E-Mailsicherheit: Anlagenfilterung
In verschiedenen Virenschutzlösungen aber auch mit dem MicrosoftExchange Server können Sie mithilfe der Anlagenfilterung steuern, welche Anlagen Benutzer empfangen können. Zahlreiche Anlagen enthalten schädliche Viren, die der Firma beachtlichen Schaden zufügen können.
Es empfhiehlt sich, folgende Dateitypen beim E-Mailempfang auszufiltern (Die Liste erhebt keine Anspruch auf Vollständigkeit):
*.ade, *.adp, *.asp, *.asx, *.bas, *.bat, *.chm, *.clp, *.cmd, *.com, *.dbx, *.docm, *.dotm, *.exe, *.hlp, *.hta, *.htb, *.inf, *.ink, *.ins, *.isp, *.js, *.jse, *.mbx, *.mht, *.msc, *.msi, *.msp, *.mst, *.nch, *.pcd, *.php, *.pht, *.pif, *.prf, *.rar, *.reg, *.scr, *.scr, *.sct, *.shb, *.shs, *.swf, *.vb, *.vbe, *.vbs, *.wms, *.wsc, *.wsf, *.wsh, *.xlm, *.xlsb, *.xltm
Seit April 2016 gibt es für Streitigkeiten mit Verbrauchern ein neues Verfahren. Die Verbraucherschlichtung ist im Verbraucherstreitbeilegungsgesetz (VSBG) geregelt und darf nur von besonderen Schlichtungsstellen durchgeführt werden. Streitigkeiten zwischen Handwerkern und Verbrauchern können bei der sog. Allgemeinen Verbraucherschlichtungsstelle (www.verbraucher-schlichter.de) behandelt werden. Das Verfahren darf nur von Verbrauchern beantragt werden und wird ausschließlich online durchgeführt.
Ab Februar 2017 müssen Unternehmer nach dem Verbraucherstreitschlichtungsgesetz Verbrauchern Auskunft geben, ob sie im Fall eines Rechtsstreits an einer Verbraucherschlichtung teilnehmen. Beachten Sie hierzu die nachfolgenden Information:
Informationsmaterial, Checklisten und weiterführende Links zur IT-Sicherheit im Handwerk
https://www.it-sicherheit-handwerk.de/materialien/checklisten.html
https://vds.de/cyber/quick-check/
Verstöße gegen den Datenschutz sind keine Kavaliersdelikte mehr. Was bisher selbstverständliche Praxis war, kann heute für Handwerker zur Stolperfalle werden. Datenschutz wird mit seinen formalen Dokumentations- und Informationspflichten jedoch häufig als bürokratisch empfunden. „Im betrieblichen Alltag wird dem Thema oftmals nicht die gebotene Priorität eingeräumt. Das sollten die Unternehmen schnell ändern“, rät Holger Schwannecke, Generalsekretär des Zentralverbandes des Deutschen Handwerks (ZDH).
Schon Handwerksbetriebe, die ehemalige Kunden mit einem Newsletter über neue Angebote auf dem Laufenden halten wollen, müssen Daten erfassen. Hier gilt der Grundsatz: Entweder ein Gesetz erlaubt die beabsichtigte Datennutzung ausdrücklich oder derjenige, dessen Daten genutzt werden sollen, willigt in die Nutzung ein. „Gerade die kundenorientiert arbeitenden Handwerksbetriebe müssen diesen Grundsatz verinnerlichen und ihre Datenverarbeitung danach ausrichten“, so Schwannecke. Denn liegt das Einverständnis nicht vor, ist jede Erhebung, Speicherung und Nutzung von Kundendaten zunächst einmal verboten.
Das Bundesdatenschutzgesetz verpflichtet die Betriebe zudem zur Bestellung eines Datenschutzbeauftragten, sobald regelmäßig mehr als neun Mitarbeiter persönliche Daten automatisiert verarbeiten. Hierfür reicht bereits der Zugriff auf die in Excel gespeicherte Kundendatei aus.
Zum vielfältigen Aufgabenspektrum eines betrieblichen Datenschutzbeauftragten gehört die Beratung die Geschäftsführung in allen datenschutzrechtlichen Angelegenheiten. Werden beispielsweise neue Verfahrensabläufe eingeführt, sind diese auf Risiken zu prüfen und ggf. Empfehlungen für alternative Lösungen auszusprechen. Auch der Schulung und Sensibilisierung der Mitarbeiter für den Datenschutz kommt eine hohe Bedeutung zu.
