Stellt ein Unternehmen seinen Mitarbeitern E-Mail-Konten zur Verfügung, dürfen diese grundsätzlich nur für betriebliche Zwecke genutzt werden. Die Praxis und der Alltag an den meisten Arbeitsplätzen sieht anders aus: Schon aus Gründen eines guten Betriebsklimas werden kurze persönliche Erledigungen am Arbeitsplatz toleriert. Dazu zählen beispielsweise ein privates Telefonat ebenso wie eine private Google-Suche oder der Aufruf des eigenen E-Mail-Postfachs.

Oft geht es in diesem Kontext eher um die Frage der Arbeitszeit und der Abgrenzung zu Pausen. „Und jedem Anfang wohnt ein Zauber inne“ wusste schon Hermann Hesse und deshalb waren sich Arbeitnehmer und Arbeitgeber wenigstens zu Anfangs einig, dass niemand den anderen Schaden zufügt.

Und dennoch passiert auf technischer Ebene und genauerem Hinsehen sehr viel mehr, was ernsthafte rechtliche Folgen haben kann. Dann tauchen neue und kritische Fragen auf – im Extremfall mit ernsthaften juristischen Konsequenzen. Für beide Vertragsparteien – den Mitarbeiter und dem Unternehmen.

Zunächst einmal die zwei grundlegend zu unterscheidenden Szenarien:

Fall 1:

Die private Nutzung der Geschäfts-IT

Die Risiken:

  • Wer haftet, wenn über das private E-Mail-Konto oder eine privat aufgerufene Website Schadcode auf den Firmen-PC gelangt und den PC beschädigt (z.B. Virusbefall) oder verdächtige Anhaltspunkte einen ggf. teuren IT-Support-Einsatz auslösen?
  • Wer haftet, wenn ein Firmen-Laptop in einem fremden WLAN-Netzwerk im Zuge der privaten Nutzung (z.B. im Urlaub) gehackt wird? Welche Kriterien gibt es, um ein Firmengerät an fremde Kabel anzuschließen?
  • Unter welchen Aspekten wird das Unternehmen dem Mitarbeiter gegenüber mit Telekommunikationsanbietern gleichgestellt und was bedeutet das Fernmeldegeheimnis unter arbeitsrechtlichen Aspekten?
  • Welche rechtlichen und technischen Kontrollen hat ein Mitarbeiter über private Daten und Konten, falls diese eines Tages bei einer nicht einvernehmlichen Trennung auf dem Firmen-PC zurückbleiben?
  • Anhand welcher Kriterien und mit welchen Maßnahmen erfolgt die datenschutzrechtliche Trennung zwischen privaten Daten / Mails / Schriftstücken?
  • Was sagt der Datenschutz, wenn das Unternehmen auf (geschäftliche) Daten / Mails / Schriftstücke auf dem PC oder im Konto eines Mitarbeiters zugreifen möchte, weil der Mitarbeiter z.B. krank ist, im Urlaub ist oder ausgeschieden ist? Darf das Unternehmen dann alle Daten einsehen, um geschäftliche und private Daten voneinander zu trennen?
  • Unter welchen Umständen riskiert ein Mitarbeiter eine Abmahnung wegen Missbrauchs des Dienstrechners und was sind die Kriterien, um die geduldete private Nutzung von missbräuchlichen Verhalten abzugrenzen?
  • Kann (und darf) der Arbeitgeber sich den Chat- und Seitenverlauf ansehen und wie sind private Passwörter auf dem Firmen-PC geschützt, wenn ein Mitarbeiter sein privates E-Mail-Konto öffnet?
  • Was muss ein Unternehmen im Datenschutz kontrollieren, wenn die Nutzung eines Firmen-Laptops auch durch Familienangehörige des Mitarbeiters erfolgt?

Fall 2:

Fremde Geräte von Mitarbeitern im Firmen-Netzwerk (BYOD – die Bring your own Device Philosophie)

Die Risiken:

  • Wer haftet, wenn über das private Laptop des Mitarbeiters ein Virus den Firmen-Server verschlüsselt?
  • Wer gewährleistet, dass Sicherheitseinstellungen auf privaten Geräten zu jeder Zeit und bei Bedarf so vorgenommen werden und eingestellt bleiben, dass die IT-Sicherheit nicht kompromittiert wird?
  • Welche Kosten verursacht der Mehraufwand, wenn der Firmen-Administrator Standard-Einstellungen für das ganze Netzwerk auf privaten Endgeräten extra einstellen muss, weil das Administrator-Kennwort von privaten Geräten nur der Mitarbeiter selbst verwaltet?
  • Wer haftet für Schäden an privaten Geräten, die während der Arbeitszeit bzw. im Diensteinsatz entstehen?
  • Welche arbeitsrechtlichen Aspekte entstehen, wenn private und berufliche Tätigkeiten auf ein und demselben Gerät parallel nebeneinander her laufen und anhand welcher Kriterien werden Arbeitszeiten und Überstunden bewertet? (Arbeitszeitgesetz, Mindestlohngesetz, Arbeitsschutzgesetz)
  • Kann das Übertragen/Kopieren/Synchronisieren von Kunden-Kontakten / Telefonbüchern auf private Geräte dem Mitarbeiter als Veruntreuung von Firmendaten angelastet werden? Insb. wenn es eines Tages zu einer nicht einvernehmlichen Trennung käme?
  • Was sagt der Datenschutz, wenn personenbezogene Daten, die das Unternehmen von seinen Kunden erhebt, auf privaten Datenträgern eines Mitarbeiters landen und diese beim nächsten Strandurlaub verloren gehen?
  • Wer verwaltet und kontrolliert eine ausreichende Backup-Strategie von Daten, die auf privaten Geräten im Zuge des Arbeitsdienstes erstellt und gespeichert werden?
  • Welche sonstigen rechtlichen Anforderungen gibt es – z.B. steuerrechtliche oder lizenzrechtliche Fragen?

Welche Antworten gibt es auf die Risiken und welche Empfehlungen gibt es?

Das Allerwichtigste sind klare und offene Regelungen zwischen Unternehmen und Mitarbeiter. Nur so können sich die Parteien einander orientieren und Vertrauensstellungen und damit die IT-Sicherheit aufrechterhalten. Zu den klassischen Regelungen in diesem Spannungsfeld zählen Betriebsvereinbarungen und (sofern erforderlich) eine BYOD-Richtlinie.

Betriebsvereinbarungen

Allein durch die (längere) Duldung privater Internetnutzung durch den Arbeitgeber, kann eine Art Gewohnheitsrecht („betriebliche Praxis“) entstehen, was in der Rechtsprechung einer Erlaubnis durch eine Betriebsvereinbarung gleichkommen könnte. Der Arbeitgeber wird dann als Telekommunikationsdienstanbieter betrachtet und der Inhalt der Kommunikation geht ihn nichts mehr an – das regelt das Telekommunikationsgesetz und die Verletzung des Fernmeldegeheimnisses zieht hohe Strafen nach sich.

Achten Sie stattdessen auf klare Verhältnisse, wenn es um die private Internetnutzung geht:

  • Definieren Sie in einer verbindlichen Richtlinie ein klares Verbot der privaten Nutzung von geschäftlichen Konten.
  • Erlauben Sie stattdessen (z.B. während Pausen) die private Nutzung des Internets und weisen Sie betroffene Mitarbeiter darauf hin, dass möglicherweise durch Firewalls und Sicherheitssoftware die Verbindungen ins Internet protokolliert, ausgewertet und ggf. auf Grund von Filter-Einstellungen gesperrt werden können.
  • Bieten Sie Ihren Mitarbeitern Alternativen an:
    • Stellen Sie ein Gäste-WLAN kostenlos ohne Protokollierung bereit. Definieren Sie, dass private Geräte (z.B. ein Mobiltelefon) auch nur in diesem Gäste-WLAN genutzt werden darf (und nicht ans Firmennetzwerk angeschlossen werden darf).
    • Der Mail-Konflikt lässt sich leicht umgehen. Kostenlose private Mailaccounts bekommt Ihr Mitarbeiter unabhängig vom Arbeitgeber an jeder Ecke des Internets. Machen Sie Ihrem Mitarbeiter deutlich, er muss nicht mit der Firmenadresse hantieren. Und abrufen kann er private Mails im Zweifel ganz leicht mit dem privaten Smartphone.
  • Wenn im Ausnahmefall (z.B. in einem Notfall) doch der dienstliche Mailaccount für Privates genutzt wird, empfehlen Juristen eine klare Kennzeichnung der Mails. Wenn Sie zum Beispiel im Betreff das Schlüsselwort „PRIVAT“ schreiben, ist die Grenze Ihrer Privatsphäre deutlich gezogen. Muss das Unternehmen an den Account, darf es solche Nachrichten auf keinen Fall öffnen.

