Sind meine E-Mails über die all-connect verschlüsselt?

Da wir im Zuge der DSGVO nahezu täglich Fragen zur E-Mail-Verschlüsselung erhalten, wollen wir gerne kurz etwas Aufklärung beisteuern. Diese Informationen sollen es Ihnen ermöglichen, die Sachlage richtig einschätzen können:

Wir unterscheiden bei E-Mails zwei Arten von Verschlüsselungen:

  • Die Transport-Verschlüsselung und
  • die Ende-zu-Ende-Verschlüsselung.

Die erste Form, also die Transport-Verschlüsselung (kurz: TLS) ist bei all-connect Kunden aktiv. Sie sichert aber nicht den Inhalt der E-Mails ab, sondern lediglich die Übertragung der Mails zwischen Ihrem PC (oder Ihrem Smartphone) und dem Server. Dies ist vor allem deshalb relevant, weil bei dieser Übertragung auch Ihr Benutzername und Ihr Kennwort verschlüsselt übertragen wird. Vereinfacht könnte man sagen: Die Transport-Verschlüsselung garantiert lediglich, dass ein Angreifer nicht Ihre Zugangsdaten ausspähen kann.

Die zweite Form, also die Ende-zu-Ende-Verschlüsselung ist bei den meisten von Ihnen vermutlich nicht aktiv. Diese funktioniert unabhängig vom Mail-Server (egal ob Ihrer oder der von all-connect).

Dies muss in Ihrem Mailprogramm (z.B. Outlook) über die Technik „S/MIME“ aktiviert werden. Wichtig dabei ist, dass Sie mit jedem E-Mail-Partner vorab Ihr S/MIME-Zertifikat austauschen, ehe Sie die die Ende-zu-Ende-Verschlüsselung nutzen können. Erst wenn dies erfolgt ist, wäre auch der E-Mail Inhalt verschlüsselt und niemand außer Ihnen könnte dann noch mitlesen. Natürlich funktioniert dies nur für diese einzeln ausgewählten E-Mail-Partner. Partner ohne S/MIME würden Mails weiterhin unverschlüsselt mit Ihnen austauschen.

Kurzum: Wenn es z.B. um die DSGVO geht, sollten Sie nicht oberflächlich von E-Mail-Verschlüsselung sprechen. Dies wäre technisch und rechtlich unpräzise oder sogar „falsch“ (z.B. als Angabe in einer Datenschutzerklärung). Sie müssen stattdessen die Verschlüsselung differenziert betrachten:

  • Mit dem Punkt 1. gewährleisten Sie ein gutes Niveau an IT-Sicherheit (= Passworte und Zugänge absichern).
  • Mit dem Punkt 2. würden Sie E-Mail-Inhalte verschlüsseln (= Vertraulichkeit gewährleisten). Dies ist in der Praxis jedoch organisatorisch sehr aufwendig, weil Sie mit jedem Kunden einzeln
    vertraglich vorab vereinbart und eingerichtet werden muss.

Praxis-Empfehlung: Keine personenbezogene Daten per E-Mail versenden (z.B. Lohndaten an den Steuerberater). Stattdessen Post oder die Daten vorher in ein verschlüsseltes/Passwort geschütztes ZIP-Archiv verpacken. Das Passwort zur Entschlüsselung können Sie dann per Telefon dem Empfänger (z.B. dem Steuerberater) mitteilen.

Hier eine Anleitung für ZIP-Verschlüsselung:

https://www.heise.de/tipps-tricks/ZIP-Archiv-mit-einem-Passwort-schuetzen-So-geht-s-3907870.html

Haben Sie Interesse an einer „S/MIME – Verschlüsselung? Gerne lassen wir Ihnen ein Angebot dazu zukommen.

Inzwischen ist wohl in jedem Unternehmen der 25. Mai 2018 zu einem brisanten Datum geworden.

Ab diesem Tag ist die neue Datenschutzverordnung nach DSGVO offiziell anzuwenden. Verabschiedet wurde sie bereits im Frühjahr 2016. Die meisten haben das Thema erst einmal verdrängt. Da Sie inzwischen in nahezu allen gängigen Medien mit diesem Thema konfrontiert werden, wollen wir Ihnen einen generellen Überblick zum Umgang mit dem Datenschutz bei all-connect und unseren Dienstleistungen geben.

Was ist das Ziel der neuen Verordnung?

Die Datenschutz-Grundverordnung hat das Ziel einen einheitlichen Rechtsrahmen für alle EU-Mitgliedsstaaten in Bezug auf die Verarbeitung personenbezogener Daten zu schaffen. Zweck des Datenschutzrechts ist es, das Grundrecht auf informationelle Selbstbestimmung der Bürger zu gewährleisten.

Geschäftsleiter, Führungskräfte und verantwortliche Fachkräfte müssen unterschiedliche Regelungen nach BDSG und DSGVO berücksichtigen und sinnvoll ins Tagesgeschäft integrieren.

Welche personenbezogenen Daten sind damit gemeint?

Gemeint sind alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Beispiel sind Name, Alter, Familienstand, Adressdaten, Zahlungsdaten, Nutzung von Gegenständen oder Diensten wie z.B. PKWs oder Online-Shops, ID-Nummern z.B. des Personalausweises oder Aktenzeichen/ IDs von Behörden oder amtlichen Dokumenten, genetische Daten, Gesundheitsdaten, Werturteile, wie z.B. Zeugnisse, u.v.m.

Kunden- und Lieferantendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Dabei ist die technische Form dieser Angaben nicht von Bedeutung. Auch Fotos, Videos, Röntgenbilder oder Tonaufnahmen können personenbezogene Daten enthalten.

Können Sie uns Beispiele zur Verarbeitung personenbezogener Daten geben?

