+ + News + + News + + News + +


Ihre Firewall lebt von Updates!

Jetzt hat man sehr viel Geld für eine neue Firewall, Lizenzen und Support ausgegeben und nun ist immer noch nicht alles sicher? Sicher nicht!

Haben Sie Ihre Firewall gekauft, um Ihr Netzwerk vor Gefahren aus dem Internet zu schützen, ist es zwingend notwendig Ihre Firewall softwareseitig auf die neuesten Anforderungen oder vielmehr Bedrohungen vorzubereiten. Es werden täglich neue Sicherheitslücken entdeckt, die Ihre Firewall wissen muss, um das Grundbedürfnis, nämlich Schutz, zu garantieren. Eine Firewall lebt von Updates!

 

"Never change a running System". Wie oft hat man diesen Satz schon in verschiedensten Zusammenhängen gehört? In der IT hat dieser Satz allerdings nichts verloren und wird von vielen aus Unwissenheit oder vielleicht sogar aus Bequemlichkeit ausgesprochen.

Sicher gibt es immer wieder mangelhafte Updates, nach deren einspielen gar nichts mehr funktioniert. Oder man kämpft nach der Lösung eines Problems mit zwei Neuen. Natürlich kann eines dieser Szenarien eintreten, wer allerdings mit Erfahrung und Bedacht Updates vornimmt, minimiert das Risiko weiterestgehend.

 

Jemand, der auf seiner Firewall keine Updates macht, geht in jedem Fall ein sehr viel größeres Risiko ein und muss sich fragen, wie sicher sein Netzwerk dann noch sein kann.

Updates sind nicht alles

Sobald die Lizenz abgelaufen ist, setzen bei vielen Firewalls diverse Sicherheitsmechanismen aus und die Virensignaturen werden nicht mehr aktualisiert. Damit man mit einer Firewall auch wirklich den effektivsten Schutz erreicht, muss also einerseits das Betriebssystem auf der Firewall aktuell sein und andererseits müssen auch die Virendefinitionen regelmäßig eingespielt werden.

 

Wer für eine Firewall zuständig ist, muss diese auch richtig konfigurieren können. Es bringt nichts, wenn angelegte Firewallregeln die Tür

in Ihr Netzwerk weit öffnen oder wichtige Sicherheitsfeatures nicht aktiviert werden. Man muss alle Funktionen der Firewall kennen, denn eine schlechte oder fehlerhafte Konfiguration, kann sich auch negativ auf ein Netzwerk auswirken.

 

Fazit

Mit dem Kauf und der Installation einer Firewall ist es leider noch nicht getan. Eine Firewall braucht regelmäßige Pflege, Wartung und einen erfahrenen Blick, für wichtige und nötige Einstellungen. Getreu dem Motto „Was interessiert mich mein Geschwätz von gestern“ sollten die Einstellungen regemäßig überprüft und neue Gegebenheiten angepasst werden. Essentiell ist dabei die Software aktuell zu halten, um eben auch den neuesten Bedrohungen Stand zu halten.

 

Für alle, die sich nicht selbst um die Pflege und Wartung ihrer Firewall kümmern möchten, bieten wir das kombinierte Monitoring & Patch Management für Ihre Firewall an. Sprechen Sie uns an!

 

„GermanWiper“ – Diese Bewerbung sollten Sie nicht lesen

Dieses Mal ist es sehr kritisch, denn hier helfen keine Zahlungen oder schnelle ShutDowns, um noch ein paar Daten vor der Verschlüsselung zu retten. Die aktuell kursierende Schadsoftware „GermanWiper“ hat es auf das Überschreiben Ihrer Daten und damit unwiederbringliche Zerstören abgesehen. Laut dem LKA beschränkt sich derzeit die Verbreitung auf den deutschsprachigen Raum, betroffen waren bislang vorwiegend Selbstständige und kleine Unternehmen.

Selbstständige und kleine Unternehmen

„Lena Kretschmer“ oder „Kathrin Winkler“

Das Vorgehen ist ein bekanntes Muster; es kommt eine Mail, vorzugsweise eine Bewerbung von „Lena Kretschmer“ oder „Kathrin Winkler“. Im Anhang findet sich der vermeintliche Lebenslauf in Form einer ZIP-Datei. Wird die ZIP-Datei geöffnet, installiert sich die Schadsoftware. Infolge dessen wird umgehend mit dem Überschreiben der auffindbaren Dateien begonnen, so beschreibt es die Pressmeldung des Bayerische Landeskriminalamts. 

Die uns bekannten Ransomware, wie WannaCry oder Petya, starteten mit der Verschlüsselung, für welche man durch Zahlung die Entschlüsselung kaufen konnte. Hier soll man auch zahlen, aber helfen wird es nicht. Sind die Daten erst einmal überschrieben, können nur noch Profis mit sehr viel Aufwand und für sehr viel Geld gelegentlich Fragmente wiederherstellen. Das Überschreiben von Daten wird nicht ohne Grund als eine der sichersten Methoden zur Vernichtung von Daten empfohlen. 

keine Entschlüsselung der Daten möglich

Die uns bekannten Ransomware, wie WannaCry oder Petya, starteten mit der Verschlüsselung, für welche man durch Zahlung die Entschlüsselung kaufen konnte. Hier soll man auch zahlen, aber helfen wird es nicht. Sind die Daten erst einmal überschrieben, können nur noch Profis mit sehr viel Aufwand und für sehr viel Geld gelegentlich Fragmente wiederherstellen. Das Überschreiben von Daten wird nicht ohne Grund als eine der sichersten Methoden zur Vernichtung von Daten empfohlen.

Selbst spezialisierte Datenrettungsunternehmen geben unumwunden zu, dass Daten unwiederbringlich verloren sind, wurde die Festplatte auch nur einmal mit Nullen überschrieben. 

Der Forensikexperte Craig Wright hat dies in einer wissenschaftlichen Untersuchung mit folgenden Ergebnissen bestätigt: Ob altes oder neues Laufwerk, nach einmaligem Überschreiben der Daten ist die Wahrscheinlichkeit, noch etwas rekonstruieren zu können, praktisch null.

Wenn es um ein einziges Bit geht, von dem man ganz genau weiß, wo es steht, dann kann man es mit 56 Prozent Wahrscheinlichkeit korrekt rekonstruieren. Für ein Byte müsste man dann aber schon 8 Mal richtig liegen, was nur noch mit 0,97 Prozent Wahrscheinlichkeit klappt. Man braucht nicht darüber nachzudenken, was mit einem ganzen Dokument ist. 

In diesem Fall hilft nur noch die Überlegung, ob irgendwo Backups, Schattenkopien, Auslagerungsdateien oder Ähnliches gespeichert wurden.

Die wichtigsten Tipps:

  • Ein stets aktualisiertes Antivirenprogramm auf allen Geräten.
  • Bei E-Mail mit Anhängen immer argwöhnisch sein; im speziellen bei vermeintlichen Bewerbungen.
  • Anhänge nur öffnen, wenn Sie bzgl. des Absenders ganz sicher sind; Schadsoftware kann in ZIP, Excel- und auch Word Dokumenten enthalten sein.
  • Sichern Sie regelmäßig Ihre Daten und prüfen Sie Ihre Datensicherungen auf Wiederherstellbarkeit.

