[datensicherheit.de, 23.03.2018] Viele Unternehmen gehen zu sorglos mit ihrer digitalen Kommunikation um. Damit riskieren sie den Verlust von Betriebsgeheimnissen und laufen Gefahr, gegen gesetzliche Vorgaben wie die Datenschutzgrundverordnung (DSGVO) der Europäischen Union zu verstoßen. Das kann in beiden Fällen große Schäden verursachen und extrem teuer werden. Die Brabbler AG erläutert die sieben gängigsten Fehler:

1. E-Mails nicht verschlüsseln.
   Obwohl unverschlüsselte E-Mails die denkbar unsicherste Kommunikationsmethode darstellen, sind sie de facto immer noch Standard in deutschen Unternehmen. Cyber-Kriminellen ist damit Tür und Tor für die Vorbereitung und Durchführung ihrer Angriffe geöffnet. Unverschlüsselte E-Mails lassen sich relativ einfach belauschen und noch einfacher fälschen – etwa, um sich als Kollege oder Vorgesetzter auszugeben und den Empfänger so zur freiwilligen Preisgabe von Interna zu animieren.
2. Empfängerkreis unnötig aufblähen.
   Zunächst schickt einfach nur ein Mitarbeiter einem anderen eine E-Mail. Im Laufe der weiteren Korrespondenz wächst der Empfängerkreis dann ständig an. Kollegen, Partner und Kunden werden massenweise hinzugefügt – das Thema könnte sie ja schließlich auch interessieren. So gelangen am Ende Informationen an Personen, für die sie ursprünglich nie gedacht waren. Und wenn dabei noch die Mail-Adressen ins für alle sichtbare CC-Feld eingegeben werden, kommt häufig auch noch ein Verstoß gegen den Schutz personenbezogener Daten hinzu.
3. WhatsApp und Co. nutzen.
   Auch die Nutzung von Kommunikationsdiensten wie WhatsApp ist aus rechtlicher Sicht äußerst problematisch. So liest WhatsApp die Adressbücher der Mitarbeiter aus und gibt die Daten an die Konzernmutter Facebook weiter – eine klare Verletzung der DSGVO. Andere Lösungen wie Slack, Hipchat oder der Facebook Messenger stehen hier auch nicht viel besser da. Zudem werden die Daten dieser Tools meist in den USA gespeichert und damit in einem Land, dessen allgemeines Datenschutzniveau mutmaßlich zu niedrig für die Erfüllung der DSGVO ist.
4. Dokumente über Public Clouds austauschen.
   Der Austausch von Dokumenten über Cloud-Dienste wie Google Drive, Dropbox oder Skype birgt ebenfalls große Risiken. Derartige Dienste verschlüsseln ihre Dateien meist nur unzureichend und machen sensible Tabellen oder Präsentationen damit auslesbar. Zum einen für die Anbieter selbst, aber auch Hackern wird die Arbeit damit deutlich erleichtert. Da diese Dienste ihre Daten ebenfalls meist in den USA speichern, sind sie außerdem den Zugriffen neugieriger US-Behörden ausgeliefert und häufig nicht DSGVO-konform.
5. Arbeit nach Hause schicken.
   Eine andere gängige Praxis in vielen Unternehmen verursacht ähnliche Probleme. Um eine Präsentation oder ein Angebot am Abend oder am Wochenende nochmal in aller Ruhe daheim zu überarbeiten, schicken Mitarbeiter sie sich an ihre privaten E-Mail-Adressen. Auch dort liegen die Dokumente dann häufig nicht ausreichend gesichert auf den Servern der Anbieter, die ebenfalls nicht selten ihren Sitz in den USA haben.
6. Speichermedien nicht schützen.
   Nicht nur bei der Übertragung und Speicherung der Kommunikationsdaten auf den Servern der Anbieter, sondern auch auf den Endgeräten liegt oft einiges im Argen. So werden die Daten in den lokalen Speichern von Smartphones, Tablets oder Desktop-PCs meist unverschlüsselt vorgehalten. Damit sind sie im Fall eines erfolgreichen Cyber-Angriffs ungeschützt; wird einem Mitarbeiter ein Mobilgerät gestohlen oder verliert er es, kann auch der Dieb oder Finder die Daten unter Umständen auslesen.
7. Passwortsicherheit vernachlässigen.
   Last but not least gehen Mitarbeiter meist immer noch zu lax mit den Passwörtern für ihre Kommunikationsdienste um. Sie verwenden Namen oder kurze Begriffe statt ausreichend lange und komplexe Zeichenfolgen. Das macht es Hackern sehr einfach, die Passwörter zu knacken. Nutzen Mitarbeiter komplexe Zeichenfolgen, können sie sich diese natürlich meist nicht auswendig merken und müssen sie deshalb irgendwo abspeichern. Das tun sie allerdings dann meist völlig ungeschützt irgendwo auf ihrem Rechner – wenn sie sie nicht gleich auf einem Post-it notieren und an ihren Bildschirm kleben.