Die anfallenden Datenverarbeitungen müssen zukünftig alle geregelt und dokumentiert werden. Typische „Offline“-Daten sind zum Beispiel Personalbögen, Reisekostenabrechnungen und Kundenarchive. Typische „Online-Daten“ sind zum Beispiel Newsletter-Adressen, Integration von Webseiten-Analyse-Tools wie z.B. Google Analytics, integrierte Online-Werbung und Tracking-Scripts, Kontaktformulare, Integration von Social-Media-Like-Buttons, von externen Quellen eingebundene JavaScripts und Schriftarten, wie z.B. von Design-Elementen und Vorlagen für Ihre Homepage sowie automatische Einblendungen von Inhalten aus Social-Media-Plattformen, weil dadurch Daten des Besuchers Ihrer Website an Social-Media Anbieter wie z.B. Facebook weitergegeben werden.

Richtig problematisch wird es, wenn Daten in Ländern außerhalb der EU verarbeitet werden. Wie ist das dann z.B. mit Google und Facebook?

Gerade Firmen wie Facebook oder Google waren datenschutzrechtlich immer bedenklich. Häufig waren die Angebote schon mit dem bisher geltenden deutschen Datenschutzgesetz nach BDSG umstritten oder sogar nicht vereinbar. Spätestens ab dem 25. Mai 2018 sollte die rechtlich korrekte Nutzung von angebotenen Diensten eingehalten werden, da Sie andernfalls vermutlich schneller abgemahnt werden. Einige Abmahn-Anwälte stehen mit Sicherheit hierfür schon bereit. Konkret heißt das v.a. die Genehmigung zur Datenverarbeitung durch Ihre Besucher nachweisbar eingeholt zu haben sowie die Prüfung und ggf. Vervollständigung einer wirksamen Datenschutzerklärung für Ihre Homepage vorgenommen zu haben.

Auf welcher Grundlage darf ich personenbezogenen Daten rechtlich sammeln bzw. verarbeiten?

Im Grundsatz gilt wie bisher das Verbot mit Erlaubnisvorbehalt. Jede Datenverarbeitung ist demnach zunächst verboten, es sei denn es gibt eine explizite Ausnahmeregelung.

Die häufigste Ausnahme in der Praxis ist die ausdrückliche Zustimmung der jeweiligen betroffenen Person – diese muss also nachweisbar zugestimmt haben, dass Sie deren Daten sammeln und verarbeiten dürfen. Wichtig dabei ist, dass Sie neben der Zustimmung auch den Zweck der Verarbeitung mit der betreffenden Person vereinbaren; eine spätere Zweckentfremdung ist nämlich ebenso untersagt.

Ein weiterer häufiger Praxisfall ist die Verarbeitung zur Durchführung eines Vertrags. Hierfür muss die Zustimmung nicht explizit angefordert werden – es genügt der Hinweis auf die Verarbeitung. Dabei gelten aber das Gebot der „Datensparsamkeit“ sowie ebenfalls die Zweckbindung. Wenn es zum Beispiel um die Abwicklung eines (Online-)Kaufs geht, werden natürlich Name, Adresse und Bankdaten für den Vorgang benötigt. Das bedeutet aber noch lange nicht, dass Sie auch das Geburtsdatum zwingend abfragen oder dass Sie die Adresse später zum Versand von Werbeprospekten verwenden dürfen.

Darf ich mit der Zustimmung alle Daten verarbeiten?

Nein. Auch hier gibt es Grenzen, etwa bei besonders schützenswerten Daten. Dies sind rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Neben diesen Sonderfällen gibt es weitere „Stolpersteine“ im Datenschutzrecht, die gesondert beachtet werden müssen, wenn z.B. ein besonderes Risiko bei der Verarbeitung entstehen könnte oder wenn der Umfang der Verarbeitung sehr groß ist.

Was ändert sich mit dem neuen Gesetz noch?

In wesentlichen Teilen basierte das bisherige Datenschutzrecht nach BDSG bereits auf den Vorgaben der EU. Die wirtschaftlich größte Veränderung liegt im Bereich der Bußgelder, die bei Missachtung verhängt werden können – diese sind nun drakonisch hoch. Auch gelten verschärfte Meldepflichten bei „Datenschutzpannen“.
Im Übrigen ändern sich Details in der Datenschutz-Praxis. Diese hängen von betrieblichen Prozessen und Ihrem Tätigkeitsfeld ab. Konkret sollten diese Fragen mit Ihrem Datenschutzbeauftragen besprochen und ggf. gelöst werden.

Zusammenfassend kann man folgende wichtige Schritte zur neuen Datenschutzverordnung erwähnen, die in jedem Unternehmen nötig sind:

1. Dokumentation aller Vorgänge bei denen personenbezogene Daten verarbeitet werden Dabei handelt es sich um das häufig erwähnte (und schon bisher vorgeschriebene) „Verfahrensverzeichnis“.

  • Welche personenbezogenen Daten werden wie, wann und warum verarbeitet? Welche rechtliche Grundlage gibt es hierfür?
  • Welche Verarbeitungsvorgänge sind datenschutzrechtlich problematisch? Wo werden Daten an andere Parteien außerhalb des Unternehmens übermittelt?
  • Bedenken Sie auch Ihre Webauftritte, diese sind zukünftig am schnellsten Ziel von Abmahnwellen betroffen, wenn Formalien missachtet werden.

2. Risikoprüfung der „verarbeiteten“ Daten und datenschutzkonforme Vertragsgestaltung: Dürfen bestimmte Daten überhaupt noch verwendet werden? Sind Lieferanten (z.B. Web-Hoster mit Servern außerhalb der EU) nach den neuen Gesetzen überhaupt noch tragbar?

  • Schließen Sie klare Vereinbarungen mit Geschäftspartnern, die Zugriff auf Daten in Ihrem Unternehmen haben. Es ist eine Vereinbarung zur sogenannten Auftragsdatenverarbeitung zwingend abzuschließen.
  • Verpflichten Sie Mitarbeiter und sonstige Betriebsangehörige auf das Datengeheimnis nach § 53 BDSG neue Fassung 2018 (§ 5 BDSG alte Fassung bis 2018).
  • Holen Sie wirksame Einwilligungen von Ihren Mitarbeitern ein, wenn Sie zusätzliche personenbezogene Daten verarbeiten, die nicht unmittelbar das Angestelltenverhältnis berühren. Das betrifft zum Beispiel Fotoaufnahmen für Marketing-Unterlagen.