Time to say goodbye…

Das Leben ist hart, keine Frage. Zum Leben gehört unweigerlich der Abschied, manchmal nur kurzzeitig oder auf unbestimmt Zeit, manchmal aber auch endgültig. Für unsere Gesellschaft ist das schwer zu ertragen, schlussendlich muss man sich damit abfinden.

 

Save the date: 14.01.2020

 

Umso schöner, wenn man sich seelisch und moralisch auf den Abschied vorbereiten kann. Microsoft hilft uns an dieser Stelle und kündigte bereits 2017 den Abschied von Windows 7 an, indem sie das Ende des Supportes (EoS) auf den 14.01.2020 verkündeten.

 

 

Dieses betrifft ebenfalls downgegradete PCs! Diese unterliegen ebenfalls dem EoS, welches Sie mit den Terms&Conditions während der Installation bestätigt haben. Denn mit dem EoS endet auch das NUTZUNGSRECHT von Windows 7, welches Sie im Rahmen des Downgrade-Recht erhalten haben. In dem Fall eines downgegradeten PC's, Sie also den PC mit Windows 10 erworben und dann ein Downgrade auf Windows 7 durchgeführt haben, müssen Sie nun das Upgrade auf Windows 10 vornehmen. Eine weitere Nutzung von Windows 7 ist ab dem 14.01.2020 illegal!

 

 

Anders ist es, wenn Sie von früheren Systemen noch freie, nicht genutzte, original Lizenzen von Windows 7 haben. Mit diesen wäre der weitere Betrieb dann regulär.

 

Totgesagte leben länger

Original Windows 7  Lizenzen können auch nach dem 14.01.2020 noch installiert und aktiviert werden. Allerdings sollten Sie sich die Risiken bewusst machen. Nicht nur die „Guten“ wissen, dass der Support ausläuft.

 

 

Es wird keine Updates von Microsoft mehr geben, außer Sie nehmen Geld in die Hand und kaufen sich eine Software Assurance um dann Extended Security Updates (bis 2023) zu erhalten. Sofern Sie keine Umgebung haben die zwingend auf Windows 7 angewiesen ist, macht diese Investition keinen Sinn. Ein zeitgemäßer Schutz für diese Systeme besteht also nicht mehr.

 

 

Klar ist, es wird keine inhaltlichen Updates mehr geben, aber auch die Kompatibilität mit anderen Anwendungen dürft recht schnell abnehmen. Und dann kommt auch noch die DSGVO ins Spiel, die von Ihnen verlangt die erhoben personenbezogenen Daten zu schützen. Aber mit veralteter Software, welche keine Sicherheitsupdates mehr erhält, dürfte das schwerlich zu verargumentieren sein, sofern etwas passiert.

 

 

Explorer vers. edge

 

Auch vom Explorer müssen Sie sich verabschieden. Ja, auch das wird nicht einfach. Dieser gehört als Komponente zum Windows-Betriebssystem und unterliegt damit genau dem selben Supportlebenszyklus – 14.01.2020 ist auch Schluss.

 

Windows 10 und Edge hat sich seit längerem schon als sicherer erwiesen. Die Funktionalität „unter der Haube“ enthält viel mehr Features, welche sich um die Sicherheit drehen. Beispielsweise Hello – das passwortfreie Anmelden dank Biometrische Daten wie Fingerabdruck oder Gesichtserkennung, BitLocker, Trusted Boot, Secure Boot oder der Defender SmartScreen² für Edge, welcher vor Phishing-Webseiten und Malware schützen soll.

 

 

Ob Ihre Hardware bereit ist für Windows 10 können Sie unter: https://www.microsoft.com/de-de/windows/windows-10-specifications

 

0 Kommentare

Heute schon geschreddert?

 

Die Datenschutzgrundverordnung stellt uns ja vor so manche Herausforderung; Dokumentation, Datenschutzbeauftragten, Löschkonzept und nicht zu Letzt; Datenträgervernichtung.

 

Datenträger, also Festplatten, SSDs, USB-Sticks oder DVDs, CDs, fallen bei uns allen an. Irgendwann wird der alte Rechner oder das Notebook aussortiert und dann ist die Frage, wie verfährt man mit der Festplatte? Der USB-Stick, welchen die Vertrieblerin immer dabei hatte, wird nicht mehr erkannt, die Daten sind aber noch auf dem Stick. Was nun?

 

In all diesen Fällen, genauer gesagt; bei jedem Medium, das irgendwann Richtung Mülleimer marschieren soll, müssen Sie sich fragen; welche Daten sind darauf und wie vernichten wir das nun DSGVO-konform?

 

 

Da die DSGVO keinen konkreten Prozess zum Vernichten bzw. Löschen von personenbezogenen Daten auf digitalen oder elektronischen Datenträgern vorschreibt, empfiehlt es sich die DIN 66399 – die DIN-Norm zur Datenträgervernichtung, heranzuziehen.

 

 

Normen kann ja nun wirklich niemand leiden. Ein Wust von Seiten in einem unleidlichen Deutsch mit viele Wenn und Aber, Möglichkeiten und Sonderfällen, wobei am Ende meist eine unerschöpfliche Liste voller Dokumentationszwängen folgt und man sich fragt, wie viele Leute man nur dafür benötigt.

 

 

Machen wir es kurz, dank der DIN 66399 gibt es verlässliche Kriterien, nach denen man gut und schnell die Datenträger los wird, die man nicht mehr braucht und muss sich in Folge keine Sorgen um ruinöse Strafzahlungen machen, weil der eigens angedachte Ansatz nicht den behördlichen Vorstellungen entspricht.

 

Wie gehen Sie vor?

 

Ihre Daten, völlig egal welche, müssen Klassifiziert werden. Hier spricht die Norm von Schutzklassen, schließlich geht es darum zu entscheiden, wie schützenswert die vorhandenen Daten sind. Im Umkehrschluss, wie viel Aufwand muss betrieben werden um diese schutzbedürftigen Daten zu vernichten.

 

Schutzklassen

 

Schutzklasse 1 – normaler Bedarf für interne Daten:

 

Der Schutz von personenbezogenen Daten muss gewährleistet sein. Andernfalls besteht die Gefahr, dass der Betroffene in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt wird. Beispiele:

 

·         Telefonlisten

 

·         Lieferantendaten

 

·         Adressdaten

 

 

 

Schutzklasse 2 – hoher Bedarf für vertrauliche Daten:

 

Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird. Beispiele:

 

·         Personaldaten

 

·         Finanzbuchhaltungsunterlagen

 

·         Bilanzen | Jahresabschlüsse

 

 

 

Schutzklasse 3 – sehr hoher Bedarf für besonders geheime Daten:

 

Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen. Beispiele:           

 

·         Patientendaten

 

·         Mandanteninformationen

 

·         Geheime | streng geheime Unterlagen aus Forschung und Entwicklung von Wirtschaftsunternehmen

 

 

Die Einteilung ist ausschlaggebend für die Wahl der Sicherheitsstufe bzw. die Wahl der Vernichtung. Hierbei sollten Sie beachten, dass die Schutzklassen-Wahl direkten Einfluss auf die Kosten der Datenträgervernichtung hat: Je feiner der Grad der Vernichtung ist, desto höher ist der Aufwand und die Kosten. 

