wie ist hier der Status Quo? Nun, OneDrive verfügt über eine Standard-SSL-Verschlüsselung bei der Übertragung von Dokumenten – einmal auf dem Server gespeichert, kommt eine 256bit-AES Verschlüsselung zum Einsatz, um die Daten zu schützen. Wer seine Daten innerhalb von OneDrive extra verschlüsseln will, dem können Tools wie Boxcryptor oder Microsoft BitLocker als Erweiterung für den geschützten Einsatz von OneDrive im Unternehmen behilflich sein. OneDrive for Business offeriert ebenso eine Zwei-Faktor-Authentifizierung, die dafür sorgt, dass bloß autorisierte Nutzer Zugriff auf die Dateien erlangen können (eine weitere simple, aber effektive Maßnahme zur Absicherung vor Hackern: Nutzen Sie gut funktionierende Passwörter und ändern Sie diese periodisch).

Wo werden die Daten gelagert?

Dies ist eine zentrale Frage. Denn wenn die Datenspeicherung in OneDrive auf amerikanischen Servern stattfindet, ist das – besonders im Hinblick auf die strikten Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO) – als bedenklich zu betrachten. Tatsächlich wäre der Einsatz für europäische Firmen damit gar nicht möglich, ohne geltende Datenschutzverordnungen zu verletzen. Microsoft weiß natürlich um diesen Zustand. Daher werden die Daten sämtlicher Unternehmen, welche OneDrive for Business verwenden, und den Firmensitz innerhalb Europas haben, auf Servern in Rechenzentren in der Europäischen Union gespeichert. Wer genaue Auskünfte sucht, an welchem Ort Microsoft die Daten speichert, wird auf dieser Seite fündig. Dort sind alle Standorte der von Microsoft verwendeten Rechenzentren pro genutztem Microsoft-Dienst nachvollziehbar aufgeführt.

Cloud-Speicherdienste im Allgemeinen werden oft wegen angeblicher Datenschutzbedenken angeprangert. Mangelnde Undurchsichtigkeit oder eine nicht saubere Ausführung des Themas IT-Sicherheit kann man Microsoft bei ihrem Dienst OneDrive for Business allerdings nicht vorwerfen – selbst wenn das Unternehmen seinen Firmensitz in den USA hat. Nichtsdestotrotz sei an selbiger Stelle erwähnt, dass Microsoft sich durch Bestätigung der OneDrive-Nutzungsbedingungen das Recht einholt, die Daten der Kunden automatisiert zu durchforsten. Diese Handlung eignet sich dazu, Dateien zu finden, welche unangemessene Inhalte zeigen. Sieht der Microsoft-Crawler Daten, die gegen die Richtlinien verstoßen, droht eine Kontosperrung.

Legt man in der persönlichen OneDrive-Cloud als frisch gebackene Eltern beispielsweise das allererste Foto des neugeborenen Babys ab, auf welchem das Kind möglicherweise unbekleidet ist, könnte das unter Umständen tatsächlich zu einer Kontosperrung führen – über einen automatischen Datenscan per PhotoDNA-Technik könnte das jeweilige Foto entdeckt und als unangemessen eingestuft werden. Die Diskussion darüber, inwiefern jene verdachtsunabhängigen Scans sinnvoll und laut Gesetz überhaupt zulässig sind, wird bereits seit längerer Zeit geführt – bis jetzt mit variierenden Ergebnissen. Doch Fakt ist: Wer OneDrive nutzt, der stimmt dem Einsatz dieser Technik und dem automatischen Scan seiner Daten zu. Das muss man wissen, wenn man das Programm nutzt oder plant, es einzusetzen.

Wenn Sie Interesse haben, OneDrive in Ihrem Betrieb zu nutzen, sprechen Sie uns unter der kostenfreien Rufnummer 0800 4883 338 gerne an. Wir können Sie im Umgang mit OneDrive schulen, helfen bei der Konfiguration des Zugriffsmanagements und sorgen dafür, dass Sie OneDrive for Business zuverlässig einsetzen. Außerdem unterstützen wir auf Wunsch beim Datenumzug und dem Anlegen einer Ablagestruktur – um was es auch geht: Wir sind Ihr Experte rund um Microsoft OneDrive!

Foto © Ruvim @ Pexels

/von

Aber sicher! Microsoft 365 Security Management

, ,

Lesedauer: 1 Minute

Schon in diesem, gestern veröffentlichten Artikel ging es um Ransomware. In Folge möchten wir das Thema aus anderer Sicht beleuchten und Ihnen ganz konkret zeigen, welche Hilfe in diesem (und anderem) Zusammenhang sinnvolles Microsoft 365 Security Management bietet.

