Kategorie: IT-Sicherheit

Veröffentlicht am

Mit eigenen „Cloud-Anwendungen“ unabhängig werden

Was bedeutet, „Die Daten sind in der Cloud“?

Wenn Daten in der Cloud sind, bedeutet es eigentlich nur, dass die Daten auf einem Server sind, von dem ich meistens keinerlei Ahnung habe, wo er steht und wie er eingerichtet ist.

Die Cloudanbieter sorgen – im Idealfall – für die technische Bereitstellung mit hoher Verfügbarkeit, für Backups, Datensicherheit und Datenschutz.

Leider gibt es diese ideale Welt nicht.

Sicherheit und Datenschutz

Regelmäßig gibt es Sicherheitsvorfälle, bei denen Hacker auch bei renommierten Anbietern riesige Datenmengen abfließen lassen. Häufig beruhen diese Vorfälle auf Fehlkonfigurationen, die Kundenadmins bei der Bedienung von Cloud-Diensten machen.

Derartige Vorfälle sind aber nicht der einzige Aspekt, der die Datensicherheit und den Datenschutz gefährdet. Vielmehr sind die Anbieter selbst häufig an der „Mitnutzung“ ihrer Kundendaten interessiert (1) und gegebenenfalls auch zur Zusammenarbeit z.B. mit den us-amerikanischen Geheimdiensten verpflichtet (2).

Wegen dieser Zusammenarbeit hat unlängst der Europäische Gerichtshof die Regeln zur Verarbeitung europäischer, personenbezogener Daten in den USA unter dem Privacy Shield gekippt (3, 4).

Und auch die Rechtmäßigkeit der Alternative, die Weitergabe von personenbezogenen Daten mit EU-Standardvertragsklauseln, wird u.a. von den irischen Datenschutzbehörden als nicht mehr DSGVO-konform angesehen. Sie haben deshalb Facebook die Weitergabe von Daten in die USA mit dieser Rechtsgrundlage untersagt, da in den USA kein vergleichbares Schutzniveau gegeben sei (5).

Alternativen

Wenn meine hausinterne IT sowieso umfangreich in der sicheren Konfiguration von Cloud-Diensten geschult werden muss und zusätzlich die rechtliche Zulässigkeit von Datentransfers in die Cloud offensichtlich auf tönernen Füßen steht, warum baue ich mir dann die passende Infrastruktur nicht gleich selbst?

Quelloffene, alternative Software existiert und die gegenseitige Integration wird auch immer besser. Wer sich von Cloud-Diensten außerhalb der EU unabhängig machen will, kann mit einer Kombination aus Nextcloud, Collabora, BigBlueButton und einem LMS wie Moodle oder Iomad weitreichende Unabhängigkeit erzielen.

Die Nextcloud stellt Dateien, Kalender, E-Mail, To-dos, Kanban-Boards, Terminabstimmungen, Messenger, Fragebögen und vieles mehr zur gemeinsamen Nutzung bereit. Die meisten Funktionen haben Schnittstellen zu Mobilgeräten oder Applikationen wie Mozillas Thunderbird.

Textdateien, Tabellenkalkulationen und Präsentationen können von NutzerInnen gemeinsam in der Nextcloud mit Collabora im Browser bearbeitet werden. Und ist das von LibreOffice abgeleitete Web-Office schon einmal installiert, kann es auch in Lernmanagementsystemen wie Moodle oder Iomad integriert werden und Lernenden Zusammenarbeit in Lernszenarien ermöglichen.

Genauso integriert sich die Videokonferenz-Software BigBlueButton in Nextcloud (wenn die interne Talk-Lösung nicht ausreicht) und Moodle/Iomad. Neben der Video- und Audioübertragung kann der Bildschirm geteilt werden, ein Whiteboard gemeinsam bearbeitet werden oder gemeinsame Notizen zum Meeting erstellt werden.

