Blog

Die virtuelle Welt im digitalen Zeitalter

Montag, 06.07.2015

Nicht nur die Spieleindustrie, sondern auch viele gewerbliche Branchen wie z.B. Architektur, Maschinenbau, Psychologie, Medizin und noch einige mehr, haben die virtuelle Welt für sich entdeckt. Soziale Medien sind mehr als Facebook, Google+, LinkedIn, Twitter, Xing und Co..

Die virtuelle Welt ist dabei, Schritt für Schritt unser Leben zu verändern. Die Sinne werden oft so real angesprochen, dass die virtuelle Welt von der realen Welt nicht mehr zu unterscheiden ist. Angefangen über die Daten-Brille, weiter über den 3D-Drucker bis hin zum Leben in virtuellen Gemeinschaften in Verbindung einer Vernetzung mit anderen Spielern.

Die virtuelle Welt bietet ungeahnte Möglichkeiten. Natürlich mag sich jetzt der eine oder andere fragen, wie es da mit dem Datenschutz und IT-Sicherheit aussieht. Wir von der Best Carrier GmbH setzen uns mit solchen Fragen auseinander. Wir blocken nicht gleich alles ab, sondern schauen hinter die Fassade und gehen mit dem Lauf der Zeit.

Wir zeigen Wege, wie Sie die neuen virtuellen Welten datenschutzkonform nutzen können. Wir zeigen, auf was Sie achten müssen, wenn Sie auf gewisse Features nicht verzichten möchten, den Datenschutz und die IT-Sicherheit dabei aber trotzdem nicht außer Acht lassen wollen und auch nicht sollten.

Beitrag öffnen »

Penetrationstest

Dienstag, 16.06.2015

Mit einem Penetrationstest werden Sicherheitslücken in einem IT-Netz oder eine einzelne Webanwendung überprüft. Hier ist Know-How gefragt.

Wenn diese schlecht oder unzureichend konfiguriert sind, können Angreifer problemlos an die Daten und Betriebsgeheimnisse des Unternehmens heran und somit die Sicherheit gefährden.

Bei einem Penetrationstest wird das Vorgehen eines potentiellen Angreifers simuliert, um einen Zugang zum Netzwerk des Unternehmens zu bekommen, z. B. mit Hilfe der Einschleusung von Schadsoftware.

Jedes Unternehmen hat Angriffspunkte, dessen Beschädigung die Integrität in Frage stellen kann, bis hin zum fatalen Imageschaden.

Meistens werden solche Tests von externen Dienstleistern durchgeführt, die ein entsprechendes Know-How mitbringen, um solche Tests auch realistisch simulieren zu können.

Geprüft werden in der Regel die installierten IT-Anwendungen (z.B. Webanwendung, Mailserver, etc.), sowie die entsprechenden Trägersysteme (Datenbank, Betriebssystem, etc.). Über Router, Switches, Gateways, Firewall, verschiedene Server, Telekommunikationsanlagen, Internetauftritt, Shopsystem, Clients, WLAN, und noch einiges mehr wird alles genau unter die Lupe genommen. Auch die Infrastruktur des Unternehmens spielt dabei eine wichtige Rolle.

Diese Tests können in unterschiedlichen Tiefen durchgeführt werden.

Als Hilfestellung hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) einen kostenlosen Leitfaden herausgegeben. Dieser beinhaltet praktische Hilfestellungen, Checklisten und Beschreibungen.

Beitrag öffnen »

Internetauftritt, soziale Medien und Datenschutz

Dienstag, 21.04.2015

Ein Vortrag von Dietmar Niehaus beim Rotary-Club Worpswede.

Internetauftritte werden mit Google Analytics ausgewertet. Soziale Medien wie Facebook, Google+, Twitter, LinkedIn und Xing speichern personenbezogene Daten und werten diese aus. Die meisten Datenschutzbeauftragten verdrehen dabei nur die Augen und lehnen dieses ab. Dietmar Niehaus geht da als Datenschutzbeauftragter einen anderen Weg. In seinem Vortrag beim Rotary-Club Worpswede zeigte er die grundsätzlichen Datenschutzprobleme bei Internetauftritten und dann wie man es richtig macht. Er demonstrierte an seiner eigenen Internetseite die Einbindung von sozialen Medien und die Auswertung durch Google Analytics. Außerdem zeigte er, wie man über WordPress Beiträge auf der eigenen Internetseite und seinen Fanseiten in den sozialen Medien platziert.