Fakt ist: Alle 11 Sekunden wird ein Angriffsversuch mit Ransomware auf Unternehmen durchgeführt. Zieht man nun in Betracht, wie weitverbreitet Produkte und Lösungen von Microsoft sind wird schnell klar, dass gerade darauf basierende Infrastrukturen beliebte Angriffsziele sind.

Der weltweit entstandene finanzielle Schaden durch Ransomware im Jahr 2021 wird auf rund 20 Milliarden Dollar geschätzt – Analysen zufolge fällt das Gros davon unter Angriffe im Zusammenhang mit geschäftlicher Mail-Kommunikation. Und auch hier gilt: Durch die hohe Verbreitung von Microsoft Office sind Ransomware-Attacken (fast) an der Tagesordnung. Mit gravierenden finanziellen Folgen und möglichem Imageschaden.

Prävention, aber wie?

Auf Microsoft 365 abgestimmte Sicherheitslösungen bieten mehrere Hersteller. Primär sollten diese die integrierten Sicherheitsinstrumente unterstützen und so das Sicherheitsniveau soweit erhöhen, dass Angriffe weitgehend ausgeschlossen werden können. Wichtige Faktoren für die Leistungsfähigkeit solcher Produkte sind:

Spam-Erkennungsrate – Qualitativ hochwertige Security-Produkte weisen eine Rate nahezu 100% auf.

‚Zero Day Attacks‘ – Neuartige Viren werden von Standardsystemen oft nicht erkannt und entsprechend auch nicht gefiltert. Aufgrund spezieller Technik können gute Sicherheitslösungen neuartige Bedrohungen bereits vor Bekanntwerden stoppen.

Schutz vor verschlüsselten Angriffen – Microsoft Office bietet hier standardmäßig keinerlei Schutz.

Gateaway für Mail-Encryption – Ebenfalls im Standard der Microsoft Mail-Office Protection nicht vorhanden. Geeignete Security Tools sollten in Sachen Mail-Archivierung und -Verschlüsselung fit sowie DSGVO-/GOBD-konform sein.

Reporting – Detaillierte Reports sind im Microsoft-Standard nicht vorgesehen.

Neben diesen Punkten sollten Sie über eine Lösung zur Datensicherung und -wiederherstellung (im Bedarfsfall) nachdenken. Denn leider ist es auch hier so, dass Microsoft keine Optionen ‚out of the box‘ bietet.

Im Rahmen unserer Microsoft-Projekte berücksichtigen wir dieses Thema vom Start weg. Falls Sie losgelöst davon Fragen zum Thema ‚Microsoft 365 Security Management‘ haben, stehen wir Ihnen unter der kostenfreien Rufnummer 0800 4883 338 zur Verfügung. Oder vereinbaren Sie einen Online-Gesprächstermin.

Foto © Life Of Pix von Pexels

/von

Zwei-Faktor-Authentifizierung durch Hacker ausgehebelt

,

Lesedauer: ca. 2 Minuten

Die Zwei-Faktor-Authentifizierung dient eigentlich dazu, die Anmeldung an Portalen oder Diensten noch sicherer zu machen. Mit einem bereits bekannten Trick ist es der (vom Ursprung her mutmaßlich brasilianischen) Hackergruppe Lapsus$ nun jedoch gelungen, 2FA bei Microsoft und weiteren Unternehmen zu umgehen. In diesem Zusammenhang zeigt sich, dass es erhebliche Qualitätsunterschiede im Sicherheitsniveau der verwendeten 2FA- und MFA-Systeme (Multi-Faktor-Authentifizierung) gibt.

Branchenexperten äußerten sich dazu wie folgt:

„Viele 2FA-Anbieter ermöglichen es Benutzern, Push-Benachrichtigungen einer Smartphone-App zu akzeptieren oder einen Anruf zu erhalten und eine Taste als zweiten Faktor zu drücken. Bedrohungsakteure nutzen dies aus und stellen mehrere MFA-Anfragen an das legitime Gerät des Endbenutzers, bis der Benutzer die Authentifizierung akzeptiert… so wird schließlich der Zugriff auf das Konto möglich.“

Wie das Onlinemagazin Ars Technica berichtet, ging Lapsus$ auf die gleiche Weise vor und schaffte es so, auf Netzwerke von Microsoft zuzugreifen.