Kosten

Die Hersteller der Lösungen geben ihre Software kostenlos zum Download ab. Aber kostenlos sind die Lösungen dadurch natürlich nicht. Sachgerechte Installation, Konfiguration und Betrieb erfordern Expertise und zeitlichen Aufwand. Der Betrieb eigener oder gemieteter Hardware verursacht weitere Kosten. Ob die Kosten in der Summe über die Lebenszeit der Lösung günstiger liegen als für eine proprietäre Lösung muss im Einzelfall geprüft werden.

Neben dem eigenen Betrieb der Software bietet sich auch das Hosting bei spezialisierten Dienstleistern in der EU an.

Fazit

Ein Leben – und vor allem Arbeiten – ohne Cloud-Dienste von Microsoft, Google oder Amazon ist möglich. Abhängig von der vorhandenen Expertise im Haus kann so eine Lösung sogar kostengünstiger sein. Auf jeden Fall befreit sie aber von rechtlichen Unsicherheiten bei der DSGVO-konformen Verarbeitung von Daten. Denn am Ende ist immer der/die Datenverarbeitende und nicht der Dienstleister in der rechtlichen Verantwortung für die Daten.

Veröffentlicht am

Digitalisierung als Überlebensstrategie

Den Betrieb ihres Yogaraums in der Corona-Krise einstellen oder die Kurse online weiterführen? Vor diese Frage gestellt, entschied sich Dörte Kortum von yogaraum-flensburg.de dafür, ihr Angebot durch Videokonferenzen zu digitalisieren.

Sie hatte gerade neue Präventionskurse gestartet, als die weitere Durchführung durch die Corona-Krise unmöglich wurde. Normalerweise fordern die Krankenkassen eine Durchführung der Kurse an einem Ort mit Anwesenheitspflicht, damit Teilnehmende die Kosten erstattet bekommen können. Diese Anforderungen wurden in der Krise gelockert. Eine Voraussetzung ist allerdings, dass Lehrende ihre Teilnehmenden stets sehen können.

Ihre Teilnehmenden erklärten sich dankenswerterweise mit großer Mehrheit dazu bereit, die Virtualisierung der Kurse auszuprobieren.

Für die Yogalehrerin und Ergotherapeutin stellte die Umsetzung eine hohe Hürde da, da sie ihren Teilnehmenden nicht nur eine technisch stabile und einfache Lösung anbieten wollte, sondern auch rechtlich auf der sicheren Seite sein musste.

Vorbereitung

In Videokonferenzen habe ich sie zunächst zur Technik, zur Durchführung der Kurse und als TÜV-zertifizierter Datenschutzbeauftragter auch zum Datenschutz beraten.

Die Beschaffung stellte sich als nicht ganz einfach dar, weil die notwendige Technik nur noch begrenzt verfügbar ist und teilweise zu absurd hohen Preisen gehandelt wird.
Nach ein paar Tagen waren aber alle Probleme gelöst, ein Vertrag über Auftragsverarbeitung mit einem deutschen Anbieter von Videokonferenzen geschlossen und der Yogaraum mit Kamera, Freisprecheinrichtung, Videoprojektor und stabiler Internetanbindung auf die neuen Aufgaben vorbereitet.

An einem Termin zur Überprüfung der Technik nahmen fast vierzig Personen teil und nutzten die Gelegenheit, den Umgang mit der Technik zu üben und Probleme auszuräumen.

Durchführung

Um einen guten Kontakt zu allen Mitgliedern der Kursgruppe zu halten, teilte Dörte Kortum die Interessenten in zwei Gruppen von maximal 20 Teilnehmenden auf.

Bei den ersten Sitzungen gab es noch einmal kurze Einführungen zum Ablauf und Verhalten bei technischen Störungen. Dazu stand ich die ersten 15 Minuten im Konferenzraum als zusätzlicher Moderator bereit und war anschließend in Telefonbereitschaft. Diese wurde lediglich zweimal in Anspruch genommen, da die Durchführung erfreulich störungsfrei lief.

Die Teilnehmenden haben die ersten Veranstaltungen überaus positiv kommentiert und freuen sich, dass sie ihre Kurse zu Ende führen können. Für Dörte Kortum hätte ohne die Videokonferenztechnik die Corona-Krise die Schließung ihres Yogaraums bedeutet. Jetzt denkt sie über ein zusätzliches Online-Kursangebot nach.

