Probleme beim Einloggen

… ist die Plattform für IT-Fachdialoge & on-/ offline-Vernetzung 🌞_🐧_🌞 ⚠ ⛔ ⚠ Bitte beachten Sie unsere Regeln "Über diese Gruppe"! ⚠ ⛔ ⚠

Michael Schenkel Was ist der Unterschied von Compliance, Traceability und Revisionssicherheit
Compliance umschreibt die Einhaltung von Gesetzen, Normen, Richtlinien und Regeln von Organisationen und ihren Mitarbeitern, sowie die Maßnahmen zur Vermeidung von Regelverstößen. Im Projektmanagement und der Softwareentwicklung – gerade auch bei der Entwicklung von sicherheitskritischer Software - ist die Abgrenzung zu den Begriffen Traceability und Revisionssicherheit wichtig. Eine kurze Zusammenfassung finden Sie hier: https://t2informatik.de/wissen-kompakt/compliance/
Wie handhaben Sie diese drei Themen? Für Traceability gibt es Tools, aber was tun Sie in Bezug auf Revisionssicherheit? Und wie gewährleisten Sie Compliance? Manche Unternehmen formulieren einen Verhaltenskodex, doch reicht so etwas?
Über Meinungen und Erfahrungen würde ich mich sehr freuen.
Sonnige Grüße aus Berlin
Michael Schenkel
Alexander Fuchs Die Geschichte von zwei IT Security Managern
Adrian Müller Die Lehren aus Hacks von KraussMaffei & Co
(Wann) werden Business-Entscheidungsträger aus aktuellen Cyber-Attacken lernen?
Eines bestätigt Emotet deutlich:
69 % der Unternehmen haben nur ein ganz elementares oder gar kein Verständnis ihrer Verwundbarkeit durch Cyber-Bedrohungen.
(consilium.europa.eu)
Offensichtlich setzen Unternehmen in der Cyber-Bedrohung auf falsche Online-Schutz-Lösungen (AV-Scanner oder ATP-Lösungen), denn Schutz-Lösungen, die nicht in der Lage sind, unbekannte Prozesse zu stoppen, sind heute keine Option mehr für Cyber-Security.
Wissen Sie, dass Whitelisting nicht vor Exploits schützt?
Wissen Sie, dass Lösungen, die Prozesse am Endgerät nicht stets dauerhaft analysieren können, daher nicht automatisch in der Lage sind, Exploits zu begegnen?
Wissen Sie, dass, um Zero-Day Attacken überhaupt zielführend begegnen zu können, Prozesse zudem stets dynamisch bewertet werden sollten?
Meine Frage:
Wie kann bei Einsatz aktueller Technologie heutzutage ein Virus wie Emotet als "eine der größten Bedrohungen durch Schadsoftware weltweit" deklariert werden?
(BSI)
Cyberwar nimmt Fahrt auf - und es geht wohl erst los!
Haben Sie sich einmal gefragt, wie lange Ihr Unternehmen einen Ausfall Ihrer Microsoft Systeme überleben kann?
Warum überprüfen und ändern Unternehmen oft noch nicht einmal nach Attacken die eigene Cyber-Security Strategie?
Liegt es an der Macht der Werbung etablierter AV-Lösungsanbieter, die vorab Schutz suggerieren, aber bei Unbekanntem meist nicht liefern können?
Nun zeigen klassische AV-Lösungen doch erneut immer wieder, bei unbekannter Schadsoftware kaum helfen zu können:
Hackerangriff auf Maschinbaukonzern KraussMaffei, Hotelkette Marriott, Malware legt Klinikum in Fürstenfeldbruck lahm, neue Hackerattacke auf Bundesabgeordnete – nur einige Beispiele für unnötige Risiken, welche zumeist mit recht wenig Aufwand hätten verhindert werden können.
(Warum) nehmen CEO´s Gefahren nicht ernst?
Es ist für mich nicht nachvollziehbar, warum selbst im IT-kritischen Umfeld immer wieder unnötige Risiken zu schwerster Infizierung eingegangen werden.
Erst doch noch Warten auf die nächste eigene Cyber-Attacke?