Erfolgreicher Angriff mit ‚MFA Bombing‘

In der Lapsus$-Telegram-Gruppe war zu lesen:

„Es gibt kein Limit für die Anzahl der Anrufe, die getätigt werden können. Rufe den Angestellten 100-mal um 1 Uhr nachts an, während er versucht zu schlafen, und er wird ihn höchstwahrscheinlich irgendwann annehmen. Sobald der Mitarbeiter einen Anruf annimmt , kann auf das MFA-Registrierungsportal zugegriffen und ein weiteres Gerät registriert werden.

Ich konnte mich von Deutschland und den USA aus gleichzeitig in das Microsoft-VPN eines Mitarbeiters einloggen, offenbar ohne dass es bemerkt wurde. Außerdem konnte ich die MFA zweimal neu registrieren.“

Unter Zuhilfenahme von bestimmten, in Hacker-Kreisen gängigen Werkzeugen ist es ohne großen Aufwand möglich, Phishing Websites zu generieren. Diese gaukeln dem Anwender dann die Loginseite ‚ihres‘ Services o.ä. vor. Bei Eingabe der Zugangsdaten werden diese dann aufgezeichnet.

Alternative 2FA

Im Gegensatz zu 2FA-Systemen, die auf per SMS oder Mail zugeschickten oder per App generierte Codes (TOTP) basieren, ist mit der Methode der Public-Key-Kryptografie (genutzt von Fido beziehungsweise Webauthn) Sicherheit gegen Phishing-Attacken in hohem Maße garantiert.

Hier wird zwar zusätzliche bzw. spezielle Hardware benötigt, im Gegenzug ist passwortloses Anmelden per Knopfdruck möglich.

Konzerne im Visier

Durch die Attacke auf Microsoft gelangte eine große Datenmenge (ca. 37 GByte von 250 Softwareprojekten) an die Öffentlichkeit, unter anderem Quellcode der Anwendungen Cortana, Bing und Bing Maps.

Auch bei Samsung waren Hacker der Lapsus$-Gruppe erfolgreich, wie im Zuge von Ermittlungen und Festnahmen der Londoner Polizei festgestellt wurde – dort sollen um die 190 GByte sensibler Daten gestohlen und über mehrere Kanäle verbreitet worden sein.

Weitere Konzerne waren und sind betroffen, darunter auch der Chiphersteller Nvidia.

Phishing-Attacken sind eine ernstzunehmende Bedrohung – auch für mittelständische Unternehmen. Unsere Erfahrung und die Arbeit unserer Experten für Sicherheitsanalysen von CRISEC zeigt immer wieder die Defizite auf, die diesbezüglich bestehen.

Falls Sie Fragen zum Thema haben oder sich zu wirkungsvollen Gegenmaßnahmen informieren möchten, stehen wir Ihnen gerne unter der kostenfreien Rufnummer 0800 4883 338 zur Verfügung.

Quelle: https://www.golem.de/news/lapsus-hackergruppe-umgeht-2fa-mit-einfachem-trick-2203-164236.html

Foto © Markus Spiske von Pexels

/von

Ransomware – BSI veröffentlicht Empfehlungen zu Krypto-Trojanern

,

Lesedauer: ca. 4 Minuten

Das Bundesamt für Sicherheit in der Informationstechnik hat am 23. Februar 2022 mit dem ‚Maßnahmenkatalog Ransomware‘ Ratschläge zum Schutz vor Ransomware herausgegeben. Bei diesem 21-seitigen Schriftstück mit dem Untertitel ‚Präventive Maßnahmen zur Absicherung vor Krypto-Trojanern‘ handelt es sich um eine frei zugängliche Veröffentlichung zur allgemeinen Cyber-Absicherung.

Welche Bedeutung hat das Dokument? Und was steht eigentlich drin? An wen richtet es sich? Was es mit den Empfehlungen des BSI auf sich hat, erfahren Sie in diesem Artikel.

Laut BSI dient das Dokument zur Vorbereitung auf einen Ransomware-Angriff und stellt die notwendigen präventiven Grundlagen vor. Es wurde auf Basis der Erfahrungen, die bei der Ransomware-Fallbearbeitung gewonnen wurden, erstellt. Es richtet sich an Unternehmen und Behörden, die sich mit dem Thema noch nicht oder nur ansatzweise auseinandergesetzt haben und eine Übersicht über mögliche Schutzmaßnahmen vor Ransomware suchen.

Um das Schreiben, welches auf der Internetseite des BSI zum Download bereitsteht, verstehen und einordnen zu können, ist erstmal wichtig zu wissen, was Ransomware überhaupt ist.