Kommentare der Teilnehmenden im Chat

Veröffentlicht am

Homeoffice schnell improvisiert in Zeiten von Corona Virus

Einführende Überlegungen

Durch die Ausbreitung des Corona-Virus hat sich die Haltung vieler Unternehmen zum Homeoffice schlagartig geändert. Was bisher vielleicht mürrisch geduldet oder sogar vollständig abgelehnt wurde, könnte im Fall einer Quarantäne der Mitarbeiter/-innen zu einer Frage des wirtschaftlichen Überlebens werden.

In diesem Artikel möchte ich ein paar Tipps und Checklisten zur Hand geben, wie der Übergang zum Homeoffice für den Notfall gelingen kann.

Die Vorgehensweise deckt sich dabei natürlich nicht mit einer strukturierten Planung. So ist, wenn von heute auf morgen ein Drittel der Belegschaft nicht erscheinen kann, die Sicherung der Arbeitsfähigkeit einigen Aspekten wie z.B. der 100% IT-Sicherheit bestimmt übergeordnet. Denn was nutzt eine perfekt geschützte Organisation, die leider insolvent ist?
Trotzdem sollten natürlich auch im Notfallszenario IT-Sicherheit, Datenschutz oder Arbeitssicherheit so weit wie möglich im Auge behalten werden.

Vorrangig geht es in diesem Artikel aber um die Werkzeuge und Prozesse für die Zusammenarbeit und nicht um die rechtlichen Hintergründe.

Schritt 1: Was für eine Haltung brauchen wir?

Homeoffice funktioniert nur mit Offenheit und Vertrauen. Arbeitnehmer/-innen wie Arbeitgeber/-innen müssen sich sicher fühlen, von der anderen Seite nicht ausgenutzt zu werden.

Arbeitgeber/-innen befürchten häufig, dass sich Arbeitnehmer/-innen im Homeoffice nicht so konzentriert um ihre Aufgaben kümmern.
Die Arbeitgeberseite muss dazu verstehen, dass Kollegen/-innen im Homeoffice vielleicht nicht immer sofort per Telefon oder E-Mail verfügbar sind. Gerade kleinen Kindern ist es schwer zu vermitteln, dass Papa oder Mama zu Haus sind und trotzdem gleichzeitig bei der Arbeit. Dadurch verlängert sich oft der Arbeitstag, weil Unterbrechungen entstehen.

  • Hier macht es Sinn, Antwortzeiten für Anfragen (z.B. 1h) oder feste Zeitkorridore für die Erreichbarkeit (z.B. während des Kindergartenbesuchs) zu definieren.

Arbeitnehmer/-innen wollen andererseits auch nicht mehr zu erledigende Arbeit erhalten, als es im Büro normal wäre.

  • Hier kann man regelmäßige, virtuelle Kurzmeetings zum aktuellen Stand der Arbeit und Auslastung einrichten
  • oder auch auf Kanban Boards (s. Infrastruktur unten) zurückgreifen.

In Unternehmen mit Betriebsrat wird dieser sicher in der Extremsituation alle Maßnahmen vertrauensvoll von Anfang an mitgestalten.

Schritt 2: Welche Infrastruktur wird benötigt?

Kommunikation (synchron)

  • Telefon (notwendig)
  • Videokonferenzen (sinnvoll)
  • Telefonkonferenzen (sinnvoll, wenn Video keine Option ist)

Kommunikation (asynchron)

  • E-Mail (notwendig)
  • Chatprogramme, Nachrichtenforen (sinnvoll)

Dateiaustausch

  • Möglichkeit, Daten über das Internet z.B. in einer Cloud-Lösung freizugeben (notwendig)
    Dateien können je nach Konfiguration innerhalb der Organisation oder auch für Dritte zum Lesen und/oder Bearbeiten freigegeben werden.