BYOD-Richtlinie

Bei einem BYOD-System benutzen Angestellte für die Arbeit ihre eigenen Geräte. Das erscheint praktisch und kostengünstig. Bei genauerem Hinsehen zeigen sich allerdings Gefahren für Sicherheit und Datenschutz. Es ist Chefsache, Regelungen in Arbeitsverträgen und im Betrieb zu treffen.

BOYD birgt einige erhebliche Risiken, die ein Unternehmen kaum kontrollieren kann. Kommen dann noch branchenspezifische Vorschriften (z.B. Health Insurance Portability and Accountability Act (HIPAA) für das Gesundheitswesen, der Payment Card Industry Data Security Standard (PCI) oder ein Information Security Management System (ISMS) auf Grundlage einer ISO/IEC Zertifizierung) hinzu, wird die Installation von wirksamen Sicherheitsmechanismen zusammen mit erforderlichen Mitarbeiterschulungen so aufwendig, dass die Ersparnisse die Ausgaben nicht rechtfertigen.

Wir raten im Rahmen unserer Praxiserfahrung in den meisten Praxis-Fällen von BYOD-Einsätzen ab und verweisen auf eine bessere Alternative, die sowohl für Mitarbeitende wie für die Arbeitgeber Vorteile hat: Sie heisst englisch Choose Your own Device (CYOD) oder zu Deutsch „Wählen Sie Ihr Arbeitsgerät“. Angestellte können so ihre persönlichen Favoriten wählen und das Unternehmen könnte verdiente Mitarbeiter besser honorieren und an sich binden. Die private Nutzung kann dann im Rahmen von Betriebsvereinbarungen geregelt werden.

Im Übrigen verweisen wir an den Branchenverband Bitkom, der in Zusammenarbeit mehrerer Fach-Arbeitskreise einen Leitfaden zum Einstieg in das BYOD-Thema geschaffen hat. Er hilft Führungskräften im Unternehmen über die Einführung von BYOD zu entscheiden oder ein BYOD-Projekt umzusetzen. Der Leitfaden gibt einen ersten Überblick über bestehende rechtliche, technische und organisatorische Anforderungen, welche jedes Unternehmen mit Bezug auf seine individuellen Gegebenheiten prüfen sollte.

https://www.bitkom.org/Bitkom/Publikationen/BYOD-Bring-Your-Own-Device.html

IT-Analyse und ISMS-Beratung

Gerne helfen wir Ihnen mit unserem IT-Service und bringen Struktur in Ihre technischen organisatorischen Abläufe.

Eine IT-Infrastrukturanalyse deckt Handlungsfelder auf, die Ihnen zeigen, an welchen Stellen Risiken bestehen und wo Regelungen geschaffen werden müssen. Zusammen mit unseren Erfahrungen zur ISMS-Beratung unterstützen wir Sie beim Aufbau eines zertifizierbaren Managementsystem, z.B.  nach ISO/IEC 27001.

Bitte beachten Sie, dass die spezifische Rechtsberatung durch das Rechtsdienstleistungsgesetz reglementiert ist. Demnach können wir Sie in juristischen Fragen nicht direkt beraten und vermitteln bei Bedarf fachlich spezialisierte Rechtsanwälte in IT-Fragen.

Unsere Wirtschaft wird angegriffen – und das Ziel sind Sie als Mitarbeiter selbst! Diebstahl, Spionage, Sabotage: Neun von zehn Unternehmen wurden bereits Opfer. Erpressung, Systemausfälle und Betriebsstörungen sind die Folge und viele Unternehmen sehen ihre geschäftliche Existenz bedroht. Dies geht aus den Grundlagen einer Umfrage hervor, die der Digitalverband Bitkom durchgeführt hat [1].

Unsere Erfahrungen aus der Praxis bestätigen die stark zunehmende Anzahl von Schadensfällen mit der Tragweite bis hin zur Insolvenz. Und auch das Bundesamt für Informationssicherheit warnt: Die Kreativität von Phishing-Betrügern ist schier grenzenlos! Beinahe täglich beobachtet das BSI neue Varianten mit phantasievoll erfundenen „Märchen“. Sie basieren meist auf einer dieser Gedankenspiele für das Handlungsmuster:

  1. Täter knüpfen an aktuellen Ereignissen an, um ihren Lügen den Anschein von Glaubwürdigkeit zu verleihen.
  2. Mit der Aussicht auf einen Bonus, einen Gewinn oder einen lukrativen Auftrag sollen Sie persönlicher Informationen preisgeben oder irgendwo eingeben.
  3. Durch Tat-Vorwurf eines Fehlverhaltens (oft „horizontal“), wird ein schlechtes Gewissen erzeugt. Betrüger manipulieren Ihr Verhalten, indem Sie sich ertappt fühlen sollen.

Dazu kommen seit jeher Betrugsversuche an Kunden von Banken und Zahlungsdienstleistern mit den Dauerbrennern:

  • „Sicherheitsüberprüfung“
  • „Ihre Daten sind veraltet“
  • „Ihr Konto wurde eingeschränkt“

Natürlich erkennen Sie diese E-Mails und löschen diese ohne weiteres Nachdenken. Was aber wenn in einer plausiblen Situation tatsächlich etwas „echt sein könnte“? Wir beobachten zunehmend individuelle Phishing-Mails, in denen sich der Absender mit dem richtigen Namen Ihres Chefs ausgibt. Oder als Lieferant, der dann irgendwann eine neue Bankverbindung mitteilt. Schon mal „komische“ Mails von einem Interessenten erhalten, den Sie als Firma wirklich auf Google finden?

Nur Mut!

Es ist einfacher, als Sie glauben! Wenn sich Ihr Bauch bei Ihrem Verstand anmeldet … Dann hat er meistens Recht! An diesen Merkmalen können Sie Phishing-Mails entlarven:

  1. = Unbekannte Person oder kein persönlicher Ansprechpartner als Absender
  2. = Verteiler-Listen als Empfänger; die eigene E-Mail-Adresse wird nicht angezeigt
  3. = Handlungsaufforderung (oft mehrfach, oft dringend)
  4. = Unpersönliche Anrede
  5. = Seltsame Sonderzeichen; falsche Zeichen (Täuschung von Spam-Filtern)
  6. = Untypische Redewendungen oder Satzbauten
  7. = Fehler in der Rechtschreibung und Grammatik
  8. = Link verweist auf eine unbekannte Adresse oder anderen Anbieter
  9. = Datei im Anhang (entweder Schadcode oder Download zu Schadcode

Was steckt dahinter?

Was passiert, falls Sie versehentlich doch einen Anhang oder einen Link anklicken? Das Öffnen einer Schad-Code kann unmittelbar ernste Folgen haben (egal ob aus einem Datei-Anhang oder von einem Download-Link). Vermeiden Sie es, einen Anhang oder einen Download zu öffnen, den Sie nicht explizit angefordert haben bzw. der von unbekannten Ansprechpartnern kommt! Machen Sie sich z.B. jetzt („vorher“!) bewusst:

  • Wie wollen Sie mit Dateien umgehen, die Sie in einer E-Mail-Bewerbung erhalten.
  • Wem wollen Sie vertrauen? Einer Firma, die Sie kennen, jedoch deren Mitarbeiter Sie (noch) nicht kennen? Oder nur einem bekannten Ansprechpartner?

