Landesbeauftragte für Datenschutz und Informationsfreiheit setzen DSGVO und Schrems-II-Urteil um

[datensicherheit.de, 18.05.2022] Schulen in Deutschland könnte ein Datenschutznotstand drohen: Jedenfalls hat laut Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, verordnet, „die Nutzung von ,MS 365‘ an Schulen zu beenden“ oder den datenschutzkonformen Betrieb eindeutig nachzuweisen. Er erwartet demnach von Schulen, dass sie den Schülern bis zu den Sommerferien 2022 Alternativen zum „Cloud“-Dienst „MS 365“ für den Schulbetrieb anbieten oder aber diesen Dienst mit geeigneten Mitteln absichern. Damit ziehe er Konsequenzen aus der Datenschutzgrundverordnung (DSGVO) und dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH), welche schließlich eine Einhaltung ihrer Vorgaben nicht ins Belieben von Unternehmen oder Behörden stellen, sondern eindeutig verlangen.

Foto: eperi

Elmar Eperiesi-Beck: Es wird höchste Zeit, dass Datenschutzbeauftrage und Schulen aktiv werden!

Datenschutzbeauftragte hörten nun auf, ein Auge zuzudrücken

Ähnliche Situationen kämen auch auf Schulen in anderen Bundesländern zu, denn die dortigen Datenschutzbeauftragten hörten ebenfalls auf, „ein Auge zuzudrücken“, was sie vor allem wegen der „Pandemie“ getan hätten, und wendeten nunmehr schlicht geltendes Recht an. In der Vergangenheit habe Dr. Brink schon häufiger eine Vorreiterrolle gespielt.

Das Problem sei, dass einerseits die meisten Nutzer mit den Alternativen zu „MS 365“ unzufrieden seien. So habe ein zuständiger Lehrer berichtet, er kenne keinen an seiner Schule, der den Umstieg weg von „Microsoft Teams“ nicht bedauere. Andererseits scheine gar nicht ernsthaft über die zweite von DSGVO und vom Schrems-II-Urteil vorgesehene Lösung nachgedacht zu werden, nämlich die Nutzung von „MS 365“ datenschutzrechtkonform abzusichern.

In einer aktuellen Stellungnahme des Kultusministeriums Baden-Württemberg finde sich die Feststellung, dass es bislang nicht gelungen sei, „eine Lösung vor Ort zu finden, die den Interessen von Schülerinnen und Schülern, Eltern, Lehrkräften und Schule gerecht wird“. Diesen Beschwerden nachzugehen sei indes die Pflicht des LfDI [Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg]. Mittlerweile seien 40 Schulen angeschrieben und eine Lösung angemahnt worden. Der Datenschutzexperte Elmar Eperiesi-Beck, Gründer und „CEO“ von eperi, zeigt sich in seiner Stellungnahme hierzu alles andere als begeistert.

Seit Beginn der Pandemie Tools und Lösungen weitgehend an geltenden Datenschutzbestimmungen vorbei genutzt

Eperiesi-Beck kommentiert: „Die Initiative von Dr. Stefan Brink ist eindeutig zu begrüßen. Er zieht die von der EU geforderten Konsequenzen aus DSGVO und Schrems-II-Urteil und schafft zweifelsfrei Klarheit für alle Beteiligte.“ Seit dem Beginn der „Pandemie“ vor über zwei Jahren würden Tools und Lösungen wie „MS 365“ weitgehend an geltenden Datenschutzbestimmungen vorbei genutzt.

Die Tatsache, dass es den Kultusministerien in mehr als zwei Jahren nicht gelungen sei, „eine Lösung […] zu finden, die den Interessen von Schülerinnen und Schülern, Eltern, Lehrkräften und Schule gerecht wird“ sei einer der schlechteren Witze in der behördlichen Nutzung von IT. „Das ärgert mich auch als Vater schulpflichtiger Kinder“, betont Eperiesi-Beck.

Dabei sei die Lösung, welche von der Europäischen Datenschutzbehörde vorgegeben werde, „ganz einfach“ und die zuständigen Stellen müssten „keinesfalls das Rad neu erfinden“. Privatunternehmen machten seit Jahren vor, wie sich US-amerikanische „Cloud“-Dienste DSGVO-konform nutzen ließen – durch den Einsatz von Verschlüsselungstechnologien.

Über ein Gateway Cloud-Dienste auch US-amerikanischer Anbieter datenschutzkonform nutzen

Es biete sich vor allem der Einsatz eines „Cloud“-Verschlüsselungs-Gateways an. Ein solches Gateway sei ein Tool, das zwischen einem „Cloud“-System und einem In-House-System platziert sei und die Verschlüsselung oder Anonymisierung von Daten vor der Übertragung durchführe. „Wenn das Gateway von der Schule selbst betrieben oder in einem deutschen Rechenzentrum gehostet wird, ist die Einhaltung der DSVGO gewährleistet, weil niemals unverschlüsselte oder personenbezogene Daten in die ,MS-Cloud‘ geraten“, erläutert Eperiesi-Beck.

Über ein derartiges Gateway lasse sich prinzipiell jeder „Cloud“-Dienst auch US-amerikanischer Anbieter datenschutzkonform nutzen (gewisse Anpassungen an den jeweiligen Dienst am Gateway seien allerdings notwendig). Verschlüsselungs-Gateways böten genau den Schutz personenbezogener Daten „auf dem Stand der Technik“, den die DSGVO und das Schrems-II-Urteil forderten.