 

 

Nach den Schutzklassen kommen die Sicherheitsstufen. Wozu Sie diese brauchen? Um zu sehen, welche Ihrer Daten Sie wie aufwändig vernichten müssen. Personenbezogene Daten erfordern immer mindestens Sicherheitsstufe 3. 

Sicherheitsstufen

 

1.       Allgemeine Daten - Reproduktion mit einfachem Aufwand

 

2.       Interne Daten - Reproduktion mit besonderem Aufwand

 

3.       Sensible Daten - Reproduktion mit erheblichem Aufwand

 

4.       Besonders sensible Daten - Reproduktion mit außergewöhnlichem Aufwand

 

5.       Geheim zu haltende Daten - Reproduktion mit zweifelhaften Methoden

 

6.       Geheime Hochsicherheitsdaten - Reproduktion technisch nicht möglich

 

7.       Top Secret Hochsicherheitsdaten - Reproduktion ausgeschlossen

 

 

Danach erfolgt die Zuordnung von Schutzklasse und Sicherheitsstufe.

 

 

Datenträger der Schutzklasse 1 können den Sicherheitsstufen 1, 2 und 3 zugeordnet werden. Ausnahme: Handelt es sich um personenbezogene Daten, ist nur eine Zuordnung zur Sicherheitsstufe 3 erlaubt.

 

 

Datenträger der Schutzklasse 2 können den Sicherheitsstufen 3, 4 und 5 zugeordnet werden.

 

 

Datenträger der Schutzklasse 3 können den Sicherheitsstufen 4, 5, 6 und 7 zugeordnet werden.

 

 

Bei elektronischen oder magnetischen Datenträgern kann eine niedrigere Sicherheitsstufe gewählt werden, wenn zuvor die Datenträger gelöscht oder überschrieben wurden.

 

Datenträgerarten

 

Der Vollständigkeit halber, hier noch die Übersicht zu den Datenträgerarten.

 

Jede Datenträgerart ist durch ein Kürzel beschrieben (PFOTHE) welches der jeweiligen Sicherheitsstufe vorangestellt wird:

 

 

P - Informationsdarstellung in Originalgröße: Papier, Film, Druckformen

 

F - Informationsdarstellung verkleinert: Film, Mikrofilm, Folie

 

O - Informationsdarstellung auf optischen Datenträgern: CD, DVD

 

T - Informationsdarstellung auf magnetischen Datenträgern: Disketten, ID-Karten, Magnetbandkassetten

 

H - Informationsdarstellung auf Festplatten mit magnetischem Datenträger: Festplatten

 

E - Informationsdarstellung auf elektronischen Datenträgern: Speicherstick, Chipkarte, Halbleiterfestplatten, mobile Kommunikationsmittel

Und nun einmal ganz konkret.

 

Das Beispiel, welches wohl auf jede Firma zutrifft ist die Personalakte.

 

Bei Personaldaten/-akten ist die Schutzklasse 2 anzuwenden und die Datenträger der Sicherheitsstufe 4 zuzuordnen. Bei Papier ergibt sich somit die Sicherheitsstufe P-4, bei Festplatten H-4.

 

 

Zugegeben es klingt immer noch nicht einfach.  Deshalb kommen wir nun ins Spiel!

 

 

Schließlich haben wir das Problem, genau wie alle anderen auch. Also haben wir uns Gedanken gemacht. Wir wollten nicht jede Festplatte sichten und überlegen, welcher Schutzklasse unterliegt diese jetzt. Auch wollen wir nicht immer wieder über Sicherheitsstufen nachdenken.

 

 

Für uns war klar, es muss pro Medium einen Weg geben, der klar vorgegeben ist, von jedem einzuhalten und keine Diskussionen oder individuelle Bewertung erfordert, welche leider mal falsch liegen könnte. Schließlich muss man bei der Datenträgervernichtung immer auf der sicheren Seite sein.

 

 

Für Festplatten und SSDs bedeutet das, Daten bis einschließlich Schutzklasse 3 gemäß DIN 66399 vernichten und das bis zu Sicherheitsstufe 5. Dann muss man sich keine Gedanken mehr machen. Zumindest wenn man keine Hochsicherheitsdaten hat, wie wir.

 

Datenbänder setzen wir ganz klassisch für unser Datensicherung ein. Auch die müssen irgendwann mal weg, auch die haben alle möglichen Daten gespeichert. Hier vernichten wir nach Sicherheitsstufe 3, das reicht für alle üblichen Firmendaten. Als Kürzel gibt es hier T-3.

 

 

Sticks, Chipkarten und optische Datenträger vernichten wir nach Sicherheitsstufe 2.

 

 

 

Und genau dieses Verfahren können wir Ihnen anbieten! Sollten Sie sich und Ihre Daten hier wiederfinden und suchen Sie einen einfachen Weg, können wir Ihnen diesen bieten. Die Dokumentation übernehmen ebenfalls wir.

 

 

Nur archivieren müssen Sie es, dabei könnten wir aber auch helfen…

 

0 Kommentare

Ihre Firewall lebt von Updates!

Jetzt hat man sehr viel Geld für eine neue Firewall, Lizenzen und Support ausgegeben und nun ist immer noch nicht alles sicher? Sicher nicht!

Haben Sie Ihre Firewall gekauft, um Ihr Netzwerk vor Gefahren aus dem Internet zu schützen, ist es zwingend notwendig Ihre Firewall softwareseitig auf die neuesten Anforderungen oder vielmehr Bedrohungen vorzubereiten. Es werden täglich neue Sicherheitslücken entdeckt, die Ihre Firewall wissen muss, um das Grundbedürfnis, nämlich Schutz, zu garantieren. Eine Firewall lebt von Updates!

 

"Never change a running System". Wie oft hat man diesen Satz schon in verschiedensten Zusammenhängen gehört? In der IT hat dieser Satz allerdings nichts verloren und wird von vielen aus Unwissenheit oder vielleicht sogar aus Bequemlichkeit ausgesprochen.

Sicher gibt es immer wieder mangelhafte Updates, nach deren einspielen gar nichts mehr funktioniert. Oder man kämpft nach der Lösung eines Problems mit zwei Neuen. Natürlich kann eines dieser Szenarien eintreten, wer allerdings mit Erfahrung und Bedacht Updates vornimmt, minimiert das Risiko weiterestgehend.

 

Jemand, der auf seiner Firewall keine Updates macht, geht in jedem Fall ein sehr viel größeres Risiko ein und muss sich fragen, wie sicher sein Netzwerk dann noch sein kann.

Updates sind nicht alles

Sobald die Lizenz abgelaufen ist, setzen bei vielen Firewalls diverse Sicherheitsmechanismen aus und die Virensignaturen werden nicht mehr aktualisiert. Damit man mit einer Firewall auch wirklich den effektivsten Schutz erreicht, muss also einerseits das Betriebssystem auf der Firewall aktuell sein und andererseits müssen auch die Virendefinitionen regelmäßig eingespielt werden.

 

Wer für eine Firewall zuständig ist, muss diese auch richtig konfigurieren können. Es bringt nichts, wenn angelegte Firewallregeln die Tür

in Ihr Netzwerk weit öffnen oder wichtige Sicherheitsfeatures nicht aktiviert werden. Man muss alle Funktionen der Firewall kennen, denn eine schlechte oder fehlerhafte Konfiguration, kann sich auch negativ auf ein Netzwerk auswirken.

