Posted on

Was haben der Mädchenname Ihrer Mutter, Ihr erstes Auto und der Name Ihres liebsten Haustieres gemeinsam?

Diese müssen häufig dafür herhalten, wenn bei einer Neuanmeldung ein Passwort verlangt wird. So ist es eigentlich kaum verwunderlich, dass schwache und mehrfach verwendete Passwörter für 80% der gehackten Online-Konten verantwortlich sind. Für viele Nutzer stellt es noch immer eine zu hohe Belastung dar, für die stetig wachsende Zahl ihrer Zugänge ein separates Passwort zu wählen.

Dies gilt nicht nur für Menschen, die mit IT wenig Erfahrung haben. Als 2016 die Twitter-, LinkedIn- und Pinterest-Konten von Facebook-Gründer Marc Zuckerberg gehackt wurden, lautete sein Passwort angeblich „Dadada“.

Um das Bewusstsein für die Wichtigkeit von starken und sicheren Passwörtern zu erhöhen, hat Intel deshalb im Jahr 2013 den „Welt-Passwort-Tag“ ausgerufen. An jedem ersten Donnerstag im Mai sollen sich Nutzer bewusst mit ihren Zugangsdaten auseinandersetzen und schlechte Kennwörter durch sichere und starke ersetzen. Passend zum michael wessel Security Mai möchten auch wir Ihnen mit den folgenden Tipps helfen, Ihre Online-Zugänge vor den ständig wachsenden gefahren zu schützen:

Nehmen Sie sich die Zeit, ein wirklich starkes Passwort zu überlegen:

Ein einzelnes Wort, dass z.B. aus 6 Zeichen besteht hat 310 Millionen Kombinationsmöglichkeiten. Diese können von einem aktuellen PC innerhalb von 30 Sekunden durchgespielt werden. Sinnvoller ist es deshalb, z.B. die Anfangsbuchstaben der Wörter eines Merksatzes zu wählen, der im besten Fall noch eine Zahl enthält. (Meine Tochter ist 5 Jahre alt!

Wechseln Sie ein starkes Passwort nicht zu häufig:

Entgegen früherer Empfehlungen ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) mittlerweile dazu übergegangen, vom sehr häufigen Wechsel des Passworts abzuraten. Dies beruht auf der Erkenntnis, dass nach einiger Zeit aus Bequemlichkeit dann doch auf die Verwendung schwacher Passwörter zurückgegriffen wird.

Vergeben Sie für jedes Konto ein eigenes Passwort:

Die Gefahr, dass ein Hacker nach der Übernahme eines Accounts auch Ihre anderen Zugänge übernehmen kann, sinkt hierdurch rapide.

Nutzen Sie einen Passwort-Manager:

Anstatt alle Passwörter im Browser zu speichern, können Sie diese auch in einer Software hinterlegen. Hier gibt es sogar bereits kostenlose Lösungen, die Ihre Zugänge verwalten und Ihnen eine bequeme und sichere Anmeldung ermöglichen.

Verwenden Sie eine Multifaktor-Authentifizierung:

Wo immer es möglich ist, verwenden Sie für den Zugang einen 2. Faktor, wie z.B. die Freigabe über eine App auf dem Smartphone.

Haben Sie noch weitere Tipps, die Sie ergänzen möchten? Teilen Sie uns die lustigsten und skurrilsten Passwörter mit. Wie lauten Ihre Highlights?

Passend dazu, melden Sie sich gerne zu unserer „Alles sicher macht der Mail“ Webinar-Reihe an. Wir freuen uns auf Sie.

Posted on

Alles sicher macht der Mai

Unternehmen und öffentliche Einrichtungen investieren bereits seit Jahren hohe Summen in den Bereich IT-Security. Damit wurden die Möglichkeiten für Angreifer „von außen“, durch das klassische Ausnutzen von Sicherheitslücken, in eine Umgebung einzudringen, stetig minimiert.

Deshalb richtete sich das Augenmerkt der professionellen Hackergruppen seit Mitte der 2010er Jahre verstärkt auf die Mitarbeiter der Unternehmen. Eine internationale Studie des Marktforschungsinstituts Vanson Bourne aus dem Jahr 2020, bei der 5000 IT-Beauftragte aus 26 Ländern befragt wurden, hat belegt, dass fast 30% der erfolgreichen Ransomware-Angriffe durch den Klick auf einen manipulierten Link durchgeführt wurden. 16% erfolgten über einen verseuchten Dateianhang. Damit wurden 46% der gehackten IT-Umgebungen nicht durch Angriffe von außen übernommen, sondern durch unachtsames oder falsches Verhalten der Nutzer.