„Viele Schulen verfügen zugegebenermaßen nicht über die Ressourcen, ein solches Verschlüsselungs-Gateway selbst zu betreiben, oder sie wollen sich nicht mit der erforderlichen Technik auseinandersetzen. Für diesen Fall gibt es IT-Dienstleister, welche die Verschlüsselung als ,Managed Service‘ anbieten.“ Dazu gehöre z.B. T-Systems mit seinem „Cloud Privacy Service“. Eperiesi-Beck abschließend: „Technische Gründe, weshalb der Datenschutz an deutschen Schulen noch immer weitgehend vernachlässigt wird, bestehen jedenfalls nicht. Es wird höchste Zeit, dass Datenschutzbeauftrage und Schulen aktiv werden.“

Weitere Informationen zum Thema:

Ministerium für Kultus, Jugend und Sport Baden-Württemberg, 11.05.2022
Schulleitungen der Öffentlichen Schulen in Baden-Württemberg / MS365 im Einsatz an öffentlichen Schulen in Baden-Württemberg

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, 25.04.2022
Nutzung von MS 365 an Schulen

Bei den IT SECURITY TALKS 2021 alles Wichtige erfahren, um die eigenen IT-Infrastrukturen sicher zu machen und zu halten

[datensicherheit.de, 08.06.2021] Die aktuelle Bedrohungslage durch Cyber-Angriffe ist offensichtlich hoch: Unternehmen jeder Größe sind betroffen. Kleine und mittelständische Unternehmen (KMU), Einrichtungen Kritischer Infrastrukturen wie Krankenhäuser, Softwareanbieter, Medienhäuser oder Stadtverwaltungen, aber auch Universitäten zählen zu den jüngsten Opfern. Im Rahmen der „it-sa 365“ wird unter dem Motto „Join the the digital dialogue – 15. bis 17. Juni 2021 auf it-sa 365.“ eingeladen, an den „IT SECURITY TALKS“ teilzunehmen:

Abbildung: NürnbergMesse

IT SECURITY TALKS: „Die Teilnahme ist kostenfrei.“

Hackern keine Angriffsfläche bieten – Informationen bei den IT SECURITY TALKS

„Schützen Sie Ihr Unternehmen vor cyber-kriminellen Aktivitäten und möglichen hohen finanziellen Schäden. Bieten Sie Hackern keine Angriffsfläche“, so die Messeleitung der „it-sa“. Bei den „IT SECURITY TALKS 2021“ sei alles Wichtige zu erfahren, um die eigenen IT-Infrastrukturen sicher zu machen und zu halten. Die Teilnahme sei kostenfrei.

IT SECURITY TALKS: Geballtes Know-how

Produktunabhängige neutrale Einblicke in Branchen, Trends, Rechtsfragen und Spezialthemen gewähren Ihnen die „it-sa insights“ (ohne Gewähr):

• „10 große Management-Fehler vermeiden, die Hackern Tür und Tor öffnen“
• „Mehr IT-Sicherheit für den Mittelstand mit TISiM“
• „Geschäftsgeheimnisschutz – Maßnahmen und Konzept zur Umsetzung des GeschGehG“
• „Cybersicherheit von der Leitwarte bis zum Umspannwerk“
• „E-Mail mit Transportverschlüsselung oder Ende-zu-Ende-Verschlüsselung – was ist rechtlich geboten?“
• „Die Top Five zur Business Continuity bei Datennutzung in der Cloud“
• „Datenschutzrechtliche Aspekte der Auswahl & Nutzung von Web-Kommunikationstools“
• „Viel mehr als die Top 10: OWASP“

Weitere Informationen zum Thema:

it-sa 365
Action Programm / IT SECURITY TALKS Programm – JUNI 2021

it-sa 365
Homepage

Premiere der IT SECURITY TALKS als erster Höhepunkt im Veranstaltungsjahr 2021

[datensicherheit.de, 31.03.2021] Laut einer aktuellen Meldung der NürnbergMesse GmbH soll die „it-sa 365“ das Angebot der regulären „it-sa Expo&Congress“ um eine ganzjährig erreichbare Informations- und Dialogplattform erweitern: „Mit der Premiere der ,IT SECURITY TALKS‘ steht nun ein erstes Highlight bevor, das den Auftakt in eine Reihe regelmäßiger Live-Events auf der Plattform bildet. Die ,it-sa 365 IT SECURITY TALKS‘ bieten drei Tage mit spannenden Fachvorträgen“, so Frank Venjakob, „Director it-sa“ der NürnbergMesse. Alle Teilnehmer hätten dabei die Möglichkeit, untereinander in den direkten Austausch mit anderen Experten zu treten und sich zu vernetzen.

Abbildung: NürnbergMesse

„it-sa 365 IT SECURITY TALKS“: Drei Tage mit spannenden Fachvorträgen

Rund 50 Vorträge zu aktuellen IT-Trends und -Herausforderungen

In rund 50 Vorträgen informieren demnach die teilnehmenden Anbieter über neueste Lösungen im Kampf gegen Cyber-Kriminalität und viel diskutierte Branchentrends wie Zero-Trust-Security, Sicherheit für Hybrid- und Multi-Cloud-Szenarien, Edge-Computing oder den Schutz vor Ransomware.
Freuen dürften sich registrierte Teilnehmer außerdem auf eine Live-Hacking-Demonstration, spezifische Informationen zur IT-Sicherheit im Krankenhausbetrieb, Ergebnisse aus der Umfrage „IT-Sicherheit 2021“ vom eco – Verband der Internetwirtschaft e.V. und viele andere Themen – „von A wie Authentisierungslösungen bis Z wie Zertifikatsmanagement“.