 

Fazit

Mit dem Kauf und der Installation einer Firewall ist es leider noch nicht getan. Eine Firewall braucht regelmäßige Pflege, Wartung und einen erfahrenen Blick, für wichtige und nötige Einstellungen. Getreu dem Motto „Was interessiert mich mein Geschwätz von gestern“ sollten die Einstellungen regemäßig überprüft und neue Gegebenheiten angepasst werden. Essentiell ist dabei die Software aktuell zu halten, um eben auch den neuesten Bedrohungen Stand zu halten.

 

Für alle, die sich nicht selbst um die Pflege und Wartung ihrer Firewall kümmern möchten, bieten wir das kombinierte Monitoring & Patch Management für Ihre Firewall an. Sprechen Sie uns an!

 

„GermanWiper“ – Diese Bewerbung sollten Sie nicht lesen

Dieses Mal ist es sehr kritisch, denn hier helfen keine Zahlungen oder schnelle ShutDowns, um noch ein paar Daten vor der Verschlüsselung zu retten. Die aktuell kursierende Schadsoftware „GermanWiper“ hat es auf das Überschreiben Ihrer Daten und damit unwiederbringliche Zerstören abgesehen. Laut dem LKA beschränkt sich derzeit die Verbreitung auf den deutschsprachigen Raum, betroffen waren bislang vorwiegend Selbstständige und kleine Unternehmen.

Selbstständige und kleine Unternehmen

„Lena Kretschmer“ oder „Kathrin Winkler“

Das Vorgehen ist ein bekanntes Muster; es kommt eine Mail, vorzugsweise eine Bewerbung von „Lena Kretschmer“ oder „Kathrin Winkler“. Im Anhang findet sich der vermeintliche Lebenslauf in Form einer ZIP-Datei. Wird die ZIP-Datei geöffnet, installiert sich die Schadsoftware. Infolge dessen wird umgehend mit dem Überschreiben der auffindbaren Dateien begonnen, so beschreibt es die Pressmeldung des Bayerische Landeskriminalamts. 

Die uns bekannten Ransomware, wie WannaCry oder Petya, starteten mit der Verschlüsselung, für welche man durch Zahlung die Entschlüsselung kaufen konnte. Hier soll man auch zahlen, aber helfen wird es nicht. Sind die Daten erst einmal überschrieben, können nur noch Profis mit sehr viel Aufwand und für sehr viel Geld gelegentlich Fragmente wiederherstellen. Das Überschreiben von Daten wird nicht ohne Grund als eine der sichersten Methoden zur Vernichtung von Daten empfohlen. 

keine Entschlüsselung der Daten möglich

Die uns bekannten Ransomware, wie WannaCry oder Petya, starteten mit der Verschlüsselung, für welche man durch Zahlung die Entschlüsselung kaufen konnte. Hier soll man auch zahlen, aber helfen wird es nicht. Sind die Daten erst einmal überschrieben, können nur noch Profis mit sehr viel Aufwand und für sehr viel Geld gelegentlich Fragmente wiederherstellen. Das Überschreiben von Daten wird nicht ohne Grund als eine der sichersten Methoden zur Vernichtung von Daten empfohlen.

Selbst spezialisierte Datenrettungsunternehmen geben unumwunden zu, dass Daten unwiederbringlich verloren sind, wurde die Festplatte auch nur einmal mit Nullen überschrieben. 

Der Forensikexperte Craig Wright hat dies in einer wissenschaftlichen Untersuchung mit folgenden Ergebnissen bestätigt: Ob altes oder neues Laufwerk, nach einmaligem Überschreiben der Daten ist die Wahrscheinlichkeit, noch etwas rekonstruieren zu können, praktisch null.

Wenn es um ein einziges Bit geht, von dem man ganz genau weiß, wo es steht, dann kann man es mit 56 Prozent Wahrscheinlichkeit korrekt rekonstruieren. Für ein Byte müsste man dann aber schon 8 Mal richtig liegen, was nur noch mit 0,97 Prozent Wahrscheinlichkeit klappt. Man braucht nicht darüber nachzudenken, was mit einem ganzen Dokument ist. 

In diesem Fall hilft nur noch die Überlegung, ob irgendwo Backups, Schattenkopien, Auslagerungsdateien oder Ähnliches gespeichert wurden.

Die wichtigsten Tipps:

  • Ein stets aktualisiertes Antivirenprogramm auf allen Geräten.
  • Bei E-Mail mit Anhängen immer argwöhnisch sein; im speziellen bei vermeintlichen Bewerbungen.
  • Anhänge nur öffnen, wenn Sie bzgl. des Absenders ganz sicher sind; Schadsoftware kann in ZIP, Excel- und auch Word Dokumenten enthalten sein.
  • Sichern Sie regelmäßig Ihre Daten und prüfen Sie Ihre Datensicherungen auf Wiederherstellbarkeit.

Time to say goodbye…

Das Leben ist hart, keine Frage. Zum Leben gehört unweigerlich der Abschied, manchmal nur kurzzeitig oder auf unbestimmt Zeit, manchmal aber auch endgültig. Für unsere Gesellschaft ist das schwer zu ertragen, schlussendlich muss man sich damit abfinden.

 

Save the date: 14.01.2020

 

Umso schöner, wenn man sich seelisch und moralisch auf den Abschied vorbereiten kann. Microsoft hilft uns an dieser Stelle und kündigte bereits 2017 den Abschied von Windows 7 an, indem sie das Ende des Supportes (EoS) auf den 14.01.2020 verkündeten.

 

 

Dieses betrifft ebenfalls downgegradete PCs! Diese unterliegen ebenfalls dem EoS, welches Sie mit den Terms&Conditions während der Installation bestätigt haben. Denn mit dem EoS endet auch das NUTZUNGSRECHT von Windows 7, welches Sie im Rahmen des Downgrade-Recht erhalten haben. In dem Fall eines downgegradeten PC's, Sie also den PC mit Windows 10 erworben und dann ein Downgrade auf Windows 7 durchgeführt haben, müssen Sie nun das Upgrade auf Windows 10 vornehmen. Eine weitere Nutzung von Windows 7 ist ab dem 14.01.2020 illegal!

 

 

Anders ist es, wenn Sie von früheren Systemen noch freie, nicht genutzte, original Lizenzen von Windows 7 haben. Mit diesen wäre der weitere Betrieb dann regulär.

 

Totgesagte leben länger

Original Windows 7  Lizenzen können auch nach dem 14.01.2020 noch installiert und aktiviert werden. Allerdings sollten Sie sich die Risiken bewusst machen. Nicht nur die „Guten“ wissen, dass der Support ausläuft.

 

 

Es wird keine Updates von Microsoft mehr geben, außer Sie nehmen Geld in die Hand und kaufen sich eine Software Assurance um dann Extended Security Updates (bis 2023) zu erhalten. Sofern Sie keine Umgebung haben die zwingend auf Windows 7 angewiesen ist, macht diese Investition keinen Sinn. Ein zeitgemäßer Schutz für diese Systeme besteht also nicht mehr.

 

 

Klar ist, es wird keine inhaltlichen Updates mehr geben, aber auch die Kompatibilität mit anderen Anwendungen dürft recht schnell abnehmen. Und dann kommt auch noch die DSGVO ins Spiel, die von Ihnen verlangt die erhoben personenbezogenen Daten zu schützen. Aber mit veralteter Software, welche keine Sicherheitsupdates mehr erhält, dürfte das schwerlich zu verargumentieren sein, sofern etwas passiert.