Die michael wessel möchte ihren Teil dazu beitragen, den Schutz Ihres Unternehmens und das Bewusstsein Ihrer Mitarbeiter für Sicherheitsfragen zu erhöhen und hat deshalb den Mai zum Monat der IT-Security ausgerufen.

Im Rahmen von 4 Webinaren, jeweils am Dienstag des Monats, informieren wir deshalb praxisnah und spannend über wichtige Aspekte aus diesem Bereich.

Den Anfang macht am 04.05. ein Webinar zum Thema „IT-Security Awareness“, in dem wir Ihnen näher bringen, wie Sie durch den Einsatz von Schulungen Ihre Mitarbeiter von einem potentiellen Sicherheitsrisiko zur ersten Verteidigungslinie im Kampf gegen Cyberangriffe machen.

Am 11.05. befassen wir uns mit dem Schutz Ihrer Endpoints und erläutern die wichtigsten Bestandteile eines modernen Schutzkonzeptes. Anhand eines „live“ durchgeführten Angriffs auf eine Testumgebung zeigen wir, welche Wege moderne Hacker wählen und wie diese erfolgreich abgewehrt werden können.

Der 18.05. steht im Zeichen der Sophos Next Generation Firewall. Wir zeigen Ihnen anschaulich, wie Traffic-Analyse, SSL-Decryption und weitere Funktionen einer fortschrittlichen Firewall zusammenarbeiten, um die IT-Sicherheit Ihres Unternehmens rund um die Uhr zu gewährleisten.

Zum Abschluss erfahren Sie am Beispiel des Next Generation Access-Managements mit tenfold, welche Vorteile Ihnen eine moderne und intelligente Rechteverwaltung bietet. Diese erleichtert nicht nur das Onboarding neuer Mitarbeiter ungemein, sondern erlaubt auch die Erstellung von Reportings, die als Grundlage für Zertifizierung oder der Dokumentation Ihrer DSGVO-Konformität dienen können.

Melden Sie sich noch heute an und sichern Sie sich einen Platz in unseren Webinaren!

Posted on

Nach Hafnium ist vor…??? – Zeit für mehr Sicherheit mit Azure Sentinel

Durch die fortschreitende Digitalisierung und die immer steigende Komplexität der Informationstechnologie müssen auch die Administratoren sich immer wieder neuen Herausforderungen stellen. Die Daten der Unternehmen müssen vor fortschrittlicheren Cyber-Bedrohungen oder Schwachstellen in der eingesetzten Software (z.B. Exchange-Server und der HAFNIUM-Exploit vor kurzer Zeit) weiter fachkundig geschützt werden. Bei Problemen oder Sicherheitsvorfällen müssen in großen Mengen Logdaten gesichert und gesichtet werden. Meist war an dieser Stelle aber schon alles zu spät, die Administratoren im reaktiven Arbeits-Modus. Die Auswertungen nehmen Wochen oder Monate in Anspruch. Daher ist es in der heutigen Zeit noch wichtiger geworden, die Sicherheit der IT-Infrastruktur proaktiv im Blick zu behalten. Aber wie?

Im diesem Blog-Beitrag wollen wir eine Möglichkeit vorstellen, mit der diese reaktive Arbeit auf relativ einfache Art und Weise weitestgehend automatisiert werden kann: Azure Sentinel – der Cloud-basierten SIEM (Security Information Event Management)- und SOAR (Security Orchestration Automated Response)-Lösung von Microsoft.

Azure Sentinel wird von Microsoft seit 2019 angeboten und als Dienst innerhalb der Azure-Plattform betrieben. Auf dieser Basis ist mit einem aktiven Azure-Konto die schnelle Installation und der einfache Betrieb der Lösung möglich. Weitere Investitionen in Hard- und/oder Software sind nicht nötig. Die Abrechnung der genutzten Ressourcen (z.B. Log-Speicherplatz etc.) erfolgt, wie in Azure gewohnt, entweder nutzungsbasiert oder auf Basis von zuvor festgelegten Kontingenten.

