Erklärung: Warum Firewalls?

Erklärung: Warum Firewalls? Warum Firewalls, ist das nicht schon lange schon überholt?
Es werden täglich Tausende neue Zero-Day-Angriffe (unbekannte, ungepatchte Angriffe) gestartet und versteckte Bedrohungen stellen Erkennungstechnologien auf die Probe.

Sie sind vermutlich hier, weil Sie das Netzwerk indem Sie arbeiten, absichern wollen oder müssen. Es gibt Aussagen, welche Firewalls als obsolet bezeichnen. Virenschutz ist nicht mehr sicher. Wozu brauchen wir das dann noch? Sollte oder kann man darauf verzichten? Wie kann man die Rechner oder das Netz dann schützen? Ihre Daten sind wichtig, nicht nur wegen der DSGVO, sondern weil es Ihre Preise, Ihre Marge, Ihr Angebot, Ihre Lieferanten oder Ihre Patente sind.

„Erklärung: Warum Firewalls?“ weiterlesen

Stormshield (Airbus) + masterdigital

Wir bauen auf Stormshield als neuen (Europäischen) Partner

Common Criteria, EAL, was bitte? Ich will doch nur Sicherheit…

Angesichts der modernen Bedrohungen kann sich auch ein kleines Unternehmen nicht auf kleine Sicherheitsmaßnahmen verlassen. Im Zeitalter von Cryptotrojanern, IoT (Internet der Dinge) und der DSGVO erwacht bei vielen das Bewusstsein, wie hoch ihr Bedürfnis für mehr Sicherheit ihrer Daten und Infrastruktur tatsächlich ist.

Aber was hat das mit Common Criteria und EAL zu tun? Glücklicherweise handelt es sich hier nicht um ein weiteres Gesetzeskonstrukt á la DSGVO, das uns dazu zwingt noch mehr Geld in die Hand zu nehmen und Zeit aufzuwenden, die man eigentlich für andere Dinge bräuchte. Es beschreibt etwas, das dem Kunden Sicherheit garantiert.
Die Common Criteria (übersetzt „gemeinsame Kriterien“) wurden ins Leben gerufen um Software- und Hardware-Produkten einen internationalen Sicherheitsstandard zu geben.
Darin werden verschiedene Anforderungen beschrieben, die dazu dienen, festgelegte Sicherheitsziele zu erreichen. Ebenso legen die Common Criteria fest, wie jene Kriterien geprüft werden müssen, damit das Produkt für verschiedene Evaluierungslevel (EAL – Evaluation Assurance Level) zertifiziert werden kann.

Warum sollte ich das beachten?

Durch den Kauf nach Common Criteria zertifizierter Produkte, hat der Kunde die Gewissheit, dass die Funktion (EAL1), die Struktur (EAL2), die Methode (EAL3) und der Quellcode (EAL4) von unabhängigen Stellen getestet und überprüft (bei EAL4 auch durchgesehen und entwickelt) wurde.
Die Level bauen aufeinander auf und ab EAL5 kommen formale Spezifikations- und Verifikationsmethoden hinzu. Hier genügen herkömmliche Entwicklungsmethoden nicht mehr. Das Ziel der EAL-Zertifizierung ist bestätigen zu lassen, dass die angewandte Technologie tatsächlich auch den Zweck und die Funktion erfüllt, den der Hersteller seinem Produkt zuschreibt. Damit wird das Vertrauen der Kunden in die eigenen Produkte gestärkt.

Zu dem Hersteller

Das französische Unternehmen Stormshield, das mit bereits 20 Jahren Erfahrungen im Bereich IT Security ein Player der frühen Stunde in diesem Bereich ist, hat sich daher für die EAL3+ bzw. EAL4+ Zertifizierung entschieden.

Als europäischer Marktführer für den Schutz digitaler Infrastrukturen und als 100-prozentige Tochtergesellschaft von Airbus CyberSecurity (Airbus Defense & Space) bietet Stormshield vertrauenswürdige Spitzenlösungen, die nach höchsten europäischen Standards zertifiziert sind (neben EAL3+ und EAL4+ auch EU RESTRICTED, NATO und ANSSI).

Und da derzeit auf die BSI Zertifizierungen hin gearbeitet wird sollte demnächst das letzte Hindernis beseitigt werden, damit auch deutsche Ämter mit Lösungen von Stormshield ausgestattet werden können. Die adaptiven Lösungen von Stormshield lassen sich auf Ihr Unternehmen maßschneidern und sind bereits in der Standardversion wirksam und bedienerfreundlich und bieten für Organisationen aller Größen denselben Schutzgrad ohne die Ressourcen zu stark zu belasten.