Der Begriff Ransomware ist eine Zusammensetzung des englischen Begriffs ‚ransom‘ (Lösegeld) und der Endung ‚ware‘ von Software. Dabei dreht es sich um Schadprogramme, die man auch als Erpressungstrojaner bezeichnen kann. Solche Viren können, im Falle, dass diese einmal ins unternehmerische Datennetz eingedrungen sind, den Zugang auf Informationen wie auch komplette Systeme einschränken oder komplett lahmlegen. Verbunden sind solche Angriffe generell mit einer Lösegeld-Forderung – wird dieser nachgekommen, werden die Daten wieder freigegeben (so zumindest die Aussage der Erpresser). Die Bezahlung wird meist in Krypto-Währungen wie Bitcoin gefordert. Absicht eines Ransomware-Angriffs ist es also, Daten zu chiffrieren und Lösegeld für ihre Entschlüsselung zu fordern.

Aber Achtung: Die Zeit hat gezeigt, dass die Bezahlung der geforderten Gesamtsumme keine Gewährleistung für die Freigabe der Daten ist. Statt deshalb im Schadensfall solchen Forderungen nachzukommen, empfiehlt das BSI klar, sich an die Behörden zu wenden und Anzeige zu erstatten (weitere Empfehlungen, was Unternehmen tun sollten, wenn sie von einem Ransomware-Angriff betroffen sind, hat das BSI auf dieser Seite gelistet).

Ransomware-Angriffe nehmen bereits seit 2006 kontinuierlich zu – weltweit. Während dieser Zeit wurden schon unterschiedlichste Institutionen Opfer solcher Erpressungsversuche: Von öffentlichen Einrichtungen über große Firmen und mittelständische Betriebe bis hin zu kleinen Betrieben, Schulen oder Krankenhäusern.

Wie kann man sich gegen Cyber-Erpressung absichern?

Wie erwähnt bietet der Leitfaden präventive Tipps zum Schutz vor Ransomware-Angriffen. Darüber hinaus enthält das Dokument Strategien für den Ernstfall, also konkrete Empfehlungen fürden Umgang mit einer Lösegelderpressung infolge eines Verschlüsselungstrojaners.

Der wichtigste Ratschlag zur Risikoreduzierung: Zyklische Backups aller wichtiger Daten!

Wer (idealerweise vollautomatisiert) in einem fix festgesetzten Takt Sicherheitskopien sämtlicher wichtiger Daten erstellt, ist gegen einen Ransomware-Angriff geschützt, denn: Backups nehmen Lösegeldforderungen den Wind aus den Segeln.

Neben Datensicherungen sind die Nutzung von Virenschutzprogrammen auf allen im Unternehmen eingesetzten Geräten plus regelmäßige Aktualisierungen der eingesetzten Softwarelösungen und des Betriebssystems grundsätzliche Empfehlungen vom BSI. Zu guter Letzt weißt das BSI auf die Bedeutsamkeit hin, Mails von unseriösen Absendern nicht zu öffnen.

Zusätzlich zu diesen Tipps (die für jedermann sofort nachvollziehbar sind), hält das BSI-Papier einige Empfehlungen bereit, die sich konkret an IT-Administratoren richten, beispielsweise:

Nur erforderliche Ports freigeben
Remote-Fernzugänge schützen
Sensibler Umgang mit Administrator-Accounts
Zentrales Logging

Tipp: Mit dem kostenfreien Mailverteiler Sicher – Informiert weist das BSI alle zwei Wochen auf aktuelle Sicherheitslücken und wichtige Ereignissen rund um die IT-Sicherheit hin.

Fazit zum BSI-Leitfaden

Das Gute am aktuellen Handbuch zu Ransomware: Es ist in beachtlichen Teilen auch für Nicht-IT-Experten nachvollziehbar.

Das Schlechte am aktuellen Handbuch zu Ransomware: Es ist in beachtlichen Teilen auch für Nicht-IT-Experten nachvollziehbar.

Soll heißen: Seine Ratschläge sind relevant und kommen im richtigen Moment, sind aber an vielen Bereichen eher seicht und enthalten Informationen, die Unternehmen ohnehin schon umgesetzt haben sollten. Uns ist natürlich bewusst, dass viele Betriebe keinesfalls bestmöglich positioniert sind in Puncto IT-Grundschutz, weshalb der Leitfaden vom BSI wie gerufen kommt – mit dem Ziel sich die Frage zu fragen, welche von den empfohlenen Methoden bereits realisiert wurden und welche nicht.