Für die grundsätzliche Funktion sammelt und aggregiert die SIEM-Komponente fortwährend Logdaten, die in der gesamten IT-Infrastruktur des Unternehmens generiert werden. Dabei spielt es keine Rolle, ob die Daten von Systemen und Anwendungen aus der Cloud (auch Clouds anderer Anbieter) oder der lokalen Infrastruktur erzeugt und Azure Sentinel zugeführt werden. Mit den dafür genutzten Monitoring-Agenten auf Linux- oder Windows-Servern können auf gleichem Wege die Logdaten von Netzwerk- und Sicherheitsgeräten wie Firewalls oder dem Endpoint-Schutz gesammelt werden. Innerhalb dieser Datenmenge werden über Analyse-Regeln sicherheitskritische Vorfälle und Ereignisse identifiziert, kategorisiert und analysiert. Für die Erkennung werden unter anderem auch die im Mitre ATT&CK-Framework (https://attack.mitre.org/matrices/enterprise/) aufgeführten Angriffs-Taktiken und -Techniken genutzt. Erkannte Bedrohungen, Anomalien oder Angriffe werden automatisch innerhalb von Azure Sentinel als Incidents angelegt und damit zum weiteren Handeln der IT-Administration übergeben. Diese Administratoren können nun über die erstellten Incidents auf umfangreiche Details der Vorfälle zurückgreifen. Hier werden die beteiligten Objekte im Einzelnen aufgeführt und zusätzlich in einer Übersichtgrafik dargestellt, so dass Zusammenhänge schnell erfasst werden können.

In der Praxis bietet Azure Sentinel dafür schon von Haus aus eine Vielzahl von vorkonfigurierten oder individuell anpassbaren Daten-Konnektoren, mit denen auf einfache Weise die nötigen Daten strukturiert gesammelt werden können. Viele Konnektoren haben dieselben Datenquellen, so dass z.B. im Bereich der Server nur ein zu installierender Monitoring-Agent auf Windows- oder Linux-Systemen unterschiedliche Daten sammelt – egal ob sie in der Cloud oder lokal betrieben werden.

Azure Sentinel bietet aber standardmäßig nicht nur die Daten-Konnektoren an, sondern auch weitere Bausteine:

  • Analyseregel-Vorlagen zum Auswerten der Logdaten mit intelligenten KI-Algorithmen und maschinellem Lernen
  • Arbeitsmappen zur Visualisierung der Logdaten
  • Thread-Hunting-Regeln zur aktiven Suche von Sicherheitsbedrohungen
  • Analyse des Benutzer- und Entity-Verhaltens für zuverlässige, handlungsrelevante Informationen zu den Vorfällen

Um dann aber auch automatisiert auf die durch SIEM erkannten Sicherheitsbedrohungen zu reagieren geht die SOAR-Komponente einen weiteren Schritt: Azure Sentinel bietet dafür die sogenannten Playbooks an. Durch die bereits integrierten Konnektoren zu unterschiedlichen externen Systemen könne über Trigger und Aktionen auch komplexere Szenarien abgebildet werden, wenn durch SIEM ein Vorfall gemeldet wird. Hier z.B. eine Reaktion auf einen eventuell kompromittierten Benutzer:

Dieser Beitrag kann nur einen groben Überblick über das breite Leistungsspektrum von Azure Sentinel liefern. Haben wir Ihr Interesse für diesen zusätzlichen, proaktiven Schutz Ihrer IT geweckt? Dann sprechen Sie uns gerne für weitere Informationen oder eine Live-Demo in Azure Sentinel an. Gehört Microsoft 365 / Microsoft Azure bereits zu Ihrer IT-Infrastruktur, dann bieten wir Ihnen gerne auch einen individuellen Proof-of-concept direkt in Ihrer IT-Umgebung an.

Posted on

Die michael wessel auf der HANNOVER MESSE

Die Wertschöpfungskette immer im Fokus, eine hohe Tech-Affinität und immer innovativ. Eigenschaften, die (mindestens) zwei verbinden: Die HANNOVER MESSE und die michael wessel.
Und so wundert es kaum, dass wir in diesem Jahr auf der ersten digitalen HANNOVER MESSE als Aussteller vertreten sind, spannende Produkte wie unseren „Cloud Migration Check“ präsentieren und uns auf viele neue Kontakte freuen.

