{"id":310,"date":"2022-09-01T09:00:00","date_gmt":"2022-09-01T07:00:00","guid":{"rendered":"http:\/\/wptest.secida.com\/?p=310"},"modified":"2023-02-24T10:40:39","modified_gmt":"2023-02-24T09:40:39","slug":"newsletter09-2022","status":"publish","type":"post","link":"https:\/\/www.secida.com\/en\/newsletter09-2022\/","title":{"rendered":"secida im September"},"content":{"rendered":"<div data-elementor-type=\"wp-post\" data-elementor-id=\"310\" class=\"elementor elementor-310\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-3eed0574 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"3eed0574\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-34220b30\" data-id=\"34220b30\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-7244ae2b elementor-widget elementor-widget-text-editor\" data-id=\"7244ae2b\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h4>Technologische Grundlagen f\u00fcr Datensicherheit und Privacy<br \/><br \/><\/h4><p class=\"reader-text-block__paragraph\">Herzlich Willkommen zu unserem Newsletter!<\/p><p class=\"reader-text-block__paragraph\">Am Anfang jeden Monats geben wir hier einen \u00dcberblick \u00fcber geplante Aktivit\u00e4ten und beleuchten einen Aspekt sicherer Digitalisierung.<\/p><p class=\"reader-text-block__paragraph\">\u00a0<strong>Interessante Aktivit\u00e4ten im September<\/strong>:<\/p><p class=\"reader-text-block__paragraph\">LinkedIn-Livestream am 21.09.2022, 12:00h<strong>: \u201eJetzt mal Tacheles: Cybersicherheits-Essentials f\u00fcr den Mittelstand\u201c &#8211;\u00a0<\/strong>mit\u00a0<strong>Alpha Barry<\/strong>, CEO secida AG, und\u00a0<strong>Jan Becher<\/strong>, Director Channel Sales EMEA Central. Melden Sie sich\u00a0<a href=\"https:\/\/www.linkedin.com\/video\/event\/urn:li:ugcPost:6970733901858103297\/\">hier<\/a>\u00a0an<\/p><p class=\"reader-text-block__paragraph\"><strong>Sichere Digitalisierung im September: Technologische Grundlagen f\u00fcr Datensicherheit und Privacy<\/strong><\/p><p class=\"reader-text-block__paragraph\">Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier:\u00a0<a href=\"https:\/\/www.linkedin.com\/video\/event\/urn:li:ugcPost:6963495530458972160\/\">https:\/\/www.linkedin.com\/video\/event\/urn:li:ugcPost:6963495530458972160\/<\/a><\/p><p class=\"reader-text-block__paragraph\">Die Absicherung kritischer Daten \u2013 ob personenbezogen (DSGVO) oder wettbewerbskritisch \u2013 ist h\u00e4ufig herausfordernd: Kein Unternehmen m\u00f6chte das Risiko eingehen, sensitive Informationen bei einem Hackerangriff oder durch Fehlentscheidungen Mitarbeitender zu verlieren. Die richtige Technologie ist eine essenzielle Grundlage f\u00fcr den Schutz kritischer Daten.<\/p><p class=\"reader-text-block__paragraph\">Daten m\u00fcssen gespeichert werden. Sie befinden sich immer auf einem Server innerhalb der firmeneigenen IT-Infrastruktur. Dieser Server:<\/p><ul><li>wird direkt von der\u00a0<strong>Unternehmens-IT<\/strong>\u00a0verwaltet,<\/li><li>steht im Rechenzentrum eines\u00a0<strong>externen Dienstleisters<\/strong>\u00a0oder<\/li><li>l\u00e4uft virtualisiert\u00a0<strong>in der Cloud<\/strong>.<\/li><\/ul><p class=\"reader-text-block__paragraph\">Die erste wesentliche Frage zum technologischen Schutz kritischer Daten ist:\u00a0<strong>Wer hat physischen Zugriff auf die Server?<\/strong><\/p><p class=\"reader-text-block__paragraph\">Wer physischen Zugriff auf den jeweiligen Server hat, kann auf die dort gespeicherten Informationen zugreifen. Es sollten deswegen ausschlie\u00dflich Personen physischen Zugriff auf ihre Server haben, die ihn wirklich ben\u00f6tigen. Das hei\u00dft:<\/p><p class=\"reader-text-block__paragraph\">Bei\u00a0<strong>unternehmensinternen Rechenzentren:\u00a0<\/strong>Wo stehen unsere Server?<\/p><ul><li>In einem separaten, abgeschlossenen Raum?<\/li><li>Wer kann diesen Bereich betreten?<\/li><li>Wie wird der Zutritt kontrolliert und getrackt?<\/li><li>Wird an den jeweiligen Servern getrackt, wer physisch auf Daten zugreifen will<\/li><li>Wird nochmals separat eine Erlaubnis erteilt?<\/li><li>Kann exakt nachweisen werden, wer, wann, auf welche Daten zugegriffen hat?