Die Aktion des BSI, für das Thema Ransomware zu sensibilisieren und Unternehmen die relevanten Fakten an die Hand zu geben, begrüßen und unterstützen wir voll und ganz. Man sollte allerdings bewertend bemerken, dass es sich bei dem Arbeitspapier lediglich um eine Sammlung von ‚Best Practices‘ dreht, die gegen unterschiedliche Angriffe absichern sollen.

Ohne Frage – ein Verfahren nach diesem Gießkannenprinzip ist auf jeden Fall besser, als keinerlei Sicherheitsmaßnahmen zu realisieren. Allerdings benötigen Unternehmen mit dem Ziel, umfassend vor jedem Ransomware-Angriff geschützt zu sein, eine individuelle IT-Sicherheitsarchitektur, da jedes Unternehmen über eine individuelle IT-Landschaft verfügt. Empfehlenswert ist ein geeignetes Gesamt-Konzept, welches alle Einzelteile einbezieht und bei welchem Themen wie Firewall, Cloud-Sicherheit, Handy-Schutz und vieles mehr perfekt aufeinander abgestimmt sind.

Insbesondere aufgrund der aktuellen geopolitischen Lage sollten die Ratschläge des BSI in jedem Fall ernstgenommen und bei Defiziten zeitnah im persönlichen Betrieb implementiert werden. Wenn Sie den Wunsch haben, Ihre IT-Sicherheit begutachten zu lassen oder auch Unterstützung benötigen, um sich gezielt sowie gründlich vor Ransomware abzusichern, dann sind wir Ihr qualifizierter Ansprechpartner.

Sprechen Sie uns unter der Nummer 0800 4883 338 gerne persönlich an. Unsere Experten kümmern sich professionell um eine optimale Absicherung Ihrer IT-Landschaft.

Foto © cottonbro von Pexels

/von

Kritische Infrastrukturen – wirtschaftliches Rückgrat moderner Gesellschaften

, ,

Lesedauer: ca. 8 Minuten

Zeitgenössische Gesellschaften mit hochentwickelter Dienstleistungs- und Industriewirtschaft zeichnen sich durch ein hohes Maß an Digitalisierung, Wendigkeit, Konkurrenzfähigkeit und intensiver Teilnahme an der Globalisierung aus. In Anbetracht dessen sind moderne Unternehmen immer stärker von einer hochleistungsfähigen, funktionstüchtigen und ausfallsicheren IT-Infrastruktur abhängig – das gilt insbesondere für systemrelevante Unternehmen der kritischen Infrastruktur.

Diese als KRITIS bezeichneten Infrastrukturen werden so zu einem der bedeutendsten wirtschaftlichen Stützpfeiler. Deshalb muss deren reibungsloser Betrieb zu jeder Zeit gewährleistet sein – fallen sie infolge von Internetangriffen, Havarien oder technischem Versagen aus, hat das gravierende Auswirkungen auf die Sicherheit und Versorgungslage des Landes.

Aus diesem Grund hat die Politik rechtliche Vorgaben und Regelungen festgelegt, um solchen gefährlichen Szenarien vorzubeugen. Welche dies sind, wann eine Infrastruktur als ‚kritisch‘ bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Unternehmen der kritischen Infrastruktur begegnen, lesen Sie in unserem folgenden Blogartikel.

Wie sich eine kritische Infrastruktur definiert

Laut der öffentlichen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie (BSI) wie auch des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe (BBK) handelt es sich bei kritischen Infrastrukturen um die ‚Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.‘

Merkmale kritischer Infrastrukturen

Demzufolge sind private und staatliche Betriebe der kritischen Infrastruktur für die Instandhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheitssituation, der Sicherheit und des ökonomischen oder sozialen Wohlseins der Bevölkerung elementar – und somit äußerst schützenswert.

Die Nationale Strategie zur Sicherheit kritischer Infrastrukturen, die am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat (BMI) verabschiedet wurde, definiert 9 Bereiche der kritischen Infrastrukturen:

1. Staat und Verwaltung
2. Stromerzeugung
3. Informationstechnik und Telekommunikation
4. Transport und Verkehr
5. Gesundheitszustand
6. Wasser
7. Ernährung
8. Finanz- und Versicherungswesen
9. Medien plus Kultur

Mit der Novellierung des BSIG im Jahr 2021 kam mit der Siedlungsabfallentsorgung ein zehnter Bereich hinzu (der jedoch auf Bundesebene noch nicht allgemeingültig ist).