 

 

Explorer vers. edge

 

Auch vom Explorer müssen Sie sich verabschieden. Ja, auch das wird nicht einfach. Dieser gehört als Komponente zum Windows-Betriebssystem und unterliegt damit genau dem selben Supportlebenszyklus – 14.01.2020 ist auch Schluss.

 

Windows 10 und Edge hat sich seit längerem schon als sicherer erwiesen. Die Funktionalität „unter der Haube“ enthält viel mehr Features, welche sich um die Sicherheit drehen. Beispielsweise Hello – das passwortfreie Anmelden dank Biometrische Daten wie Fingerabdruck oder Gesichtserkennung, BitLocker, Trusted Boot, Secure Boot oder der Defender SmartScreen² für Edge, welcher vor Phishing-Webseiten und Malware schützen soll.

 

 

Ob Ihre Hardware bereit ist für Windows 10 können Sie unter: https://www.microsoft.com/de-de/windows/windows-10-specifications

 

0 Kommentare

Heute schon geschreddert?

 

Die Datenschutzgrundverordnung stellt uns ja vor so manche Herausforderung; Dokumentation, Datenschutzbeauftragten, Löschkonzept und nicht zu Letzt; Datenträgervernichtung.

 

Datenträger, also Festplatten, SSDs, USB-Sticks oder DVDs, CDs, fallen bei uns allen an. Irgendwann wird der alte Rechner oder das Notebook aussortiert und dann ist die Frage, wie verfährt man mit der Festplatte? Der USB-Stick, welchen die Vertrieblerin immer dabei hatte, wird nicht mehr erkannt, die Daten sind aber noch auf dem Stick. Was nun?

 

In all diesen Fällen, genauer gesagt; bei jedem Medium, das irgendwann Richtung Mülleimer marschieren soll, müssen Sie sich fragen; welche Daten sind darauf und wie vernichten wir das nun DSGVO-konform?

 

 

Da die DSGVO keinen konkreten Prozess zum Vernichten bzw. Löschen von personenbezogenen Daten auf digitalen oder elektronischen Datenträgern vorschreibt, empfiehlt es sich die DIN 66399 – die DIN-Norm zur Datenträgervernichtung, heranzuziehen.

 

 

Normen kann ja nun wirklich niemand leiden. Ein Wust von Seiten in einem unleidlichen Deutsch mit viele Wenn und Aber, Möglichkeiten und Sonderfällen, wobei am Ende meist eine unerschöpfliche Liste voller Dokumentationszwängen folgt und man sich fragt, wie viele Leute man nur dafür benötigt.

 

 

Machen wir es kurz, dank der DIN 66399 gibt es verlässliche Kriterien, nach denen man gut und schnell die Datenträger los wird, die man nicht mehr braucht und muss sich in Folge keine Sorgen um ruinöse Strafzahlungen machen, weil der eigens angedachte Ansatz nicht den behördlichen Vorstellungen entspricht.

 

Wie gehen Sie vor?

 

Ihre Daten, völlig egal welche, müssen Klassifiziert werden. Hier spricht die Norm von Schutzklassen, schließlich geht es darum zu entscheiden, wie schützenswert die vorhandenen Daten sind. Im Umkehrschluss, wie viel Aufwand muss betrieben werden um diese schutzbedürftigen Daten zu vernichten.

 

Schutzklassen

 

Schutzklasse 1 – normaler Bedarf für interne Daten:

 

Der Schutz von personenbezogenen Daten muss gewährleistet sein. Andernfalls besteht die Gefahr, dass der Betroffene in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt wird. Beispiele:

 

·         Telefonlisten

 

·         Lieferantendaten

 

·         Adressdaten

 

 

 

Schutzklasse 2 – hoher Bedarf für vertrauliche Daten:

 

Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird. Beispiele:

 

·         Personaldaten

 

·         Finanzbuchhaltungsunterlagen

 

·         Bilanzen | Jahresabschlüsse

 

 

 

Schutzklasse 3 – sehr hoher Bedarf für besonders geheime Daten:

 

Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen. Beispiele:           

 

·         Patientendaten

 

·         Mandanteninformationen

 

·         Geheime | streng geheime Unterlagen aus Forschung und Entwicklung von Wirtschaftsunternehmen

 

 

Die Einteilung ist ausschlaggebend für die Wahl der Sicherheitsstufe bzw. die Wahl der Vernichtung. Hierbei sollten Sie beachten, dass die Schutzklassen-Wahl direkten Einfluss auf die Kosten der Datenträgervernichtung hat: Je feiner der Grad der Vernichtung ist, desto höher ist der Aufwand und die Kosten. 

 

 

Nach den Schutzklassen kommen die Sicherheitsstufen. Wozu Sie diese brauchen? Um zu sehen, welche Ihrer Daten Sie wie aufwändig vernichten müssen. Personenbezogene Daten erfordern immer mindestens Sicherheitsstufe 3. 

Sicherheitsstufen

 

1.       Allgemeine Daten - Reproduktion mit einfachem Aufwand

 

2.       Interne Daten - Reproduktion mit besonderem Aufwand

 

3.       Sensible Daten - Reproduktion mit erheblichem Aufwand

 

4.       Besonders sensible Daten - Reproduktion mit außergewöhnlichem Aufwand

 

5.       Geheim zu haltende Daten - Reproduktion mit zweifelhaften Methoden

 

6.       Geheime Hochsicherheitsdaten - Reproduktion technisch nicht möglich

 

7.       Top Secret Hochsicherheitsdaten - Reproduktion ausgeschlossen

 

 

Danach erfolgt die Zuordnung von Schutzklasse und Sicherheitsstufe.

 

 

Datenträger der Schutzklasse 1 können den Sicherheitsstufen 1, 2 und 3 zugeordnet werden. Ausnahme: Handelt es sich um personenbezogene Daten, ist nur eine Zuordnung zur Sicherheitsstufe 3 erlaubt.

 

 

Datenträger der Schutzklasse 2 können den Sicherheitsstufen 3, 4 und 5 zugeordnet werden.

 

 

Datenträger der Schutzklasse 3 können den Sicherheitsstufen 4, 5, 6 und 7 zugeordnet werden.

 

 

Bei elektronischen oder magnetischen Datenträgern kann eine niedrigere Sicherheitsstufe gewählt werden, wenn zuvor die Datenträger gelöscht oder überschrieben wurden.

 

Datenträgerarten

 

Der Vollständigkeit halber, hier noch die Übersicht zu den Datenträgerarten.

 

Jede Datenträgerart ist durch ein Kürzel beschrieben (PFOTHE) welches der jeweiligen Sicherheitsstufe vorangestellt wird:

 

 

P - Informationsdarstellung in Originalgröße: Papier, Film, Druckformen

 

F - Informationsdarstellung verkleinert: Film, Mikrofilm, Folie

 

O - Informationsdarstellung auf optischen Datenträgern: CD, DVD

 

T - Informationsdarstellung auf magnetischen Datenträgern: Disketten, ID-Karten, Magnetbandkassetten

 

H - Informationsdarstellung auf Festplatten mit magnetischem Datenträger: Festplatten

 

E - Informationsdarstellung auf elektronischen Datenträgern: Speicherstick, Chipkarte, Halbleiterfestplatten, mobile Kommunikationsmittel

Und nun einmal ganz konkret.