Die HANNOVER MESSE ist im Jahr 2021 weiterhin die führende Industriemesse und zieht Jahr für Jahr internationale Großkonzerne und lokale Industrielle gleichermaßen an. Erst 2017 wurde mit 225.000 Besuchern ein neuer Rekord verzeichnet und als rein digitale Veranstaltung ist die Erwartungshaltung selbstverständlich ebenfalls hoch.

Die diesjährige Messe steht ganz im Zeichen der „Industrial Transformation“. Vordenker der Industrie werden spannende neue Technologien u.a. im Bereich AI präsentieren. Stets ein Bestandteil ist der elementar wichtige Baustein „IT“. Doch neben technischen Neuerungen wird die HANNOVER MESSE auch zwei weitere wichtige Themen behandeln: Nachhaltigkeit und „WomanPower“. Für beide Bereiche sind großartige Vorträge geplant!

Auch wenn es an einigen Stellen weiterhin etwas hakt: Die Digitalisierung schreitet kontinuierlich voran. Industrie 4.0, New Work, Cloud und Automatisierung – Begriffe die inzwischen nicht mehr nur auf Messen oder vergleichbaren Veranstaltungen zum allgemeinen Sprachgebrauch gehören. Bei Partnern wie der michael wessel erhält der Mittelstand das notwendige Know-how um Schritt zu halten.

Damit das auch so bleibt, werden wir neben der eigenen Ausstellung selbstverständlich ebenfalls die interessanten Vorträge der ExpertInnen besuchen und die Messe für die eigene Weiterbildung nutzen.

Wenn Sie uns oder weitere Aussteller besuchen möchten, dann können wir Ihnen gerne ein kostenfreies Ticket für die digitale HANNOVER MESSE zur Verfügung stellen. Senden Sie uns hierfür gerne eine kurze Mail an:

vertrieb@michael-wessel.de

und wir lassen Ihnen Ihr Ticket zukommen. Vereinbaren Sie gerne einen Termin mit uns und lernen Sie uns kennen, wir freuen uns auf Sie!

Posted on

PreLogin VPN über NetScaler

Always On before logon Funktion des Netscaler Gateway

Inzwischen dürfte sich rumgesprochen haben, das über die Netscaler Gateway Funktion des Netscalers nicht nur ein Zugriff auf ein XenDesktop realisiert werden kann, sondern auch Web-Applikationen und ein vollwertiges SSL VPN integriert werden können. 

Weitaus weniger bekannt ist, dass mit der Version 11.1 der Netscaler Firmware zur SSL VPN Funktion eine Always On Funktion bzw. jetzt zusätzlich noch eine „Always on service“ Funktion hinzugekommen ist. 

Bisher konnten sich Benutzer an einem Notebook anmelden um dann eine Netscaler Gateway Verbindung aufzubauen und dann gesteuert über ein Session Profile ein Full VPN aufbauen.  

Die bisherige Funktion konnte prinzipbedingt einige Situationen nicht abdecken: 

  • Benutzer startet das Notebook außerhalb des Unternehmensnetzes und benötigt Support bei der VPN/ Gateway Anmeldung. 
  • Ein Benutzer wechselt mit einem eingeschalteten Gerät aus dem VPN (z.B. Internet Cafe/ Homeoffice etc.) in das Unternehmensnetz oder will mit einem Gerät transparent weiterarbeiten welches vorher im Unternehmensnetz war. 
  • Das Unternehmen möchte den Netzwerkzugriff bei abgebautem VPN kontrollieren. 
  • Neue Benutzer ohne Cached Credentials müssen sich am mobilen Gerät anmelden. 
  • Das Notebook soll bereits vor dem Windows Logon im Netz sein um es mit Policies oder Softwareverteilung zu versorgen. 

Wie funktioniert der Always on Service bzw. die neue Funktion „Always on before logon“? 

Die Always On Funktion verbindet ein mobiles Endgerät mit einem VPN Endpunkt, mit dem es zuvor manuell verbunden wurde. 

Abhängig davon ob sich das mobile Endgerät im Unternehmensnetz oder „on the road“ befindet, wird die VPN Verbindung automatisch auf und abgebaut. 

