Schlagwort-Archive: Datensicherheit

#datensicherheit Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht-technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheits-managements unter anderem an der internationalen ISO/IEC 27000-Reihe. Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung. Verschiedene Szenarien eines Angriffs lassen sich in der IT-Sicherheit vorstellen. Eine Manipulation der Daten einer Homepage über eine sogenannte SQL-Injection ist ein Beispiel. Nachfol-gend werden einige Ziele, Ursachen und Angriffe beschrieben. Effekte oder Ziele: Technischer Systemausfall, Systemmissbrauch, durch illegitime Ressourcennutzung, Veränderung von publizierten Inhalten, etc., Sabotage, Spionage, Betrug und Diebstahl. Ursachen oder Mittel: Höhere Gewalt, zum Beispiel in Form von Blitzschlag, Feuer, Vulkanausbruch oder Überschwemmung, Fehlbedienung durch Personal oder zugangsberechtigte Personen, Computerviren, Trojaner und Würmer, die zu-sammengefasst als Malware bezeichnet werden Spoofing, Phishing, Pharming oder Vishing, bei dem eine falsche Identität vorgetäuscht wird Denial of Service-Angriff
Man-in-the-middle-Angriffe beziehungsweise Snarfing Social Engineering Physischer Einbruch zum Stehlen sensibler Daten wie Schlüssel oder zum Platzieren von Malware. Während im Firmenumfeld die ganze Themenbreite der Computersicherheit Beachtung findet, verbinden viele Privatanwender mit dem Begriff primär den Schutz vor Viren und Würmern oder Spyware wie Trojanischen Pferden. Die ersten Computerviren waren noch recht harmlos und dienten lediglich dem Aufzeigen diverser Schwachstellen von Computersystemen. Doch recht bald erkannte man, dass Viren zu weitaus mehr in der Lage sind. Es begann eine rasante Weiterent-wicklung der Schädlinge und der Ausbau ihrer Fähigkeiten – vom simplen Löschen von Dateien über das Ausspionieren von Daten (zum Beispiel von Passwörtern) bis hin zum Öffnen des Rechners für entfernte Benutzer (Backdoor). Mittlerweile existieren diverse Baukästen im Internet, die neben einer Anleitung auch alle notwen-digen Bestandteile für das einfache Programmieren von Viren liefern. Nicht zuletzt schleusen kriminelle Organisationen Viren auf PCs ein, um diese für ihre Zwecke (UBE / UCE, DoS-Attacken, etc.) zu nutzen. So entstanden bereits riesige Bot-Netze, die auch illegal vermietet werden. Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung einer Organisation oder eines Unternehmens und sollte nach einem Top-Down Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (englisch: Security Policy) ist Aufgabe des obersten Managements. Weitere Aufgabe des Managements kann die Einführung und der Betrieb eines Informationssicherheitsmanagement-Systems (ISMS) sein. Dieses ist für die operative Umsetzung und Kontrolle der Security Policy zuständig. Durch diese Maßnahmen sollen geeignete Organisations- und Managementstrukturen für den Schutz der Unternehmenswerte geschaffen werden. Weitere Informationen sind im Artikel IT-Sicherheitsmanagement zu finden. Maßnahmen sind unter anderem physische, beziehungsweise räumliche Sicherung von Daten, Zugriffskontrollen, das Aufstellen fehlertoleranter Systeme und Maßnahmen der Datensicherung und die Verschlüsselung. Wichtige Voraussetzung ist die Sicherheit der verarbeitenden Systeme. Ein effektives Sicherheitskonzept berücksichtigt jedoch neben technischen Maßnahmen auch organisatorische und personelle Maßnahmen. Zu den Sicherheitsmaßnahmen, die von jedem Verantwortlichen für die Informationssicherheit in Unternehmen, aber vor allem auch von privaten Nutzern von Computern und Netzwerken für die Informationssicherheit getroffen werden können, gehören unter anderem die folgenden Punkte. Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund. Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informations-technischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen. Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden. Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten. Eine Methodik wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften. Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird. Quelle:http://de.wikipedia.org/wiki/Informationssicherheit

Literatur | Digitale Transformation

#digitaleTransformantion

Der Einfluss der Digitalisierung und die notwendigen Handlungsoptionen für alle Bereiche des Unternehmens erkennen Nehmen Sie teil am Entstehen dieses Buches. Diskutieren Sie über Erfahrungen mit dem digitalen Wandel in Ihrer Organisation. Lassen Sie sich informieren, sobald ein Kapitel frei verfügbar ist.