Gratisangebot: IT-Fachwissen für Experten und Entscheider

Das dreitägige Programm richte sich an IT-Security-Manager, Consultants, Analysten oder Administratoren ebenso wie an Entscheider, die Verantwortung für die IT-Sicherheit in einer Organisation tragen. Die von der „it-sa Expo&Congress“ und ihrem Vortragsprogramm bekannte Zuordnung der Themen in die Bereiche „Management“ und „Technik“ sorge dabei für einfache Orientierung.
Die Teilnahme an den „it-sa 365 IT SECURITY TALKS“ sei kostenfrei: „Um die Vorträge der IT-Sicherheitsanbieter live zu erleben, ist lediglich die Registrierung auf der Plattform notwendig.“ Registrierten Teilnehmern stehe auch der volle Funktionsumfang der Plattform zur Verfügung, einschließlich der Networking-Funktionen. „Damit treten sie direkt über die Plattform schnell und bequem mit Referenten, Mitarbeitern der Anbieter oder anderen Experten per Chat und Video-Call in Kontakt.“

Fortsetzung der IT SECURITY TALKS und Start-up Pitch UP21@it-sa

„Nach den ,Launch Days‘ zum Start der Plattform im Oktober 2020 sind die ersten ,IT SECURITY TALKS‘ ein Höhepunkt, dem weitere folgen werden“, verspricht Venjakob. Bereits im Juni 2021 sei eine Fortsetzung dieses Formats geplant. Die ganzjährig erreichbare Branchenplattform setze damit zusätzliche Impulse für den Dialog in der IT-Sicherheitsbranche:
„Mit der dauerhaften Vorstellung ihrer Lösungen bauen IT-Sicherheitsanbieter ihre Marktpräsenz aus. Die ,IT SECURITY TALKS‘ bieten den beteiligten Unternehmen zusätzliche Möglichkeiten, relevante Leads zu generieren und persönliche Kontakte zu IT-Sicherheitsexperten aufzubauen“, betont Venjakob. Für September 2021 stehe der „Pitch“ um den begehrten „UP21@it-sa Award“ an, welcher im Oktober 2021 auf der „it-sa Expo&Congress“ an das siegreiche IT-Security-Startup verliehen werde.

it-sa 365 steht für Solutions – Networking – Knowledge

„Solutions – Networking – Knowledge“ – so die Kurzformel für die „it-sa 365“, die neue digitale Dialogplattform zum Thema IT-Sicherheit. Das ganzjährig erreichbare Online-Portal bietet laut NürnbergMesse, zusätzlich zur „it-sa Expo&Congress“ in Nürnberg, Raum zum fachlichen Austausch in der IT-Sicherheitsbranche.
Mit einem umfassenden Anbieter- und Lösungsverzeichnis, interaktiven Dialogformaten und aktuellen Informationen zur Cyber-Sicherheit richte sich die „it-sa 365“ an IT-Sicherheitsentscheider und -praktiker.

Termine der „it-sa 365“ im Überblick (ohne Gewähr):

• 13. – 15. April 2021: „it-sa 365 IT SECURITY TALKS“
• 15. – 17. Juni 2021: „it-sa 365 IT SECURITY TALKS“
• 9. September 2021: Start-ups im „Pitch“ um „UP21@it-sa AWARD“

Weitere Informationen zum Thema:

it-sa 365
IT SECURITY TALKS

datensicherheit.de, 06.10.2020
it-sa 365 gestartet: Digitale Dialogplattform für IT-Sicherheitsexperten / „datensicherheit.de“ auch 2020 wieder Medienpartner – der virtuellen it-sa

„datensicherheit.de“ auch 2020 wieder Medienpartner – der virtuellen it-sa

[datensicherheit.de, 06.10.2020] Am 6. Oktober 2020 ist die „it-sa 365“ gestartet – diese neue, den Besonderheiten der „Corona“-Krise abgepasste digitale Informations- und Dialogangebot richtet sich nach Angaben der Veranstalterin, der NürnbergMesse GmbH, „wie die erfolgreiche Fachmesse ,it-sa‘ an IT-Sicherheitsexperten und Entscheider, die Verantwortung für sichere IT-Infrastrukturen tragen“. Diese digitale Erweiterung des „Home of IT Security“ ist demnach mit 160 teilnehmenden Anbietern und einem vollen Vortragsprogramm während der dreitägigen „Launch Days“ gestartet. Die nächste „it-sa“ als Präsenzveranstaltung im Messezentrum Nürnberg soll vom 12. bis 14. Oktober 2021 stattfinden. Wie schon in den zehn Jahren zuvor ist „datensicherheit.de“ auch 2020 wieder Medienpartner.

Abbildung: NürnbergMesse

it-sa 365 am 6. Oktober 2020 mit Launch Days gestartet

IT-Sicherheitsbranche kann zwischen Präsenz-Messeterminen unter itsa365.de online zusammenkommen

Die neue digitale Dialogplattform soll die IT-Sicherheitsbranche zwischen den Messeterminen unter „itsa365.de“ online zusammenbringen – dafür biete die „it-sa 365“ ganzjährig Informationen zu den Produkten und Lösungen der beteiligten Anbieter, virtuelle Fachvorträge, Workshops und Diskussionsrunden, Branchen-News und zusätzlich Fachveröffentlichungen der Anbieter. Als zentrales Element für registrierte Nutzer werde eine Netzwerkfunktion angeboten, mit der Experten untereinander gezielt in den Dialog treten können.