Die Funktion „always on before logon“ wird über den „Always on service“ realisiert (Ablauf im Modus „Always on sErvcie with a user persona“): 

  • Nach dem Einschalten des Geräts wird eine Verbindung, der „Machine level tunnel“ zum Netscaler Gateway mit einem Device Zertifikat aufgebaut 
Alwayson with user personal flow

(Bild von Citrix) 

  • Der  Benutzer meldet sich mit seinem AD Benutzer an das Gerät an 
  • Nach der Anmeldung wird der Benutzer ggf. nach seinem zweiten Faktor befragt und nach erfolgreicher Verifizierung der „Machine Level tunnel“ durch einen „User level Tunnel ersetzt“ 
  • Wenn der Benuter sich abmeldet wird der „User Level Tunnel“ wieder durch den „Machine level tunnel“ ersetzt 

Ob und welcher Tunnel aufgebaut ist, lässt sich bei einem gesperrten Gerät über die Sign-In Options sehen (service mode= Machne level tunnel): 

Windows credential manager screen

(Bild von Citrix) 

Wie funktioniert die normale „Always on“ Funktion ? 

Sollte keine primäre Netzwerkverbindung vorhanden sein, wartet der Always on Service im Hintergrund auf den Verbindungsaufbau. 

Nach der neuen „always on before logon“ Funktionalität greift die bereits länger vorhandene „always on“ Funktion. 

Durch ein Always On Profile auf dem Netscaler kann kontrolliert werden, ob die VPN Verbindung aufgebaut bleiben soll, wenn das Gerät sich im Unternehmensnetzwerk („Location based VPN“) befindet oder was passieren soll wenn kein VPN Tunnel aufgebaut werden kann („Network Access on VPN Failure)“. Über das Setting „Full Access“ kann normaler Netzwerkzugriff und logon an jedem anderen Netscakler Gateway als Backup freigeschaltet werden. 

Citrix ADC vpx Configuration X @ https:// 10.20.lO.lOO /menu/n Citrix ADC vpx (3000) Reporting HA Status Primary Documentation Ill \ Partition v default Downloads nsroot Dashboard Configuration O Configure AlwaysON Profile Name aonprof_mwde Location Based VPN* Remote Client Control* ALLOW Network Access On VPN Failure* Full Access OK Close

(Bild von br/ MWDE) 

Systemanforderungen 

AlwaysOn service Windows version Citrix ADC and Windows VPN plug-in version 
Always on service without a user persona Windows 7 and later No recommendation on specific Citrix ADC version. VPN plug-in must be version 13.0.36.xx and later or 12.1.53.xx and later. 
Always on service with a user persona Windows 8 and later Citrix ADC and VPN plug-in must be version 13.0.41.xx and later. 
   

Aus https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html  

„The expression is_aoservice is valid from Citrix Gateway version 13.0 build 41.20 and later.“ 

Aus https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows/alwayson-before-logon-with-a-user-persona.html 

Welche Schritte sind zur Konfiguration von „Always on service with a user persona“ notwendig? 

  1. Für ein bestehendes Netscaler Gateway  muss ein Authentication Profile mit einem neuen AAA Authenticationserver 
    erzeugt werden (sofern noch kein Netscaler N-Factor im Einsatz ist) 
  2. Es muss eine EPA Policy hinzugefügt werden welche auf „is_aoservice“ prüft und die Action „sys.client_expr(“device-cert_0_0”)“ triggert (Binden mit Prio 100).  
  3. Es muss eine EPA Policy hinzugefügt werden welche auf „is_aoservice.not“ prüft den Actiontyp „No_AUTHN“ hat (Binden mit Prio 110)  
    als „Next Factor“ wird eine LDAP Authentication Policy hinterlegt. 

Weiterführende Links: 

Grundlegende Always On Funktion: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson.html

Neue Always On Servcie / before Logon Funktion: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html

Konfiguration der „before Logon Funktion“: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows/alwayson-before-logon-with-a-user-persona.html

EPA mit Device Zertifikation: 

https://docs.citrix.com/en-us/citrix-gateway/13/device-certificate-in-nfactor-as-an-epa-component.html

Posted on

Zero Day Sicherheitslücke in Microsoft Exchange

Wie vor einigen Tagen bekannt wurde, hat eine Hacker-Gruppierung namens Hafnium mehrere Zero-Day-Sicherheitslücken in Microsoft Exchange ausgenutzt. Am vergangenen Freitag hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die „IT-Bedrohungslage Rot“ ausgerufen und aufgefordert, die Lücke schnell zu schließen. Ab 26. Februar begannen die Angreifer zusätzlich offenbar damit, automatisiert Hintertüren in verwundbare Exchange Server von Microsoft einzubauen, tausende Server pro Stunde wurden so attackiert. Erst am 3. März wurde zur Schließung der Sicherheitslücke ein Update von Microsoft zur Verfügung gestellt.