Deutschland gehört mittlerweile zu den Top 5 einer total Alerts Liste für neue Gefahren.
(Cyber-Attack Map HTTCPS)
Daraus gilt es jetzt die richtigen Rückschlüsse zu schließen:
Meiner Meinung nach ist das Angriffsziel letztendlich das Endgerät und somit auch der Benutzer.
Dringend überdacht werden sollte daher jetzt der Einsatz von Lösungen, die Business sowie Mitarbeiter noch nicht einmal ansatzweise vor unbekannter Malware schützen können.
Deshalb sollte unabhängig der aktuellen Lizenzdauer eingesetzter Lösungen zur Vermeidung bekannter Gefahren schnellstmöglich zu Lösungen gewechselt werden, die z. B. Microsoft Endgeräte vor weiterer Ausführung unbekannter Prozesse online schützen können und zugleich zeitnah ohne größeren Aufwand realisierbar sind.
Denn umsetzbare Lösungen sind dafür für jede Unternehmensgröße vorhanden.
Daher sollten Kompetenzträger endlich anfangen, eingesetzte Technologie zu hinterfragen, um Ihre Hotels, öffentliche Einrichtungen und Unternehmen zeitgemäß sinnvoll zu schützen!
Aktuell gilt es daher meiner Meinung nach, zum internen Schutz im Firmennetzwerk auch für den managebaren Schutz von Endgeräten zu sorgen, insbesondere wenn diese Systeme extern außer Haus online sind.
Dabei wird es immer wichtiger, ALLE Aktivitäten transparent und forensisch dokumentieren zu können, um z. B. alle an Endgeräten ausgeführte Events einfachst darstellen und zentral nachvollziehen zu können (siehe auch DSVGO und TOM)!
Ob wir wollen oder nicht:
Wohl alle mit moderner IT arbeitenden Unternehmen sind in der Cloud aktiv.
Werden Business-Entscheidungsträger lernen, hellhörig und aufgrund aktueller Cyber-Attacken nun aktiver?
Im Link hier meine Bezugnahme auf einen äußerst interessanten Artikel von der Wirtschaftswoche aus Anfang QIII´2018
https://www.linkedin.com/feed/update/urn:li:activity:6463736724374716416
Stefan A. ENGLER Alexander Fuchs
+3 weitere Kommentare
Letzter Kommentar:
Adrian Müller
Vielen Dank für Ihre Hinweise Herr Engler.
Ihre Fragen und Äußerungen sind sehr wichtig für das Verständnis zur Erreichung von Sicherheit im Cyberwar.
Denn es muss sich was ändern in der Einstellung von Entscheidungsträgern in der IT und Verantwortlichen im Business:
Selbstverantwortliches Hinterfragen zu angebotenen Sicherheits-Lösungen für Endgeräte ist gerade auch im Sinne eigener Compliance-Anforderungen notwendig!
- "eine EDV wird dadurch infiziert, dass ein User auf eine infizierte Mail klickt." Diese Aussage muss Gott sei Dank so nicht haltbar sein und kann der Unfähigkeit klassischer AV-Lösungen geschuldet sein;
- "Wie soll man das verhindern?" Mit dem Einsatz zeitgemäßer Cyber-Security Schutzlösung für Endgeräte, denn Lösungen zum Schutz sind vorhanden!;
- "Die Schutzsoftware muss also versuchen alle infizierten Mails vor dem Lesen schon herauszufischen" Diese Aussage ist meiner Meinung nach erneut so nicht haltbar - denn woher weiß die Software, was als "Infiziertes" herauszufischen ist, ohne Daten irgendwohin zu laden (es kann sich hierbei also wohl nur um "bekannt Infiziertes" handeln)? Es kann jedoch eine zusätzliche Option sein, E-Mails nach bekannter Malware durchsuchen zu lassen (doch zudem saugt AV-Software ja wie in der WiWo gelesen Daten ab! Was passiert mit den Daten?). Leider gibt es jedoch aufgrund der Möglichkeit einer unbekannten Infektion keinerlei Garantie und sorgt lediglich nur für ein ca. 99,x %iges Sicherheitsgefühl.
