Sascha Kuhrau - a.s.k. Informationssicherheit Sascha Kuhrau

Handlungsbedarf für Owncloud- und Nextcloud-Betreiber — kritische Sicherheitslücke

Posted on: 18. März 2017

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) warnt in einer aktuellen Pressemeldung die Administratoren und Nutzer von Owncloud und Nextcloud (einem Fork von Owncloud) vor einer kritischen Sicherheitslücke. Über 20.000 Installationen in Deutschland sind potentiell verwundbar. Betroffen sind u.a. große und mittelständische Unternehmen, öffentliche und kommunale Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte und private Nutzer.

Bereits im Februar hat das BSI die Betreiber auf das Sicherheitsrisiko hingewiesen. Sehr viel ist seither nicht passiert, wie man der aktuellen Meldung entnehmen kann. Lediglich ein Fünftel der informieren Einrichtungen hat reagiert und die Schwachstelle geschlossen. Ob die eigene Cloud-Installation betroffen ist, kann mit dem Security-Scanner von Nextcloud online geprüft werden. Sollten Sie in Ihrer Organisation oder privat eine Instanz von Owncloud oder Nextcloud betreiben, so prüfen Sie bitte zeitnah unter den Links im Blogbeitrag, ob Ihre Installation betroffen ist. Generell sollte eine regelmäßige Prüfung auf Updates und deren Installation selbstverständlich und ein fester wiederkehrender Termin im Kalender sein.

Informationssicherheitsbeauftragter / Kommune / Presse

Externer Informationssicherheitsbeauftragter für bayerische Kommunen

Posted on: 14. März 2017

Ist ein Informationssicherheitskonzept eingeführt, steht man schnell vor der nächsten Herausforderung. Wie stellt man sicher, dass die ganze Arbeit nicht umsonst war? Es gilt neue Risiken zu erkennen, hierfür geeignete Maßnahmen zu ergreifen, das Thema Informationssicherheit in der Organisation zu leben (Sicherheitskultur), auf Veränderungen (organisatorisch, technisch, personell, rechtlich, aber auch in der Bedrohungslage) zeitnah zu reagieren, Mitarbeiter kontinuierlich zu sensibilisieren und zu schulen. Doch wer soll das bei den vielfältigen Aufgaben in bayerischen Kommunen übernehmen und sicherstellen? a.s.k. Datenschutz hat die Lösung für Sie. Unsere externen Informationssicherheitsbeauftragten betreuen Sie ab sofort kompetent vor Ort und aus der Ferne. In Verbindung mit modernen Techniken wie Videokonferenz, Projektplattform und Dokumentenmanagementsystem haben alle Beteiligten stets den Überblick über den Status der Informationssicherheit in Ihrer Organisation. Selbstverständlich sind unsere Mitarbeiter hierfür ausgebildet und zertifiziert, speziell für die Anforderungen im kommunalen Bereich. Dank transparenter und fairer Monatspauschalen behalten Sie stets den Überblick. Und wieso teilen Sie sich nicht einen Informationsbeauftragten mit den umliegenden Gemeinden? Interesse geweckt? Angebotsformular im Blogbeitrag.

Presse

Fördermittel ISIS12 für bayerische Kommunen in 2018 freigegeben

Posted on: 13. März 2017

Das Bayerische Staatsministerium des Innern, für Bau und Verkehr hat in seiner Pressemitteilung am 09.03.2017 informiert, dass nach dem ersten Fördermittelprogramm nun auch in 2018 erneut Informationssicherheit in bayerischen Kommunen finanziell (mit bis zu 1,4 Millionen Euro) unterstützt wird. Bayerische Kommunen, die im vorherigen Fördermittelprogramm nicht zum Zuge gekommen sind, haben nun erneut die Chance, eine Unterstützung von bis zu 15.000 Euro für die Einführung des Informationssicherheitsmanagementsystems (ISMS) ISIS12 zu erhalten. Übrigens wurde ISIS12 ursprünglich für kleine und mittlere Unternehmen entwickelt. Im Hinblick auf die EU-DSGVO und deren Anforderungen an Informationssicherheit lohnt sich ein Blick auf ISIS12 auch für Unternehmen. Informationssicherheit wird auch für diese ab Mai 2018 verpflichtend gefordert. Sofern Sie für die Umsetzung einen zertifizierten ISIS12-Berater (mit Zusatz Kommune suchen), Herr Sascha Kuhrau von a.s.k. Datenschutz erfüllt diese Anforderungen.

Links mit weiteren Informationen zu ISIS12, Fördermitteln, Abwicklung und Beantragung finden Sie im Blogbeitrag.

Presse / Tipps / Webvideo

Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?

Posted on: 9. März 2017

“Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?”, diese Frage wird nach wie vor oft bei Seminaren, Veranstaltungen, telefonisch und per Mail an uns herangetragen. Wir haben dies zum Anlass genommen, hierzu ein Webvideo zu erstellen, in dem wir auf die Notwendigkeit und rechtlichen Grundlagen für die Einführung und den Betrieb eines Informationssicherheitskonzepts vertiefend eingehen. Denn die Antwort auf die Frage kann nur lauten “Ja!”. Wer es nicht glaubt, ist herzlich dazu eingeladen, sich in unserem Video davon überzeugen zu lassen. Sie finden das Webvideo eingebettet hier bei uns im Blog oder auf unserem neuen Youtube-Kanal.

