Nicht nur Herbstzeit ist Viruszeit – wie Sie Ihre Datenbanken rund ums Jahr vor bösen Geistern schützen

Nicht nur Herbstzeit ist Viruszeit – wie Sie Ihre Datenbanken rund ums Jahr vor bösen Geistern schützen

Immer öfter wird sich unberechtigter Zugang zu Websites oder ganzen Datenbanken verschafft, mit denen man den (Arbeits-)Alltag der Zielperson lahmlegen kann – und noch weitaus Schlimmeres. Organisierte Kriminelle, die ihre Machenschaften in Form von Hackerangriffen ausführen, sind die Kehrseite des digitalen Fortschritts. Wo immer sich eine neue Sphäre auftut, wie positiv und innovativ sie auch sein mag, wird es immer ausführende Organe geben, die dies auf ihre negative Art und Weise benutzen. Daten sind das neue Gold des modernen, digitalen Zeitalters. Wir widmen uns daher in diesem Blogbeitrag dem Schutz des digitalen Goldes, der persönlichen und geschäftlichen Daten. Den Datenverlust oder das Einschleusen System-zerstörender Viren kann den betroffenen Unternehmen nämlich teuer zu stehen kommen. Und das wollen natürlich weder Kunde noch Auftragnehmer.

Mit welcher Art von Attacken muss ich heutzutage rechnen?

Digitale Kriminelle wollen oft nehmen und/ oder geben – beides ist in diesem Falle schlecht. Was sie nehmen: Empfindliche Daten von Datenbanken, Kreditkarten oder Kundeninformationen. Was sie geben: Viren und Schadcodes. Nicht beides zwingend, aber beides natürlich schädlich.

Wie funktioniert das?

Die bewährte Trojaner-Methode, bei der man durch ein vertrauenswürdiges Objekt etwas Zerstörerisches einschleust, wird nach wie vor oft verwendet. Das funktioniert beispielsweise durch Sicherheitslücken in Seiten, bei denen das Cross-Site.Scripting (Abkürzung XSS) zum Ausführen gebracht wird: Ein zusätzlicher, schädlicher Code, der den Kontext des geschriebenen Codes zum Nachteil ändern kann, um z.B. Malware reinzuschleusen oder Informationen wie Passwörter abzugreifen. Meist gehen diese Attacken von scheinbar vertrauenswürdigen Quellen aus, die wiederrum schon im Vorfeld infiltriert wurden.

Checkliste für ein sicheres Content-Management-System

  • Eine qualitative Sicherheitssoftware mit entsprechenden Sicherheitseinstellungen installieren und vor allem regelmäßige Updates durchführen. Bei Schutzsoftwares zu sparen, erweist sich oftmals als Fehlkalkulation, also sollte hierbei keinesfalls gespart werden.
  • Tests Tests Tests. Sie können nicht oft genug durchgeführt werden. Man sollte regelmäßig von der zuständigen IT Abteilung absichern lassen, ob das System rund läuft. Verfügt man nicht über genug Ressourcen wie Zeit, Geld oder Testing Methoden, sollte ein externer Dienstleister ins Boot geholt werden, um diese Aufgaben zu erledigen und Ihr Team entlasten.
  • Sparen Sie nicht am Code! Dieser sollte meist aufwändig aufgesetzt werden und mehrere Absicherungen gegen Weiterleitungen auf eine (fälschlicherweise gleichnamige) URL der Hacker enthalten. Hierbei ist höchste Feinarbeit der Programmierer erforderlich.
  • Schwachstellenanalyse ist alles. Auch nachdem die Website/Datenbank/etc. steht und alles zu laufen scheint. Regelmäßige Fehleranalysen und Firewall Updates sind ein Muss, um langfristige Sicherheit zu gewährleisten.
  • Sichere Server einsetzen, die nicht Schwachstellen oder gar die Struktur der Datenbanken preisgeben können. Der ein oder andere mag es sich schwer vorstellen, aber versierte Web-Hacker können auch aus Servermeldungen und Fehlermeldungen die Struktur der Datenbank nachkonstruieren. Sollten diejenigen also Zugriff auf Meldungen dieser Art haben, könnte auch das eine gravierende Schwachstelle sein. Sichere Server sind die Mauern, die nichts durchsickern lassen. Am besten man verlässt sich hierbei nicht auf Server, bei denen unklar ist, was mit den Daten geschieht und wo sie überhaupt gelagert werden.
  • Cookies, Cookies, ich will Cookies! Ob im Kindergarten, im Büro oder zu Hause beim Abendessen. Etwas, was man sicherlich öfter zu hören bekommt als beim Internet Surfing. Fatal! Denn Cookies sollten auch in der digitalen Sphäre geschätzt werden. Verschlüsselte und signierte Cookies haben nämlich den strategischen Vorteil Sitzungsdiebstähle zu verhindern. So kann man diese nämlich einfach miteinander vergleichen und sehen, ob die Cookie-Signatur verändert wurde. Verschlüsselungen sind also nicht nur in Form von einem HTTPS wichtig.