„Unternehmen müssen ihre Mitarbeiter für einen sicheren und verantwortungsbewussten Umgang mit Kommunikationsdaten sensibilisieren. ,Katze123’ ist einfach nicht das beste Passwort“, sagt Daniel Eyring, Team Lead Engineering bei Brabbler. „Viele Gefahren können Unternehmen aber auch durch den Einsatz einer geeigneten Kommunikationslösung ausschließen. Sie sollten auf ein System setzen, das alle übertragenen und ruhenden Daten vollverschlüsselt – und zwar so, dass selbst der Anbieter des Systems sie nicht auslesen kann. Außerdem sollten sie europäischen Anbietern vertrauen, denn nur sie können DSGVO-Compliance sicherstellen und die Daten vor US-amerikanischen Behörden schützen.“

Weitere Informationen zum Thema:

datebsicherheit.de, 18.11.2017
EU-DSGVO: Palo Alto Networks untersuchte Kommunikationsprobleme in Unternehmen

[datensicherheit.de, 07.03.2018] Julian Totzek-Hallhuber, „Principal Solution Architect“ bei Veracode, geht in einer aktuellen Stellungnahme auf fünf Fehler in der Anwendungssicherheit ein, welche durch einfache Schritte leicht vermieden werden könnten. Die Aktivitäten der IT-Sicherheit erzielten häufig nicht die erwünschten Resultate. Totzek-Hallhuber: „Dass in solchen Fällen guter Rat teuer ist, ist eine Binsenweisheit. Denn oftmals sind es relativ simple Dinge, die die effiziente Umsetzung einer Sicherheitsstrategie behindern.“

1. Keine Risikobewertung von Anwendungen
   Kunden sollten eine Aufstellung ihrer geschäftskritischen Anwendungen anfertigen und diese in Risikogruppen einteilen. Dies sei deshalb wichtig, da für die Anwendungssicherheit keine unbegrenzten Mittel zur Verfügung stünden. Wenn ein Unternehmen zu Beginn seiner Sicherheitsoffensive beispielsweise 20 Anwendungen schützen möchte, müssten diejenigen Vorrang haben, die am meisten gefährdet sind.
   Das könnten Apps sein, die personenbezogene Informationen oder Kreditkartendaten verarbeiten. Die Bedeutung einer bestimmten Anwendung für den eigenen Geschäftserfolg zu kennen stelle sicher, dass dieser Anwendung die nötige Aufmerksamkeit in puncto Sicherheit, aber auch Performance zu Teil wird. Ein solches Risiko-Ranking von Apps sei ein guter Anfang für ein umfassendes Sicherheitskonzept.
2. Sicherheitsrichtlinien werden nicht effizient eingesetzt
   Sicherheitsrichtlinien würden normalerweise von IT-Sicherheitsexperten definiert und schrieben vor, welche Sicherheitslücken in einer Anwendung nicht vorkommen dürfen. Unternehmen erließen diese Richtlinien jedoch oft überstürzt und planlos – und schafften auf diese Weise eher mehr Chaos als Ordnung. Wenn in einem Sicherheitsprogramm, das 20 Anwendungen umfasst, zehn verschiedene Richtlinien zur Anwendung kämen, stifte das nur Verwirrung.
   Ein weiterer Fehler sei, die Regeln zu eng zu stecken, speziell für neue Apps. Dadurch werde nicht nur die Compliance negativ beeinflusst, es berge auch einiges Frustrationspotenzial für das Entwickler-Team. Außerdem würden teilweise Richtlinien verwendet, die einfach nicht relevant seien. Eine Legacy-Anwendung, die nicht mehr weiterentwickelt wird, brauche zum Beispiel keine vierteljährlichen Scans.
3. Die Führungsebene verfügt nicht über die richtigen Zahlen
   Zahlen und Metriken gebe es in der IT-Sicherheit zuhauf. Doch welche davon sind für einen CIO tatsächlich von Interesse? Welche lassen sich in harte Business-KPIs übersetzen? Dafür biete sich die konkrete Anzahl der Anwendungen an, die ein Sicherheitsprogramm umfasst.
   Außerdem lasse sich der Erfolg des Programms sehr gut beurteilen, wenn man die Compliance-Rate über längere Zeit misst. Danach könne der Sicherheitschef eines Unternehmens sehr gut beurteilen, ob sein Sicherheitsprogramm gut performt, oder ob noch Nachbesserungsbedarf besteht.
4. Entwickler sind nicht in den Planungsprozess involviert
   Wenn die Entwickler nicht wissen, was von ihnen genau erwartet wird, um eine Anwendung sicher zu machen, könne man von ihnen auch keinen Erfolg erwarten. Doch es gehe nicht darum, dem Entwicklungs-Team einfach nur zu sagen, was es tun soll. Stattdessen sollten Entwickler von Anfang an in den Strategiefindungsprozess einbezogen werden.
   Dadurch ergäben sich Synergien und neue kreative Ideen könnten entstehen. Ganz konkret könnten Unternehmen eine interne IT-Sicherheitsseite einrichten, auf der alle Beteiligten Informationen teilen können. Der Schlüssel zum Erfolg eines Sicherheitsprogramms sei effektive und transparente Kommunikation.
5. Unternehmen holen sich keine Hilfe
   Ein erfolgreiches Anwendungssicherheitsprogramm sei eine Partnerschaft zwischen einem Unternehmen und seinem IT-Sicherheitsdienstleister. Jeder Partner bringe in diese Kooperation seine eigenen Kenntnisse ein.
   Die Kompetenzen und Erfahrungen eines externen Partners ermöglichten eine andere, differenzierte Perspektive auf die Sicherheitsproblematik. Mit ihrem Wissen aus früheren Projekten könnten die IT-Sicherheitsexperten von außen die Formulierung und Umsetzung einer Strategie von Anfang an begleiten und so dabei helfen, unnötige Fehler zu vermeiden.