<\/li><\/ul><p class=\"reader-text-block__paragraph\">Bei\u00a0<strong>externen Dienstleistern<\/strong>\u00a0\u2013 unabh\u00e4ngig von physischem Rechenzentrum oder Cloud:<\/p><ul><li>Wie wird sichergestellt, dass nur Mitarbeitende mit berechtigtem Interesse Zugang zu den Servern haben?<\/li><li>Wie kontrolliert der Dienstleister die physische Zugangssicherung?<\/li><li>Welche weiteren Sicherheitszusicherungen gibt es? Stimmen diese Zusicherungen mit den f\u00fcr meine Firma geforderten Sicherheitsnormen und -standards \u00fcberein?<\/li><\/ul><p class=\"reader-text-block__paragraph\">Je kleiner das Unternehmen ist, desto herausfordernder kann es sein, die oben genannten Sicherheitsbedingungen, vollumf\u00e4nglich einzuhalten.<\/p><p class=\"reader-text-block__paragraph\">Nachdem der Schutz vor physischem Zugriff gekl\u00e4rt ist, schlie\u00dft sich eine weitere wichtige Frage direkt an:\u00a0<strong>Wer darf als Administrator auf diesen Server zugreifen?<\/strong>\u00a0Inhaber administrativer Rechte f\u00fcr einem Server k\u00f6nnen in weitrechendem Umfang auf dort gespeicherte Daten zugreifen: Daten k\u00f6nnen gel\u00f6scht, ver\u00e4ndert und\/oder an andere Orte abgeleitet werden.<\/p><p class=\"reader-text-block__paragraph\">Folgende Fragen sollten Sie gemeinsam mit ihrer IT beantworten:<\/p><ul><li>Wer hat heute administrative Zugriffsrechte?<\/li><li>M\u00fcssen die aktuellen Rechteinhaber diese Rechte zwingend haben?<\/li><li>K\u00f6nnen die Rechte weiter konkretisiert werden (braucht der Mitarbeitende vollumf\u00e4ngliche Zugriffsrechte, oder sich Zugriffsrechte f\u00fcr bestimmte auf dem Server liegende Informationen und Anwendungen ausreichend?)<\/li><li>K\u00f6nnen diese Rechte auch befristet und aufgabenspezifisch zugeteilt werden?<\/li><li>K\u00f6nnen wir kontrollieren (und ggf. stoppen), was die Inhaber administrativer Rechte tats\u00e4chlich mit unseren Daten machen?<\/li><\/ul><p class=\"reader-text-block__paragraph\"><strong>Privileged-Access-Management-L\u00f6sungen<\/strong>\u00a0(abgek\u00fcrzt PAM) helfen Unternehmen abzusichern, dass Mitarbeitende auf den jeweiligen Servern ausschlie\u00dflich notwendige und autorisierte T\u00e4tigkeiten ausf\u00fchren. PAM-Systeme:<\/p><ul><li><strong>\u00dcberwachen<\/strong>, wer, wann Zugriff auf welche Systeme hat. Z.B. durch das\u00a0<strong>Vier-Augen-Prinzip<\/strong>: Der Mitarbeitende fragt definierte Zugriffsrechte mit Begr\u00fcndung und Zeitrahmen beim Vorgesetzten an und enth\u00e4lt von diesem nach Pr\u00fcfung eine spezifische, zeitgebundene Freigabe.<\/li><li><strong>Dokumentieren.\u00a0<\/strong>Die Handlungen der Mitarbeitenden werden getrackt, dokumentiert und gespeichert. Dies ist f\u00fcr Sicherheitsaudits oder forensische Analysen nach einem Vorfall wichtig. Hier hilft z.B. das\u00a0<strong>Videorecording der Bildschirmaktivit\u00e4t:<\/strong>\u00a0Eine direkte Video\u00fcberwachung der T\u00e4tigkeiten des jeweiligen Mitarbeitenden durch eine Aufnahme von dessen Bildschirm hilft (auch im Nachgang) ggf. zu pr\u00fcfen, ob das getan wurde, was freigegeben war und parallel keine anderen Handlungen vorgenommen wurden.<\/li><\/ul><p class=\"reader-text-block__paragraph\">F\u00fcr umfassenden technologiebasierten Schutz kritischer Daten muss auch der\u00a0<strong>Mitarbeiter-Lebenszyklus<\/strong>\u00a0ber\u00fccksichtigt werden:<\/p><ul><li>Welche Rechte bekommen neue Mitarbeiter in der IT-Administration?<\/li><li>Wie und wann werden administrative Rechte bei Rollen\u00e4nderungen oder Ausscheiden des Mitarbeitenden aus dem Unternehmen wieder gel\u00f6scht?<\/li><li>Wie wird ein konstanter und korrekter \u00dcberblick \u00fcber administrativ Berechtigte auf bestimmten Servern und ihre Aktivit\u00e4ten gew\u00e4hrleistet, kontrolliert und dokumentiert?<\/li><\/ul><p class=\"reader-text-block__paragraph\"><strong>Identity and Access-Systeme (abgek\u00fcrzt IAM)<\/strong>\u00a0sind hier hilfreich: Sie b\u00fcndeln f\u00fcr jeden Mitarbeitenden s\u00e4mtliche Zugriffsrechte und gew\u00e4hren so zu jedem Zeitpunkt eine sehr gute \u00dcbersicht. F\u00fcr spezifische Rollen k\u00f6nnen Zugriffsmodelle entwickelt werden, die dem Mitarbeitenden bei Onboarding direkt zugewiesen oder bei Rollenwechseln angepasst werden k\u00f6nnen. Bei Ausscheiden k\u00f6nnen in einem IAM-System s\u00e4mtliche Zugriffe zum Ausscheidungsdatum direkt deaktiviert werden. So wird die Sicherheit deutlich erh\u00f6ht und der Verwaltungs- und Dokumentationsaufwand deutlich reduziert.