Alles in einem ist vorsehen immer besser als nachsehen. Wir hoffen, wir konnten einen verständlichen Überblick geben und sind als Softwaredienstleister für professionell aufgesetzte Datenbanken und entsprechenden PlugIns für Sie unterstützend an Ihrer Seite.

Outtasking – aber wohin?

Outtasking – aber wohin?

Zeit, Energie und gleichzeitig Kosten sparen – klingt wie das Paradies für jeden Arbeitgeber und Arbeitnehmer. Das neue Zauberwort hierfür lautet IT Outsourcing.
Dies kann von kleineren Wartungsarbeiten über Erweiterungen von Datenbanksystemen bis hin zu größeren Kooperations-Projekten reichen. Unter Outsourcing zählt ebenso das Outtasking, bei dem Teilaspekte eines Prozesses ausgelagert werden. Dies könnte ebenfalls ein guter Zwischenweg sein, wenn Unternehmen noch unsicher sind, ob sie den Weg des Auslagerns gehen wollen.
Das Ziel ist – so oder so -, die eigentliche Arbeit der Unternehmen in ihrer Effizienz zu maximieren. Indem man Schwachstellen in Arbeitsprozessen erkennt und von IT-Dienstleistern lösen lässt, haben Mitarbeiter den Kopf frei für die eigentliche Zielsetzung. Wenn die Expertise in bestimmten Bereichen liegt, sollte der Arbeitsalltag sicherlich nicht von Aufgaben vereinnahmt werden, die einen letztendlich unnötig aufhalten, aber nun mal gemacht werden müssen, um weiter voranzukommen. Meistens setzen hier die externen IT Dienstleister an, um Optimierungschancen zu analysieren, Automatisierungstools zu entwickeln oder andere kleinere Mängel zu eliminieren.

Diese Chancen werden vor allem im Banken- und Finanzsektor, in der Industrie und in der Telekommunikationsbranche genutzt. Somit ist es nicht verwunderlich, dass immer mehr Unternehmen diese Unterstützung nutzen, um effizient arbeiten zu können.

Outsourcing – ein Eldorado ohne Gefahren und Risiken?
Klar, Arbeit delegieren, um stressfreier voranzukommen, klingt erstmal nach der Ideallösung schlechthin. Outsourcen impliziert jedoch auch: Ich gebe meine Ressourcen an jemanden von außerhalb ab. Wichtige Daten und die damit einhergehende Verantwortung werden ausgehändigt. Datenskandale dürfen sich gerade Großunternehmen hierbei nicht erlauben. Auftraggeber wie Auftragnehmer haben sich bei einem Outsourcing-Vertrag unbedingt an das Bundesdatenschutzgesetz §9 zu halten. Eine unachtsame Handhabung von Daten ist in jedem Fall ein Risiko, das umgangen werden kann, wenn man sich die Zeit nimmt sich auf geschäftlicher Ebene besser kennen zu lernen und sich vertraglich umfassend absichert. In unserem Beitrag zur Datenschutz Grundverordnung haben wir bereits die geahndeten Konsequenzen erläutert.