- "Ich finde, dass man bei emotet nicht mehr von zero-day-Attacke reden kann" Stimmt;
- Das Problem ist "im Risiko-Management der betroffenen Unternehmen zu suchen". Stimmt oftmals auch. Jedoch gilt es insbesonders im Hinblick für die personell begrenzten Möglichkeiten der meisten Unternehmen, diese sinnvoll zu beraten und zu unterstützen. Denn wer in der Beratung den Bock zum Gärtner macht, wird sich nicht wundern, dass sich auch im Risiko-Management wenig bis nichts verändert;
- "Wenn man die letzten Updates nicht einspielt, dann kann die EDV auch nicht geschützt sein". Leider sind selbst aktuell gepatche Systeme durch Sicherheitspatche nur zu 99% geschützt (durch Patches z.B. vormals exploitbehafteter Software betroffener Software-Hersteller). Aber Sie haben grundsätzlich Recht und ich vertrete hier auch die Meinung vom BSI: Es gilt PATCHEN, PATCHEN, PATCHEN! (Aber bitte nicht nur Betriebssysteme!);
Bei Interesse an einer zentral sinnvoll managed Cyber-Security Unterstützung am EndPoint statt traditioneller AV-Lösung unter Berücksichtigung o.g. Punkte sprechen Sie mich gerne jederzeit formlos an.
Zudem stehe ich Lesern gerne auch noch 2018 zur Planung für Optionen zu einer möglichen qualifizierten Umsetzung zur Verfügung. Denn es geht um Ihre Sicherheit, um Ihre Daten und die Daten Ihrer Kunden. Letztendlich um Reputation und somit um ein erfolgreiches Business.
Alexander Fuchs HILFE - Betriebsrat will Firewall ausser Betrieb setzen!!!
Moin Zusammen,
die folgende Mail hat mich soeben von einem Kunden erreicht.
------------------------------------------
Wir benötigen dringend Ihre Unterstützung bei der Klärung der Mitbestimmungsfrage des Betriebsrats in Bezug auf unsere Sicherheitssoftware zum Schutz gegen Hackerangriffe.
Laut unseres Betriebsrats bedarf sowohl die Anwendung von Internet-Filters als auch die Anwendung von sog. ‚Black-Listen‘ seiner vorherigen Zustimmung (§87 Pkt. 6 BetrVG). Es liegt uns ein Schreiben des Betriebsrates vor, in dem der Betriebsrat die sofortige Aufhebung von allen Filtern, Begrenzungen und Beschneidungen der Internet-Nutzung durch die Mitarbeiter fordert.
Konkret geht es hier um die Sperrung des Zugriffs auf bestimmte Internetseiten (die als potenziell gefährdend von unserer Software eingestuft werden), bzw. die Angebote von sozialen Netzwerken oder Streaming-Diensten, welche wir für den Zugriff gesperrt haben.
Der vorgenannte Paragraph sagt aus, dass der Betriebsrat Mitbestimmungsrecht hat bei:
Betriebsverfassungsgesetz § 87 Mitbestimmungsrechte
Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen.
6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.
Unsere Fachanwältin für Arbeits- und Betriebsverfassungsrecht hat uns darüber hinaus erläutert, dass das Mitbestimmungsrecht auch dann bereits wirksam ist, wenn die technischen Einrichtungen dazu geeignet sind, das Verhalten oder die Leistung von Mitarbeitern zu überwachen.
Wie Sie wissen, nutzen wir unsere Firewall und sonstige Sicherheitssoftware in keiner Weise zur Überwachung von Mitarbeitern, was wir dem BR natürlich auch dargelegt und versichert haben, das diese ausschließlich dem Schutz des Unternehmens und seiner Mitarbeiter gegen Hacker-Angriffe zum Datendiebstahl oder der Einbringung schädlicher Programme (Viren, Datenverschlüsselungsprogramme, etc.) dient.