3. Treffen Sie technisch und organisatorische Maßnahmen und dokumentieren Sie diese – z.B. in Form eines Sicherheitskonzepts. Nutzen Sie z.B. zur Auswertung von Besucherstatistiken auf Ihrer Website eine eigene datenschutzkonforme Software, statt den Dienst von Google. Selbiges trifft z.B. auch auf Google Maps zu. Passen Sie Ihre unternehmensinterne Dokumentation und die sonstigen datenschutzrelevanten Prozesse an (Compliance-Management).

  • Beachten Sie die zahlreichen neuen Pflichten (z.B. Schulung Ihrer Mitarbeiter)

Wie kann mir all-connect bei der Umsetzung datenschutzrechtlicher Pflichten helfen?

Diese Frage muss differenziert betrachtet werden:

Grundsätzlich sind wir als technischer IT-Dienstleister natürlich in der Pflicht nach datenschutzrechtlich einwandfreien Maßstäben zu arbeiten und Ihnen auch entsprechend zuzuarbeiten. Als deutsch-europäisches Unternehmen stellen wir daher sicher, dass alle gesetzlichen Obliegenheiten nach der DSGVO erfüllt werden. So garantieren wir z.B. bei der Durchführung unserer Werk- und Dienstleistungen alle technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten – gleich aus welcher Quelle diese stammen.

Ein wesentlicher Bestandteil dabei ist auch die Vereinbarung der oben schon erwähnten Auftragsdatenverarbeitung, die wir mit den meisten unserer Kunden auch schon nach dem alten Rechtsstand wirksam geschlossen haben.

Im Übrigen ist und bleibt all-connect ein technischer Dienstleister. Eine rechtliche Bewertung oder Beratung hinsichtlich konkreter datenschutzrechtlicher Fragen nehmen wir nicht vor. Dies ist und bleibt die Aufgabe von Rechtsanwälten – diesen ist die Rechtsberatung in Deutschland auch weiterhin vorbehalten. Bei näherer Auseinandersetzung der DSGVO wird schnell klar, dass das Feld des Datenschutzes zwar in vielen Fällen mit der IT verbunden sein kann, dass organisatorische und prozessuale Abläufe im Unternehmen aber kein technisches Thema sind, sondern eine Aufgabe der Verwaltung. Für dieses Tätigkeitsfeld ist das Berufsbild des Datenschutzbeauftragten zuständig.

Der Datenschutzbeauftragte kann dabei intern durch eigene qualifizierte Mitarbeiter bestellt werden oder extern in Form eines Outsourcing-Vertrags. In besonderen Fällen kann all-connect die Funktion des DSB übernehmen und erfüllen. Hierfür stehen wir Ihnen für weitergehende Fragen gerne individuell zur Verfügung.

>> Weitere Infos bzgl. eines externen Datenschutzbeauftragten finden Sie in diesem PDF

zwo Agentur und Redaktion: Die hauseigene Agentur der all-connect in München

Die hauseigene Agentur der all-connect in München

Mit unserer hausinternen Münchner zwo Agentur + Redaktion, können wir Ihnen zusätzlich zu Ihrer IT-Betreuung auch die inhaltliche Betreuung Ihrer Webseite abnehmen. Dabei programmieren wir Ihnen gerne eine neue responsive Website mit oder ohne CMS (z.B. WordPress). Auch kleinere gewünschte Änderungen, führen wir auf Ihrer Webseite jederzeit auf Zuruf für Sie aus. Sie wollen zum Beispiel nur einen Text oder ein Bild abgeändert haben? Kein Problem – wir setzen Ihren Wunsch zeitnah um.

Über die Neu- und Umprogrammierungen hinaus, kennen wir uns auch mit den gängigsten Social Media Plattformen, Bildbearbeitung und der Produktion von Print-Produkten aus. Sprechen Sie uns bei Bedarf einfach darauf an!

Ihr Vorteil: Sie erhalten für Ihren Auftritt im Internet einen zentralen Ansprechpartner, der sich um alle Anliegen kümmert! Rechtlich bedeutet dies für Sie, dass Sie nur einen Vertragspartner, die all-connect Data Communications GmbH haben. Von all-connect erhalten Sie auch eine übersichtliche Rechnung mit allen Leistungen aus einer Hand.

Know-how

Voraussetzung im Job

Das spricht für uns

Eigenes Rechenzentrum in München

Ihre Webseiten und Daten werden in unserem eigenen Rechenzentrum in München, nach Einhaltung deutscher Datenschutzbestimmungen, gehostet. Wir setzen nur auf eigene Leistungen und kaufen keine Fremdleistungen zu. Wir sind gerne unabhängig und werden das auch bleiben!

Alles aus einer Hand

Wir bieten Ihnen einen Full-Service aus einer Hand. Egal ob es um Ihr Web-Hosting geht, die Installation eines CMS, die Einrichtung von E-Mail-Postfächern, Domains, Website-Programmierung, Bildbearbeitung oder die Erstellung von Printprodukten. Wir sind Rechenzentrum, IT-Systemhaus und Agentur.

Über den Tellerrand hinaus

Fotografie, Bildbearbeitung, Print-Layout, Beratung rund um Ihr Marketing, Logo-Entwürfe, die Erstellung von Jameda-Profilen, Integration von Online Buchungssystemen oder die Abstimmung mit weiteren Dienstleistern sind ebenfalls kein Problem für uns. Wir sind in unserem Angebot breit aufgestellt. Kommen Sie einfach mit Ihren Wünschen auf uns zu und wir finden eine Lösung.