Weiterlesen

Studie | Big Data braucht Datenfairness

 

#bigdata #kanzleiwissensmanagement

 

Umfrageergebnisse: Bei konkreten Anwendungsvorteilen sind Bürger bereit, Zugang zu eigenen Daten zu gewähren – Aktualisierte Studie bietet verständliche Einführung zu Chancen und Risiken bei der Nutzung großer Datenmengen. Die Studie erläutert nicht nur die Umfrageergebnisse, sondern bietet eine leicht verständliche Einführung ins Thema Big Data. Sie beschreibt Anwendungsbeispiele wie die Ermittlung von Grippetrends oder die Vorhersage von Einbrüchen und erklärt deren technische Grundlagen, Potenziale und Datenschutzrisiken.

Weiterlesen

Umfrage | Cyber-Sicherheit 2015

 

#umfrage #kanzleiwissensmanagement

 

Bereits zum 2. mal startet die Allianz für Cyber-Sicherheit die Umfrage zur Gefährdungslage und dem Umsetzungsstand von Schutzmaßnahmen aus Sicht von Unternehmen, Behörden und anderen Institutionen. Die Teilnahme an der Umfrage ist anonym und unverbindlich, eine Registrierung bei der Allianz für Cyber-Sicherheit wird nicht vorausgesetzt.

Ziel der Umfrage ist es, Informationen zur tatsächlichen Betroffenheit durch Cyber-Angriffe, der subjektiven Gefährdungslage und dem Umsetzungsstand von Schutzmaßnahmen aus Sicht von Unternehmen, Behörden und anderen Institutionen zu erhalten. Aus den Ergebnissen der Umfrage lassen sich unter anderem praxisbezogene Lösungsansätze und Empfehlungen sowie Beratungsschwerpunkte ableiten, die das BSI im Rahmen der Allianz für Cyber-Sicherheit einbringen und auch anderen Unternehmen und Institutionen zur Verfügung stellen kann. Zudem fließen die Ergebnisse der Umfrage als weiterer Baustein in die Erstellung und kontinuierliche Pflege eines Lagebilds der Cyber-Sicherheit in Deutschland ein. Zur Umfrage.

Die Umfrage wird im Auftrag des BSI durch die Secumedia GmbH mit technischer Unterstüt-zung der OTARIS GmbHdurchgeführt. Die Umfrage wird außerhalb des Internetauftritts des BSI bei der OTARIS GmbH (unter:www.myaudit.de/CyberAllianz2015) gehostet. Beide Auftragneh-mer haben sich verpflichtet, dem BSI ausschließlich die Umfrageergebnisse zu übermitteln und nach Ende der Umfrage sämtliche erhobenen Daten zu löschen. Die Ergebnisse der Umfrage werden im Oktober veröffentlicht. (Quelle:https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/Umfrage/umfrage2015.html)

Datenschutz | Wie kann ich meine persönlichen Daten vor Schnüfflern schützen?

Die NSA-Affäre macht deutlich, wie leicht personenbezogene Daten in den Zugriffsbereich ausländischer Behörden und Geheimdienste fallen. Da die heutige Datenverarbeitung nicht mehr an einem bestimmten Ort, sondern global erfolgt, verarbeiten und speichern Internet-firmen und Diensteanbieter personenbezogene Daten regelmäßig nicht nur dort, wo die Daten erhoben wurden, sondern weltweit, sei es im Land der Niederlassung des Unternehmens, auf Servern in Drittländern oder fragmentiert in der Cloud. Aufgrund seiner territorialen Begren-zung und eines massiv ausgeprägten rechtspolitischen Vollzugsdefizit findet auf viele Sach-verhalte deutsches Datenschutzrecht in der Praxis häufig keine Anwendung. Aus diesem Grund werden – jenseits der Verantwortlichkeit von Politik und Wirtschaft, den Bürger vor unrecht-mäßiger Überwachung zu schützen – immer mehr Stimmen nach einem effektiven Selbstdaten-schutz laut, der das Individuum über Landesgrenzen hinweg in die Lage versetzen soll, sich selbst zu schützen, so die Erklärung zum „WARUM SELBSTDATENSCHUTZ?“ in dem White Paper, was unter der Mitwirkung u.a. von der Universität Kassel, Institut für Wirtschaftsrecht und dem Fraunhofer-Institut für Sichere Informationstechnologie SIT entstanden ist. Weiter zum White Paper