Wenn Sie ungewöhnliche Aktivitäten beobachten, schalten Sie den PC und ziehen Sie Strom- und Netzwerkkabel ab! Ungewöhnlich bedeutet: Änderungen an Dateien auf Ihrer Festplatte oder im Netzwerk, z.B. wenn Dateien verschwinden, neue kryptische Dateien auftauchen oder wenn Dateien ihr Ikon ändern (z.B. im Ordner „Eigene Dateien“ oder auf dem „Desktop“).

Falls Sie auf einen Link geklickt haben, der auf eine präparierte Webseite führt:

Safe-Browsing Warnung

Oft erkennen moderne Browser im Phishing-Filter, dass es sich um eine betrügerische Seite handelt. Spätestens jetzt sollten Sie nicht weiter versuchen, die Ziel-Seite öffnen. Schließen Sie stattdessen das Fenster!

Wenn sich die Seite öffnet und Sie erwarten den Anbieter (z.B. Ihre Bank oder einen Paketdienst), dann prüfen Sie die Adress-Zeile („URL“) in Ihrem Browser. Die Adresse muss immer mit https:// beginnen und verschlüsselt sein! Als fortgeschrittener Anwender können Sie jetzt die Signatur und den registrierten Anbieternamen anhand der digitalen Signatur überprüfen und so die Identität Ihres (vermeintlichen) Vertragspartners abgleichen. Wenn Sie unsicher sind: Anruf im IT-Support – wir helfen Ihnen sehr gerne und der kurze Zeitaufwand führt zu mehr Sicherheit.

In der Adresszeile erkennen Sie auch oft falsche Phishing-URLs. Sie erkennen echte URLs oft sehr einfach:

Und, was, wenn Sie Ihre Login-Daten doch schon eingegeben haben?

Wenn Sie Zahlungsdaten weitergegeben haben:

  • Sperren Sie Ihr Bankkonto.
  • Kontrollieren Sie die Umsätze Ihres Bankkontos und setzen Sie sich mit Ihrer Bank in Verbindung.
  • Nutzen Sie nach der Entsperrung ausschließlich neue Passwörter und PINs für Ihr Konto.

Wenn Sie Zugangsdaten zu anderen Konten, z.­B. Online-Shops, weitergegeben haben:

  • Vergeben Sie ein neues Passwort.
  • Nehmen Sie Kontakt mit dem Anbieter auf.
  • Überprüfen Sie zudem, ob Zahlungsdaten betroffen waren und nehmen Sie dementsprechend auch Kontakt mit Ihrer Bank auf.

Wenn Sie Zugangsdaten zu Ihrem E-Mail-Konto weitergegeben haben:

  • Vergeben Sie ein neues Passwort.
  • Es kann sein, dass mit dem Zugang zu Ihrem E-Mail-Postfach auch die Zugänge anderer Online-Dienste kompromittiert sind und beispielsweise geändert oder übernommen wurden.
  • Deswegen müssen Sie diese ebenfalls zurücksetzen. Das gilt für Online-Profile, mit denen Sie sich bei anderen Diensten, z.­B. einem Online-Shop, anmelden können.

Hinweis:
Vergeben Sie für alle Online-Account-Zugänge jeweils unterschiedliche Passwörter. Passwort-Manager können dabei hilfreich sein.

Sicher leben!

Als erfahrener Benutzer schützen Sie sich online – das ist sogar ziemlich einfach:

  • [Technischer Schutz] Führen Sie Aktualisierungen von Software und Betriebssystemen auf allen Geräten immer sofort durch und installieren Sie Antivirenprogramme.
  • [Persönliche Einstellung] Seien Sie skeptisch! Ihre Bank, Diensteanbieter oder Behörden
    bitten niemals per E-Mail um persönliche Daten. Erst recht um keine Passwörter und Geheimnummern.
  • [Persönliche Einstellung] Nutzen Sie zu Ihrer Bank, Diensteanbieter oder Behörden nur den Link aus Ihrer Bookmark-Sammlung (Lesezeichen!). Fremde Links, die zwar ähnlich aussehen (insb. in E-Mails), sind häufig manipuliert.
  • [Persönliche Einstellung] Bei Zweifeln lassen Sie sich die Echtheit einer E-Mail vom Absender telefonisch bestätigen. Nutzen Sie dafür die Telefonnummer aus Ihrem eigenen Adressbuch oder recherchieren Sie über das Internet. Angegebene Kontaktdaten aus derselben, verdächtigen E-Mail können ebenfalls manipuliert sein.
  • [Persönliche Einstellung] Vorsicht bei Datei-Anhängen oder Download mit Endungen wie .exe oder .scr. Diese führen möglicherweise direkt Schadsoftware aus. Manchmal werden Sie auch durch Doppelendungen wie „Dokument.pdf.exe“ in die Irre geführt.
  • [Technischer Schutz] Aktivieren Sie in der mail-connect Cloud für Ihr Postfach den Filter für schadhaft ausführbare Programme: Kunden-Portal (https://portal.all-connect.net/) -> Postfach-Verwaltung -> Reiter „Hygiene“ -> „Anti-Virus“ aktivieren und „Verdächtige Dokumente blocken“ aktivieren.
  • [Technischer Schutz] Verwenden Sie für wichtige Zugänge eine Zwei-Faktor-Authentisierung. Durch die zweite Stufe können Kriminelle nicht mehr auf Ihre Daten zugreifen, selbst wenn sie Ihr Passwort erbeutet haben.

IT-Analyse, Cyber-Schulung und Prävention

Wir helfen Ihnen unseren IT-Service und bringen Struktur in Ihre technischen organisatorischen Abläufe. Mit unseren Managed Service Optionen schaffen Sie den „roten Faden“ der Sicherheit in Ihrer Organisation:
E-Learning Cybersicherheit/Phishing/Datenschutz für Ihre Mitarbeiter mit Zertifikat

• Phishing-Kampagnen testen den Stand in Ihrer Organisation
• E-Mail-Scanner für verdächtige E-Mails
• Datensicherheits-Check für E-Mail-Adressen (S/MIME, Spamfilter, Anti-Virus)
• Browser-Check
• IT-Infrastrukturanalyse mit Sicherheitsprüfung
• Konzeption und Übung von Notfall-Strategien für die wichtigsten Geschäftsprozesse
• all-connect Technik-Hotline

Weiterführende Links:

Endlich mal wieder gute Nachrichten aus der Welt der Bekämpfung von Cyberkriminalität! Das BKA teilt mit, dass nach über zwei Jahren Ermittlung die Infrastruktur von Emotet, einem gefährlichen Cyberware-Netzwerk Ende Januar erfolgreich übernommen und zerschlagen werden konnte.

Rechenzentrum live-status

Sie haben das Gefühl Ihre Website läuft nicht mehr? Oder E-Mails werden nicht versendet? Sie vermuten als Ursache, dass bei uns bestimmte Dienste oder Server nicht verfügbar sind?
Wir haben gute Nachrichten für Sie – ab sofort können Sie zunächst einen Blick auf unsere Rechenzentrum LIVE-Status Seite werfen und prüfen ob technische Störungen vorliegen.

Kunden-Portal Rechenzentrum Live-Status: https://portal.all-connect.net/status

Sollten „gelbe Icons mit einem !“ in der Status-Spalte zu sehen sein, dann ist das einen Indiz dafür, dass bei uns Einschränkungen oder mögliche Störungen vorliegen können.

Erscheint das „rote Icon mit einem X“ in der Spalte Status, so ist dies ein Indikator für einen möglichen Ausfall.

Das „grüne Icon mit einem Haken“, ist dagegen ein Anzeichen dafür, dass bei uns alles wie gewünscht funktioniert. Und demnach z.B. die nicht Verfügbarkeit Ihrer Website oder das nicht versenden von E-Mails nicht mit unserer Infrastruktur zusammenhängen, sondern ggf. andere Ursachen hierfür verantwortlich sind.