Webseiteninhalte immer aktuell

Wir kümmern uns um Ihren Webauftritt. Gerade in kleineren Unternehmen gibt es nicht immer eine Marketingabteilung, die rund um die Uhr aktiv ist. Oder es fehlt schlicht das Know-how. Gar kein Problem – inhaltliche Änderungen auf Ihrer Website, in Text und Bild, pflegen wir auf Zuruf gerne für Sie ein. Die Abrechnung erfolgt transparent über den entstandenen zeitlichen Aufwand. Bei größeren Projekten versuchen wir weitestgehend pauschale Angebote mit Ihnen zu vereinbaren.

Softwareupdates und Backups

Die verwendete Software (WordPress, Plugins etc.) sollte immer auf dem neuesten Stand sein. Mit unserem Up-to-Date Service kümmern wir uns um die reibungslose Aktualisierung Ihrer Website. Zusätzlich fertigen wir regelmäßige Backups an, die in Notfällen von uns wieder eingespielt werden können. Wenn z. B. Seiteninhalte aus Versehen oder von Hackern gelöscht wurden.

+ Hierzu sind optional Pakete bei uns buchbar!

Sie benötigen Hilfe bei Ihrem Firmenauftritt? Sprechen Sie uns einfach an. Kontaktieren können Sie uns telefonisch unter +49 (89) 55 29 65 -0 oder per E-Mail an servus@zwo.de. Weitere Informationen zu unserem Leistungsumfang finden Sie auch auf unserer Agenturwebsite www.zwo.de!

Spectre Meltdown: zu sehen ist ein Chip

Die Prozessorhersteller, allen voran Intel, hatten vermutlich keine ruhigen Feiertage zum Jahreswechsel 2017/18. Auch wenn die Sicherheitslücken Meltdown und Spectre schon seit über einem halben Jahr bekannt waren, wurde erst in der Weihnachtszeit in den Massenmedien ausführlich darüber berichtet.

Worum geht es?

Betroffen sind nahezu alle Intel-Prozessoren, die seit 1995 auf dem Markt sind. Ebenfalls betroffen sind einige AMD und ARM Produkte. Verbaut sind solche Chips überall: In PCs, Macs, Handys, Servern und in modernen Geräten vom Auto bis zur Waschmaschine. Mit einem Angriff können Hacker möglicherweise an Daten von anderen Benutzern gelangen, die sich ebenfalls dasselbe Gerät gleichzeitig teilen. Dies kann v.a. im Server-Umfeld relevant sein. Durch Spionage-Software (die z.B. unerkannt im Hintergrund läuft) könnten z.B. Logins oder Passwörter jedoch auch von jedem anderen Gerät gestohlen werden.

Meltdown ist eine CPU-Schwachstelle, die nur in Intel-Prozessoren auftritt. Hierbei geht es um unerlaubte Zugriffe von beliebiger Software auf privilegierte Speicher-Adressen, die eigentlich im Kernelmodus geschützt sein sollten.

Spectre ist keine konkrete Sicherheitslücke, sondern eher eine neue Angriffsklasse. Sie betrifft eine große Vielzahl von Intel-, ARM- und AMD-Prozessoren gleichermaßen bis zu einem gewissen Grad. Der Angriff wird durch die unbeabsichtigten Nebenwirkungen der spekulativen Ausführung („speculative execution“) ermöglicht. Dabei handelt es sich um eine Arbeitsweise im Prozessor, um die Datenverarbeitung zu beschleunigen, indem sie CPU-Anweisungen vorhersagen und im Voraus ausführen. Es gibt zwei Varianten von Spectre

  • Variante 1: bounds check bypass (Umgehung von Überprüfungen der Grenzen)
  • Variante 2: branch target injection (Injektion falscher Verzweigungsziele)

Können die Fehler behoben werden?

Von den beiden Bugs kann Meltdown leichter gelöst und größtenteils mit Betriebssystem-Updates behoben werden. Das Risiko von Spectre (also einer Angriffsklasse, einer neuen Art von Hacker-Methoden) kann in gewissem Maße nur verringert werden. Experten sind sich einig, dass die einzige echte Lösung ein Hardware-Update ist. Daher wird Spectre wahrscheinlich ein Thema für die kommenden Jahre bleiben.

Wie können Sie als User die Fehler bewerten?

Zunächst ist wichtig zu verstehen, dass durch diese Fehler keine „Remote Execution“-Sicherheitslücken vorhanden sind. Das bedeutet, ein Angreifer kann keine Schadsoftware ausführen (oder installieren), indem er aus der Ferne einfach auf Ihren PC zugreift.

Den Forschern zufolge ist die wahrscheinlichste Ausnutzung von Spectre ein webbasierter Angriff, bei dem ein schadhaftes JavaScript (etwa in einer bösartigen Werbe-Anzeige) ausgeführt wird. Alle Browser-Hersteller, also Google, Mozilla, Apple und Microsoft haben Updates für ihre Browser herausgegeben und planen, diese auch künftig zu aktualisieren, um das Risiko zu reduzieren.

Vor diesem Hintergrund besteht im Moment die allgemein empfohlene Vorgehensweise darin, nicht in Panik zu geraten. Nehmen Sie sich Zeit, Betriebssystem- und Firmware-Updates ordnungsgemäß zu bewerten, zu testen und sorgfältig zu implementieren. Zurzeit gibt es bereits eine Vielzahl von weitverbreiteten Kompatibilitätsproblemen, die im Zweifel den Schaden größer machen, als er in der Praxis tatsächlich ist.

Konkret: Was müssen Sie jetzt tun?

Nutzen Sie folgende Software-Updates. Regelmäßig!

  • Webbrowser: Bringen Sie Ihren Browser auf den neuesten Stand! Es gibt Sicherheitspatches für Internet Explorer, Firefox, Safari, Edge und Chrome.
  • Adobe Flash: Deinstallieren Sie den Flash-Player! Moderne Website nutzen mit HTML 5 bessere Alternativen!
  • Betriebssystem: Aktualisieren Sie Ihren Windows PC oder Apple Mac und führen Sie alle Software-Updates aus.
  • Hardware: Die Prozessor-Hersteller arbeiten zurzeit noch an Firmware-Updates für Ihre CPUs. Hierbei kam es zuletzt jedoch häufig zu weiteren Nebenwirkungen, wie erheblichen Performance-Verlusten oder System-Abstürzen. Intel hat zuletzt Firmware-Updates zurückgerufen. Wir raten im Moment noch davon ab, sofern im Einzelfall nicht andere Hersteller-Informationen vorliegen, die von der breiten Öffentlichkeit als „problemlos“ akzeptiert werden.