Allerdings sind wir – gemäß den o.a. Erläuterungen unserer Fachanwältin zur geltenden Rechtsprechung – verpflichtet, dem BR darüber Auskunft zu geben, inwieweit unsere Sicherheitssoftware zur Überwachung des Verhaltens oder der Leistung der Mitarbeiter genutzt werden könnte, d.h. welche Möglichkeiten unsere Software dazu bietet?
------------------------------------------
Ich bin echt sprachlos …
Meiner Einschätzung nach, hat sich der Betriebsrat aufgrund folgender Auslegung zu heftig aus dem Fenster gelehnt.
---
Mitbestimmungsrechte sind immer dort ausgeschlossen, wenn (aber auch nur soweit!) für den fraglichen Sachverhalt eine gesetzliche oder tarifliche Regelung besteht.
Sofern bestimmte technische Einrichtungen also bereits gesetzlich vorgeschrieben sind, wie z.B. Fahrtenschreiber (durch § 57 a StVZO), besteht schon nach allgemeinen
betriebsverfassungsrechtlichen Grundsätzen kein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG[26].
Die Mitbestimmungspflicht wird ebenfalls überwiegend verneint, wenn der Arbeitgeber mit Hilfe der technischen Einrichtung lediglich allgemeine gesetzliche oder tarifvertragliche Verpflichtungen erfüllt (z.B. Meldungen an Finanzämter, Arbeitsagentur, Gewerbeaufsicht) bei deren Befolgung ihm hinsichtlich der konkreten Maßnahmen kein Ausgestaltungsspielraum eingeräumt ist[27].
---
Nun zu dem Gesetz/Verordnung, welche ich im Auge habe.
Art. 32 DSGVO Sicherheit der Verarbeitung
1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische
und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder
Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt,
gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
Hat einer von euch schon etwas Ähnliches gehabt?
Wie geht man nun am besten vor?
Grüsse aus BaWü
Alex
Volker Caumanns
+52 weitere Kommentare
Letzter Kommentar:
Alexander Fuchs
Moin Zusammen,
kleines Update, gestern fischte der neue SMTP-Proxy nur bei dem einen Kunden 51 Mails mit dem Bewerbungsvirus/Emonet raus.
Die Hälfte davon wurde aufgrund von RBL's & Co. rausgefischt, die andere Hälfte wurde vom Sandstorm rausgezogen, in Summe wurden 100% der Schädlinge beseitigt, bevor der User ins Spiel kam ohne jeglichen Nachteil für diesen.
Mal ganz ehrlich, bei den meisten Usern wird spätestens nach der dritten Warnmail ungelesen gelöscht. 😒
Grüsse aus BaWü
Alex
Nur für XING Mitglieder sichtbar Suche tatkräftige Unterstützung - Umfrage für Forschungsprojekt
Liebe Gruppenmitglieder,
im Rahmen meiner Bachelorarbeit an der Hochschule Osnabrück untersuche ich Zusammenhänge verschiedener Eigenschaften eines Menschen.
Daher benötige ich Ihre tatkräftige Unterstützung!
Ich würde mich sehr freuen, wenn Sie sich ca. 15 Minuten Zeit nehmen und meine Umfrage ausfüllen.
Als kleines Dankeschön haben Sie die Chance einen 30€ Amazon Gutschein zu gewinnen!
Bei Rückfragen können Sie sich gerne jederzeit an mich wenden.
Vielen Dank!
Herzliche Grüße
Marie Ohlms
https://www.unipark.de/uc/Bachelorarbeit_Ohlms/

Events dieser Gruppe

Alle Events

Moderatoren

Infos zu den Moderatoren

Über die Gruppe "IT & Data - XING Ambassador Community"

  • Gegründet: 15.07.2008
  • Mitglieder: 90.288
  • Sichtbarkeit: offen
  • Beiträge: 48.144
  • Kommentare: 31.894
  • Marktplatz-Beiträge: 263