Werfen Sie dabei auch immer einen Blick auf die Spalte „Aktualität“, wenn in dieser Spalte ein X zu finden ist, ist dies ein Hinweis darauf, dass die Daten veraltet sein können und der angezeigte Status nicht mehr aktuell ist.

Für folgende Services aus unserem Rechenzentrum können Sie ab sofort den LIVE-Status einsehen:

  • Globale Infrastruktur im Rechenzentrum
  • Konnektivität von Netzwerksegmenten im Rechenzentrum
  • Kunden-Portal und globale Netzwerk- und Konfigurationsdienste
  • Kunden-Portal Dienste für Online- und E-Mail-Support
  • Telefon-Support und Erreichbarkeit all-connect
  • Nameserver-Dienste für Namensauflösung im Netzwerk
  • Nameserver-Dienste für registrierte Domains
  • mail-connect Hosting-Infrastruktur
  • mail-connect Empfangsdienste für eingehende E-Mails
  • mail-connect Anti-Spam und -Virus Filter
  • mail-connect Server für ausgehende E-Mails (Postausgang)
  • mail-connect Server für ausgehende E-Mails (Hostingserver im RZ)
  • mail-connect Server für ausgehende E-Mails (EMARKET Dienste)
  • mail-connect PRO Postfach-Speicher (Posteingang)
  • mail-connect PRO Webmail Dienst
  • mail-connect TEAM E-Mail- und Sync-Dienste
  • web-connect Backup- und Speicher-Dienste
  • web-connect HOST Hosting- und Cloud-Server
  • web-connect SITE Hosting-Infrastruktur
  • web-connect SITE Webhosting-Server
  • web-connect SITE Datenbank-Server

Liebe Kundinnen und Kunden,

wir befinden uns zum größten Teil im Home-Office und zwischenzeitlich haben wir uns in unseren Home-Offices auch richtig gut eingelebt. Bei uns im Support kommt es deshalb für Sie kaum zu spürbaren Verzögerungen.

Wir sind weiterhin wie gewohnt per E-Mail und Telefon für Sie erreichbar und bis auf Weiteres gewährleisten wir den Betrieb aller IT-Dienste im zügigen und vollständigen Umfang.

Aufgrund der aktuellen Ausnahmesituation gibt es jedoch einige Ausnahmen:

  • Es finden keine vor-Ort-Termine mehr statt.
  • Auf Grund von Home-Office kann es manchmal zu geringen Verzögerungen kommen.
  • Bei Hardware gibt es großteils Lieferengpässe auf Grund des Produktionsstopps im asiatischen Raum.

Bitte haben Sie Verständnis, wenn im Einzelfall nicht immer alles so funktioniert, wie Sie es sonst von uns gewohnt sind.

Betriebsurlaub über Pfingsten

+++ Auf Grund der aktuellen Situation rund um das Corona-Virus nutzen wir die ruhige Zeit und schließen unser Büro für zwei Wochen über die Pfingstferien ab Montag, den 25.05.2019, bis einschließlich Sonntag, den 07.06.2020.

Mit dieser Maßnahme garantieren wir Ihnen im weiteren Jahresverlauf die volle Verfügbarkeit unseres IT-Services, um Ihre IT-Projekte vor Ort und im Rechenzentrum jeweils zeitnah und zügig umsetzen zu können. Mit gemeinsamer Stärkung und bestimmt bester Gesundheit freuen wir uns dann auf die gemeinsame zweite Jahreshälfte!

Für Notfälle ist unsere Technik-Bereitschaft selbstverständlich auch an den Tagen während der Betriebsferien für Sie erreichbar. +++

Werfen Sie einen Blick in unser Home-Office – Küchen und Wohnzimmer eigenen sich perfekt. Vereinzelt halten einige Kolleginnen und Kollegen auch in unserem Büro in der Maistraße noch die Stellung. Mit viel Desinfektionsmittel und noch mehr Abstand.

TEAM

Weiter Informationen wie all-connect sich der aktuellen Lage stellt, finden Sie auch hier in dem PDF

>> zum PDF (hier klicken)

Selbstverständlich stehen wir Ihnen natürlich trotzdem weiterhin bei IT-Fragen und Anfragen zur Seite.

Wir wünschen Ihnen viel Gesundheit.

Sollten sich weitere Änderungen ergeben, werden wir Sie über diese wie gewohnt in unserem Kunden-Portal, sowie auf unserer Website informieren.

Die Internet-Kriminellen sind nach Ihrer vermutlich kurz eingelegten Sommerpause wieder deutlich aktiver. Sie sollten unbedingt aufpassen, welche Dateien oder Links Sie in Ihrer E-Mail öffnen – Vorsicht walten zu lassen gilt natürlich generell. Der Emotet-Trojaner hat in den vergangenen Jahren bereits diverse Systeme infiziert. Opfer sind häufig kleinere oder mittelständige Unternehmen. Aber auch Stadtverwaltungen und sogar Krankenhäuser waren bereits betroffen.

Zum Verbreiten der Schadsoftware werden von den Kriminellen so genannte Phishing-Mails versendet. Phishing-Mails sind gefälschte E-Mails, die dazu dienen Ihnen wichtige oder persönliche Daten zu stehlen.

Das besonders kritische bei Emotet ist jedoch, dass diese „Phishing-Mails“ extrem gut gemacht sind. Es können sogar geschulte Mitarbeiter darauf reinfallen. Sobald die Emotet-Schadsoftware aktiv ist, werden Kontaktbeziehungen und E-Mail Inhalte aus einzelnen Postfächern infizierter Systeme ausgelesen. Diese Informationen wiederum werden dann verwendet, um noch authentischer aussehende Mails mit echten Kontakten und Inhalten weiter zu versenden. Dadurch erhöht sich die Wahrscheinlichkeit, dass der nächste Empfänger einen mitgesendeten Datenanhang öffnet und dadurch ebenfalls infiziert wird.

Achten Sie bitte unbedingt auf folgende Merkmale einer E-Mail:

  • Verdächtiger Betreff
  • Unpersönliche Anrede
  • Fremde Sprache
  • Grammatik Fehler
  • Merkwürdige Absender Adresse
  • Links oder Anhänge

Was tun, wenn Sie betroffen sind:

  • Informieren Sie Ihr Umfeld, denn Ihre Mailkontakte sind in diesem Fall besonders gefährdet
  • Ändern Sie auf allen betroffenen Systemen (zum Beispiel im Browser) die dort gespeicherten oder zuletzt eingegebenen Zugangsdaten
  • Ihren betroffenen Rechner sollten Sie auf alle Fälle neu aufsetzen

Weitere Tipps und Informationen, wie Sie sich vor Viren in E-Mails schützen können finden Sie z.B. in nachfolgenden Beiträgen:

VORSICHT VIRUS: Angebliche Rechnungen und falsche Bewerber

Klartext gegen Computer-Viren: Wie Du Deinen PC schützt!

Mit Tools wie Microsoft BitLocker oder Apple FileVault lassen sich ganze Festplatten verschlüsseln (FDE – Full Disk Encryption). Diese Tools sind Bestandteil des Betriebssystems und daher besonders gut geeignet, Daten sehr einfach vor neugierigen Blicken zu schützen.


Beide Tools sind seit mehreren Versionen fester Bestandteil des Betriebssystems und wurden im Lauf der Zeit mehrfach aktualisiert – es gibt keinen technischen Grund mehr, auf diese Funktion zu verzichten. Die Verschlüsselung arbeitet reibungslos und robust.

Sind die konkreten Vorteile wirksam?

Mit der eingebauten Festplattenverschlüsselung lassen sich die Systempartition ebenso wie alle weiteren eingebauten Laufwerke verschlüsseln. Gleichzeitig kann das Betriebssystem weiterhin von selbst (ohne Passworteingabe) starten. Die Verschlüsselung erfolgt im Hintergrund und Sie brauchen Ihre Arbeitsweise nicht anzupassen.