Gerne beraten wir Sie im Einzelfall für Ihre Systeme.

Im Übrigen werden Informationen rund um Meltdown und Spectre in der Fachwelt immer noch diskutiert, verarbeitet und bewertet. Es ist zu erwarten, dass in den kommenden Wochen und Monaten noch konkrete Handlungsanweisungen kommen werden, die weniger fehleranfällig sind. Wir werden diese Erkenntnisse aufmerksam verfolgen und Infos, sobald diese Verfügbar sind, hier im Artikel zur Verfügung stellen.

Fühlen Sie sich unsicher beim Ausführen der Updates oder wollen Sie, dass Profis Ihre Hard- und Software auf Updates überprüfen? Dann wenden Sie sich selbstverständlich sehr gerne an uns! Wir sind Ihnen gerne behilflich.

sicherheitsluecke WordPress

„Eines Tages habe ich auf meinen liebevoll mit Content befüllten WordPress Blog geklickt und plötzlich war alles anders! Das Erscheinungsbild hatte nichts mehr mit meiner ursprünglichen Seite zu tun! WordPress hatte ein automatisches Update eingespielt und ich besaß kein Backup um dieses wieder rückgängig zu machen!“

Diese Situation kennen vermutlich einige unter Euch bereits. Grund ist, dass nicht alle verwendeten Plugins oder auch technischen Eingriffe in das ursprünglich verwendete WordPress Theme, automatisch mit neuen WordPress-Versionen kompatibel sind. Wenn dieser Fall auftritt, kann es gut sein, dass zum Beispiel die Galerie auf der Startseite oder das verwendete Kontaktformular nicht mehr wie gewünscht funktionieren.

Grundsätzlich ist trotzdem jedem immer anzuraten, möglichst zeitnah, die neuesten WordPress Updates einzuspielen. Da eben diese häufig entdeckte Sicherheitslücken schließen. Und Du somit Deine Website vor unliebsamen Hackerangriffen besser schützt, wie mit einer veralteten Version bei der die Sicherheitslücken bereits für jeden offengelegt wurden. WordPress weist Dich im Backend auf anstehende Updates hin, daher ist es ratsam Dich regelmäßig auf Deiner Website einzuloggen und zu prüfen ob neue WordPress oder Plugin-Updates verfügbar sind. Falls das der Fall ist, fertige immer ein Backup Deiner Daten und der Datenbank an, bevor Du diese ausführst. Nur so kannst Du zur Not den alten Webseitenzustand wiederherstellen.

Wieso soll ich die Updates zeitnah selbst ausführen? Ich dachte WordPress macht das automatisch?

Jein – WordPress hatte mit der Version 3.7 standardmäßig das automatische Update aktiviert. Da aber auch WordPress natürlich die Probleme rund um die Kompatibilität mit neuen Versionen kennt, werden hier standardmäßig nur kleinere Updates (sogenannte Minor-Updates) automatisch ausgeführt. Da es aber auch hier theoretisch bereits zu Kompatibilitätsproblemen kommen kann – raten wir dazu, auch diese Updates abzustellen.

Automatische Updates machen es Dir unmöglich zuvor ein Backup anzufertigen!

Wie aktiviere bzw. deaktiviere ich denn generell die automatischen Updates? Und welche Möglichkeiten habe ich?

Du musst Dich mit einem FTP-Programm auf Dein Webhosting verbinden und Dir in Deiner Installation die Datei config.php öffnen.
Nachfolgende Code-Segmente kannst Du dann in die config.php integrieren, vorher solltest Du überprüfen, ob sich schon einer dieser Schnipsel in Deiner config.php befindet und dieses löschen bzw. mit dem gewünschten überschreiben.

  • 1. Alle automatischen Updates deaktivieren: define( ‚AUTOMATIC_UPDATER_DISABLED‘, true );
  • 2. Alle automatischen Updates aktivieren: define( ‚AUTOMATIC_UPDATER_DISABLED‘, false );
  • 3. Alle Major Updates deaktivieren, also die großen Updates, bei denen die Chance relativ Hoch ist, das es danach Kompatibilitätsprobleme geben kann: define( ‚WP_AUTO_UPDATE_CORE‘, false );

Weitere Scripts, wenn zum Beispiel Plugins automatisch aktualisiert werden sollen, findest Du auf codex.wordpress.org

Zusammenfassend empfehlen wir Dir, die automatischen Updates komplett zu deaktivieren.

Stattdessen logge Dich lieber regelmäßig im Backend ein und überprüfe, ob neue Updates zur Verfügung stehen. Teilweise informiert Dich WordPress auch per E-Mail, falls Updates anstehen. Wenn das nicht ausreicht, kannst Du Dir auch ein Plugin installieren, damit Du regelmäßig per E-Mail über Updates informiert wirst.
Vor jeder Aktualisierung, die Du anstößt, solltest Du dringend ein Backup anfertigen!

Die all-connect bietet zu dem Zweck von regelmäßigen Backups und Aktualisierung von WordPress-Websites auch einen WordPress IMMER-UP-TO-DATE Service mit unterschiedlichen Paketen an. Bei Interesse senden wir Dir gerne unseren Produktflyer dazu zu.

Immer durchdachtere Spam-E-Mails bringen Ihren Computer in Gefahr!

Auch E-Mails von Ihnen bekannten Absendern, z.B. Kollegen, sind nur mit Bedacht zu öffnen. Die neuste anrollende Spamwelle täuscht nämlich als Absender reale E-Mail-Adressen vor. Im Betreff steht meistens etwas von „Scan“ oder „WG: gescanntes Dokument“ und danach eine willkürliche Nummer.