Digitale Transformation | Digitale Agenda der deutschen Industrie

Die Digitalisierung verändert fast alle Bereiche der Gesellschaft. Gerade die Industrie treibt diesen Wandel. Viele sprechen schon von einer „vierten industriellen Revolution“. Klar ist: Eine führende Industrienation muss auch bei digitalen Lösungen führend sein. Sonst kann sie ihre Wettbewerbsposition weder behaupten noch ausbauen. Wer neue Chancen nutzen möchte, muss zunächst den Status quo schonungslos analysieren. Auch die Schwächen. Denn die größten Internetunternehmen, die meistbesuchten Websites, die umsatzstärksten Hersteller von IT-Hardware, PCs und Smartphones stammen allesamt aus den USA und Asien. Europa darf auf zentralen Feldern der digitalen Wirtschaft nicht den Anschluss verlieren. Die strategische Herausforderung der EU besteht darin, die im Gang befindliche nächste digitale Innovationswelle selbst zu prägen. Das Potenzial dafür hat Europa. Doch entscheidend ist mehr Chancendenken statt Verlierermentalität. Und ein europäischer Markt statt digitaler Kleinstaaterei.

Weiterlesen

Cloud Computing | Neue Clouds für die Datenkrake

Es ist naiv zu glauben, dass Daten, die von einem Cloud-Anbieter außerhalb eines bestimmten Staates gespeichert werden, von diesem Staat aber zugänglich sind, nicht von den Ermittlungsbehörden des Staates eingesehen werden können, so Barbara Scheben von der KPMG im Beitrag. Weiter erörtert sie, warum die zum Teil maßgeschneiderten europäischen Cloud Lösungen von dem US Urteil betroffen sind. Weiter zum Beitrag 

 

 

 

Studie vom Haufe Verlag | Unternehmen verschwenden wertvolle Ressourcen beim Umgang mit Wissen

51 Prozent der deutschen Unternehmen haben erheblichen Nachholbedarf beim produktiven Umgang mit Wissen. Dabei sind die Folgen schlechten Wissensmanagements gravierend: Mehrarbeit und Fehler mindern Effizienz und Arbeitsqualität. Wird Know-how jedoch erfolgreich genutzt, rechnen 76 Prozent der Befragten mit signifikanten Einsparpotenzialen, 90 Prozent sehen einen Zusammenhang mit einer steigenden Innovations- und Wettbewerbsfähigkeit, so das Ergebnis der Studie des Haufe Verlages.

Wissensmanagement Projekte sind in der Vergangenheit schon allein an den techno-logischen Anforderungen gescheitert – das gilt für Kanzleien aus Wirtschaftsprüfung, Steuerberatung, Rechtsberatung, Notariat und deren Mandanten wohl gleichermaßen -. Auch im Hinblick auf das Topthema Datability sind die technologischen Ansprüche eindeutig vorgegeben. System Anbindungen an Datenbanken, wie etwa SAP, Microsoft SQL Server, Microsoft Exchange Server, Microsoft SharePoint, IBM Lotus Notes aber auch DMS Systeme und andere Datenquellen, sind heute standardmäßig vorauszusetzen. Das war leider nicht immer so, sodass Projekte bereits an dieser Hürde gescheitert sind.