Es gibt mindestens 5 Gründe, warum Facebook & Co. datenschutzrechtlich nicht legal sind:

  • Facebook missachtet das Recht auf Auskunft,
  • Facebook missachtet das Recht auf Datenlöschung,
  • die Einwilligung ist nicht immer freiwillig, da Gruppendynamik die Nutzung fast erzwingt,
  • die Einwilligung ist nichtig, weil der Umfang der Einwilligung unübersichtlich dargestellt ist und
  • die Einwilligung ist nichtig, weil nicht alle Zwecke der Datenverarbeitung aufgeführt sind.

Alle diese Gründe sind immer wieder Umfang von Rechtsfällen mit unterschiedlichem Ausgang. Facebook ist da aber nicht allein. Andere Big-Data-Unternehmen wie Google, e-Bay, Amazon, Mastercard, usw. stehen vor der gleichen Problematik, stehen aber nicht immer im gleichen Umfang in der Kritik.

Anhand seiner Internetseite zeigte Dietmar Niehaus, wie man mit Anonymisierung und Transparenz Google Analytics nutzen kann. Der Besucher der Internetseite kann wählen, ob er der Analyse zustimmt oder nicht oder nur einmalig. In einem zweiten Schritt zeigte Dietmar Niehaus, welche Erkenntnisse trotz dieser Einschränkungen mit Google Analytics möglich sind.

So können Herkunft bis auf die Stadt genau, eingesetzte Betriebssysteme, Browser und Bildschirmauflösungen ermittelt werden. Der Verhaltensfluss zeigt, wie oft welche Seiten besucht wurden, woher kommen die Nutzer, wie bewegen sie sich durch die Seiten und wo steigen sie aus.

Im letzen Teil seines Vortrages zeigte Dietmar Niehaus, wie man mit WordPress Inhalte einer Internetseite relativ einfach gestalten kann. Auf seiner Internetseite www.bestcarrier.de hat er auch einen Blog, in dem er Beiträge veröffentlichen kann. Diese werden automatisch auf seinen Fan-Seiten bei Facebook und Google+ veröffentlicht. Bei Xing, LinkedIn und Twitter ist das nicht automatisch möglich. Ist der Beitrag aber erst mal erstellt, ist die meiste Arbeit auch hier getan.

Insgesamt hat Dietmar Niehaus gezeigt, dass Internet und Datenschutz sich gut ergänzen können, wenn Anonymität und Transparenz gewollt sind. Ob das Gesagte dauerhaft rechtssicher ist, werden die Zukunft und das eine oder andere Gerichtsurteil zeigen. Langfristig werden die sozialen Medien nicht alles machen können, was und wie sie es wollen. Aus dem Leben wegzudenken sind sie aber auch nicht mehr.

Beitrag öffnen »

Angriff auf die Datensicherheit

Montag, 30.03.2015

Zugangsdaten werden von Cyberkriminellen nicht nur im privaten Bereich, sondern auch sehr gerne im betrieblichen Bereich gestohlen.

Diese werden meist mit Hilfe von Pishingmails, auf sozialen Netzwerken und auch anderen Plattformen entwendet. Wenn Ihren Mitarbeitern Zugangsdaten gestohlen werden, dann müssen Sie schnell handeln, um eventuell größeren Schaden zu vermeiden.