Die E-Mail selbst beinhaltet einen Link. Dieser soll Ihnen das Gefühl vermitteln, dass dahinter der „Scan“ zu finden ist. Hinter dem Link liegt allerdings ein Word-Dokument mit schädlichem Macro-Code und kein gescanntes Dokument.

Wenn Sie aktuell eine E-Mail von einer ihnen „bekannten Personen“ erhalten, in welcher sich ein Link zu einem gescannten Dokument befindet, klicken Sie niemals auf diesen! Falls Sie tatsächlich auf einen Scan warten sollten, kontaktieren Sie die Person lieber persönlich und fragen Sie nach, ob ihnen diese wirklich einen Scan zukommen hat lassen. Selbiges gilt natürlich auch für Ihnen nicht bekannte Absender.

Weitere informative Beiträge zu ähnlichen Themen finden Sie hier:

Klartext gegen Computer-Viren: Wie Du Deinen PC schützt!
Locky – der Verschlüsselungstrojaner breitet sich aus!
Die Gefahren des Internets – Malware, Bots, DDoS und Co.

Achtung:

Auf Grund der aktuellen Viren-Welle durch Wanna Cry / WannaCrypt (sog. Encryption Trojaner) sind ebenfalls dringend Windows Updates erforderlich. Bitte führen Sie alle Updates bis Stand Mai 2017 aus und prüfen Sie die erfolgte Installation. Bei Bedarf oder wenn Sie Fragen haben, bitten wir Sie, sich mit unserem Support in Verbindung zu setzen: service@all-connect.net

Vor kurzem ist eine Sicherheitslücke bei Microsoft Windows bekannt geworden. Microsoft reagierte schnell und stellt bereits einen Notfall-Patch zur Verfügung. Die Sicherheitslücke betrifft fast alle Windowsversionen inkl. Server. Führen Sie anstehende Updates umgehend aus!

Wie ist die Lücke entstanden?

Das Einfalltor befindet sich im integrierte Virenscanner „Defender“. Dieser durchsucht das System nach Schadcode. Findet der Scanner Inhalte, die er für JavaScriptCode hält, wird dieser teilweise nicht genau genug vom System geprüft und einfach ausgeführt. Der Angreifer muss den Virenscanner also nur dazu bringen den Angriffscode zu verarbeiten und auszuführen und schon hat er Zugang zu Ihrem System.

Wie gelangt der Schadcode zu Ihnen?

Es genügt Ihnen eine E-Mail mit Schadcode zu schicken. Für die Ausführung des Schadcodes ist es nicht mal mehr notwendig, dass Sie die Datei vorher anklicken und öffnen. Das übernimmt im Unglücksfall die Windows-Sicherheitslücke bereits für Sie, die den Code zuvor nicht genau genug geprüft hat. Es könnte auch der Besuch auf einer Website, die mit Schadcode versehen ist, bereits ausreichen.

Welche Systeme sind betroffen

Betroffen sind laut Microsoft folgende Systeme beziehungsweise Produkte:

  • Microsoft Forefront Client Security
  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Forefront Security für SharePoint Service Pack 3
  • Microsoft System Center 2012 Endpoint Protection
  • Microsoft System Center 2012 Endpoint Protection Service Pack 1
  • Microsoft Malicious Software Removal Tool
  • Microsoft Security Essentials
  • Microsoft Security Essentials Prerelease
  • Windows Defender für Windows 8
  • Windows Defender für Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2
  • Windows Defender Offline
  • Microsoft Intune Endpoint Protection

Sind auch Windows-Server betroffen?

Ganz klar – ja. Hier kann der Angriff zum Beispiel durch hochgeladenen Dateien erfolgen.

Was ist jetzt zu tun?

Zwischenzeitlich sind Updates für den „Microsoft Malware Protection Engine“ verfügbar, welche laut Windows bei den meisten Usern über das Autoupdate „automatisch“ installiert werden. Sicher sind die Versionen „Microsoft Malware Protection Engine 1.1.13704.0 oder höher. Um auf Nummer sicher zu gehen – sollten Sie anstehende Updates zeitnah ausführen.

Wie kann ich überprüfen ob ich verwundbar bin?

Microsoft hat bereits eine Anleitung veröffentlicht, wie Sie in Ihren Systemen prüfen können ob die Software auf dem neuesten Stand ist. Die jeweiligen Anleitungen finden Sie auf der Microsoft-Webseite.

Sollen wir Ihre Version überprüfen und gegebenenfalls aktualisieren oder haben Sie gar das Gefühl, jemand hat bei Ihnen schon Schadcode ausgeführt? Dann rufen Sie uns an!

Egal ob es sich um das Google-Konto, den Apple-Account oder gar den eigenen Mail-Account handelt. Die Zeiten, in denen es jahrelang gut geht, ein Passwort wie „1234“ oder „hallo“ zu verwenden sind vorbei. Automatisierte Programme knacken diese viel zu einfachen und leider immer noch häufig verwendeten Passwörter in kürzester Zeit. Der Schaden, der dadurch von anderen angerichtet werden kann, ist immens. Ein riesiges Problem wird daraus, wenn Sie das gehackte Passwort auch noch bei allen anderen Internetdiensten mit immer der gleichen Mailadresse verwendet haben.