[datensicherheit.de, 08.06.2016] Eine wesentliche Grundlage für Entscheidungen im Einkauf sind bei kleineren und auch mittelständischen Unternehmen (KMU) zumeist noch immer Berechnungen mit Tabellenkalkulations-Software. Schleichen sich jedoch in diese Berechnungen Fehler ein, so kann dies für Unternehmen enorme Folgekosten verursachen.

94 Prozent der Arbeitsblätter fehlerhaft

Laut Raymond Panko, Ökonom an der Universität Hawaii, sind rund 94 Prozent der Arbeitsblätter des wohl verbreitetsten Programms zur Tabellenkalkulation, „Excel“, fehlerhaft.
Gerade in Unternehmen kämen solche Fehler leider sehr häufig vor. So sei die Anzahl der namhaften Unternehmen und Organisationen, die in diesem Kontext schwerwiegende Fehler verantworten müssten, groß – die Universität Oxford, die US-Notenbank, JP Morgan Chase und Fidelity Investment seien nur einige von ihnen. Die Folgen hätten dabei oft ein immenses Ausmaß.

Spezialsoftware für den Beschaffungsprozess empfohlen

In einer aktuellen Stellungnahme von Kerkhoff Consulting wird darauf hingewiesen, dass Expertenstimmen zu Folge rund die Hälfte der Berechnungen, auf denen das Handeln von Unternehmen fußt, fehlerhaft sind. Da stellt sich die Frage, wie die hohe Fehlerhäufigkeit in Unternehmen, die es eigentlich besser wissen müssten, zustande kommt.
Die Problematik liege zu kleinen Teilen in den fehlenden Qualitätskontrollen, zum größten Teil jedoch in dem Umstand, dass die Tabellenkalkulation häufig in „Excel“ aufgesetzt worden sei.
Die Verwendung eines Systems, welches beispielsweise auf den Beschaffungsprozess ausgerichtet ist und von Fachleuten dafür konzipiert wurde, würde diese Fehler vermeiden – so ließe sich die Transparenz schaffen, mit der Unstimmigkeiten in Berechnungen auffielen und schließlich behoben werden könnten. Kerkhoff Consulting bietet als Lösung „Procurement 4.0“ an.

Es gebe viele Beispiele dafür, wie deutsche Medien ihrer Verantwortung nicht gerecht werden.
Oft fehlt es schon an der schlichten Bereitschaft, eigene Fehler zu korrigieren.
„BILDblog für alle“ sieht die Qualität der Berichterstattung aktuell auch gerade durch sinkende Werbeerlöse und der Medienumbruch bedroht und fühlt sich der Aufklärung durch Veröffentlichung von „Fehlern und Abgründen“ verpflichtet – angefangen bei kleinen Pannen bis hin zur regelrechten Desinformation.