 

Das Beispiel, welches wohl auf jede Firma zutrifft ist die Personalakte.

 

Bei Personaldaten/-akten ist die Schutzklasse 2 anzuwenden und die Datenträger der Sicherheitsstufe 4 zuzuordnen. Bei Papier ergibt sich somit die Sicherheitsstufe P-4, bei Festplatten H-4.

 

 

Zugegeben es klingt immer noch nicht einfach.  Deshalb kommen wir nun ins Spiel!

 

 

Schließlich haben wir das Problem, genau wie alle anderen auch. Also haben wir uns Gedanken gemacht. Wir wollten nicht jede Festplatte sichten und überlegen, welcher Schutzklasse unterliegt diese jetzt. Auch wollen wir nicht immer wieder über Sicherheitsstufen nachdenken.

 

 

Für uns war klar, es muss pro Medium einen Weg geben, der klar vorgegeben ist, von jedem einzuhalten und keine Diskussionen oder individuelle Bewertung erfordert, welche leider mal falsch liegen könnte. Schließlich muss man bei der Datenträgervernichtung immer auf der sicheren Seite sein.

 

 

Für Festplatten und SSDs bedeutet das, Daten bis einschließlich Schutzklasse 3 gemäß DIN 66399 vernichten und das bis zu Sicherheitsstufe 5. Dann muss man sich keine Gedanken mehr machen. Zumindest wenn man keine Hochsicherheitsdaten hat, wie wir.

 

Datenbänder setzen wir ganz klassisch für unser Datensicherung ein. Auch die müssen irgendwann mal weg, auch die haben alle möglichen Daten gespeichert. Hier vernichten wir nach Sicherheitsstufe 3, das reicht für alle üblichen Firmendaten. Als Kürzel gibt es hier T-3.

 

 

Sticks, Chipkarten und optische Datenträger vernichten wir nach Sicherheitsstufe 2.

 

 

 

Und genau dieses Verfahren können wir Ihnen anbieten! Sollten Sie sich und Ihre Daten hier wiederfinden und suchen Sie einen einfachen Weg, können wir Ihnen diesen bieten. Die Dokumentation übernehmen ebenfalls wir.

 

 

Nur archivieren müssen Sie es, dabei könnten wir aber auch helfen…

 

0 Kommentare

Ihre Firewall lebt von Updates!

Jetzt hat man sehr viel Geld für eine neue Firewall, Lizenzen und Support ausgegeben und nun ist immer noch nicht alles sicher? Sicher nicht!

Haben Sie Ihre Firewall gekauft, um Ihr Netzwerk vor Gefahren aus dem Internet zu schützen, ist es zwingend notwendig Ihre Firewall softwareseitig auf die neuesten Anforderungen oder vielmehr Bedrohungen vorzubereiten. Es werden täglich neue Sicherheitslücken entdeckt, die Ihre Firewall wissen muss, um das Grundbedürfnis, nämlich Schutz, zu garantieren. Eine Firewall lebt von Updates!

 

"Never change a running System". Wie oft hat man diesen Satz schon in verschiedensten Zusammenhängen gehört? In der IT hat dieser Satz allerdings nichts verloren und wird von vielen aus Unwissenheit oder vielleicht sogar aus Bequemlichkeit ausgesprochen.

Sicher gibt es immer wieder mangelhafte Updates, nach deren einspielen gar nichts mehr funktioniert. Oder man kämpft nach der Lösung eines Problems mit zwei Neuen. Natürlich kann eines dieser Szenarien eintreten, wer allerdings mit Erfahrung und Bedacht Updates vornimmt, minimiert das Risiko weiterestgehend.

 

Jemand, der auf seiner Firewall keine Updates macht, geht in jedem Fall ein sehr viel größeres Risiko ein und muss sich fragen, wie sicher sein Netzwerk dann noch sein kann.

Updates sind nicht alles

Sobald die Lizenz abgelaufen ist, setzen bei vielen Firewalls diverse Sicherheitsmechanismen aus und die Virensignaturen werden nicht mehr aktualisiert. Damit man mit einer Firewall auch wirklich den effektivsten Schutz erreicht, muss also einerseits das Betriebssystem auf der Firewall aktuell sein und andererseits müssen auch die Virendefinitionen regelmäßig eingespielt werden.

 

Wer für eine Firewall zuständig ist, muss diese auch richtig konfigurieren können. Es bringt nichts, wenn angelegte Firewallregeln die Tür

in Ihr Netzwerk weit öffnen oder wichtige Sicherheitsfeatures nicht aktiviert werden. Man muss alle Funktionen der Firewall kennen, denn eine schlechte oder fehlerhafte Konfiguration, kann sich auch negativ auf ein Netzwerk auswirken.

 

Fazit

Mit dem Kauf und der Installation einer Firewall ist es leider noch nicht getan. Eine Firewall braucht regelmäßige Pflege, Wartung und einen erfahrenen Blick, für wichtige und nötige Einstellungen. Getreu dem Motto „Was interessiert mich mein Geschwätz von gestern“ sollten die Einstellungen regemäßig überprüft und neue Gegebenheiten angepasst werden. Essentiell ist dabei die Software aktuell zu halten, um eben auch den neuesten Bedrohungen Stand zu halten.

 

Für alle, die sich nicht selbst um die Pflege und Wartung ihrer Firewall kümmern möchten, bieten wir das kombinierte Monitoring & Patch Management für Ihre Firewall an. Sprechen Sie uns an!

 

„GermanWiper“ – Diese Bewerbung sollten Sie nicht lesen

Dieses Mal ist es sehr kritisch, denn hier helfen keine Zahlungen oder schnelle ShutDowns, um noch ein paar Daten vor der Verschlüsselung zu retten. Die aktuell kursierende Schadsoftware „GermanWiper“ hat es auf das Überschreiben Ihrer Daten und damit unwiederbringliche Zerstören abgesehen. Laut dem LKA beschränkt sich derzeit die Verbreitung auf den deutschsprachigen Raum, betroffen waren bislang vorwiegend Selbstständige und kleine Unternehmen.

Selbstständige und kleine Unternehmen

„Lena Kretschmer“ oder „Kathrin Winkler“

Das Vorgehen ist ein bekanntes Muster; es kommt eine Mail, vorzugsweise eine Bewerbung von „Lena Kretschmer“ oder „Kathrin Winkler“. Im Anhang findet sich der vermeintliche Lebenslauf in Form einer ZIP-Datei. Wird die ZIP-Datei geöffnet, installiert sich die Schadsoftware. Infolge dessen wird umgehend mit dem Überschreiben der auffindbaren Dateien begonnen, so beschreibt es die Pressmeldung des Bayerische Landeskriminalamts. 