Kollaborations- und Organisationswerkzeuge

  • Freigaben für Kalender (sinnvoll)
    Diese Funktion ist häufig vorhanden – ohne genutzt zu werden…
  • Online-Texteditoren (sinnvoll)
    Online-Texteditoren ermöglichen, über das Internet gemeinsam an Dokumenten (Texten, Tabellen, Präsentationen) zu arbeiten, wobei alle Beteiligten gleichzeitig den aktuellen Stand sehen.
  • Terminabstimmungswerkzeuge (sinnvoll)
    Beteiligte können bei Terminvorschlägen ankreuzen, ob sie verfügbar sind.
  • Kanban Boards (sinnvoll)
    Im Beispiel unten liegt ein Stapel mit Aufgaben links, die Beteiligte sich selbst nehmen oder durch Vorgesetzte zugewiesen bekommen können.
    Sind die Aufgaben in Bearbeitung, werden sie in die Mitte gezogen. Zusätzlich können die Karten mit weiteren Beschreibungen ergänzt werden.
    Erledigte Aufgaben gehen auf den rechten Stapel. Von dort können sie archiviert werden.
    Das gesamte Team hat immer im Überblick, wer an was arbeitet. Leerlauf entsteht nicht, weil man sich selbst immer neue Aufgaben nehmen kann.

Schritt 3: Was haben wir an Infrastruktur bzw. können wir schnell beschaffen?

Firmenseitig:

Häufig sind schon Lizenzen oder Installationen zu Software vorhanden, deren Potential nur zum Bruchteil ausgeschöpft wird.
Wer über Installation von Nextcloud oder Owncloud verfügt oder Office 365 lizensiert hat, hat praktisch alle oben genannten Werkzeuge schon im Unternehmen bzw. kann leicht die notwendigen Voraussetzungen schaffen.

Ist nichts derartiges vorhanden, so sind für den Notfall über das Internet entsprechende Werkzeuge (sogar mit Vertrag zur Auftragsverarbeitung) in kurzer Zeit aufgesetzt.

Im Homeoffice:

  • Der Heimarbeitsplatz sollte über ein Minimum an Ergonomie verfügen. Ein Couchtisch im Wohnzimmer ist wenig geeignet.
  • Hochauflösende Webcam für Videokonferenzen.
  • USB-Headset für Videokonferenzen (alternativ geeignete Freisprecheinrichtungen).
  • Internetbandbreite im Bereich von oberhalb 2 Mbit/s, um sinnvoll an Videokonferenzen teilnehmen zu können. Mehr Bandbreite ist auch für den Austausch von Dateien sinnvoll.
  • VPN auf dem Rechner oder über separaten VPN-Router.
  • Nummer für Call-through, damit ausgehende Anrufe mit einer Telefonnummer des Unternehmens dargestellt werden.

Schritt 4: Auf was können die Kollegen/-innen im Homeoffice zugreifen?

Es kann sein, dass aus Gründen des Datenschutzes oder der IT-Sicherheit nicht alle Dokumente oder Prozesse im Homeoffice verfügbar sein dürfen oder sollen.
Hier sind zum Beispiel Fragen der Zugänglichkeit und von Zugriffen Dritter (Partner, Kinder etc.) zu klären.
Von diesen Beschränkungen abgesehen, lassen sich die meisten Tätigkeiten aus einem Büro in das Homeoffice verlagern.

Schritt 5: Wie setzen wir es in der Praxis um?

  • Offen sein. Die Situation ist komplex und alle Beteiligten werden Fehler machen. Das ist nicht schön, gehört aber dazu.
  • Notwendige zentrale Plattformen aufsetzen/konfigurieren und testen.
  • Webcams, Headsets etc. beschaffen.
  • Testlauf mit technik-afinen Kollegen/-innen.
  • Unterstützung für Fragen zur Technik und Organisation bereitstellen.
    Dazu zählen Schulungen genauso wie Helplines (am Telefon und in Videokonferenz).
  • Mit Erfahrungen aus Tests schrittweise weitere Nutzer/-innen einbeziehen und an die Grenzen der Systeme und Prozesse heran tasten.
  • Laufend evaluieren: Was läuft gut, wo brauchen wir Anpassungen?
  • Offen sein, freundlich bleiben und allen Beteiligten für ihre Anstrengungen in der besonderen Situation danken.

Schritt 6: Wie gestalten wir unsere Zusammenarbeit?