Regel 1: Benutzerdaten / Profile müssen umgehend gesperrt werden. Bei einem Datenklau im internen System wird sich Ihre IT-Abteilung sofort daran setzen können, um größeren Schaden abzuwenden. Schwieriger wird es aber, wenn der Datenklau extern passiert ist, z.B. auf Ihrer Fanseite im sozialen Netzwerk. Hier müssen Sie sich umgehend mit dem Betreiber in Verbindung setzen. Schildern Sie per Kundenhotline oder per E-Mail ihr Anliegen und bestehen Sie auf die Dringlichkeit, das Benutzerkonto bis zum Sachverhalt zu klären. Sollte keine umgehende Reaktion des Betreibers erfolgen, haken Sie nach.
Regel 2: Sichern Sie Beweise. Vermutlich werden Sie befragt werden, was Cyberkriminelle in Ihrem Namen bereits alles anstellen konnten, wie z.B. im sozialen Netzwerk. Notieren Sie dieses und machen Sie Screenshots dazu. Denn anhand von Meta-Daten, kann die IT Datum und Uhrzeit nachverfolgen.
Regel 3: Informieren Sie uns, wenn Sie Cyberkriminellen ins Netz gegangen sind. Auch wenn Sie für Ihr Unternehmen eine Fanseite im sozialen Netzwerk betreiben, müssen Sie umgehend reagieren. Schließlich kann ein Hacker im Namen Ihres Unternehmens, einen erheblichen Imageschaden anrichten.

Verlieren Sie keine Zeit, Ihren Vorgesetzten und Ihren Datenschutzbeauftragten zu informieren. Sie haben Fragen hierzu? Wir helfen Ihnen gerne weiter.

Beitrag öffnen »

10 Tipps für eine erfolgreiche Datensicherung

Donnerstag, 19.03.2015

Privat wie beruflich können durch versehentliches Löschen, Hackerangriffe oder auch durch technisches Versagen wertvolle Daten verlorengehen. Hier ist es wichtig folgende Maßnahmen zu treffen, um eine Wiederherstellung der Daten zu gewährleisten:

  1. Erstellung eines Datensicherungskonzeptes
    In diesem Konzept wird der technische und organisatorische Ablauf der Datensicherungen schriftlich festgehalten, einschließlich eingesetzter Systeme, Daten-und Änderungsvolumen und Verfügbarkeitsanforderungen.
  2. Festlegung der Zuständigkeiten
    Wer ist für die Datensicherung zuständig, wer darf die notwendigen Passwörter kennen, wer stellt die Daten wieder her, wer veranlasst die Wiederherstellung?
  3. Eine lückenlose Anleitung zur Wiederherstellung der Daten
    Dieser Bereich regelt die lückenlose Anleitung zur Wiederherstellung der Daten.
  4. Anschaffung geeigneter Systeme
    Nicht nur die Leistungsfähigkeit, sondern auch die Bedienbarkeit der Systeme muss bedacht werden.
  5. Teilsicherung von Daten
    Hier ist zu unterscheiden, wann eine inkrementelle und wann eine differentielle Datensicherung angebracht ist.
  6. Vollsicherung von Daten
    Die zu sichernden gesamten Daten, müssen zu einem bestimmten Zeitpunkt auf dem Sicherungsträger gespeichert werden.
  7. Zeitpunkt der Sicherung dieser Daten
    Nicht nur ein periodischer Zeitpunkt muss für eine Datensicherung erfolgen (täglich, wöchentlich, monatlich), sondern auch eine Sicherung bei besonderen Ereignissen oder Veränderungen.
  8. Verschlüsselung
    Hier ist die Ver-und auch Entschlüsselung zu regeln, wenn Backups außerhalb gespeichert werden sollen.
  9. Regelmäßige Notfallübungen
    Jeder noch so gut durchdachte Plan bringt nichts, wenn keine entsprechenden Notfallübungen durchgeführt werden. Theorie und Praxis können unterschiedliche Sprachen sprechen.
  10. Aufbewahrung
    Datensicherungskopien sollten immer in einem anderen Gebäude oder Bereich aufbewahrt werden.

Das Tagesgeschäft hat immer Vorrang. Aus Erfahrung wissen wir, dass vielen Unternehmen aus Zeitgründen ein solches Konzept ganz oder teilweise fehlt. Darum erstellen wir für unsere Kunden ein solches Konzept, mit dem sie im Notfall gerüstet sind.

Beitrag öffnen »

Relaunch unserer Webseite – Ein neues Gewand und technische Erweiterungen

Sonntag, 15.03.2015

Übersichtlich gestaltet, angepasst auf die aktuellen Medien und technische Feinheiten wurden bei der Umsetzung der neuen Webseite groß geschrieben.