Bei uns auch?

Wie sicher sind Sie, dass Sie aktuell nicht betroffen sind?  

Microsoft hat für Sofort-Checks auf dem Exchange Server Analyse-Werkzeuge bereitgestellt, die wir sehr gerne für Ihren Schutz einsetzen. Wir haben in den letzten Tagen bereits zahlreiche betroffene Systeme bereinigt, neu aufgesetzt und für die Zukunft durch das Einspielen der aktuellen Patches neu abgesichert.

Gerne sind wir schnell für Sie mit Sofortmaßnahmen aktiv.
Sprechen Sie uns jederzeit an.

Posted on

Christmas Playbook für Teams

Die Microsoft Deutschland GmbH hat vor ein paar Tagen ein „Christmas Playbook“ mit Ideen für virtuelle (Weihnachts-)Events veröffentlicht. Für den Weihnachtsmarkt in Microsoft Teams bleibt nicht mehr viel Zeit. Die Ideen lassen sich aber auch wunderbar verwenden für andere Anlässe.

Damit allen Leserinnen und Lesern eine besinnliche Weihnachtszeit und einen guten Start in 2021 – bleiben Sie gesund!

Posted on

Microsoft füllt Vakuum nach Privacy Shield

Wie in meinem letzten Beitrag angekündigt hat Microsoft in Sachen „Standardvertragsklauseln“ nachgesorgt: die Erweiterung des Data Protection Agreements ist in Kürze fertig für den deutschen Markt. Dort enthalten sein werden Änderungen, die den Schutz der Kundendaten noch deutlicher in den Mittelpunkt stellen und die das durch das EuGH-Urteil (Schrems II) entstandene Vakuum füllen:

  • Microsoft verpflichtet sich, jede Auskunftsanfrage einer Regierung (egal welcher) mit allen rechtlichen Mitteln anzufechten.
  • Im Fall einer gesetzmäßigen Auslieferung von Daten nach allen rechtlichen Instanzen sichert Microsoft den betroffenen Kunden Entschädigungszahlungen zu.

Mit diesen und weiteren Regelungen geht Microsoft über die Anforderungen und Empfehlungen des Europäischen Datenschutzausschusses hinaus.

Posted on

Ein Facebook User kippt Privacy Shield – und jetzt?

Privacy Shield bezeichnet die (Selbst-)Verpflichtung zur Einhaltung von Datenschutzstandards in den USA, die dem europäischen Datenschutzrecht genügen (Stichwort DSGVO). Unter diesem Schutzschirm konnten europäische Unternehmen DSGVO-konform Daten an Auftragsverarbeiter mit Sitz in den USA weitergeben, die sich nach EU-US Privacy Shield zertifiziert hatten.

Schutzschild zerschlagen

Kürzlich ist diese Praxis vom EuGH für ungültig erklärt worden („Schrems II“-Urteil vom 16. Juli 2020). Max Schrems, österreichischer Jurist und Datenschutzaktivist hatte mit seiner Klage vor dem EuGH schon für das Kippen des Privacy Shield Vorgängers, dem Safe-Harbor-Abkommen, gesorgt. Hintergrund ist die Praxis von Facebook, auch die Daten europäischer Nutzer nicht an seinem Standort in Irland oder andernorts auf europäischem Boden zu verarbeiten, sondern allesamt auch ungefragt in die USA zu transferieren. Diese Praxis für seine personenbezogenen Daten nahm Schrems zum Anlass seiner Klage. Spätestens seit den Enthüllungen von Edward Snowden ist bekannt, dass US-Unternehmen sich nicht an die Zusicherungen von Privacy Shield halten oder halten können, wenn US-Geheimdienste (und ihre Partner) etwas wissen wollen. Es gibt sogar konkrete US-Gesetze, die eine Massenüberwachung vorschreiben (z.B. FISA 702 und EO 12.333). Dies steht in vollkommenem Gegensatz zur europäischen Datenschutzgrundverordnung DSGVO.