DSGVO und Gedanken dazu

Die Regierungen haben sich wieder mal was geleistet

Jeden soll es treffen, keiner ist ausgenommen. Alle müssen sich damit auseinandersetzen. Und jeder weiß, wie es richtig geht. Und jeder schreibt was anderes.

So zumindest stellt es sich dar, wenn man im Internet nach Informationen zur DSGVO sucht.

Fragen

Darf ich meinen Cloud-Anbieter noch nutzen? Wenn ja, brauche ich einen Auftragsdantenverarbeitungsvertrag mit diesem Anbieter? Reicht es, wenn er nach DSGVO zertifiziert ist? Woran erkenne ich eine Zertifizierung? Was, wenn mein Handy das Adressbuch in der Cloud sichert? Brauche ich dann ein Einverständnis all derer, die im Adressbuch aufgeführt sind, dass ich ihre Daten in der Cloud bei eben diesem Anbieter sichern darf? Muss ich dann jeden einzelnen darüber informieren, welcher Anbieter das ist und wer der Ansprechpartner des Anbieters zum Löschen der Daten ist? Bedeutet das also, dass der Cloud-Anbieter offiziell Zugriff auf meine Daten haben muss?

Wenn ich meinen Kunden in deutlicher, klarer Sprache darüber informieren muss, was mit seinen Daten passiert, warum brauche ich dann einen Anwalt, der mir die DSGVO in klare Sprache für mein Unternehmen übersetzt? Welchen Aufwand muss ich betreiben, damit meine Mitarbeiter auf Ihren Firmen-Smartphones keine Apps (wie bspw. $Messenger) mehr nutzen, die Zugriff auf das Telefonbuch verlangen bzw. diesen Zugriff nicht mehr zulassen? Wie nutzen sie dann $Messenger? Müssen E-Mails zukünftig verschlüsselt werden? Es dürfen keine personenbezogenen Daten wie IP Adresse ohne Zustimmung gespeichert werden, aber jeder Webserver hängt hinter einer Firewall, die den Webtraffic analysiert und loggt.

Wir könnten einfach aufhören das Internet zu nutzen.

Was ist nun zulässig und wie ist das in der Praxis umzusetzen? Wenn man sich all die Fragen und dazu die Vielzahl an Antworten darauf im Netz anschaut wundert es nicht, dass einige noch immer abwarten und Tee trinken während andere das Ende der Datenfreiheit verkünden. Wer viel mit personenbezogenen Daten hantiert und Sicherheit haben will wird wohl nicht um das Konsultieren eines Fachanwaltes für Datenschutz kommen. Aber – wichtig! – immer darauf achten, dass dieser auch im Fall der Fälle dafür einsteht.

Interessant wird auch die Entwicklung der mit Werbung finanzierten Branchen in der Ära der DSGVO. Durch das enthaltene Kopplungsverbot, das festlegt, dass einem Benutzer die Nutzung eines Dienstes nicht verwehrt werden darf, wenn er die Datenspeicherung verweigert.
Es wird spannend werden, was sich z.B. werbefinanzierte Email-Anbieter wie $Maildienst & co. einfallen lassen werden um Neukunden abzuweisen, wenn sie die Speicherung&Verarbeitung ihrer Daten zu Werbezwecken verweigern. Dasselbe gilt für werbefinanzierte Webseiten, die bisher den Zugang verwehrt haben, wenn man einen Werbeblocker installiert hat.

Der allgemeine Tenor derer, die über die DSGVO im Internet informieren, lautet, dass die DSGVO gegen Facebook, Google und Co. eingeführt wurde. Wenn das so sein sollte, dann ist hier gewaltig etwas schief gelaufen! Natürlich müssen diese Konzerne Änderungen vornehmen und das ist auch richtig so. Aber jene Konzerne verfügen über Mittel und Anwälte um die entsprechenden Anpassungen vorzunehmen und werden Wege und Lücken finden um die Regulierungen zu umgehen, wenn es sein muss.