Special Keynote der it-sa 365 von Ex-Anonymous-Mitglied Jake Davis

Zu den Höhepunkten im Programm der „Launch Days“ zähle die „Special Keynote“ mit dem Titel „The Future of Hacking“ von Jake Davis, einem ehemaligen Mitglied der Hacker-Kollektive „Anonymous“ und „LulzSec“: Nach Angaben der Veranstalterin spricht er am Donnerstag, dem 8. Oktober 2020 um 12.00 Uhr „über seine Erfahrung in der Hacker-Szene und Entwicklungen, die IT-Sicherheitsexperten vor neue Herausforderungen stellen“.

Im Beiprogramm der it-sa 365: Verleihung des UP20@it-sa Award

Die Verleihung des „UP20@it-sa Award“ gilt als ein weiterer Höhepunkt der „Launch Days“: Am 8. Oktober 2020, von 14.00 bis 16.00 Uhr soll der Pitch unter zehn von einer Fachjury nominierten Kandidaten virtuell stattfinden – +über den Sieger stimme das Publikum online ab.

it-sa größte Fachmesse für IT-Sicherheit in Europa

Die „it-sa“ gilt die größte Fachmesse für IT-Sicherheit in Europa und nimmt auch im globalen Vergleich eine Spitzenposition ein. Der begleitende „Congress@it-sa“ soll Entscheidern und Experten zusätzliches Know-how bieten. Die „it-sa 365“ bietet nun ganzjährig innovative Dialogformate, um IT-Sicherheitsanbieter online mit IT-Sicherheitsverantwortlichen aus Management und Technik zu vernetzen.

it-sa nur eine der Sicherheitsmessen der NürnbergMesse

Die NürnbergMesse verfügt offensichtlich seit Jahren über eine ausgewiesene Kompetenz auf dem Themenfeld Sicherheit: Mit Veranstaltungen wie „Enforce Tac / U.T.SEC“ – Fachmesse für Law Enforcement, „it-sa“ und „it-sa India“ – Fachmessen für IT-Sicherheit, „FeuerTrutz“ – Fachmesse für vorbeugenden Brandschutz, „Perimeter Protection“ – Fachmesse für Freigeländeschutz und der „FIRE & SECURITY INDIA“ EXPO führt sie nach eigenen Angaben insgesamt rund 1.650 Aussteller und rund 42.000 Besucher aus aller Welt zusammen.

Weitere Informationen zum Thema:

it-sa 365
Willkommen auf der it-sa 365 – Ihrem Home of IT-Security!

NürnbergMesse
NürnbergMesse: Expertise in Sachen Sicherheit

datensicherheit.de, 05.08.2020
it-sa 365: Dialogplattform ab 6. Oktober 2020

[datensicherheit.de, 22.08.2020] Phishing, „Legacy“-Protokolle, „Password Spraying“, „OAuth“-Attacken und mehr: Experten von Kudelski Security gehen in ihrer aktuellen Stellungnahme auf häufige „MS 365“-Einfallstore für Cyber-Kriminelle und auf hilfreiche Abwehrtaktiken ein. Rund 200 Millionen aktive Nutzer im Monat zählt demnach die Websuite „Microsoft 365“. Für diese riesige Zahl an Anwendern bestehe das Risiko, Opfer von Cyber-Kriminellen zu werden.

85% der 2019 registrierten Sicherheitsvorfälle E-Mail-Angriffe auf Microsoft 365

So ließen sich 85 Prozent der von Kudelski Security 2019 registrierten Sicherheitsvorfälle auf „365-E-Mail-Angriffe“ zurückführen. Dieses Einfallstor für Hacker gelte es „dringend zu schließen“, nicht zuletzt aufgrund der steigenden Anzahl von Mitarbeitern, die während der „Corona-Pandemie“ im Home-Office auf wichtige Firmendokumente zugreifen, E-Mails verschicken und mehr.
Spezialisten von Kudelski Security haben daher fünf Handlungsempfehlungen zusammengestellt, die eine sichere Nutzung von „MS Office 365“ unterstützen sollen:

1. Phishing, Password Spraying und Co. – typische Angriffstaktiken auf Microsoft 365

Seit Beginn der weltweiten „Lockdowns“ im Kontext von „Covid-19“ hätten Kudelski Security und andere Experten einen „extremen Anstieg von Phishing-Attacken“ festgestellt. Doch auch „Password Spraying“ komme vermehrt zum Einsatz. Hierbei versuchten Hacker, Zugriff auf viele Nutzerkonten über einige wenige, jedoch häufig genutzte Passwörter zu erhalten. Selbst mit Multi-Faktor-Authentifizierung (MFA) könnten Angreifer „Microsoft 365“-Konten kompromittieren, ohne überhaupt einen MFA-Push nachweisen oder einen zeitbasierten Einmal-Passwort-Code angeben zu müssen.
MFA schließe keine „Legacy“-Protokolle ein, die genutzt würden, um ältere Geräte und Protokolle zu aktivieren, die E-Mails anders als neuere Devices abriefen. Darum seien „Legacy Office“-Clients oder Drittparteilösungen, die keine aktive Synchronisierung verwendeten und auf „Legacy“-Protokolle setzten, also beispielsweise der Unternehmensdrucker, „willkommene Einfallstore für Hacker“: Hier würden sie nicht zur Eingabe eines MFA-Codes aufgefordert. Es gebe verschiedenste Tools, die es Angreifern via Brute-Force ermöglichten, „Office 365“-Accounts auf diese Art und Weise zu kompromittieren.