Die neue Webseite wurde auf Basis einer flexiblen Struktur gestaltet, wodurch die Webseite auf alle gängigen Geräte optimal dargestellt werden kann. Zur schnellen und unkomplizierten Pflege der Webseite wird ein Content Management System eingesetzt.

Aber auf die kleinen technischen Feinheiten kommt es an. In Bezug auf den Datenschutz wurden diverse Funktionen integriert. Diese dienen dazu den Nutzer darüber zu informieren, welche Daten im Hintergrund erhoben werden und was mit den Daten geschieht.

Gerade in Bezug auf die Integration von sozialen Medien wie Facebook oder Analyse-Tools wie Google Analytics ist ein Hinweis für den Nutzer wichtig. Denn die in Webseiten integrierten sozialen Medien und Analyse-Tools erheben im Hintergrund Nutzerdaten und verfolgen das Nutzerverhalten.

Bei Analyse-Tools wie Google Analytics, Piwik oder ähnliche werden im Gegensatz zu den sozialen Medien die Daten zur Optimierung der Webseite eingesetzt. Die integrierten Scripts der sozialen Medien dienen dazu, dass Verhalten der Nutzer zu studieren, um Werbung und Funktionen zielgerichtet darzustellen. Im Grunde ist das nichts schlechtes, jedoch passiert dies im Hintergrund ohne dass der Nutzer Kenntnis davon nimmt oder ihm eine Funktion zur Deaktivierung solcher Scripts angeboten wird.

Auf unserer neuen Webseite ist das anders. Wir haben auf die Integration von Scripts der sozialen Medien verzichtet, bieten aber trotzdem die Möglichkeit die Inhalte unserer Webseite in den sozialen Medien zu teilen. Möchte also der Nutzer einen Inhalt teilen, so wird das Script des sozialen Mediums erst geladen, wenn der Nutzer es auch möchte – nämlich dann wenn der Nutzer tatsächlich die sozialen Medien nutzen möchte. Vorab wird der Nutzer jedoch gefragt, ob er dies auch wirklich möchte und drüber informiert was mit seinen Daten im Hintergrund geschieht.

Google Analytics wird zum Start der Webseite geladen, jedoch werden die Daten anonymisiert übertragen, so dass kein Bezug zum Nutzer zurückverfolgt werden kann. Dadurch werden uns als Webseiten-Betreiber lediglich Daten zur Optimierung der Webseite angeboten, mit denen wir das Nutzererlebnis auf der Webseite verbessern können.

Darüber hinaus hat der Nutzer unserer Webseite trotzdem die Möglichkeit das Analyse-Tool Google Analytics gänzlich zu deaktivieren. Dazu erscheint beim ersten Besuch der Webseite eine Meldung am unteren Rand des Bildschirms mit dem Hinweis, dass Google Analytics im Hintergrund geladen wird, aber mit nur einem Klick deaktiviert werden kann. Dazu wird vom Browser ein sog. Session-Cookie auf den PC des Nutzers abgelegt, in dem lediglich für die Zeit des surfens auf unserer neuen Internetseite die Deaktivierung des Scripts gespeichert wird. Wird die Session, also der Besuch beendet, so wird der Browser die Daten automatisch bereinigen.
Unsere Seite verwendet generell keine Cookies mit Nutzerdaten, sondern lediglich die durch den Browser generierten Session-Cookies.

Auch Kontaktformulare auf Webseiten werden im Regelfall nicht datenschutzkonform eingerichtet, jedoch ist das mit nur wenigen Mitteln machbar. Dazu müssen die eingegebenen Daten verschlüsselt übertragen werden. Das geschieht mittels einer gesicherten SSL-Verbindung. Zudem speichern wir keine Kontaktanfragen in einer Online-Datenbank, sondern erhalten sofort nach Bestätigung des Kontaktformulars eine E-Mail mit der Anfrage des Nutzers bzw. Interessenten.

In Zusammenarbeit mit der Medienagentur Farbhelden Media aus Bremen haben wir somit eine neue Internetpräsenz geschaffen, die sowohl auf das technische Zeitalter angepasst wurde, dem Nutzer die Informationen leicht zugänglich macht und trotzdem dabei den Datenschutz nicht außer Acht lässt.

Beitrag öffnen »