Die uns bekannten Ransomware, wie WannaCry oder Petya, starteten mit der Verschlüsselung, für welche man durch Zahlung die Entschlüsselung kaufen konnte. Hier soll man auch zahlen, aber helfen wird es nicht. Sind die Daten erst einmal überschrieben, können nur noch Profis mit sehr viel Aufwand und für sehr viel Geld gelegentlich Fragmente wiederherstellen. Das Überschreiben von Daten wird nicht ohne Grund als eine der sichersten Methoden zur Vernichtung von Daten empfohlen. 

keine Entschlüsselung der Daten möglich

Die uns bekannten Ransomware, wie WannaCry oder Petya, starteten mit der Verschlüsselung, für welche man durch Zahlung die Entschlüsselung kaufen konnte. Hier soll man auch zahlen, aber helfen wird es nicht. Sind die Daten erst einmal überschrieben, können nur noch Profis mit sehr viel Aufwand und für sehr viel Geld gelegentlich Fragmente wiederherstellen. Das Überschreiben von Daten wird nicht ohne Grund als eine der sichersten Methoden zur Vernichtung von Daten empfohlen.

Selbst spezialisierte Datenrettungsunternehmen geben unumwunden zu, dass Daten unwiederbringlich verloren sind, wurde die Festplatte auch nur einmal mit Nullen überschrieben. 

Der Forensikexperte Craig Wright hat dies in einer wissenschaftlichen Untersuchung mit folgenden Ergebnissen bestätigt: Ob altes oder neues Laufwerk, nach einmaligem Überschreiben der Daten ist die Wahrscheinlichkeit, noch etwas rekonstruieren zu können, praktisch null.

Wenn es um ein einziges Bit geht, von dem man ganz genau weiß, wo es steht, dann kann man es mit 56 Prozent Wahrscheinlichkeit korrekt rekonstruieren. Für ein Byte müsste man dann aber schon 8 Mal richtig liegen, was nur noch mit 0,97 Prozent Wahrscheinlichkeit klappt. Man braucht nicht darüber nachzudenken, was mit einem ganzen Dokument ist. 

In diesem Fall hilft nur noch die Überlegung, ob irgendwo Backups, Schattenkopien, Auslagerungsdateien oder Ähnliches gespeichert wurden.

Die wichtigsten Tipps:

  • Ein stets aktualisiertes Antivirenprogramm auf allen Geräten.
  • Bei E-Mail mit Anhängen immer argwöhnisch sein; im speziellen bei vermeintlichen Bewerbungen.
  • Anhänge nur öffnen, wenn Sie bzgl. des Absenders ganz sicher sind; Schadsoftware kann in ZIP, Excel- und auch Word Dokumenten enthalten sein.
  • Sichern Sie regelmäßig Ihre Daten und prüfen Sie Ihre Datensicherungen auf Wiederherstellbarkeit.

Time to say goodbye…

Das Leben ist hart, keine Frage. Zum Leben gehört unweigerlich der Abschied, manchmal nur kurzzeitig oder auf unbestimmt Zeit, manchmal aber auch endgültig. Für unsere Gesellschaft ist das schwer zu ertragen, schlussendlich muss man sich damit abfinden.

 

Save the date: 14.01.2020

 

Umso schöner, wenn man sich seelisch und moralisch auf den Abschied vorbereiten kann. Microsoft hilft uns an dieser Stelle und kündigte bereits 2017 den Abschied von Windows 7 an, indem sie das Ende des Supportes (EoS) auf den 14.01.2020 verkündeten.

 

 

Dieses betrifft ebenfalls downgegradete PCs! Diese unterliegen ebenfalls dem EoS, welches Sie mit den Terms&Conditions während der Installation bestätigt haben. Denn mit dem EoS endet auch das NUTZUNGSRECHT von Windows 7, welches Sie im Rahmen des Downgrade-Recht erhalten haben. In dem Fall eines downgegradeten PC's, Sie also den PC mit Windows 10 erworben und dann ein Downgrade auf Windows 7 durchgeführt haben, müssen Sie nun das Upgrade auf Windows 10 vornehmen. Eine weitere Nutzung von Windows 7 ist ab dem 14.01.2020 illegal!

 

 

Anders ist es, wenn Sie von früheren Systemen noch freie, nicht genutzte, original Lizenzen von Windows 7 haben. Mit diesen wäre der weitere Betrieb dann regulär.

 

Totgesagte leben länger

Original Windows 7  Lizenzen können auch nach dem 14.01.2020 noch installiert und aktiviert werden. Allerdings sollten Sie sich die Risiken bewusst machen. Nicht nur die „Guten“ wissen, dass der Support ausläuft.

 

 

Es wird keine Updates von Microsoft mehr geben, außer Sie nehmen Geld in die Hand und kaufen sich eine Software Assurance um dann Extended Security Updates (bis 2023) zu erhalten. Sofern Sie keine Umgebung haben die zwingend auf Windows 7 angewiesen ist, macht diese Investition keinen Sinn. Ein zeitgemäßer Schutz für diese Systeme besteht also nicht mehr.

 

 

Klar ist, es wird keine inhaltlichen Updates mehr geben, aber auch die Kompatibilität mit anderen Anwendungen dürft recht schnell abnehmen. Und dann kommt auch noch die DSGVO ins Spiel, die von Ihnen verlangt die erhoben personenbezogenen Daten zu schützen. Aber mit veralteter Software, welche keine Sicherheitsupdates mehr erhält, dürfte das schwerlich zu verargumentieren sein, sofern etwas passiert.

 

 

Explorer vers. edge

 

Auch vom Explorer müssen Sie sich verabschieden. Ja, auch das wird nicht einfach. Dieser gehört als Komponente zum Windows-Betriebssystem und unterliegt damit genau dem selben Supportlebenszyklus – 14.01.2020 ist auch Schluss.

 

Windows 10 und Edge hat sich seit längerem schon als sicherer erwiesen. Die Funktionalität „unter der Haube“ enthält viel mehr Features, welche sich um die Sicherheit drehen. Beispielsweise Hello – das passwortfreie Anmelden dank Biometrische Daten wie Fingerabdruck oder Gesichtserkennung, BitLocker, Trusted Boot, Secure Boot oder der Defender SmartScreen² für Edge, welcher vor Phishing-Webseiten und Malware schützen soll.

 

 

Ob Ihre Hardware bereit ist für Windows 10 können Sie unter: https://www.microsoft.com/de-de/windows/windows-10-specifications

 

0 Kommentare

Heute schon geschreddert?

 

Die Datenschutzgrundverordnung stellt uns ja vor so manche Herausforderung; Dokumentation, Datenschutzbeauftragten, Löschkonzept und nicht zu Letzt; Datenträgervernichtung.

 

Datenträger, also Festplatten, SSDs, USB-Sticks oder DVDs, CDs, fallen bei uns allen an. Irgendwann wird der alte Rechner oder das Notebook aussortiert und dann ist die Frage, wie verfährt man mit der Festplatte? Der USB-Stick, welchen die Vertrieblerin immer dabei hatte, wird nicht mehr erkannt, die Daten sind aber noch auf dem Stick. Was nun?

 

In all diesen Fällen, genauer gesagt; bei jedem Medium, das irgendwann Richtung Mülleimer marschieren soll, müssen Sie sich fragen; welche Daten sind darauf und wie vernichten wir das nun DSGVO-konform?

 

 

Da die DSGVO keinen konkreten Prozess zum Vernichten bzw. Löschen von personenbezogenen Daten auf digitalen oder elektronischen Datenträgern vorschreibt, empfiehlt es sich die DIN 66399 – die DIN-Norm zur Datenträgervernichtung, heranzuziehen.