  • Regelmäßige Online-Meetings für den sozialen Zusammenhalt und gegen die Vereinsamung.
  • Transparenz durch z.B. Kanban Boards (s.o.).
  • Flexibel in der Aufgabenbewältigung – mit den Bedürfnissen sowohl der Organisation wie der Mitarbeiter/-innen im Blick.

Schritt 7: Was lernen wir für den Normalbetrieb?

Vielleicht zeigt der Notfallbetrieb neue Chancen für den normalen Betriebsablauf auf. Definitiv werden sich auch Probleme zeigen. Daher sollte es begleitend eine Dokumentation geben, die positive wie negative Aspekte sammelt.

Diese Dokumentation kann beispielsweise auch als freigegebenes Dokument durch alle Beteiligten erarbeitet werden.
Wer auf ein Problem stößt, kann dieses gleich eintragen. Gleiches gilt natürlich auch für positive Resonanz!

Schritt 8: Was ist im Normalbetrieb zu berücksichtigen?

Wichtig für den Normalbetrieb ist die Klärung u.a. folgender Themenfelder:

  • IT-Sicherheit
  • Datenschutz
  • Mitbestimmungsrechte/Betriebsvereinbarungen
  • Arbeitssicherheit

Wenn Sie über die Tipps in diesem Artikel hinaus Unterstützung benötigen, stehe ich Ihnen gerne zur Verfügung.

Artikelbild: https://www.scientificanimations.com / CC BY-SA

Veröffentlicht am

„Smarte“ Assistenten als Gefahr für IT-Sicherheit

Forscher/-innen der Northeastern University und des Imperial College London haben in einem Experiment untersucht, wie oft die elektronischen Assistenten in „smarten“ Lautsprechern versehentlich aktiviert werden.

Je nach Assistent (Siri, Alexa, Google, Cortana) und verwendetem Lautsprecher lag die Rate der Fehlaktivierungen pro 24 Stunden zwischen 1,5 und 19 Mal. Die Forscher/-innen nutzen dialoglastige Fernsehserien für ihre Versuche. Aktivierungen durch darin enthaltene Aktivierungswörter wurden herausgerechnet.

Was bedeutet das für IT-Sicherheit in Unternehmen?

Die verwendeten Assistenten sind heute auch auf Telefonen allgegenwärtig. Werden diese in vertraulichen Sitzungen versehentlich aktiviert, so muss damit gerechnet werden, dass vertrauliche Informationen abfließen. Dazu ist keine Installation von Schadsoftware nötig.

Bei Apple werden immerhin „weniger als 1% der täglichen Siri-Aktivierungen“ von Menschen abgehört, um die Qualität der Assistenten zu verbessern. Bei anderen Anbietern soll diese Rate teilweise sogar höher liegen. Da die Anbieter diese Aufgabe weltweit, häufig in Niedriglohnländern ausführen lassen, ist nicht nachvollziehbar, wer und an welchem Ort unter Umständen an vertraulichen Gesprächen teilnimmt.

Je nach Assistent sollte man auf jeden Fall in den Einstellungen die Möglichkeit zur Teilnahme an Maßnahmen zur Qualitätsverbesserung oder ähnlich lautenden Klauseln deaktivieren.

Artikelbild: Ales Nesetril auf Unsplash

Veröffentlicht am

Office 365 DSGVO-konform?

Golem meldet, dass Microsoft für deutsche Großkunden Office 365 auch aus deutschen Rechenzentren anbieten möchte, um Bedenken hinsichtlich des DSGVO-konformen Betriebs auszuräumen.

In der Vergangenheit musste Microsoft das Produkt schon u.a. auf Druck der niederländischen Regierung überarbeiten, da personenbezogene Daten unbefugt an Dritte und in die USA abflossen.

Verbessert die Datenhaltung in Deutschland also die rechtliche Position der Auftraggeber hinsichtlich Einhaltung der DSGVO? Aus meiner Sicht nicht wesentlich.

Zum jetzigen Zeitpunkt hat Microsoft ein gültiges Zertifikat unter dem Privacy Shield (Gültigkeit noch bis 30.9.2020). Damit könnte schon jetzt ein Vertrag über Auftragsverarbeitung in einem Drittland nach DSGVO abgeschlossen werden.