2. In Microsoft 365 Zugriff auf Legacy-Protokolle einschränken und Kontrollfunktionen nutzen!

„Wer wissen will, ob dies für die eigene ,Microsoft 365‘-Umgebung zutrifft, kann die Sign-In-Activity aufrufen. Zeigt die Client-Anwendung ältere ,Office‘-Clients oder andere Clients an, ist das ein Anzeichen für eine ,Legacy‘-Authentifizierung, die MFA nicht unterstützt. Bis vor Kurzem waren ,Legacy‘-Protokolle in ,Office 365‘ standardmäßig aktiviert. Wer Office 365-Tenants seit mehr als sechs Monaten im Einsatz hat, muss dies also besonders beachten.“
„Legacy“-Protokolle umgingen MFA, da sie darauf ausgelegt seien, Geräte zu unterstützen, die neuere E-Mail-Kommunikationsprotokolle nicht nutzten. Tipp: „Der Zugriff auf derartige Protokolle sollte so schnell wie möglich mit Kontrollfunktionen des ,Azure Active Directory‘ (Azure Active Directory Conditional Access) eingeschränkt werden. Es ist empfehlenswert, ,Legacy‘-Protokoll-Zugriffe nach Service-Account-Nutzernamen oder ,Office‘-IP-Adressen zu filtern, wenn es sich um Geräte wie Drucker oder Scanner handelt, die Daten senden müssen.“ Außerdem sollten spezielle Service-Konten erstellt werden, mit denen sich E-Mails von Geräten senden ließen, die MFA-fähige Protokolle nicht unterstützten. Zugleich müssten diese Accounts verlässlich überwacht werden.

3. OAuth-Attacken auf Microsoft 365 im Auge behalten!

Eine weitere Methode, die Angreifer nutzten, um „Microsoft 365“-Konten auszuspähen, sei „OAuth“. Hierbei handele es sich um zwei verschiedene offene Protokolle, die eine standardisierte API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlaubten. Sie seien für Aktionen wie „Sign in with Facebook“ oder „Sign in with Google“ zuständig. Aber sie steuerten auch viele der „Active Directory Single-Sign-On“-Migrationen (SSO). Das Gefahrenpotenzial von „OAuth“ hänge davon ab, wie einer Anwendung Zugriff auf Daten gewährt wird. Ein Beispiel: „Wird mit Google eingeloggt, erlaubt Google den Anwendungen nur, E-Mails und den Namen des Anwenders abzurufen, denn das ist alles, was benötigt wird. Die Anwendungen können jedoch alle vorhandenen ,OAuth‘-Berechtigungen anfordern. Es kommt aktuell immer häufiger vor, dass Angreifer gefälschte Anwendungen bauen, die Lesezugriff auf E-Mails ohne Passwort und ohne jegliche Zugangsdaten anfordern.“
In dem Moment, in dem ein Benutzer auf „Akzeptieren“ drückt, gewähre er Hackern Zugriff auf seinen E-Mail-Posteingang, ohne dass diese ein Passwort angeben müssten. Das Problem: „Office 365“-Administratoren könnten dauerhaft Zugang zu allen Daten einer Organisation, Mailboxen und „Active Directory“-Umgebung gewähren. Dies bereite Sicherheitsexperten zunehmend Sorge. Tipp: „Microsoft stellt spezielle Tools zur Verfügung, die es Organisationen ermöglichen, nach bösartigen Zugriffen Ausschau zu halten. Administratoren können Anwendungen, die derartige Informationen anfordern, zudem vorab genehmigen – ein weiterer wichtiger Schritt in Richtung mehr Sicherheit.“

4. Risiko E-Mail-Weiterleitungen in Microsoft 365 nicht unterschätzen!

Ein weiteres Problem sei, dass Cyber-Kriminelle Mailweiterleitungsregeln in IT-Umgebungen ausnutzten, in denen das Thema Sicherheit zu einseitig und nachlässig behandelt werde. „So wiegen sich Unternehmen in Sicherheit, da sie einen Angriff aufgedeckt haben. Es kommt jedoch häufig vor, dass Angreifer, die Zugriff auf ein Konto erhalten haben, sofort eine Weiterleitung einrichten: Jede E-Mail an dieses Konto geht sofort weiter an eine dritte Partei.“
Hinzu kämen Weiterleitungsregeln, die nach Aufforderungen wie „Hallo, ich habe gerade eine E-Mail von dir erhalten, die seltsam aussieht. Bist du sicher, dass du sie geschickt hast?“ suchten. Angreifer löschten derartige Antworten automatisch, so dass, „wenn ein Benutzer kompromittiert wurde und jemand auf diese Mails antwortet, der User es nicht sehen kann“. E-Mail-Regeln dieser Art blieben selbst nach Änderung der Anmeldeinformationen bestehen. Es gebe sogar ein Tool, das es Angreifern ermögliche, eine von MS zur Verfügung gestellte API zu nutzen, die Regeln vor „Outlook“-Clients zu verstecken und ihr Handeln so noch besser zu verschleiern. Tipp: Unternehmen sollten sich immer wieder mit neuen Angriffsarten und Abwehrmechanismen beschäftigen und gegebenenfalls Experten zurate ziehen.