Presse / Tipps / Veranstaltung

Orientierungshilfe Informationssicherheit für Kommunen (Online-Seminar)

Posted on: 8. Februar 2017

„Wie erstelle ich für meine Behörde ein Informationssicherheitskonzept?“ — Sascha Kuhrau, Berater im kommunalen Bereich, erklärt im Online-Seminar, worauf es ankommt. Die Online-Seminar-Reihe läuft ergänzend zur im Dezember 2016 veröffentlichten und von a.s.k. Datenschutz für die Innovationsstiftung Bayerische Kommune entwickelten “Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts für bayerische Kommunen gemäß Art. 8 BayEGovG”. Die Teilnahme ist kostenfrei und sowohl für kommunale Einrichtungen als auch Unternehmen geeignet. Mehr Informationen zu Inhalten, Terminen und Anmeldung im Blogbeitrag.

Technik / Tipps

Ändere-Dein-Passwort-Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels

Posted on: 1. Februar 2017

Heute ist Ändere-Dein-Passwort-Tag. Doch macht der (regelmäßige) Wechsel von Passwörtern wirklich Sinn? Oder ist das lediglich gefühlte Sicherheit? Mehr dazu und weiteren Passwort-Mythen im Blogbeitrag. Vielleicht ein Anlass, bestehende Passwort-Richtlinien zu überdenken und anzupassen.

Bedrohung / Presse

Wir bauen uns einen Erpressungstrojaner per Mausklick

Posted on: 24. Januar 2017

Erpressungstrojaner im Web per Mausklick zusammenstellen und präparierte Word-Makros und Windows-Hilfe-Dateien zur Verbreitung erhalten — das bieten die Drahtzieher hinter der Ransomware Satan. Über das Tor-Netzwerk geht das mittels Webinterface. 30% Provision werden fällig für die Nutzung. Erste Scanner erkennen die Bedrohung, doch es gibt noch keine Entwarnung. Details im Blogbeitrag.

Presse

Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts für bayerische Kommunen gemäß Art. 8 BayEGovG

Posted on: 23. Dezember 2016

Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts für bayerische Kommunen gemäß Art. 8 BayEGovG online. Die Arbeitshilfe unterstützt bayerische Kommunen, aber auch jede andere Organisation bei der Erstellung eines Konzepts für Informationssicherheit gemäß Artikel 8 des Gesetzes über die elektronische Verwaltung in Bayern (BayEGovG). Dort wird gefordert, die Sicherheit der informationstechnischen Systeme der Behörden durch angemessene technische und organisatorische Maßnahmen im Sinn des Artikels 7 des Bayerischen Datenschutzgesetzes sicherzustellen und die erforderlichen Informationssicherheitskonzepte zu erstellen. Alle Kommunen in Bayern müssen bis zum 1. Januar 2018 den Nachweis führen können, einen systematischen Ansatz zur dauerhaften Gewährung der Informationssicherheit eingeführt zu haben und auch zu betreiben.
Im Frühjahr 2017 werden für die Verantwortlichen in den Kommunen, die sich mit der Thematik Informationssicherheit auseinandersetzen müssen, Online-Seminar-Angebote geplant.

Die Arbeitshilfe wird in zwei Ausführungen zur Verfügung gestellt: PDF Version zum Drucken ohne Anlagen sowie Arbeitsversion mit Anlagen als ZIP.

Link zum Download im Beitrag.

Bedrohung / Presse

Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit

Posted on: 7. Dezember 2016

Verschlüsselungstrojaner “Goldeneye” greift gezielt und massiv Personalabteilungen an. Eine Bewerbung in perfektem Deutsch auf teilweise aktuelle Stellenangebote sowie unter Nennung organisationsinterner Details soll den Empfänger dazu verleiten, eine angehängte XLS Tabelle zu öffnen. Geschieht dies und ist kein Schutz vor Ausführung von Makros aktiv oder wird dieser vom Nutzer ausgehebelt, verrichtet Goldeneye seinen Dienst analog zu seinem wohl verwandten Krypto-Kollegen Petya. Als Absender werden Email-Adressen eines Ingenieurbüros genutzt, dass unter anderem Hilfe bei der Entschlüsselung von befallenen Petya-Systemen anbietet. Erfahren Sie mehr im ganzen Blog-Beitrag und sensibilisieren Sie Ihre Mitarbeiter — gerne unter Nutzung unseres Beitragstexts.

Presse

Ausfall des Telekom-Netzes, Hinweise auf Hacker-Angriff

Posted on: 28. November 2016

Hunderttausende Anschlüsse (die Rede ist von 900.000) bundesweit sind betroffen, kein Netz — kein Telefon, kein Internet, kein IP-Fernsehen. Wurden bisher die Ursachen im Telekom-Netz oder bei den Routern auf Kundenseite vermutet, bestätigt jetzt ein Sprecher der Telekom den Verdacht eines Hacker-Angriffs: “Wir haben erste Hinweise darauf, dass wir möglicherweise Opfer eines Hackerangriffs geworden sind.”

Im Moment rät die Telekom dazu, den kundenseitigen Router vom Stromnetz zu trennen und einige Zeit ausgeschaltet zu lassen. Möglicherweise verbindet sich der Router nach erneutem Einschalten wieder mit dem Telekom-Netz.