Die Notwendigkeit zum Abschluss eines Vertrages über Auftragsverarbeitung ergibt sich daraus, dass zum einen in den bearbeiteten Dokumenten in der Regel personenbezogene Daten enthalten sein dürften und zum anderen auch durch die Nutzer der Software personenbezogene Daten (z.B. Telemetriedaten) erzeugt werden (s.a. Art. 4 und Art. 24 DSGVO).

„Die Verarbeitung durch den Auftragsverarbeiter wird … grundsätzlich dem Verantwortlichen zugerechnet.“ (s.a. Kurzpapier Nr. 13, Auftragsverarbeitung, Art. 28 DS-GVO, Datenschutzkonferenz). Der Verantwortliche (in der Microsoft beauftragenden Organisation) ist für die Auswahl geeigneter Auftragsverarbeiter verantwortlich.

Die Frage, die sich Verantwortliche jetzt stellen müssen, ist zum einen, ob die rechtliche Absicherung mittels Vertrag hinreichend ist, wenn der Auftragsverarbeiter in der Vergangenheit gegen die DSGVO verstoßen hat auch die Aufsichtsbehörden noch keine eindeutige Position bezogen haben.

Zum anderen sollte man sich allerdings auch fragen, ob man Datenabflüsse auch aus Sicht der IT-Sicherheit überhaupt tolerieren möchte, selbst wenn sie rechtlich nach DSGVO nicht zu beanstanden wären. Einmal in die USA abgeflossen, ist die Kontrolle vollständig verloren.
Zumal durch den Cloud Act Unternehmen in den USA zur Herausgabe von Daten auch auf europäischen System verpflichtet sind. Hierbei sollte man auch daran denken, dass die DSGVO nur personenbezogene Daten aber nicht beispielsweise Informationen zu Geschäftsprozessen oder Technologien schützt.

Viele Funktionen der Microsoft Lösung lassen sich auch durch Software wie z.B. Nextcloud oder Owncloud realisieren. Diese können In-House oder bei geeigneten Hostern innerhalb der EU installiert werden und belassen die Kontrolle über die Daten bei den Verantwortlichen.

UPDATE 24.2.20: Heise berichtet, dass sich die Business-Versionen von Office 365 nicht an das per Gruppenrichtlinie erzwungene Abschalten von Makros bei MS Office-Dokumenten halten. Damit kann die Software zu einem Einfallstor für Schadsoftware wie Emotet werden, wenn nicht die teureren Enterprise-Versionen genutzt werden.

Veröffentlicht am

Dunkle Seite der KI

Sehen heißt häufig glauben. Um so wichtiger ist eine breite Medienbildung, wenn durch so genannte Deep Fakes Videoaufnahmen so verändert werden können, dass Menschen Mimik und Worte untergeschoben werden, die von anderen Personen stammen.

Die Organisation Future Advocacy zeigt dieses mit Videos der konkurrierenden britischen Politiker Johnson und Corbyn, die sich in Deep-Fake-Videos gegenseitig zum Premierminister empfehlen.

https://vimeo.com/372491634
https://vimeo.com/372492457

Dabei sind diese Videos noch mit relativ viel Handarbeit entstanden. Im Netz gibt es schon Software, die Mimik und Mundbewegung einer Person in Echtzeit gegen die einer anderen austauschen kann.

Beitragsbild: UK Government [OGL 3 (http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3)]

Veröffentlicht am

Schwerwiegende Sicherheitslücke im Presenter von Logitech

Angriff auf das Firmennetz bei Präsentationen?

Heise.de berichtet über Sicherheitslücken in verschiedenen Modellen des Presenters von Logitech, durch die Angreifer den mit dem Presenter ausgestatteten Computer übernehmen können.

Die betroffenen Geräte dürften in sehr vielen Organisationen eingesetzt sein, wo mit Powerpoint oder ähnlichen Präsentationsprogrammen gearbeitet wird.

Artikelbild: eigene Bearbeitung von DW [CC0], via Wikimedia Commons