Inwiefern ein Unternehmen als kritische Infrastruktur eingestuft wird, kann nur eine individuelle Prüfung mit Sicherheit beantworten. Es existieren jedoch bekannte Anhaltspunkte, anhand derer eine erste Einstufung möglich ist:

Schwellenwert – Das BSI hat in der KRITIS-Verordnung 2021 für jeden Bereich spezielle Schwellenwerte festgelegt. Diese bestimmen, ab wann ein Unternehmen der kritischen Infrastruktur zuzuschreiben ist. Eine übersichtliche Aufzählung finden Sie hier.

IT-Netzwerk – Die sog. IT-Independenz von Unternehmen ist ein weiterer aussagekräftiger Faktor. Hier geht es darum, ob ein Betrieb mit mehreren Standorten diese IT-seitig zentral oder dezentral verwaltet. Verständlicherweise unterstützt eine zentrale Verwaltung die Einstufung als kritische Infrastruktur.

Verschärfte Bedrohungslage erfordert verschärfte Maßnahmen

Grundsätzlich sind kritische Infrastrukturen vorteilhaft beschützt. Nichtsdestotrotz stellen sie aufgrund deren Bedeutsamkeit sowie Sensibilität für Wirtschaft und Gesellschaft und Staat ein lukratives Geschäft für Internetkriminelle, Terroristen und verfeindete Staaten dar.

Deshalb überrascht es absolut nicht, dass in der Presse immer wieder von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu lesen ist. So sorgte zum Beispiel im Mai 2021 ein Ransomware-Zugriff auf eines der größten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA temporär für Treibstoffengpässe an der gesamten Ostküste.

Dies ist kein Einzelfall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Sektoren Informationstechnik sowie Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den vergangenen Jahren merklich zugenommen. Zeitgleich zeigen die Ergebnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der EDV, dass in den erwähnten Branchen insgesamt 1.805 Sicherheitsmängel festgestellt wurden, die insbesondere auf Problematiken im Fachbereich Netztrennung, Notfallmanagement und physische Sicherheit zu begründen sind.

Nebst Internetangriffen gehen auch Naturgewalten, Havarien, menschliches Scheitern oder technische Fehler mit teilweise schwerwiegenden Folgen für die Sicherheit und das Wohlergehen der Menschen einher, wie der 31-stündige Stromausfall in Berlin-Köpenick Ende Februar 2019 mit Nachdruck verdeutlichte.

Gesetze zum Schutz kritischer Infrastrukturen

Mit dem Ziel, derartige Worst-Case-Szenarien zu verhindern, gilt es für Betriebe der kritischen Infrastruktur Gefahren und Bedrohungen frühzeitig zu ermitteln und abzuwehren. Die gesetzlichen Bedingungen sowie Regelungen sind dazu im IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz (BSIG), sowie der BSI-KRITIS-Verordnung (BSI-KritisV) festgelegt. Demnach sind Betriebe der kritischen Infrastruktur dazu verordnet,

eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen.

die IT-Sicherheit auf den ‚Stand der Technik‘ umzusetzen und passende organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Prävention, Ausmachung und Bewältigung von IT-Sicherheitsvorfällen oder IT-Störungen zu implementieren (vor allem ein ISO 27001-konformes Informationssicherheitsmanagementsystem) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse sicherzustellen.

IT-Sicherheitsvorfälle und erhebliche IT-Störungen, welche zu einem IT-Störfall führen, zu melden.

die getroffenen IT-Sicherheitsvorkehrungen gemäß § 8a Absatz 3 BSIG mittels eines Gutachtens gegenüber dem Bundesamt für Sicherheit in der Informationstechnik zu belegen.

Stabile Netzwerke – ein Muss

Das Bundesamt für Sicherheit in der Informationstechnik hat bereits im März 2020 die ‚Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen‚ veröffentlicht. Mit diesem Anforderungskatalog stellt das BSI allen Betrieben der kritischen Infrastruktur und ihren Gutachtern einen konkreten Bereich zur Wahl, Umsetzung und Prüfung aller IT-Sicherheitsmaßnahmen, welche im Rahmen der IT-Sicherheit umzusetzen sind. Hierbei deckt der Anforderungskatalog alle aufgeführten Bereiche ab:

Informationsmanagementsystem
Asset Management
Risikoanalysemethode
Continuity Management
Technische Informationssicherheit
Personelle sowie organisatorische Sicherheit
Bauliche / physische Absicherung
Vorfallserkennung und Bearbeitung
Begutachtung im laufenden Betrieb
Externe Informationsversorgung sowie Unterstützung
Lieferanten, Dienstleistungsunternehmen und Dritte
Meldewesen

Sind Sie ein Unternehmen der kritischen Infrastruktur und auf der Recherche nach effektiven und innovativen IT-Sicherheitslösungen? Ihr Ziel ist es, ihre IT-Infrastruktur intelligent vor potenziellen Bedrohungen zu beschützen? Sie haben weitere Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-KRITIS-Verordnung oder kritische Infrastrukturen? Sprechen Sie uns unter der 0800 4883 338 gerne an!