Am härtesten trifft die DSGVO die privaten Blogger oder Klein- und Kleinstunternehmen. die die Leidtragenden der DSGVO sind, die nicht nur sowieso häufig schon kapazitiv am Rande sind, sondern auch noch das oft schon knappe Budget in die Hand nehmen müssen um es den Profiteuren der DSGVO in den Rachen zu werfen. Profiteure sind neben den Anwälten, die Unterstützung zur Vorbereitung auf die DSGVO anbieten, hier vor allem die Anwälte und Vereine, deren Einkommensquelle Abmahnungen und Unterlassungserklärungen sind(*), und deren Angriffsfläche durch die DSGVO immens erweitert werden dürfte. Auch die Verpflichtung zur Nutzung aktuellster Technik zum Schutz der Kundendaten dürfte dem Budget der Klein(st)unternehmen nicht gerade zuträglich sein. So befinden wir uns wieder einmal mehr auf einem Nebenkriegsschauplatz, der uns davon abhält unsere Arbeit zu tun und damit Geld zu verdienen.

Mein Fazit

Es wird spannend werden, wie die werbefinanzierte Onlinewelt auf die Einführung der DSGVO reagieren wird. So interessant der Ansatz der DSGVO im Bezug auf Schutz vor Datenmissbrauch ist, so hängt ihre Effizienz doch letzten Endes davon ab, ob der Einzelne davon Gebrauch machen wird. Nachbesserungsbedarf besteht definitiv bei der Anwendung auf Klein(st)unternehmen und Hobbyblogger. Natürlich sollte auch hier der Datenschutz entsprechend zum Tragen kommen, jedoch dürfen die Konsequenzen bei Nichteinhaltung nicht unmittelbar zur Existenzbedrohung werden.

P.s. Daten, die nur privaten und familiären Kontakten dienen, sind bei der DSVGO ausgenommen.

Bildergalerie

Bilder über unsere Arbeit.

Produkte, Messen, Räume, alles was unsere Dienstleistung oder Firma betrifft. Es gibt nur geringe Dinge, welche ich hier darstellen kann. Es gibt nun mal diesen Urheber Müll und deswegen habe ich die Bilder entfernt. Ich muss erst mal prüfen, welche Bilder ich hier noch veröffentlichen kann.

Aktuell bleibt die Seite erst einmal leer.

 

Passwort ändern, wichtige Richtlinien

Das Passwort ändern

Seit Jahr und Tag wird verbreitet, dass man regelmäßig sein Passwort ändern soll. Viele Richtlinien benötigen ewig um von Anwendern umgesetzt zu werden. Aber manche schaffen es doch, nach Jahren, sich zu etablieren. Bei einem Kunden, muss ich alle 45 Tage mein Passwort ändern. Bei anderen Kunden manchmal auch alle 30 Tage, das ist jedenfalls sehr kurz hintereinander und auch irgendwo sehr arbeitsintensiv.
Man meint, die Sicherheit steigt dadurch, aber man verwechselt auch oft die Kennwörter und sperrt das Konto. Das ergibt Aufwand im Servicedesk.
Nur, solange ich keinen Hinweis darauf habe, dass das Konto kompromittiert wurde, brauche ich das Kennwort nicht ändern.
Es ist viel wichtiger, für jeden Login ein eigenes Passwort zu haben.
Und natürlich sollte das Passwort länger als 8 Zeichen sein, um einiges länger!

Im Bezug auf Sicherheitsüberprüfungen wollte ich vor einiger Zeit mal eine Datenbank für verschiedene Passwörter bei mir anlegen (errechnen lassen). Das Programm meinte, es wolle mal Passwörter von 1 – 13 Stellen erstellen und schreibt dann mal 1PB an Daten. Also Gigabyte * 1024 = Terabyte. Terabyte * 1024 = Petabyte …..
10 Hoch 15 Byte = 1 000 000 000 000 000 Byte
Ich meine, Plattenplatz kostet ja heutzutage nichts mehr, aber trotzdem ^^.
Wenn ich bedenke, dass meine Passwörter 15 – 25 Zeichen lang sind ….
Also, zusammenhängende Wörter, für jeden Login ein Passwort, unterschiedliche Längen der Passworte, Sonderzeichen, Groß-/Kleinschreibung.

Beispiele

D@s-Fenster!stoffen32  könnte zum Beispiel ein Passwort sein, das kann man noch ausschmücken. Eine Fremdsprache hinzufügen, Denglisch nutzen…
Ich-havemeinen1RechnerGeupgraded9 ……Viel Spaß beim errechnen. Wer das Passwort knackt, hat es verdient.

War es das jetzt?