5. Einfallstor Outlook-Formular bei Microsoft 365 berücksichtigen!

Hacker nutzten außerdem vermehrt „Outlook“-Formulare (Outlook Forms), um „Microsoft 365“-Konten zu kompromittieren. Derartige Formulare würden verwendet, um benutzerdefinierte Anwendungen anzuzeigen, die etwa mit E-Mail-Kalendereinladungen einhergingen. Das Team von MS habe ein „Outlook“-Formular entworfen, mit dem User diese Einladungen annehmen oder ablehnen könnten. Angreifer könnten allerdings eigene Formulare erstellen und sie in bestimmten Ordnern wie dem Posteingang veröffentlichen.
Anschließend werde dieser mit dem Firmen-Laptop synchronisiert oder dem E-Mail-Client des Mobiltelefons, auf dem „Outlook“ genutzt wird. Um das „Outlook“-Formular und den darin eingebetteten Code auszulösen, müsse ein Angreifer lediglich eine E-Mail der entsprechenden Nachrichtenklasse senden. Dieser Problematik sollten sich „MS 365“-Anwenderunternehmen demnach ebenfalls widmen.

Fazit: IAM für Microsoft 365 vereinfachen, Daten verlässlich sichern und Abwehr stärken!

„Immer mehr Unternehmen wünschen sich, dass ihre Mitarbeiter überall produktiv arbeiten können. Die ,Corona‘-Krise hat diesen Trend noch verstärkt. ,Microsoft 365‘ kann sie dabei unterstützen. Gleichzeitig gilt es, Daten, Anwendungen und Benutzer in der Cloud bestmöglich abzusichern. Hier mangelt es so manchem Sicherheitsteam an Ressourcen und Expertise“, warnt Philippe Borloz, „Vice President EMEA Sales“ bei Kudelski Security.
Mithilfe der nativen Sicherheitsfunktionen in „Microsoft 365“ und „Azure“ im Zusammenspiel mit ihren proprietären Lösungen und ihrer Expertise unterstützten sie Unternehmen, ihr „Identity Access Management“ (IAM) zu vereinfachen, Daten besser zu schützen und zu kontrollieren. „Zudem optimieren wir den Überblick über existierende Bedrohungen, helfen ihnen bei der Abwehr hochentwickelter Angriffe sowie bei der Gewährleistung verlässlicher Sicherheit“, sagt Borloz.

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2020
Office 365: Zunehmender Missbrauch von Nutzerkonten / Jüngste Cyber-Angriffe im Kontext von Office 365 auf australische Regierung und Unternehmen deutliches Warnsignal

datensicherheit.de, 26.06.2019
Zscaler: Warum Office 365 für Stau im Netzwerk sorgen kann / Remote-Standorte müssen in der Planung berücksichtigt werden

datensicherheit.de, 03.02.2019
Microsoft 365-Nutzer konnten keine Links mehr öffnen / Datenschutzverletzung am 29. Januar 2019 spürbar geworden

„Home of IT-Security“ im Internet ersetzt it-sa 2020…

[datensicherheit.de, 05.08.2020] Die NürnbergMesse erinnert in ihrer aktuellen Meldung daran, dass die „it-sa 2020“ in der „Corona“-Krise nicht als physische Veranstaltung stattfinden kann, sondern das „Home of IT-Security“ ins Netz kommt – die digitale Dialogplattform startet demnach am 6. Oktober 2020. Die sogenannte it-sa 365 soll die Höhepunkte der regulären „it-sa“ mit neuem Networking-Angebot für IT-Security-Experten verbinden, Produkt- und Lösungssuche sowie individuelle Präsentationsmöglichkeiten für IT-Sicherheitsanbieter ermöglichen. Ferner soll es aktuelle Brancheninformationen und Vorträge zum Start vom 6. bis 8. Oktober 2020 geben – „danach regelmäßig neue Inhalte“.

Abbildung: NürnbergMesse GmbH

it-sa 365: Höhepunkte der regulären Auflage mit neuem Networking-Angebot für IT-Security-Experten

Solutions – Networking – Knowledge: Kurzformel der it-sa 365

„Solutions – Networking – Knowledge“ sei die Kurzformel für die „it-sa 365“, der neuen digitalen Dialogplattform zum Thema IT-Sicherheit. Am 6. Oktober 2020 soll das „ganzjährig erreichbare Portal mit einem umfassenden Anbieter- und Lösungsverzeichnis, interaktiven Dialogformaten und aktuellen Informationen zur Cyber-Sicherheit“ starten.

Auch Workshops und Seminarangebote ähnlich dem begleitenden Congress@it-sa

Dabei greife die „it-sa 365“ bekannte Elemente der europaweit größten IT-Sicherheitsmesse „it-sa“ auf: Produktneutrale Beiträge, die „it-sa insights“, zahlreiche Vorträge zu Management und Technik sicherer IT-Infrastrukturen sowie Workshops und Seminarangebote ähnlich dem begleitenden „Congress@it-sa“.

it-sa 365 live vom 6. bis 8. Oktober 2020

Vom 6. bis 8. Oktober 2020 finden die Veranstaltungen nach Angaben der Veranstalterin als interaktive Formate in mehreren Streams live statt. Danach bleibt die Plattform an 365 Tagen im Jahr erreichbar und sei damit die Anlaufstelle für aktuelle Fachinformationen und den Austausch innerhalb der IT-Security-Branche.