Obwohl sich die Festplatten durch das Betriebssystem beim Starten also zunächst gewissermaßen „selbst entschlüsseln“, ist die Wirkung der Verschlüsselung vollständig vorhanden: Ein echter Datenzugriff ist konzeptionell wirksam erst möglich, wenn sich der Benutzter am PC (bzw. Mac) anmeldet. Sie müssen sich also zwingend mit Ihrer gültigen Computer-Anmeldung authentifizieren oder der Zugriff auf Ihre Dateien bleibt unmöglich.

Wirklich unmöglich?

Mal abgesehen von etwaigen Softwarefehlern erst einmal ja! Es gibt natürlich ein paar „Abers“, die man hier und da an Stammtischen oder im sonstigen „urbanen Gelände“ hört. Räumen wir damit kurz auf:

  1. Der sogenannte Offline-Angriff: Darunter versteht man das Auslesen eines Datenträgers unter einem fremd-gestarteten Betriebssystem. Das geht äußerst einfach und schnell und kann wirklich jeder: Es gibt zwei Möglichkeiten: Entweder haben Sie einen Live-CD bzw. einen Live-(USB)Stick und booten Ihren PC damit anstatt von Ihrer Festplatte. Oder Sie bauen die Platte gleich kurz aus und hängen diese „mal kurz“ an einen fremden PC, um über diesen auf die Platte zuzugreifen.

    Solche Live-Umgebungen bzw. Fremd-Umgebungen gibt es als Rettungs-CD/DVD in jeder IT-Fachzeitschrift als Beilagen-DVD. Darauf enthalten sind viele Rettungstools, die es wirklich jedem Benutzer einfach machen, ein kaputtes Betriebssystem entweder zu reparieren oder wenigstens noch Daten als Backup auszulesen. Diese Umgebungen können von einem Angreifer aber auch genutzt werden, um das Benutzer-Kennwort zurückzusetzen. Oder noch besser: Um ein zusätzliches Administrator-Konto versteckt anzulegen. Es ist wie bei einem Küchenmesser, das ein Werkzeug oder eine Tatwaffe sein kann.

    Wie dem auch sei. In einer fremden Live-Umgebung können Sie auf eine verschlüsselte Festplatte nicht mehr zugreifen. Punkt. Die Verschlüsselung wirkt.

  2. Der (Netzwerk-)Administrator: Wer ist das überhaupt? Klar ist, dass in einer Firmen-Umgebung gewisse IT-Prozesse existieren und funktionieren müssen. Zum Beispiel, wenn Sie aus dem Urlaub zurückkommen und Ihr Login-Passwort vergessen haben. Dies kann die IT-Abteilung (auf Ihr Verlangen) völlig problemlos weiterhin zentral zurücksetzen.

    Auch tiefgreifendere Fehlerfälle werden „abgesichert“. Allen voran existieren zum Beispiel sogenannten Wiederherstellungsschlüssel. Damit kann der Administrator im Fehlerfall einen verschlüsselten Datenträger entschlüsseln (z.B. auch über den Umweg des o.g. Offline-Angriffs). Ebenso einfach kann Ihr Administrator aber auch per Netzwerk direkt auf Ihren PC und Ihre Festplatte zugreifen. Dies kann z.B. für eine Datensicherung notwendig sein und ist grundsätzlich ein „normaler IT-Prozess“, wie er in Unternehmen genutzt und gebraucht wird. (So ein Backup-Archiv ist übrigens auch ein toller Weg, um auf Daten zuzugreifen. Hierfür sind also immer auch noch einmal eigenständige Schutzmaßnahmen erforderlich, um einen Missbrauch damit zu verhindern!)

    Wenn Sie selbst Ihr eigener Administrator sind, dann erhalten auch Sie den Wiederherstellungsschlüssel, wenn Sie die Verschlüsselung aktivieren. Diese brauchen Sie dann nur noch sicher abspeichern (z.B. als Ausdruck im Tresor). Und natürlich kann dann auch kein dritter Administrator mehr per Netzwerk auf Ihren PC zugreifen – es sei denn Sie richten explizit eine Freigebe ein oder teilen jemanden Ihr Passwort mit.

    Wir halten also fest: Richtig, ein Administrator kann auf Ihre Daten zugreifen. Egal ob mit oder ohne Verschlüsselung.

  3. Der Hersteller bzw. der Staat: Grüße von George Orwell! Und ehe wir uns an Verschwörungstheorien beteiligen belassen wir es bei einer kritischen technischen Analyse. Fakt ist: Die Verschlüsselung von Bitlocker und FileVault setzen mutmaßlich durchaus einen sicheren Schlüssel und Algorithmus ein. Der Zugriff auf diesen (jeweils pro Datenträger einmaligen) Schlüssel wird jedoch auch verschlüsselt – wenn Sie so wollen, nennen wir dies einen „Masterschlüssel“. Der wird technisch vom Betriebssystem gebraucht, um die automatisierte und einfache Verwaltung der Verschlüsselung zu ermöglichen. Das ist in Ordnung so!

    Oben haben wir gelernt, dass es mindestens einen zusätzlichen Wiederherstellungsschlüssel gibt. Auch dies ist in Ordnung so und ein sinnvoller Prozess für einen hoffentlich nie benötigten Rettungsweg.

    Natürlich kann es jetzt durchaus sein, dass der Hersteller vielleicht einen weiteren, übergeordneten „Superschlüssel“ in sein Verschlüsselungsprogramm eingebaut hat. Tatsächlich ist dies sogar zu erwarten, denn US-Hersteller unterliegen in den USA gesetzlichen Regulierungen, wenn sie Verschlüsselungstechnologie ins Ausland exportieren wollen. Der Staat tut dies in seiner legitimen Souveränität, um beispielsweise in einer Straftatermittlung einen Täter zu überführen. Auch in Europa gibt es zum Zweck polizeilicher Ermittlungen ein Zugriffsrecht auf sensible Daten nach Richterbeschluss (vgl. das Abhören von Telefonaten oder Mitlesen von E-Mails). Zumindest vor dem Hintergrund demokratisch-gesellschaftlicher Ordnung wird man die mögliche Existenz solcher „Superschlüssel“ also auch akzeptieren müssen.

Wir halten also fest: Bitlocker und Co wirken und sind für den alltäglichen Einsatz ein adäquates Mittel, um mit einfachen Mitteln die IT-Sicherheit stark zu verbessern. Systemlaufwerke und auch Wechseldatenträger (wie z.B. USB-Sticks) sind mit BitLocker und Co vor unbefugtem Auslesen geschützt (z.B. bei Diebstahl oder Verlust). Ebenso können Angreifer am Gerät selbst keine Offline-Angriffe mehr durchführen, um zu spionieren oder versteckte Benutzer-Konten einzurichten.

Für sehr persönliche und äußert vertrauliche Geheimnisse reichen diese Verschlüsselungstools jedoch möglicherweise nicht aus. In solchen Fällen empfiehlt es sich, zusätzliche Verschlüsselungstools einzusetzen – für diese Zwecke sind insbesondere freie, quelloffene Programme empfehlenswert, weil eine Vielzahl von Programmierern und Profis diesen Quellcode auf Schwachstellen prüfen und überwachen kann.

Solche quelloffenen Tools sind dann im Einzelfall vertrauenswürdiger als eingebaute Funktionen eines Betriebssystems. Und sie schützen außerdem auch vor dem neugierigen Blick eines Administrators aus der IT-Abteilung. Selbstredend, dass Sie dann aber auch selbst für das Backup Ihrer persönlichen Daten verantwortlich sind.

Noch mehr „Aber“? Gibt es auch Nachteile?

Wie so oft im Leben hat die Münze zwei Seiten. Und während auf der einen Seite der Offline-Angriff abgewehrt wird, so wird er auf der anderen Seite als Offline-Zugriff ebenfalls unmöglich.
Zunächst zur Klärung: Von einem Offline-Zugriff sprechen wir, wenn wir gewollt (und legitim!) über den Umweg eines fremden Systems auf die eigene Festplatte zugreifen. In der Praxis geschieht dies häufig in zwei Fällen:

  1. Für die regelmäßige Datensicherung von virtuellen Maschinen. Diese werden vom Host (=fremdes System) als VM-Image erstellt.
  2. Im Notfall, wenn Ihr PC oder Server nicht mehr startet oder mit Viren befallen ist.