Was nun?

Wer IT-Dienste in seinem Unternehmen nutzt, hat mit hoher Wahrscheinlichkeit Berührungspunkte zu dieser Problemstellung. Es fängt schon bei der öffentlichen Website an: welche Dienste werden genutzt, welche Fonts, welche Cookies von welchen Anbietern übertragen Informationen der Besucher in die USA? Haben Sie sich mal die Liste von Diensten und Cookies angeschaut, die Sie beim Besuch einer Website akzeptieren sollen?

Ihre eigene oder auch andere Websites können Sie mit Blacklight scannen, um einen Eindruck zu bekommen. Als kommerzieller Dienst bietet Cookiebot noch Mehrwerte. Dieser Artikel von Cookiebot diente auch als eine der Quellen für diesen Beitrag.

Für den Geschäftsbetrieb noch kritischer sind aber SaaS Dienste wie Office 365, Salesforce und viele andere, die heute omnipräsent auch in europäischen Unternehmen sind. Was gilt es hier nun zu beachten?

SaaS weiter nutzen

Stellen Sie vor allem sicher, dass Sie die von den Anbietern fast immer bereitgestellten „Standardvertragsklauseln“ abgeschlossen haben. Damit gehen Kunden eine direkte Vertragsbeziehung mit dem Anbieter ein, in der der Anbieter den Datenschutz zusichert. Diese Praxis wurde vom EuGH ebenfalls geprüft und für weiterhin geeignet befunden, ein adäquates Datenschutzniveau zu gewährleisten. Wohlgemerkt: der Mechanismus ist in Ordnung – die Standardvertragsklauseln einiger Anbieter müssen und werden inhaltlich voraussichtlich kurzfristig nachgebessert werden.

Bei Office 365 sollten Sie in jedem Fall darauf achten, dass der Datenspeicherort für Ihre Organisation auf Europa oder sogar Deutschland festgelegt ist:

Risiken bewerten

Datenschutzbeauftragte neigen dazu, auf „Nummer sicher“ zu gehen und lieber von der Nutzung abzuraten. Diese Haltung sollte differenziert hinterfragt und diskutiert werden. Neben den nicht ganz klar greifbaren Risiken, Dienste weiter zu nutzen auch unter vorübergehend nicht vollkommen belastbaren Standardvertragsklauseln, sind die Risiken, sich ganz akut in Teilen handlungsunfähig zu machen, wahrscheinlich größer.

Haftung

Wir können keine rechtliche Beratung zu diesem Thema anbieten, sondern stellen diese Informationen als Hinweise und Tipps zur Verfügung. Eine juristisch fundiertere Analyse – und natürlich auch Angebote zur Beratung – finden Sie zum Beispiel bei der audatis in Herford und Potsdam.

Posted on

10 von 10 Punkten auf der Gefährdungsskala: Windows Server bedroht

Ein Patch steht seit August bereit, Exploit Code ist seit September im Umlauf. Was ist passiert und wie groß ist die Bedrohung wirklich?

Szenario

Ein Angreifer muss netzwerktechnisch einen Windows Domain Controller (Versionen von 2008 R2 bis zur aktuellen 2004 sind betroffen) erreichen, um das Netlogon Remote Protocol (MS-NRPC) ansprechen zu können. In der Regel wird er also im internen Netz sein oder eine verbockte Firewall Policy vorfinden müssen. Dann aber kann er sich ohne Anmeldung hochstufen (Elevation of Privilege, CVE-2020-1472 bei Microsoft).

Panik?

Sorge scheint vor allem die US amerikanische CISA (Cybersecurity and Infrastructure Security Agency) zu haben. Sie hat die Admins der US-Regierung verpflichtet, innerhalb von vier Tagen alle ihre Server zu patchen. Da wir bereits Ende September haben, sollten gründlich betriebene Systeme den Patch bereits sowieso erhalten haben, aber wir wissen ja, wie das ist…

Laut heise online erwartet die CISA für heute einen Report der Admins über die Windows-Server-Situation. Den bekommen wir vermutlich nicht zu sehen, wäre aber interessant.