Allerdings ist die erforderliche Strategie zur Einführung einer Wissensmanagement Lösung nicht unerheblich, um einen maximalen Wirkungsgrad zu erreichen. So scheitern sehr häufig Wissensmanagement Projekte allein an einer fehlenden oder unzureichenden Initialisierung, Analyse, Zielsetzung und Bewertung. Insoweit kann wohl gesagt werden, dass eine Wissensmanagement Software Lösung kein Allheilmittel ist. Weiter zur Studie des Haufe Verlages

Cloud Computing | Kanzleien ist Vorsicht geboten

Cloud Lösungen, ein ungebremster Megatrend. Allerdings ist durchaus Vorsicht geboten, wenn es um die Berufsgruppen der Rechtsanwälte, Notare, Wirtschaftsprüfer und Steuerberater geht.

Großer Beliebtheit erfreuen sich derzeit Intranet und ECM Lösungen, welche zunehmend als Cloud Computing Produkte dem Markt angeboten werden. Was für Unternehmen praktisch und gleichwohl ökonomisch erscheinen mag – Beiträge, Dokumente und Dateien innerhalb des Unternehmensnetzwerkes – zu teilen, bleibt den Kanzleien vorenthalten. Denn nicht nur Rechtsanwälte und Notare, sondern auch Steuerberater und Wirtschaftsprüfer ist es nach § 203 Abs. 1 Nr. 3 StGB bei Androhung einer Freiheitsstrafe von bis zu einem Jahr oder von Geldstrafe untersagt, ihnen in ihrer beruflichen Eigenschaft anvertraute Geheimnisse unbefugt zu offenbaren.

Inhalte von elektronischen Dokumenten und Dateien werden einem Dritten zudem nicht erst dann offenbart, wenn dieser den Inhalt dieser Daten zur Kenntnis nimmt. Vielmehr ist es insoweit ausreichend, dass der Dritte die Möglichkeit hat, diese Daten zur Kenntnis zu nehmen. Dass der Dritte die Mitteilung des Geheimnisses auch intellektuell versteht bzw. verstehen könnte, ist dabei nicht erforderlich. Vielmehr reicht es aus, dass der Dritte die Mitteilung wahrnehmen kann. Bei digital gespeicherten Geheimnissen reicht deshalb grundsätzlich die Einräumung der Verfügungsgewalt über die Daten aus, z.B. durch Weitergabe des Datenträgers oder der Datei. Dies trifft im Falle von Cloud Computing Angeboten wohl vollumfänglich zu, wenn eine Kanzlei die Daten auf einen Fremdserver speichert und diese durch andere Dritte gewartet werden.

Kanzlei Wissensmanagement  Tabu für Cloud Computing in Kanzleien

 

Cloud Computing | Was Juristen raten

Es ist zunächst einmal zu einer deutschen oder europäischen Cloud zu raten. Cloud Computing ist üblicherweise eine Auftragsdatenverarbeitung nach Paragraf 11 des Bundesdatenschutzgesetzes (BDSG). Die ist aber grundsätzlich nur mit Anbietern innerhalb des europäischen Wirtschaftsraums möglich.

Wichtig ist dabei nicht nur der Firmensitz, sondern auch der genaue Speicherort der Daten, also der Server-Standort. Rechtlich gibt es enorme Unterschiede, je nachdem, ob der Cloud-Anbieter die Daten oder deren Sicherheitskopien auf IT-Systemen in Deutschland, der Schweiz, Malta, Kanada, den USA, Indien oder China speichert. Oft sind die Daten auch an mehreren Standorten gleichzeitig gelagert. Hier sind eindeutige und verbindliche vertragliche Zusicherungen wichtig – und eine rechtliche Überprüfung ist unentbehrlich, so Thomas Jansen (DLH Piper) gegenüber Silvia Hänig (Computerwoche). Zum Bericht

PRISM | Anwälte haben sich zu einer Initiative gegen geheimdienstliche Überwachung zusammengeschlossen

Nach den Schriftstellern haben sich die Anwälte zu einer Initiative gegen geheimdienstliche Überwachung zusammengeschlossen. Strafverteidiger Oliver Sahan, einer der Gründer, erklärt im Interview mit dem Legal Tribune Online, wie ein vierfaches S auf seinem Boarding Pass zu seinem Engagement führte, warum er Anwälte besonders in der Pflicht sieht und weshalb eine Unterzeichnung für Richter und Staatsanwälte schwieriger ist. Weiter zum Interview