Um Ihre Passwörter etwas sicherer zu gestalten haben wir einige Tipps für Sie zusammengefasst:

  1. Wird ein Konto gehackt – so wird das Passwort mit dem Benutzernamen (meist die Mailadresse) häufig auch bei anderen bekannten Webdiensten getestet. Dadurch bleibt es oft nicht nur bei EINEM gehackten Account. Um das zu verhindern, sollten Sie für jeden Webdienst ein eigenes Passwort festlegen.
  2. Wenn möglich, variieren Sie bei den angegebenen Mailadresse. Falls Sie ein Hosting Paket besitzen, können Sie diverse Aliase anlegen z.B. google_1@beispieldomain.eu, facebook_2@beispieldomain.eu. Somit sind die einzelnen Accounts ebenfalls etwas sicherer gestaltet.
  3. Umso länger das Passwort, desto länger dauert es, dieses mit Hilfe von Software zu knacken. Zusätzlich sollten Sie Groß- und Kleinschreibung sowie Sonderzeichen in Ihre Passwörter integrieren. Unser Tipp für die Passwortfindung: Formulieren Sie sich einen Merksatz und verwenden Sie dann immer die Anfangsbuchstaben der enthaltenen Wörter, ergänzen Sie diese durch Zahlen und Sonderzeichen. Beispielsweise: „Ich bin seit 2012 Kunde bei der all-connect aus München“ – Passwort: Ibs2012Kbda-c@M. Das Passwort sollte dabei mindestens eine Länge von acht Zeichen haben. Aber natürlich darf es auch deutlich länger sein.
  4. Geben Sie Ihre Passwörter niemals weiter.
  5. Speichern Sie Passwörter nicht im Browser – wenn überhaupt nur dann, wenn Sie zuvor ein Masterpasswort gesetzt haben! Das ist zum Beispiel im Mozilla-Firefox möglich. Bevor Ihnen das gespeicherte Passwort angezeigt wird, müssen Sie dann immer erst einmal das Masterpasswort eingeben.
  6. Onlineshopping oder Überweisungen sollten niemals über ein öffentliches Wlan ausgeführt werden, bzw. wenn überhaupt, nur über SSL-verschlüsselte Seiten. Das ist daran zu erkennen, dass in der Browserzeile dann https:// steht und nicht nur http://.
  7. Nutzen Sie die häufig angebotenen 2-Faktorauthentifizierungen. Ähnlich wie wenn Sie am Bankautomaten Geld abheben wollen, kann man auch die meisten Onlinekonten doppelt absichern. Beim Bankautomaten sind die zwei Faktoren Ihr Pin und die Bankkarte. Bei Ihrem z.B. Google oder Facebook-Konto können Sie zusätzlich eine SMS oder eine E-Mail mit einem Pin anfordern. Dieser wird Ihnen jedes Mal vorm Login zugeschickt und erst mit Eingabe dieses zusätzlichen Codes, können Sie sich wirklich einloggen!

sicherheitsluecke WordPress

Wie seit Kurzem bekannt ist, wurde mit der WordPress Version 4.7.0 nicht nur ein Update, sondern auch eine gravierende Sicherheitslücke in der Software mitgeliefert.

Diese Sicherheitslücke macht es Angreifern möglich, auch ohne gültige ID über die API, Zugriff auf Bloginhalte zu erlangen. Die Inhalte können dabei von Unbefugten abgeändert werden. Mit dem jetzt verfügbaren WordPress Update auf die Version 4.7.2, wird diese Sicherheitslücke geschlossen.

Da aktuell immer mehr Fälle von gehackten Seiten bekannt werden, wollen wir Sie dringend dazu anhalten die neuen WordPress Updates auszuführen!

Weitere technische Details zur entdeckten Sicherheitslücke finden Sie im Blog des Sicherheitsanbieters Sucuri.

Ist Ihre WordPress-Seite bereits betroffen, oder benötige Sie Hilfe bei den Updates? Gerne dürfen Sie uns dazu kontaktieren. Längerfristig bieten wir Ihnen für diese Zwecke auch unseren „WordPress IMMER-UP-TO-DATE“ Service an: dieser beinhaltet regelmäßigen Updates, sowie das Anfertigen von Backups Ihrer Website.

screenshot einer E-Mail mit Computer-Virus

Das Jahr 2016 ist leider zum Jahr der Verschlüsselungstrojaner geworden. Locky, Cerber und Co. infizierten und verschlüsselten bereits Millionen von Rechnern und richteten so einen immensen Schaden an.

Auch jetzt noch treiben immer neue Varianten von Erpressungs-Trojanern ihr Unwesen: „Goldeneye“ klingt harmlos und erinnert an James Bond. Und er verschlüsselt Ihre Festplatte. Gnadenlos. Und ohne wenn und aber. Innerhalb kürzester Zeit – jedenfalls schneller, als Sie reagieren können.

Nachtrag: Ganz neu ist jetzt im Mai 2017 die aufgetretene Ransomware-Attacke „Wanna Cry“ die eine Sicherheitslücke im Windows ausnützt und danach ebenfalls Ihre Daten verschlüsselt.

Und dann? Dann können Sie sich mit einem Lösegeld von mittlerweile über 2.000 Euro frei kaufen. Zu Beginn des Jahres lag der Tarif noch bei ca. 300 Euro. Verbrechen kennt keine Pardon. Und Bandenkriminalität erst Recht nicht.

Ist der Rechner bereits befallen, rät das BSI davon ab, auf die Lösegeld-Forderungen einzugehen, denn die Dateien oder Programme werden in vielen Fällen trotz Bezahlung nicht entschlüsselt. Stattdessen sollten betroffene Nutzer den Bildschirm samt Erpressungsnachricht fotografieren und bei der Polizei Anzeige erstatten.

Jetzt handeln! Klartext für alle:

  1. Vergessen Sie Ihr Anti-Viren Programm! Leider versagen alle Viren-Scanner gleichermaßen, weil man in verschlüsselte Programm-Routinen nicht hinein schauen kann. Signatur-Updates können ein paar Stunden dauern – E-Mails und neue Viren-Varianten sind schneller! Tatsächlich ist Ihr gesunder Menschen-Verstand der beste Viren-Scanner! Lesen Sie mal weiter!
  2. Öffnen Sie Anhänge in E-Mails nur, wenn Sie wissen worum es geht! Vereinbaren Sie mit Ihrem E-Mail-Partner Kennzeichnungen (z.B. einen bestimmten Datei-Namen), um „echte“ Anhänge von gefälschten zu unterscheiden! Vorsichtshalber nachfragen, bevor Sie darauf klicken!
  3. Trauen Sie keinem Absender: DHL, UPS, Amazon, Branchenbücher wie „Gelbe Seiten“ oder Ihre Bank – die meisten dieser Sorte Absender sind stets gefälscht! Aktuell z.B. auch Bewerbungen von beliebigen Namen, z.B. von „rolf.drescher@, drescher1988@“, usw.
  4. Trauen Sie keinen E-Mails, die Ihnen etwas Tolles versprechen! Besonders beliebt sind aktuell Gutscheine und Rabatte zum Beispiel von „Netto“ oder „Ikea“.
  5. Vermeiden Sie Office-Dokumente wie Excel (Endung .xls, .xlsx, usw.), Word (.doc, .docx, usw.) oder Powerpoint (.ppt, .pptx, usw.)! Besser sind PDFs, die Sie mit einer einfachen PDF-Anzeige ansehen, z.B Foxit Reader. (Wir empfehlen den Original Adobe Reader zu vermeiden, weil diese Software zu häufig Updates liefert, die im Alltag niemand wirklich ständig sofort installiert.)
  6. Neugierig geworden? Je vielversprechender ein Datei-Name scheint, desto wahrscheinlicher ist es ein Virus! Fallen Sie nicht darauf herein – hier ein paar Beispiele: Bewerbung.doc, Rechnung.doc, Mahnbescheid.js, Lieferschein.xls, Inkasso.com, Anzeige.bat, Nacktfoto.js oder Natalie.scr. Erkennen Sie diese Art des „auf-sich-aufmerksam-machens“ und löschen Sie solche Mails!
  7. Nicht sicher, ob Sie neugierig sein dürfen? Erkennen Sie o.g. Dateinamen trotzdem – Sie werden nur manipuliert! Oft wird ein PDF als Anschreiben zusätzlich mit angehängt, um die E-Mail seriöser wirken zu lassen. Das ist nur ein Trick!
  8. Mit der Gefahr richtig umgehen: Der Empfang eines E-Mail-Virus löst in der Regel noch keine sofortige Infektion aus. Erst wenn Sie z.B. eine Word-Datei oder eine Excel-Tabelle öffnen (und ggf. die Bearbeitungsfunktion mit „OK“ bzw. „aktivieren“ bestätigen) infiziert der Virus Ihren Computer und beginnt mit der Verschlüsselung – meist im ganzen Netzwerk.
  9. Deaktivieren Sie Ihre Makro-Einstellungen in Excel und Word. Ein Teil der Viren gelangt über diesen billigen Trick auf Ihr System. Eine Anleitung dazu finden Sie hier in dem Beitrag „Locky – der Verschlüsselungstrojaner breitet sich aus!“.
  10. Wenn Sie eine (vielversprechende) Datei geöffnet haben – und nichts zu sehen ist, also der Inhalt leer ist oder es sich nicht um den erwarteten Inhalt handelte, dann ist ein Virus-Befall wahrscheinlich. Jetzt SOFORT handeln und SOFORT den PC vom Strom trennen (Kabel ziehen!) bzw. bei Laptops das Gerät (hart) ausschalten (AUS-Knopf 4 Sek. betätigen!)
  11. Update: Mai 2017: Immer auf dem Neuesten Stand – halten Sie Ihre Software aktuell! Aufgrund der neuen Ransomware WannaCrypt (WannaCry) empfehlen wir dringend ein Windowsupdate.
    Mehr zu der aufgetauchten Sicherheitslücke im Windows und wie Sie überprüfen ob Ihre Version aktuell ist, lesen Sie in dem Blogbeitrag „Führen Sie Ihre Windowsupdates aus“.

Persönlicher Angriff auf Dich!

Die neueste Generation manipuliert gezielt! Beispiel: Goldeneye schickt Ihnen ein Bewerbungsschreiben als Antwort auf reale Stellenausschreibungen. Als Anhang liegt eine PDF- und eine Excel-Datei bei. Der Virus ist im Excel-Dokument mit der darin integrierten Makro-Funktion eingebaut.

Anrede und Adressat sind persönlich recherchiert, das PDF individuell auf Ihren Namen ausgestellt und es enthält ein sympathisches Lächeln des Kandidaten. Teile der Mail beziehen sich auf Daten wie sie von der Agentur für Arbeit (z.B. Jobbörse) verwendet werden. So wirkt die Mail insgesamt seriös und ungefährlich. Das Beispiel zeigt, dass Cyber-Kriminelle immer professioneller und ausgefeilter vorgehen.

Trotz oftmals schon deaktivierter Makro-Funktion gelingt es Angreifern, Sie zu manipulieren. Die Folge: Microsoft-Office-Dokumente werden durch die Makro-Funktion zu handfesten Waffen, weil aktive Inhalte Ihren PC direkt angreifen. Öffnen Sie Office-Dokumente oder ZIP-Dateien nur nach Rückfrage mit dem vermeintlichen Absender! Wenn die Ausführung von Makros deaktiviert ist, sind Sie „gerade noch“ sicher. Erinnern Sie sich jetzt an diese WARNUNG: Verweigern Sie jetzt Ihre Bestätigung, eingebettete Makros auszuführen („Bearbeitung aktivieren“)! Schließen Sie Office einfach und brechen Sie alle Funktionen ab!

Wir empfehlen Ihnen und Ihrer Personalabteilung ohnehin, grundsätzlich keine Microsoft Office Dokumente als Bewerbungsschreiben oder sonstigen Mail-Anhang akzeptieren. Selbiges gilt für ZIP-Archive! Ohne mit technischen Details zu langweilen: In ZIPs ist fast immer nur verseuchter Viren-Müll! Finger weg, außer Sie wissen persönlich, welcher Absender Ihnen welche Unterlagen für den Jahresabschluss senden wollte.

Haben Sie den Verdacht, dass Ihr PC infiziert ist, nehmen Sie diesen bitte unverzüglich offline (s. letzter Punkt)! Fahren Sie Windows gar nicht erst runter – schalten Sie Ihren PC direkt am Netzschalter aus!

Rufen Sie uns parallel dazu an. Wir helfen Ihnen dann gerne mit den nächsten Schritten weiter.