Foto © Elijah O’Donnell von Pexels

/von

Die elektronische Mail-Signatur – Wozu sie dient, wer sie braucht

, ,

Lesedauer: ca. 7 Minuten

Die Aufforderung zur Kontobestätigung der Sparkasse, die Aktualisierung persönlicher Zugangsdaten bei PayPal – sogenannte Phishing Mails, gefälschte Nachrichten mit dem Ziel des Datenklaus, werden immer raffinierter. Mittlerweile sind diese selbst von Experten nur noch schwerlich von echten Nachrichten zu unterscheiden.

Gleichzeitig werden im Geschäftsalltag tagtäglich vertrauliche Informationen per Mail versendet – oft ohne Gedanken daran, dass diese Informationen nach dem Versand ebenfalls in falsche Hände gelangen können. Denn neben Phishing gibt es noch etliche weitere Techniken von Hackern, um an vertrauliche Daten wie Passwörter, Kreditkarteninformationen etc. zu gelangen.

Mit anderen Worten: Elektronische Nachrichten sind nicht (mehr) sicher.

Sicherheit mit Brief und Siegel

Eine Möglichkeit zur Beseitigung dieses Problems ist die elektronische Mail-Signatur. Nicht zu verwechseln mit der Auflistung der Kontaktinformationen am Ende des schriftlichen Inhaltes einer Nachricht, handelt es sich hierbei um eine Art Briefsiegel: Die elektronische Signatur sorgt dafür, dass der Empfänger klar feststellen kann, wer der Absender der Mail ist und ob der Inhalt auch genauso ankommt, wie er verschickt wurde.

Ist der Absender tatsächlich der, der er vorgibt zu sein? Kann ausgeschlossen werden, dass die Inhalte der Mail auf dem Weg vom Absender zu mir als Empfänger aufgehalten und manipuliert wurden? Mithilfe einer elektronischen Unterschrift landen mehr Mails im Posteingang, bei denen die Antwort auf diese Fragen ‚Ja‘ lautet.

Technisch betrachtet handelt es sich bei der elektronischen Signatur, die auch als digitale Unterschrift bezeichnet wird, um ein Zertifikat, welches zusammen mit der normalen Mail versendet wird.

Von Ämtern zu Wirtschaftsunternehmen

Anfangs wurde die elektronische Signatur vor allem in der öffentlichen Verwaltung eingesetzt. Die immer größere Verbreitung von E-Commerce-Konzepten förderte dann den Einsatz in der Privatwirtschaft. Immer mehr Unternehmen verwenden die elektronische Unterschrift zudem für ganz spezielle Anwendungsfälle, beispielsweise wenn für elektronisch zu unterzeichnende und verschickende Policen.

Ausgangspunkt für den gegenwärtigen Stand der Technik bei der digitalen Unterschrift ist im Übrigen die sog. ‚Signaturrichtlinie‘ der Europäischen Union. Jene regelt, welche Bedingungen erfüllt sein müssen, damit eine digitale Signatur vor Gericht als rechtswirksam anerkannt wird. Diese Bedingungen wurden im vorangegangenen Absatz beschrieben: Der eindeutig bestimmbare Absender sowie der garantiert unveränderte Inhalt.

So erstellt man eine digitale Unterschrift

Will man eine Mail elektronisch unterzeichnen, gibt es zwei Standards, welche sich bewährt haben: S/MIME und OpenPGP. Die Verfahrensweisen agieren beide nach dem gleichen Prinzip (auf der Grundlage von Hashwerten gepaart mit einem Public-Private-Key-Verfahren, siehe unten), verwenden aber verschiedene Datenformate. Bedeutsam für die Auswahl einer Methode ist die Unterstützung durch den zutreffenden Mail Client, denn etliche Softwarelösungen fördern entweder das eine oder das andere Verfahren, aber nicht alle beide gleichzeitig.