Tatsächlich ist für solche Fälle der Wiederherstellungsschlüssel vorgesehen (und ebenfalls wirksam). In der IT-Praxis ergeben sich jedoch auch hier Konstellationen, die zu Schwierigkeiten bzw. Mehraufwand führen. Beispiele:

  1. Ein Hardwarefehler hat die Bootpartition auf Ihrer von Bitlocker verschlüsselten Festplatte beschädigt. Windows startet nicht mehr und selbst mit dem Wiederherstellungsschlüssel erhalten wir keinen Zugriff, weil der Verschlüsselungsalgorithmus wichtige Datenfragmente nicht mehr lesen kann. Die gesamten Daten sind verloren.

    Dem gegenüber steht, dass ohne Verschlüsselung nur ein paar Sektoren (also nur ein paar Dateien) verloren gewesen wären. Die restlichen Daten hätten noch gelesen werden können.

  2. In der Praxis hat sich der Einsatz unterschiedlicher Betriebssysteme sehr bewährt. Falls ein Virenbefall vorliegt, können z.B. mit Linux sehr behutsam nicht befallene Daten noch gerettet werden. Linux selbst ist auch vor einem Windows-Virus sicher – eine sehr wirksame Kombination, um bei einem Virenbefall noch etwas zu retten!

    Zurzeit kann aber Linux /auch mit einem Wiederherstellungsschlüssel noch keine verschlüsselte Festplatte lesen. Was bleibt ist der Einsatz von allein Windows – und die Gefahr, dass der Virus auch das Ersatz-Windows befällt.

  3. Der Einsatz von Virtualisierung in Serverumgebungen bringt viele Vorteile. Hier im Kontext geht es um das sehr robuste und äußerst schnelle Backup-Verfahren: Da eine VM keine echte, sondern eine „virtuelle Festplatte“ besitzt, kann diese virtuelle Festplatte wie eine Datei einfach kopiert und somit als Sicherungskopie ins Archiv gelegt werden. Es ist nur eine (große) Datei.

    Mit aktivierter Verschlüsselung innerhalb der VM ist diese Datei nun ebenfalls verschlüsselt. In der primären Betrachtung funktioniert das für die Technik weiter. Sekundär verliert der Administrator aber wichtige Zugriffsmöglichkeiten auf diese Sicherungsdatei – z.B. das testweise hineinschauen, um zu prüfen, ob die Daten korrekt kopiert wurden und im Bedarfsfall auch nutzbar wären.

    In der Praxis bedeutet dies, dass im Extremfall das Backup einer lokal installierten Software funktionieren muss. Und das katapultiert den Administrator zurück ins letzte Jahrtausend: Zwar hat das lokale Backup alle Daten zuverlässig gesichert, jedoch ist das installierte Betriebssystem nach dem Restore häufig nicht mehr startfähig bzw. beschädigt. Die Folge ist eine zeitaufwendige Neuinstallation.

    Insbesondere in gemischten Umgebungen (Host unter Linux, VM unter Windows) kann dies zu Wechselwirkungen führen, die dann zusätzlichen Aufwand bedeuten. Einheitliche Umgebungen (z.B. alles unter Windows) erhöht dagegen wieder die Fahr, dass ein Virus innerhalb von Sekunden auf einmal den Host und alle VMs gleichzeitig befallen und vernichten kann.

Fazit:

Konkret überlassen wir es Ihnen als Kunde, ob und auf welchen Geräten Sie Ihre Festplatten verschlüsseln möchten. Wir empfehlen es zu tun! Sie erhöhen mit einem vertretbaren und vergleichsweise einfachen Aufwand die IT-Sicherheit erheblich und werden so auch den Anforderungen technischer Maßnahmen gem. DSGVO gerecht.

Wenn Sie sich gegen die Verschlüsselung entscheiden, können im Ernstfall vielleicht Rettungsmaßnahmen besser und günstiger greifen. Auch mit Blick auf den gesamten IT-Betrieb eines technischen Lebenszyklus kann ohne Verschlüsselung bei bestimmten Arbeitsschritten Zeitaufwand gespart werden. Dies kann z.B. gerechtfertigt sein, wenn Ihre Daten in keinerlei Weise vertraulich sind und Sie nach DSGVO auch keine personenbezogenen Daten verarbeiten.

Aus wiederholt neuem Anlass: Sensibilisieren Sie sich selbst und Ihre Kollegen. Betrügerische E-Mails gaukeln Ihnen Rechnungen vor oder senden Bewerbungen an Ihre Personalabteilung.

Es passiert immer noch. Auch bei unseren Kunden. Lassen Sie sich nicht hinters Licht führen! Verstehen Sie was und wie es passiert, um den Schaden zu vermeiden …

Ständig neue (und größere) Wellen von Fake-Bewerbungen und angeblichen Rechnungen brechen auf Unternehmen Land auf, Land ab herein. Die E-Mails sind in hervorragendem Deutsch formuliert und stammen scheinbar von Kollegen, Geschäftspartnern oder auch von bekannten Lieferanten (wie z.B. Telefon-Rechnungen).

Die Adressen von Empfängern und Absendern sind hervorragend recherchiert, da sie die Beziehung zwischen Empfänger und Absender offensichtlich gut kennen. Ebenso gut funktioniert der FAKE, wenn vermeintliche Bewerber sich auf ein Stellenangebot beziehen, das Sie tatsächlich z.B. bei der Agentur für Arbeit oder auf Ihrer Website platziert haben. Oft befindet sich direkt in der E-Mail bereits ein ansehnliches und seriöses Bild einer Bewerberin oder eines Bewerbers – der älteste Trick der Menschheit, um jemanden zu manipulieren…

Haben Sie gerade generell gar keine freien Stellen veröffentlicht? Dann sollten Sie bei dem Erhalt von Bewerbungsmails direkt skeptisch werden. Vor allem, wenn diese dann auch noch in E-Mail-Postfächern ankommen, die normalerweise für das Sammeln von Bewerbungen bei Ihnen gar nicht verwendet werden. Natürlich sollten Sie auch, wenn Sie freie Stellen ausgeschrieben haben, vorsichtig sein!

Sie haben bereits verschlüsselte Dateien auf dem PC?

Wir wollen Ihnen die Website „No More Ransom“ empfehlen. Es handelt sich um eine Initiative der National High Tech Crime Unit der niederländischen Polizei, Europols europäischem Cybercrime Center und McAfee. Ziel ist es, Opfern von Ransomware bei der Entschlüsselung zu helfen, ohne dass das Lösegeld an die Cyberkriminellen bezahlt wird.

Außerdem finden Sie hier weitere wertvolle Tipps, wie Sie erst gar kein Opfer von Ransomware werden.

Eines haben alle FAKE-Mails gemeinsam

Im Anhang befindet sich ein Office- oder ZIP-Dokument (meist eine *.doc- oder *.rar-Datei), das versucht, Ihr PC-System zu schädigen. Die meisten solcher Trojaner verschlüsseln dabei Ihre Festplatte (= alle Daten) und Sie werden dann erpresst, um Ihre Daten zurück zu erhalten.

Wie funktioniert das genau?

Die Office- bzw. ZIP-Datei enthält Makros. Diese müssen Sie zunächst aktivieren, was durch einen geschickten Vorwand durch Sie selbst erfolgt. Lassen Sie sich jetzt nicht verleiten! Die aktuelle Masche erzählt Ihnen, dass es sich angeblich um ein Dokument handelt, welches in der Online-Version „Office 365“ erstellt wurde. Um es anzusehen, sollen Sie „Enable content“ klicken.