Weitere Informationen zum Thema:

it-sa
it-sa – Europas führende Fachmesse für IT-Sicherheit / Trends & Innovationen der IT-Securitybranche | 12. – 14. Oktober 2021, Messezentrum Nürnberg

datensicherheit.de, 16.06.2020
it-sa: 2020 ausgesetzt – 365 geht an den Start / Nächste Präsenz-Auflage mit Messe und Kongress vom 12. bis 14. Oktober 2021

Nächste Präsenz-Auflage mit Messe und Kongress vom 12. bis 14. Oktober 2021

[datensicherheit.de, 16.06.2020] Die Messeleitung der „it-sa“ hat am 16. Juni 2020 offiziell bekanntgegeben, dass die für 2020 geplante Präsenz-Auflage mit Messe und Kongress im Kontext der „Corona“-Krise abgesagt werden muss – dafür aber ab 6. Oktober 2020 die „it-sa 365“ als neues Veranstaltungsformat an den Start gehen wird. Dieses neue Angebot solle „umfangreiche digitale Präsentationsmöglichkeiten und dauerhafte Networking-Angebote“ bieten

Ungestörter persönlicher Dialog Erfolgsbasis der Präsenz-Auflage der it-sa

„Nach einem intensiven Dialog mit Messebeirat, Ausstellern sowie Fachbesuchern“ habe die NürnbergMesse entschieden, dass die „it-sa“ aufgrund der durch die „Corona-Pandemie“ maßgeblich veränderten Rahmenbedingungen in diesem Jahr ausgesetzt wird. Damit entspreche der Veranstalter dem Wunsch der Branche, welche demnach den von „intensiven Fachgesprächen und teils vertraulichen Beratungen geprägten Dialog zwischen Ausstellern und Besuchern“ unter strengen Hygiene- und Abstandsregeln als nicht sinnvoll durchführbar erachtet:
Die Durchführung einer derart auf direkten persönlichen Dialog zielenden Veranstaltung wäre durch die derzeit zu erwartenden Rahmenbedingungen deutlich beeinträchtigt. Dies gelte insbesondere, weil vielfach Dienstleistungen und Anwendungen direkt an Bildschirmen oder auf mobilen Rechnern präsentiert würden.

Abbildung: NürnbergMesse GmbH

it-sa: Auflage 2020 wird ausgesetzt

it-sa 365 als ganzjährige Präsentations- und Dialogplattform angelegt

Frank Venjakob, Messechef der „it-sa“, führt aus: „,Corona‘ stellt uns alle vor neue Herausforderungen. Für die ,it-sa 2020, haben sich damit auch die Vorzeichen umgedreht: Nach einem intensiven Dialog mit Messebeirat, Ausstellern und Fachbesuchern haben wir entschieden, dass die ,it-sa‘ in diesem Jahr aussetzt.“ 2021 solle die „it-sa“ wieder wie gewohnt in Nürnberg stattfinden. „Am besten, Sie merken sich den Termin vom 12. bis 14. Oktober 2021 bereits vor“, rät Venjakob.
Die Messeleitung arbeitet demnach jetzt an der Entwicklung einer digitalen Plattform: „Ab dem 6. Oktober 2020 bringt ,it-sa 365, für die Messe geplante Beiträge online und vernetzt IT-Sicherheitsanbieter mit Experten und Entscheidern.“ Der Name sei dabei Programm: „it-sa 365“ sei als ganzjährige Präsentations- und Dialogplattform angelegt.

Vormerktermin: it-sa 2021

Die nächste physische „it-sa“ findet laut Messeleitung vom 12. bis 14. Oktober 2021 statt – wie gewohnt begleitet vom Kongressprogramm „Congress@it-sa“.
In der Zwischenzeit und darüber hinaus erweitere eben eine neue digitale Plattform das Angebot: „it-sa 365“ bringe ab dem 6. Oktober 2020 für die Messe geplante Beiträge online und biete ganzjährig innovative Dialogformate, um IT-Sicherheitsanbieter mit Experten und Entscheidern zu vernetzen.

it-sa – Die IT-Security Messe und Kongress

Messezentrum Nürnberg in 90471 Nürnberg
Datum und Öffnungszeiten (ohne Gewähr):
12. bis 14. Oktober 2021
09.00 bis 18.00 Uhr (Dienstag und Mittwoch)
09.00 bis 17.00 Uhr (Donnerstag)

it-sa: führende IT-Sicherheitsmesse mit -Kongress

Die „it-sa“ gilt als die größte Fachmesse für IT-Sicherheit in Europa und nimmt auch im globalen Vergleich eine Spitzenposition ein: Sie bietet ein umfangreiches Angebot an IT-Sicherheitsprodukten und -lösungen, darunter auch physische IT-Sicherheit, Dienstleistungen, Forschung und Beratung.
Entscheidern und IT-Sicherheitsexperten werden auf der „it-sa“ und im begleitenden „Congress@it-sa“ umfassende Informationen zu aktuellen Themen der IT-Security im weiteren Sinne geboten.