outside resource using – aber wie?
Was als Ersparnis auf jeder Ebene gedacht ist, kann ganz schön nach hinten losgehen, wenn das Outsourcing falsch gewählt ist. Verantwortungsgefühl spielt natürlich eine essentielle Rolle – die richtige Kommunikation jedoch mindestens genauso. Geht die Kommunikationsqualität aufgrund von Verständnisfehlern verloren, sei es wegen der Sprache oder wegen Klarheit in den Ansprüchen und Umsetzungswegen, ist dies alles andere als zielführend. Was als Nutzenmaximierung gedacht war, kann sich schnell als Qualitätsverlust erweisen. Der Sinn der Automatisierung entfällt, wenn aufgrund von Kommunikationsproblemen mehrere Parteien daran arbeiten müssen, den delegierten Auftrag für alle verständlich zusammenzuführen. So gestalten sich etwa Bug-Behebungen bei Partner, die schneller und leichter zu erreichen sind, deutlich einfacher. Inländisches Outsourcing ist aus diesem Grund immer mehr im Kommen und erweist sich als größerer Nutzen, da Überarbeitungsschleifen besser vermieden werden können.

Outsourcing als Geschäftsmodell
Outsourcen an Studenten – Unser Geschäftskonzept auf 3 Wörter runtergebrochen.
Wieso das funktioniert? Weil auch unsere Arbeitsprozesse sich bis zu einem gewissen Grad aus dem oben erwähnten „Outtasking“ zusammensetzt. Da mindestens eine Teil-Auslagerung von Projekten und Prozessen stark benötigt wird, Kompetenz und Preiswertigkeit jedoch selten vorteilhaft zu vereinbaren sind, setzen wir an der Nachfrage-Angebot-Problematik an. Die professionellen Berater von we {code} it lernen das Unternehmen und die Optimierungschancen im Arbeitsprozess kennen. Im nächsten Schritt konzipieren wir eine Lösung für Sie. Das Entwickeln dieser Lösung übernehmen nun unsere kompetenten und umfassend getesteten Studenten und Studentinnen aus unserer we {code} it Community. Aufgrund des SCRUM-Prinzips, mit dem wir in regelmäßigen Abständen auf Seite des Auftraggebers und Coders vermitteln, kann unser Team von Projekt- und Qualitätsmanagern jeden Schritt überwachen und – falls nötig – optimieren. we {code} it arbeitet mit fundiertem Wissen und löst mit einem solchen Geschäftsmodell die Nachfrage des Outsourcens. Dabei wird die inländische Wirtschaft gefördert, indem Studenten professionell geschult werden, um qualifizierte IT Fachkräfte der Zukunft zu werden. Gleichzeitig kursiert der wirtschaftiche Austausch innerhalb des deutschen Marktes, was ihn wiederrum stärkt.

Zum Schutz unserer Bürger: Neue Datenschutz-Grundverordnung

Zum Schutz unserer Bürger: Neue Datenschutz-Grundverordnung

Das digital pioneers-Magazin t3n warnt Startups in ihrem neuesten Artikel vom 28.03.2017, dass 2018 für Jungunternehmer in der Digitalwirtschaft Gefahren mit sich bringt.

Das europäische Datenschutzrecht wird ab Mai 2018 verschärft.
Dies bringt viele Anpassungsanforderungen vor allem an digitale und insbesondere jüngere Unternehmen mit sich. Diese haben oft nicht die Kapazitäten und die Zeit sich um rechtliche Feinheiten zu kümmern. Manche der Jung-Unternehmen sind nicht ausreichend informiert, haben die Gesetzeslage nicht umfassend im Blick, wohingegen Großunternehmen meistens Fachleute für genau diesen Bereich eingestellt haben. Die Konsequenz einer Verstoßung gegen die Richtlinien von Datenschutzgesetzen könnte eine Strafe von 4% des Jahresumsatzes bis hin zu 20 Millionen Euro sein.