Sie ahnen es schon… Wenn Sie dieser Aufforderung folgen, aktivieren Sie die Makros und im Hintergrund wird der eigentliche Virus aus dem Internet heruntergeladen und beginnt umgehend mit der Verschlüsselung Ihrer Daten. Oder er späht gezielt Passwörter für den Online-Banking-Betrug aus.

Bei der ZIP-Datei Variante ist es ähnlich. Mit dem Vorwand der Vertraulichkeit des Lebenslaufs von unserem vermeintlichen Bewerber, sollen Sie ein Kennwort zum Öffnen einer *.zip oder *.rar Datei eingeben. Das ist schierer Blödsinn – das Passwort dient nur dazu, dass das Anti-Virus Programm das Archiv nicht prüfen kann. Und im Archiv? Eine Datei mit dem Namen „Vorname Nachname CV Bewerbung.pdf.exe“ – was soll das? Auch ganz einfach: Weil Windows in der Standardeinstellung bekannte Dateiendungen (hier „.exe“) ausblendet, sieht es so aus, als handelt es sich um ein PDF-Dokument. Sie ahnen es abermals…

Weshalb wirken Anti-Virus und Anti-Spam nicht?

Aktuelle Versionen von Anti-Virus Programmen versagen zurzeit kläglich um die Gefahr abzuwehren. Aus unserer Sicht liegt dies an der geschickten Nachlade-Technik des Makro-Virus. Das Makro des Office-Dokuments selbst ist nämlich völlig harmlos. Erst wenn es seinerseits durch verschlüsselte Internetverbindungen den eigentlichen Virus nachlädt, wirkt sich der Schadcode aus. Darin liegt die Tarnung: Weil das Makro verschlüsselt nachlädt, erkennen Anti-Virus Programme den gefährlichen Code nicht oder zu spät. Ebenso verhält es sich bei den ZIP-Archiven – diese sind nicht wegen der Privatsphäre des Bewerbers mit Kennwortschutz versehen, sondern zur Tarnung vor dem Virenscanner.

Anti-Spam Filter werden ebenfalls gekonnt hereingelegt: Einerseits erfolgt der Versand häufig über echte (vermutlich gehackte) Postfächer. Andererseits ist der Nachrichtentext inhaltlich völlig plausibel und gut formuliert. Typische Fehler oder schlechte englisch-deutsch-Übersetzungen dienen nicht mehr als Merkmal einer zuverlässigen Spam-Erkennung.

Wie schütze ich mich?

Ganz ehrlich? Fallen Sie nicht auf billige Tricks herein! Der wirksamste Schutz ist unser gesunder Menschenverstand. Sie schalten den PC ein und gehen ins Internet? Oder öffnen die Mailbox? Dann BITTE rechnen Sie damit, dass Sie es jetzt unmittelbar mit Schurken und Ganoven zu tun bekommen! Hinter jeder E-Mail! Auch hinter E-Mails, deren Absender Sie glauben zu kennen.

Und wann setzen Sie genau den Verstand ein? Genau! Wenn es „emotional“ wird. Es menschelt, wenn

  • etwas zu schön ist um wahr zu sein…
  • der Volltreffer der Woche völlig unerwartet und Glück bringt…

Oder wie wäre es statt mit Glück mit ein paar Aufregern?

  • Was!? Eine Rechnung über 600 € von der Telekom??
  • Wie bitte!? Seit wann überweist der Kollege selbst eine Rechnung??
  • Hää!? Wie kommt der dazu eine Bestellung aufzugeben und mir den Lieferschein samt Rechnung so unverschämt einfach rüber zu schicken??

Das sind die Überrumpelungen, die vom Ganoven gewollt sind. Damit überlistet er Sie und Sie werden dazu verleitet, den Makros zu aktivieren.

Wie schützen Sie sich also?

Am besten öffnen Sie keine Office- oder ZIP-Dateien

  • *.doc oder .docx
  • *.xls oder .xlsx
  • *.ppt- oder .pptx
  • *.zip oder *.rar

Und erst recht: Aktivieren Sie nicht auch noch die Makros! Es gibt keinen Grund dazu. Interaktive Inhalte können als Video versendet werden. Oder werden zurecht von der IT-Abteilung installiert.

Seien Sie auch bei *.pdf Dateien wachsam! Auch hier gibt es Makros und Java-Scripte (=aktive Inhalte). So etwas hat aber in keiner Bewerbung etwas verloren! Noch einmal: Lassen Sie diese deaktiviert – auch wenn es noch so plausibel erscheint!

Und nochmal: Nutzen Sie Ihren gesunden, kritischen Menschenverstand. Erinnern Sie sich: Nur Schurken und Ganoven da draußen! Im Zweifel ein kurzer Rückruf beim Kollegen und die Sache lässt sich ganz schnell klären. 🙂

Aus gegebenem Anlass wollen wir Sie einmal mehr bezüglich Mailanhängen sensibilisieren.

Momentan werden wieder vermehrt Fake-Bewerbungen verschickt. Manchmal befindet sich hier direkt in der E-Mail bereits ein sehr seriöses Bild einer Bewerberin (z.B. folgende Namen werden in der E-Mail zwischenzeitlich verwendet: Nadine Bachert, Caroline Schneider, Hannah Sommer, Janine Schroth und Sofia Walter). Diese E-Mails enthalten einen Trojaner, getarnt als Bewerbung, welcher beim Öffnen der mitgesendeten Anhänge, Ihren Windows-PC infiziert und Ihre Daten verschlüsselt.

Vor allem die Personaler in Ihrem Unternehmen können mit solchen gefährlichen Bewerbungsmails sehr leicht in Berührung kommen. Vermutlich bekommen sie diese sogar von anderen Kollegen noch als vermeintliche Irrläufer weitergeleitet.

Haben Sie gerade generell gar keine freien Stellen veröffentlicht? Dann sollten Sie bei dem Erhalt von Bewerbungsmails direkt skeptisch werden. Vor allem, wenn diese dann auch noch in E-Mail-Postfächern ankommen, die normalerweise für das Sammeln von Bewerbungen bei Ihnen gar nicht verwendet werden. Natürlich sollten Sie auch, wenn Sie freie Stellen ausgeschrieben haben, vorsichtig sein!

Öffnen Sie keine .zip-, .exe-, oder etwa Excel- (.xls, .xlsx, usw.), Word- (.doc, .docx, usw.) oder Powerpoint- (.ppt, .pptx, usw.) Dokumente in einer Mail. Denn genau in diesen Dateien können sich Trojaner befinden. Das gängige Format für Online-Bewerbungen ist heute sowieso das pdf-Format, alles andere wirkt eher unprofessionell.

[In diesem Artikel „Klartext gegen Computer-Viren: Wie Du Deinen PC schützt!“ geben wir Ihnen weitere Tipps, wie Sie sich verhalten sollen]

Der aktuellste Trojaner nennt sich Gandcrab. Er verschlüsselt die Dateien auf Ihrem PC. Diese tragen im Anschluss den Dateinamen .krab.

Sollten Sie auf Ihrem PC solche Dateiendung finden, müssen Sie umgehend handeln!

[Hier finden Sie noch eine Anleitung wie Sie das automatische Ausführen von Makros verhindern]

Informationen, die früher vertraulich per Post verschickt wurden, werden heute per E-Mail übermittelt. Das Briefgeheimnis bzw. jetzt das Fernmeldegeheimnis gilt weiterhin.

Aber wer ist verantwortlich, wenn Sie Steuer- und Gehaltsdaten an Ihren Steuerberater senden? Oder Gesundheitsdaten weiterleiten (Stichwort AU Bescheinigungen oder Röntgenbilder in Praxen)? Wie schützen Sie den Lebenslauf eines Bewerbers, wenn die Personalabteilung mit der zuständigen Fachabteilung eine Entscheidung zu einer Kandidatin/ einem Kandidaten treffen muss?