<\/p><p class=\"reader-text-block__paragraph\"><strong>Was aber tun, wenn es zu einer kriminellen Attacke kommt?<\/strong><\/p><p class=\"reader-text-block__paragraph\">Es empfiehlt sich, ein\u00a0<strong>Cybersicherheits-Monitoring<\/strong>\u00a0einzuf\u00fchren. Die IT-Infrastruktur eines Unternehmens muss konstant auf Cyberattacken \u00fcberpr\u00fcft werden, damit im Falle einer Attacke schnellstm\u00f6glich Ma\u00dfnahmen getroffen werden k\u00f6nnen. Genauso wichtig ist es, regelm\u00e4\u00dfige Back-ups sensitiver Daten zu machen und diese offline zu speichern, sowie Notfallpl\u00e4ne zu entwickeln und zu trainieren, damit im Ernstfall schnell und effektiv agiert werden kann.<\/p><p class=\"reader-text-block__paragraph\">Besonders f\u00fcr kleinere Unternehmen empfiehlt es sich, einen externen Dienstleister zu beauftragen, bzw. die ben\u00f6tigten Server direkt extern betreuen zu lassen. Informieren Sie sich vorab \u00fcber bestehende Cybersicherheitsma\u00dfnahmen:<\/p><ul><li>Gibt es Back-ups der Daten, die offline gespeichert werden?<\/li><li>Wird die Funktionalit\u00e4t dieser Back-ups regelm\u00e4\u00dfig getestet?<\/li><li>Gibt es eine Monitoring-L\u00f6sung, wie funktioniert diese?<\/li><li>Gibt es Notfallpl\u00e4ne, die im Falle eines Angriffs zum Tragen kommen?<\/li><li>Werden Cybersicherheits-Rollenspiele durchgef\u00fchrt? Wie h\u00e4ufig?<\/li><li>Wie werden Kunden \u00fcber Attacken informiert?<\/li><li>Welche Gew\u00e4hrleistungen sind vertraglich vereinbart?<\/li><\/ul><p class=\"reader-text-block__paragraph\">Bei Speicherung der Daten auf unternehmensinternen Servern ist als zus\u00e4tzliche Absicherung die\u00a0<strong>Durchf\u00fchrung eines Penetration-Tests<\/strong>\u00a0(Pen-Test) empfehlenswert. Ein Pen-Test ist eine autorisierte Hacking-Attacke durch einen seri\u00f6sen Dienstleister, der einen Angriff auf die Firmensysteme durchf\u00fchrt und im Anschluss identifizierte Schwachstellen und L\u00f6sungsans\u00e4tze aufzeigt.<\/p><p class=\"reader-text-block__paragraph\">Und zuletzt:\u00a0<strong>Was ist mit dem Risiko des Datenzugriffs durch fremde Dienste?<\/strong>\u00a0\u00a0Im Kontext Datenschutz ist auch diese Sorge ein valider Teil der Diskussion. Wie kann sichergestellt werden, dass z.B. ein fremder Staat (z.B. die USA bei einem amerikanischen Clouddienstleister) von einem Dienstleister nicht die Herausgabe von kritischen Daten verlangt?<\/p><p class=\"reader-text-block__paragraph\">Dies ist eine rechtliche Diskussion, f\u00fcr die wir keine Aussage treffen k\u00f6nnen. Wir empfehlen, die rechtlichen Grundlagen f\u00fcr das jeweilige Unternehmen zu analysieren und dann im Kontext das Risiko, das von professioneller Cyberkriminalit\u00e4t ausgeht, gegen das Risiko des Datenzugriffs durch einen anderen Staat f\u00fcr den spezifischen Fall abzuw\u00e4gen.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"<p>Wie immer mit interessanten Aktivit\u00e4ten im September, dem Link zum Livestream und vielem mehr.<\/p>","protected":false},"author":1,"featured_media":1747,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-310","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-newsletter"],"_links":{"self":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/310","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/comments?post=310"}],"version-history":[{"count":31,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/310\/revisions"}],"predecessor-version":[{"id":3126,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/310\/revisions\/3126"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/media\/1747"}],"wp:attachment":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/media?parent=310"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/categories?post=310"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/tags?post=310"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}