Technisch betrachtet ist eine digitale Unterschrift eine Form der asymmetrischen Verschlüsselung. Das bedeutet: Im Zuge des Mailversandes werden zwei Schlüssel mit verschickt – ein privater und ein öffentlicher. Wichtig dabei: Das Schlüsselpaar muss von einer offiziellen Zertifizierungsstelle verifiziert werden. Wird nun eine Mail verschickt, passiert Folgendes: Durch Hashfunktion wird der Text mit einer Prüfsumme ausgestattet, welche nochmals mit dem nicht-öffentlichen Schlüssel verschlüsselt und der Mail-Nachricht ebenfalls angehängt wird. Trifft die Mail nun beim Empfänger ein, wird anhand des Schlüssels die Prüfsumme entschlüsselt und obendrein nochmals errechnet. Entspricht die frisch errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, ist sichergestellt, dass der Inhalt unberührt geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der Mail mitgesendet oder alternativ vom Empfänger über ein öffentlich zugängliches Register eingeholt werden.

Geschäftskommunikation sicherer machen

Einige Mail Clients bieten entsprechende Konfigurationen für elektronische Signaturen an, um die oben erwähnte Vorgehensweise zu automatisieren. Wer allerdings über den unternehmensweiten Gebrauch einer digitalen Signatur nachdenkt, sollte die Signierung mittels Gateway in Erwägung ziehen, welches alle abgehenden Mails zentral signiert. Ansonsten ist der Aufwand äußerst hoch, da man für jeden einzelnen Angestellten ein dediziertes Zertifikat benötigt und im Mail-Programm hinterlegen muss. Außer der vereinfachten Anpassung und zentralen Verwaltung ist der Nutzen eines Gateway zudem, dass die Signaturprüfung eingehender Mails erfolgt, bevor diese auf dem Mail Server landen (und hier womöglich Schaden verursachen).

Aber Achtung: Zwar sind Gateway-Zertifikate, die meist für alle Mailadressen unter einer Domain gelten, international standardisiert. Dennoch können manche Mail Clients diese (noch) nicht korrekt verarbeiten und lösen entsprechend Fehlermeldungen auf Empfängerseite aus. Deshalb kann es durchaus ratsam sein, lediglich einzelne Team-Postfächer wie buchhaltung@… oder bewerbung@… zu zertifizieren – besonders eben die Postfächer, die mit sensiblen Daten arbeiten.

Mails verschlüsseln und signieren – für sicheren Mailverkehr

Mailverschlüsselung und digitale Unterschrift sind zwei verschiedene Paar Schuhe – und beide sind wichtig.

Die Unterschrift kommt wie erwähnt einem Briefsiegel gleich. Zum einen wird sichergestellt, dass der Inhalt unverändert bleibt und zum anderen ist die Identität des Versenders eindeutig gewährleistet.

Dennoch: Besagter Inhalt kann auf dem Versandweg eingesehen werden. Um beim Beispiel zu bleiben, kann man einen versiegelten Brief beispielsweise gegen das (virtuelle) Licht halten, um an inhaltliche Informationen zu gelangen. Deshalb ist eine zusätzliche Verschlüsselung grundsätzlich sinnvoll – sie macht den digitalen Briefumschlag quasi blickdicht.

Für allerhöchste Sicherheitsansprüche: Die qualifizierte digitale Signatur

Zuletzt sei noch erwähnt, dass es nicht nur eine, sondern gleich drei Varianten der elektronischen Signatur gibt: 1. Die allgemeine (AES), 2. die fortgeschrittene (FES) und 3. die qualifizierte elektronische Signatur (QES).

Am hochwertigsten ist die letztgenannte. Diese ist dann nötig und sinnvoll, wenn allerhöchste Sicherheitsstandards gefordert sind – ist sie dem Gesetz (§ 2 Nr. 3 SigG) zufolge doch ebenbürtig mit einer handschriftlich getätigten Unterschrift auf Papier. Entsprechend wird wird sie zur Unterzeichnung von sensibelsten Dokumenten und Verträgen genutzt. Für den alltäglichen Mail-Austausch hingegen ist diese Art der Unterschrift tatsächlich zu viel des Guten, da sie zusätzlich den Gebrauch spezieller Hardware (Chipkarten und dazugehörige Lesegeräte) voraussetzt.

Sie haben Fragen oder Interesse an eletronischer Mail-Signatur? Möchten Sie wissen, welche Art und welcher Grad der digitalen Unterschrift für Ihre geschäftliche Korrespondenz erforderlich ist? Kontaktieren Sie uns unter 0800 4883 338.

Foto © cottonbro von Pexels

/von