Vielleicht haben Sie ja auch ein eigenes Interesse, dass Insiderinfos nicht in falsche Hände gelangen sollen…

Im Zuge der DSGVO hat das Thema erheblich an Tragweite gewonnen. Denn unabhängig von großen Polit-Skandalen wie den gehackten privaten E-Mails von Hillary Clinton, welche auch Informationen enthielten, die eben nicht für die breite Öffentlichkeit bestimmt gewesen wären, betrifft die Verarbeitung von personenbezogenen Daten spätestens seit Mai 2018 jeden EU-Bürger und jede EU-Bürgerin.

Und das Gesetz macht Sie als Unternehmen dafür verantwortlich, dass Sie sensible Daten schützen – und zwar mit Mitteln, des technisch aktuellen Standes. Für Sie heißt das: Sie und Ihre Personalabteilung müssen einige der täglichen E-Mails verschlüsseln. Denn es ist Ihre Aufgabe, sensible Daten zu schützen und dafür zu sorgen, dass sie nicht in falsche Hände gelangen.

Um sicher zu gehen, dass kein unbefugter Dritter mitliest, kommt die sogenannte Ende-zu-Ende-Verschlüsselung zum Einsatz. Nur wer den passenden Schlüssel besitzt, kann die E-Mail wieder entschlüsseln und lesbar machen. Für ein weiteres technisches Verständnis empfehlen wir hierzu auch unseren Blog-Artikel über die unterschiedlichen Möglichkeiten bei der E-Mail-Verschlüsselung https://www.all-connect.net/was-genau-bedeutet-e-mail-verschluesselung.

Gerade in der Arbeitswelt stellt sich eine konsequente Verschlüsselung der E-Mails leider oft kompliziert dar: Denn nicht nur Sie, sondern auch Ihr Kommunikationspartner benötigt die passenden technischen Mittel. „Standards“ sind gefragt, damit eine verschlüsselte Kommunikation besser stattfinden kann.

Technisch kommen zwei Methoden in Frage: S/MIME oder PGP/GPG

Beide Formen der Mail-Verschlüsselung müssen installiert und eingerichtet werden. Wer fit im Umgang mit Computern und Internet ist, kann auch beide Techniken parallel einsetzen – dazu braucht es nur ein etwas flexibleres Mail-Programm als Outlook, wie z.B. Thunderbird. Wichtig: Die beiden Methoden S/MIME und PGP sind zueinander nicht kompatibel – Sie müssen sich also vorher auf ein gemeinsames Verfahren einigen.

Auf Grund des häufigen Einsatzes von Microsoft Outlook ist S/MIME (Secure/Multipurpose Internet Mail Extensions) das etwas häufigere Verschlüsselungsverfahren im Alltag. Hierfür ist ein Zertifikat (ähnlich wie ein SSL-Zertifikat für Websites) erforderlich, das auf Ihre E-Mail Adresse (statt auf Ihre Webserver-Adresse) ausgestellt wird. Wenn zwei Partner per S/MIME hin und her schreiben, wird jeweils mit dem Zertifikat bzw. privaten Schlüssel des anderen hin und her ver- bzw. entschlüsselt. Das geht einfach und automatisch, sofern Sie das Zertifikat des anderen besitzen.

Bei PGP/GPG (PGP steht für „Pretty Good Privacy“; GPG ist die freie und offene Open-Source Alternative) benötigen Sie ebenfalls einen privaten Schlüssel. Und statt eines Zertifikats den dazu passenden öffentlichen Schlüssel. Vorteil: Beides kann selbst erstellt werden. Nachteil: Der öffentliche Schlüssel ist nicht zertifiziert und kann durch einen Angreifer gefälscht werden. Zwar gibt es auch dagegen technische Verfahren, um dies „erkenntlich zu machen“, aber das ist kompliziert und für einen einfachen PC-Benutzer ungeeignet.

Unterm Strich empfehlen wir für die Business Welt das Verfahren mit S/MIME Zertifikat.

Die Verschlüsselung von E-Mails ist kein Hexenwerk

Bei all-connect können Sie für sich und Ihre E-Mail Adresse S/MIME Zertifikate bestellen. Damit erhalten Sie von der offiziellen Certificate Authority Comodo ein digitales Zertifikat, das die Echtheit Ihrer E-Mail Adresse beglaubigt. Eine gute Voraussetzung, um verschlüsselt zu kommunizieren.

Gängige Mail-Programme wie zum Beispiel Microsoft Outlook, Thunderbird oder Apple Mail unterstützen von Haus aus S/MIME. Und natürlich übernehmen wir gerne den Support, um Sie zu unterstützen und um Ihr Mail-Programm passend einzurichten.

Infos und Preise zu S/MIME Zertifikaten finden Sie hier: https://www.mail-connect.net/s-mime

E-Mail Verschlüsselung via Webmailer

Auch in unseren Webmailern (Horde bzw. Zimbra je nachdem ob Sie mail-connect PRO oder TEAM einsetzen) bieten wir Ihnen die S/MIME Verschlüsselung an. Dies macht es entsprechend einfach, verschlüsselte Mails zu senden und zu empfangen.

Aber: Wie immer wenn es um IT-Sicherheit einerseits und Einfachheit andererseits geht, muss man dabei bedenken, dass jede Vereinfachung auch ein Risiko für die Sicherheit darstellt. Das konkrete Problem: Wenn Sie jederzeit von überall Zugriff auf die Entschlüsselungsinstanz in einem Webmailer nehmen, der öffentlich erreichbar ist, muss unter diesem Aspekt grundsätzlich hinterfragt werden, ob eine solche „öffentliche Erreichbarkeit“ Ihres Schlüssels vertretbar ist. „Sicherer“ wäre die „Ende-zu-Ende-Verschlüsslung“, wenn Sie Ihre vertraulichen Mails nur im Büro an Ihrem PC entschlüsseln, worauf normalerweise niemand von außen zugreifen kann.

Und weil die DSGVO generell den Schutz sensibler Daten verlangt, empfehlen wir Ihnen grundsätzlich verschlüsselte Mails nicht in einem Webmailer zu entschlüsseln, den Sie auch in einer Strandbar an einem Internet-PC in Rimini nutzen würden. Diese Art von „organisatorischer“ Sicherheit Ihres „Schlüssels“ gehört ebenfalls zur Sorgfaltspflicht nach DSGVO!

E-Mail Verschlüsselung via Smartphone

Wenn Sie möchten, können Sie auch auf dem Handy oder Tablet verschlüsselt E-Mails empfangen und versenden. Android und iOS bieten alle notwendigen Programmfunktionen. Wie beim Webmailer raten wir allerdings auch hiervon – aus den gleichen Gründen – ab.

Es handelt sich im wahrsten Sinne um „mobile Geräte“. Diese können Sie verlieren oder sie werden geklaut – egal wie: Der Verlust ist gleichzusetzen mit dem Verlust eines Hauptschlüssels von einer großen Schließanlage. Alle E-Mails werden rückwirkend (!) angreifbar und könnten von Unbefugten gelesen werden, wenn der Schlüssel in fremde Hände fällt.

E-Mail-Verschlüsselung jetzt professionell einsetzen!

Als Systemhaus und Internetanbieter helfen wir Ihnen gerne weiter:

1. Erhalten Sie von uns Ihr persönliches S/MIME Zertifikat (ggf. auch größere Mengen, was jedoch in der Praxis oft gar nicht nötig ist).

2. Beraten Sie mit uns, welche Geräten und Software am besten zum Einsatz kommen.

3. Lassen Sie sich das Setup „schlüsselfertig“ einrichten und legen Sie direkt los.

4. Für den täglichen Einsatz haben wir Tricks und Tipps in kleinen, persönlichen Online-Schulungen.

Im Fazit ist es also vergleichsweise einfach, die neuen Pflichten aus der DSGVO im beruflichen Alltag mit dem aktuellen Stand der Technik umzusetzen.

Rufen Sie unser Technik-Team jetzt an: (089) 55 296 -150

Auf unserer all-connect HILFE Seite finden Sie genaue Erklärungen zu den Unterschieden der einzelnen S/MIME Zertifikate, sowie zur technischen Einrichtung eben dieser. >>

Preise S/MIME Zertifikate >>