TeleTrusT bedauert Absage der it-sa 2020

Dr. Holger Mühlbauer, Geschäftsführer Bundesverband IT-Sicherheit e.V. (TeleTrusT), hat diese offizielle Meldung aus Nürnberg kommentiert: Wie schon über Soziale Medien gemeldet, habe die NürnbergMesse am 16. Juni 2020 die „it-sa 2020“ aus Umständen und Erwägungen im Kontext der „Corona“-Krise abgesagt. Stattdessen sei ein virtuelles Event unter dem Titel „it-sa 365″ geplant.
Der TeleTrusT als Premium-Partner der „it-sa“ habe sich im Ausstellerbeirat im Benehmen mit anderen Verbänden und Unternehmen „gegen eine Absage ausgesprochen“ – die Mitgliederumfrage zum TeleTrusT-Gemeinschaftsstand auf der „it-sa 2020“ hatte laut Dr. Mühlbauer „bislang bereits Interessenbekundungen von 15 Unternehmen ergeben“ – dies sei die doppelte Anzahl im Vergleich zu 2019.

Weitere Informationen zum Thema:

datensicherheit.de, 17.10.2019
it-sa 2019 im Rückblick: Respektabler Erfolg und Handlungsbedarf

Datenschutzverletzung am 29. Januar 2019 spürbar geworden

[datensicherheit.de, 03.02.2019] Laut einer Stellungnahme von Michael Heuer, „VP Central Europe“ bei Mimecast, konnten am 29. Januar 2019 „Microsoft 365“-Nutzer keine Links mehr öffnen: „Die ,Advanced Threat Protection‘ stufte diese als nicht sicher ein.“

Fehlermeldung „Error 503“ – service unavailable

Dabei sei es unerheblich gewesen, ob diese wirklich gefährlich oder harmlos waren. Einem Klick sei die Fehlermeldung „Error 503“ (Service unavailable) gefolgt.
Heuer: „Darüber hinaus häuften sich Berichte über nicht funktionierende Microsoft-Dienste wie ,Skype‘, ,OneDrive‘ und ,Outlook‘. Auf einer später eingerichteten, provisorischen Webseite konnten Betroffene die blockierten Safelinks in funktionierende umwandeln lassen.“

Solche Vorfälle werden keine Ausnahme bleiben

Reibungslose E-Mail-Kommunikation sei aber im Unternehmensalltag unabdingbar. Im Beispiel wäre das Abrufen eines verlinkten Cloud-Speichers nicht möglich. „Mitarbeitern war es zeitweise nicht möglich, wie gewohnt auf wichtige Daten von Kunden oder Partnern zuzugreifen“, berichtet Heuer.
Er warnt: „Vorfälle wie diese werden nicht die Ausnahme bleiben, sondern auch in Zukunft auftreten.“ Es liege daher an den Unternehmen, sich vorzubereiten. In der „Always-on-Welt“ seien Ausfälle oder „Workarounds“ nicht mehr angebracht. Unterbrochene Prozesse führten sonst schnell zum Kundenverlust.

Sicherheitsstrategie auf Unternehmensprozesse abstimmen!

„Fakt ist aber auch, dass verseuchte Links eine wachsende Bedrohung für Firmen sind: 91 Prozent aller Cyber-Attacken beginnen mit einer E-Mail. Deshalb braucht es Filtermechanismen, die Risikoherde erkennen können – ohne rigide wichtige Arbeitsprozesse zu unterbrechen“, erläutert Heuer.
In der Praxis müsse die Sicherheitsstrategie auf die Unternehmensprozesse abgestimmt werden. Ziel sei die harmonische Kombination aus Schutz und „Business Continuity“.

Eine Blacklist mit schädlichen Webseiten reicht nicht aus

„Links in E-Mails sollten in Echtzeit auf ihr Gefahrenpotenzial untersucht und danach gegebenenfalls als schädlich gekennzeichnet bzw. blockiert werden.“ Eine Blacklist mit schädlichen Webseiten reiche allerdings nicht aus, so Heuer. Vielmehr müssten die Webseiten, auf die der Link verweist, auf ihre Schadhaftigkeit untersucht und der Zugang zu ihnen gegebenenfalls eingeschränkt oder blockiert werden.
Die Erhaltung des Geschäftsbetriebs müsse oberste Priorität bei der Auswahl und Konfiguration einer Security-Lösung haben. Heuer stellt klar: „Sie darf die Mitarbeiter nicht, wie im aktuellen Fall, von ihrer alltäglichen Arbeit abhalten, indem sie legitime Nachrichten blockiert oder einschränkt. Trotzdem muss sie natürlich zu jeder Zeit den bestmöglichen Schutz liefern.“

Cyber-Resillience erhöhen!

Um dieses Niveau zu erreichen, sollte man sich nicht allein auf große Softwarehersteller verlassen. Mit der richtigen Lösung für „Business Continuity“ könne die unternehmensinterne und -externe Kommunikation fortgesetzt werden, selbst wenn „Office“ oder „Microsoft 365“ Probleme aufwiesen oder die Kommunikation anderweitig behindert würde.
„Mit dem richtigen Partner können alle Prozesse auf ein Höchstmaß an Widerstandsfähigkeit getrimmt werden, ohne dass Mitarbeiter in ihrer Freiheit eingeschränkt werden. IT-Entscheider haben es selbst in der Hand und sollten ihre Cyber-Resillience erhöhen, um mit solchen Vorfällen umgehen zu können“, empfiehlt Heuer abschließend.

Foto: Mimecast

Michael Heuer: „Business Continuity“ – IT-Entscheider haben es selbst in der Hand!

Weitere Informationen zum Thema:

datensicherheit.de, 18.10.2018
CEO-Fraud: Mittelstand unterschätzt Gefahr des Cheftricks