 

 

Normen kann ja nun wirklich niemand leiden. Ein Wust von Seiten in einem unleidlichen Deutsch mit viele Wenn und Aber, Möglichkeiten und Sonderfällen, wobei am Ende meist eine unerschöpfliche Liste voller Dokumentationszwängen folgt und man sich fragt, wie viele Leute man nur dafür benötigt.

 

 

Machen wir es kurz, dank der DIN 66399 gibt es verlässliche Kriterien, nach denen man gut und schnell die Datenträger los wird, die man nicht mehr braucht und muss sich in Folge keine Sorgen um ruinöse Strafzahlungen machen, weil der eigens angedachte Ansatz nicht den behördlichen Vorstellungen entspricht.

 

Wie gehen Sie vor?

 

Ihre Daten, völlig egal welche, müssen Klassifiziert werden. Hier spricht die Norm von Schutzklassen, schließlich geht es darum zu entscheiden, wie schützenswert die vorhandenen Daten sind. Im Umkehrschluss, wie viel Aufwand muss betrieben werden um diese schutzbedürftigen Daten zu vernichten.

 

Schutzklassen

 

Schutzklasse 1 – normaler Bedarf für interne Daten:

 

Der Schutz von personenbezogenen Daten muss gewährleistet sein. Andernfalls besteht die Gefahr, dass der Betroffene in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt wird. Beispiele:

 

·         Telefonlisten

 

·         Lieferantendaten

 

·         Adressdaten

 

 

 

Schutzklasse 2 – hoher Bedarf für vertrauliche Daten:

 

Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird. Beispiele:

 

·         Personaldaten

 

·         Finanzbuchhaltungsunterlagen

 

·         Bilanzen | Jahresabschlüsse

 

 

 

Schutzklasse 3 – sehr hoher Bedarf für besonders geheime Daten:

 

Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen. Beispiele:           

 

·         Patientendaten

 

·         Mandanteninformationen

 

·         Geheime | streng geheime Unterlagen aus Forschung und Entwicklung von Wirtschaftsunternehmen

 

 

Die Einteilung ist ausschlaggebend für die Wahl der Sicherheitsstufe bzw. die Wahl der Vernichtung. Hierbei sollten Sie beachten, dass die Schutzklassen-Wahl direkten Einfluss auf die Kosten der Datenträgervernichtung hat: Je feiner der Grad der Vernichtung ist, desto höher ist der Aufwand und die Kosten. 

 

 

Nach den Schutzklassen kommen die Sicherheitsstufen. Wozu Sie diese brauchen? Um zu sehen, welche Ihrer Daten Sie wie aufwändig vernichten müssen. Personenbezogene Daten erfordern immer mindestens Sicherheitsstufe 3. 

Sicherheitsstufen

 

1.       Allgemeine Daten - Reproduktion mit einfachem Aufwand

 

2.       Interne Daten - Reproduktion mit besonderem Aufwand

 

3.       Sensible Daten - Reproduktion mit erheblichem Aufwand

 

4.       Besonders sensible Daten - Reproduktion mit außergewöhnlichem Aufwand

 

5.       Geheim zu haltende Daten - Reproduktion mit zweifelhaften Methoden

 

6.       Geheime Hochsicherheitsdaten - Reproduktion technisch nicht möglich

 

7.       Top Secret Hochsicherheitsdaten - Reproduktion ausgeschlossen

 

 

Danach erfolgt die Zuordnung von Schutzklasse und Sicherheitsstufe.

 

 

Datenträger der Schutzklasse 1 können den Sicherheitsstufen 1, 2 und 3 zugeordnet werden. Ausnahme: Handelt es sich um personenbezogene Daten, ist nur eine Zuordnung zur Sicherheitsstufe 3 erlaubt.

 

 

Datenträger der Schutzklasse 2 können den Sicherheitsstufen 3, 4 und 5 zugeordnet werden.

 

 

Datenträger der Schutzklasse 3 können den Sicherheitsstufen 4, 5, 6 und 7 zugeordnet werden.

 

 

Bei elektronischen oder magnetischen Datenträgern kann eine niedrigere Sicherheitsstufe gewählt werden, wenn zuvor die Datenträger gelöscht oder überschrieben wurden.

 

Datenträgerarten

 

Der Vollständigkeit halber, hier noch die Übersicht zu den Datenträgerarten.

 

Jede Datenträgerart ist durch ein Kürzel beschrieben (PFOTHE) welches der jeweiligen Sicherheitsstufe vorangestellt wird:

 

 

P - Informationsdarstellung in Originalgröße: Papier, Film, Druckformen

 

F - Informationsdarstellung verkleinert: Film, Mikrofilm, Folie

 

O - Informationsdarstellung auf optischen Datenträgern: CD, DVD

 

T - Informationsdarstellung auf magnetischen Datenträgern: Disketten, ID-Karten, Magnetbandkassetten

 

H - Informationsdarstellung auf Festplatten mit magnetischem Datenträger: Festplatten

 

E - Informationsdarstellung auf elektronischen Datenträgern: Speicherstick, Chipkarte, Halbleiterfestplatten, mobile Kommunikationsmittel

Und nun einmal ganz konkret.

 

Das Beispiel, welches wohl auf jede Firma zutrifft ist die Personalakte.

 

Bei Personaldaten/-akten ist die Schutzklasse 2 anzuwenden und die Datenträger der Sicherheitsstufe 4 zuzuordnen. Bei Papier ergibt sich somit die Sicherheitsstufe P-4, bei Festplatten H-4.

 

 

Zugegeben es klingt immer noch nicht einfach.  Deshalb kommen wir nun ins Spiel!

 

 

Schließlich haben wir das Problem, genau wie alle anderen auch. Also haben wir uns Gedanken gemacht. Wir wollten nicht jede Festplatte sichten und überlegen, welcher Schutzklasse unterliegt diese jetzt. Auch wollen wir nicht immer wieder über Sicherheitsstufen nachdenken.

 

 

Für uns war klar, es muss pro Medium einen Weg geben, der klar vorgegeben ist, von jedem einzuhalten und keine Diskussionen oder individuelle Bewertung erfordert, welche leider mal falsch liegen könnte. Schließlich muss man bei der Datenträgervernichtung immer auf der sicheren Seite sein.

 

 

Für Festplatten und SSDs bedeutet das, Daten bis einschließlich Schutzklasse 3 gemäß DIN 66399 vernichten und das bis zu Sicherheitsstufe 5. Dann muss man sich keine Gedanken mehr machen. Zumindest wenn man keine Hochsicherheitsdaten hat, wie wir.

 

Datenbänder setzen wir ganz klassisch für unser Datensicherung ein. Auch die müssen irgendwann mal weg, auch die haben alle möglichen Daten gespeichert. Hier vernichten wir nach Sicherheitsstufe 3, das reicht für alle üblichen Firmendaten. Als Kürzel gibt es hier T-3.

 

 

Sticks, Chipkarten und optische Datenträger vernichten wir nach Sicherheitsstufe 2.

 

 

 

Und genau dieses Verfahren können wir Ihnen anbieten! Sollten Sie sich und Ihre Daten hier wiederfinden und suchen Sie einen einfachen Weg, können wir Ihnen diesen bieten. Die Dokumentation übernehmen ebenfalls wir.

 

 

Nur archivieren müssen Sie es, dabei könnten wir aber auch helfen…

 

0 Kommentare