Was genau wird von uns digitalen Unternehmen erwartet?
Die neuen Datenschutzregeln (EU-DS-GVO) schreiben zukünftig vor, dass Unternehmen transparenter kommunizieren müssen im Hinblick auf personenbezogene Daten und diese verarbeiten und dokumentieren müssen. Damit möchte die EU für mehr Datenschutz der Bürger sorgen und fahrlässigen Umgang mit Daten verhindern.

Big Data – Fortschritt und Risiko zugleich
Hackerattacken haben sich in letzter Zeit deutlich vermehrt und Angriffe werden auf digitaler Ebene mit den Waffen von empfindlichen und persönlichen Daten ausgetragen. Selbst das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, kann sich nicht jeder groß aufgefahrenen Cyberattacke widersetzen, indem sie die Hacker ausfindig machen. Dies war beispielsweise bei Telekom der Fall, als ein Großangriff 900.000 Router deutschlandweit ausfallen ließ. Bis heute konnte die Quelle des Angriffs nicht ermittelt werden. Nun muss eine höhere Instanz einschreiten: Die Politik muss sich bewusst machen, was digitale Datenschutzverletzungen zur Folge haben und in welchem Umfang ganze Kriege ausgefechtet werden können. Digitalisierung bringt Fortschritt und Potential, doch leider birgt es auch neue Gefahren, gegen die die Gesellschaft womöglich nicht ausreichend geschützt ist. Daher wird die Datenschutz-Grundverordnung geschärft und präzisiert.

Konsequenzen werden gezogen
Dabei ist zu beachten, dass unübersichtliche und versteckte Datenschutzerklärungen sowie Formulierungen wie „Durch das Anlegen eines Accounts willigen Sie ein, dass wir Ihre Angaben zu Marketingzwecken durch Partnerfirmen nutzen.“ keineswegs rechtsgültig sind, wie t3n betont. Das Dokumentieren von empfindlichen Daten insbesondere im Gesundheits- oder Personalbereich muss präzisiert werden, die Sicherheitsanforderungen verschärft. Dazu gehört unter anderem, dass Unternehmen explizit hervorheben müssen, dass sie Daten nicht an Drittländer außerhalb der EU weitergeben. Datenschutzverzeichnisse sind zudem unablässig.

Sicherheit für Unternehmen und Kunden
Das Magazin t3n rät in dem Zusammenhang einen internen oder externen Compliance-Verantwortlichen zur Rate zu ziehen, der ein fundiertes Wissen über die aktuelle Rechtslage hat. Dieser kann Verträge und weitere wichtige Dokumente prüfen und nach den aktuellen Richtlinien überarbeiten. Ein durchaus sinnvoller Rat. Doch da Experten nunmal ihren Wert haben, bestärken wir hier in dem Artikel gerade digitale Startups und Jungunternehmer in der Digitalwirtschaft darin, sich auch eigenständig die Mühe machen zu können: Einfach die EU-Datenschutz-Grundverordnung (EU-DS-GVO) gründlich lesen und sein Wissen alle paar Monate dahingehend auffrischen. Dies ist durchaus mit viel Zeit und administrativen Zusatzlasten verbunden, doch es lohnt sich. Als Gründer, Geschäftsführer und Fachabteilungsleiter kommt man nicht umhin up-to-date zu bleiben, sei es zur politischen, rechtlichen oder wirtschaftlichen Lage. Zudem will sich sicher niemand in die Lage bringen, Strafgelder zu zahlen, die womöglich immense Verluste bishin zum Bankrott bedeuten.

Big Data ist das Gold unserer Zeit“, sagen die digital pioneers und wir geben ihnen zu 100% recht. Die Rechte unserer Mitmenschen müssen gewahrt, geschützt und vor allen Dingen gefördert werden. Mehr Transparenz in einer noch teilweise unübersichtlichen Digitalkultur ist das Ziel, das wir gemeinsam verfolgen sollten.