Natürlich ist das keine 100% Richtlinie. Man kann das Kennwort auch mal alle paar Monate wechseln. Aber nicht alle 30 Tage, das finde ich übertrieben. Dann schon eher onetime Passwörter oder Smartcards oder andere Token.
Ich würde auch eine Unterscheidung machen, wie wichtig der Login ist. Admin Berechtigung mit längeren PW und öfter wechseln. Facebook …
Überhaupt nicht nutzen… Spaß. Facebook ist natürlich schon im Fokus, speziell für größere Firmen kann es heikel sein, falls der Account geknackt wurde.
Ich bin der Meinung, dass man keine komplett gleiche Vorgehensweise bei der Erstellung der Passwörter haben sollte.
Das ist meiner Meinung nach das sicherste Vorgehen.

Eine Übersicht zur Unterstützung der Verwaltung von Kennwörtern gibt es z.B. bei Wikipedia

In Browsern gibt es immer wieder Sicherheitslücken, welche die Passwörter auslesbar machen! Das Speichern im Browser sollte also nicht genutzt werden. Zu meinem Erstaunen hat Microsoft die verpflichtende Passwort wechsel Richtlinie entfernt. Seit einigen Wochen gibt es mehr zu dem Thema zum Beispiel „Time to rethink mandatory password changes“

Schlimme Passwörter sind:

Master
qwertz
123456……
111111
letmein
princess
passwort   <-echt jetzt?
fussball

Unser Datenschutz

####    Unser Datenschutz    ####

Cyberdfense bearbeitet Daten nur zum Zwecke der Abrechnung/Angebotserstellung und Sicherheit. Das sind in der Regel Firmenanschrift, Name, E-Mail-Adresse, Bankverbindung, Zugriffszeiten und IP-Adressen etc.

Mehr brauchen wir nicht.

Dazu noch die Daten, die Sie uns per Mail schicken, oder auf unseren Servern platzieren/hochladen.

Wir löschen regelmäßig Kontakte aus unserem Speicher.

Unser Clouddrive ist in einem deutschen Rechenzentrum und bleibt auch da. (Rechenzentrum innerhalb Deutschlands). Ihre Daten auf dem Drive sind verschlüsselt und für uns nicht einsehbar.

Wir stellen sicher, dass wir mit den Rechnern in Deutschland bleiben.

Verschiedene Hersteller von uns, sind außerhalb Europas, da haben wir keinen Einfluss darauf, welche Daten diese erheben. Aus diesem Grund haben wir uns z.B. einen französischen Hersteller ins Programm geholt.

Verkauf von Daten

Cyberdfense hat kein Interesse am Verkauf von persönlichen Daten und löschen regelmäßig solche, allein schon wegen der Übersichtlichkeit und der Pflege der Systeme.

Rechnungen schreiben wir über ein deutsches online Portal. Dort sind dann Ihre Daten, soweit das zur Rechnungsstellung benötigt wird, hinterlegt.

Sollten Sie Ihre Daten gelöscht haben wollen, schicken Sie uns eine E-Mail. Die Geschäftsbeziehung wird dann beendet, lediglich die E-Mail müssen wir aufbewahren.

Im Rahmen der Security werden Zugriffsdaten und Checksummen an Clouddienste geschickt, welche nicht abgeschaltet werden können. Dafür werden sogenannte „Metadaten“ erhoben.

Wir erstellen keine Nutzerprofile!

Für weitere Fragen stehen wir zur Verfügung! Abmahnungen werden nicht akzeptiert, wenn Cyberdfense nicht !angemessene! (10 Arbeitstage) Zeit zur Reaktion und Bearbeitung von Beanstandungen bekommen.

Cyberdfense verarbeitet Logfiles unserer Systeme für 6 Monate. Metadaten (Sender, Empfänger, Zeitpunkt, IP, Größe).  Dies benötigen wir für angemessene Sicherheit unserer Systeme. Diese Daten werden nur im Zusammenhang mit Angriffen ausgewertet. (Abfragevolumen, Zeiten, Angriffe etc.)

Sobald das Vertragsverhältnis beendet und alle offenen Forderungen beglichen sind, werden sämtliche das Vertragsverhältnis betreffende Daten nach 90 Tagen gelöscht. (Gesetzliche Bestimmungen zählen hier mehr)

Ihre Daten dienen lediglich zur Geschäftsbeziehung oder z.B. zu Beweiszwecken im Fall von IP-Nummern und Login-Informationen. Es geht halt nun mal nicht ohne.

Allerdings werden so wenig Daten als möglich verwendet. Wir betrieben diesen Datenschutz schon lange vor der Verabschiedung der DSGVO.

Sind Ihnen Ihre Daten schützenswert, nutzen Sie „Startpage“ nicht „Goo***“.