Auch wenn keine Pflicht zur Bestellung besteht, empfiehlt es sich, einen Mitarbeiter als Datenschutzexperten fortzubilden. „Die Sensibilität von Kunden für den datenschutzkonformen Umgang mit ihren Daten nimmt spürbar zu. Hierauf sollten sich die Betriebe einstellen“, so Schwannecke.
Auch allgemein müssen datenschutzrelevante Betriebsabläufe künftig anders dokumentiert werden. Mit der europäischen Datenschutz-Grundverordnung wurde das bestehende nationale Recht moderat weiterentwickelt. Eine wichtige Neuerung betrifft etwa das Transparenzgebot: Kunden müssen künftig bei Erhebung von Daten zahlreiche Informationen zur Verfügung gestellt werden. Diese reichen von Angaben der Kontaktdaten bis hin zu Ausführungen über die Zwecke der Datennutzung. Die europäischen Vorschriften treten ab Mai 2018 in Kraft und sind künftig in der Datenschutz-Grundverordnung selbst nachzuschlagen.
Zuständig für die Unterstützung und Beratung in Datenschutzfragen sind die Datenschutzbehörden der Bundesländer. Bevor die Aufsichtsbehörde, ein privater Datenschutzdienstleister oder ein spezialisierter Rechtsanwalt kontaktiert werden, empfiehlt es sich, zunächst bei seiner Innung, dem Verband oder der Handwerkskammer Rat zu suchen. Die Handwerksorganisationen sind mit den Strukturen und typischen Betriebsabläufen von Handwerksbetrieben vertraut und bieten praxisgerechte Lösungen.
Ransomware wie Crypto Locker oder Locky, sind Trojaner, die meisten von einem Client aus anfangen Daten zu verschlüsseln und dabei auch vor Netzlaufwerken nicht halt machen. Dabei nützt auch der beste Virenschutz auf dem Fileserver nichts. In nur wenigen Fällen gibt es die Möglichkeit, die verschlüsselten Daten wiederherzustellen. Ohne ein Backup kann der Schaden schnell sehr groß werden.
Für Windows-Server gibt es aber mittels der Dateiprüfung über den Ressourcen-Manager die Möglichkeit, den Schaden möglichst gering zu halten.
Im Blog „Franky’s Web“ steht, wie es geht: https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/
Berlin, 20. Dezember 2015 – Junge Unternehmen müssen zahlreiche rechtliche Vorgaben bei der Buchführung beachten, gleichgültig ob Nagelstudio oder Internet-Start-up. Eine zentrale Frage ist in diesem Zusammenhang, wie die Unternehmen mit steuerrelevanten E-Mails umgehen sollen. „Zahlreiche betriebliche Prozesse wie Bestellungen oder der Versand von Rechnungen werden heute per E-Mail abgewickelt“, sagt Jürgen Biffar, Vorstandsvorsitzender des Kompetenzbereichs ECM im Bitkom. Die rechtliche Grundlage dafür bilden die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“. Der Digitalverband Bitkom und der Verband elektronische Rechnung (VeR) haben die wichtigsten Anforderungen an die elektronische Post in ihrem gemeinsam ausgearbeiteten Leitfaden „E-Mails und GoBD – 10 Merksätze für die Unternehmenspraxis“ zusammengestellt.
Die zehn Merksätze im Überblick:
Die 10 Merksätze „E-Mails und GoBD“ stehen ab sofort kostenlos zum Download zur Verfügung unter:
https://www.bitkom.org/Bitkom/Publikationen/E-Mails-und-GoBD-10-Merksaetze-fuer-die-Unternehmenspraxis.html
Google hat am 21. April 2015 ein großes Update seiner Suchmaschine gestartet. Wichtigste Änderung: Websites ohne mobile Ansicht (Responsive Webdesign) droht nun ein schlechteres Ranking in den Suchergebnissen. Zudem gilt eine Seite lt. Google als „mobile-friendly“, wenn kein Flash verwendet wurde. Darüber hinaus sollten Texte auch ohne Zoomen auf Mobilgeräten lesbar sein und die Darstellung der Website sollte sich automatisch an die jeweilige Bildschirmgröße anpassen. Der Google Algorithmus kennt da kein Pardon: Entweder man passt seine Webseiten an oder man rutscht in den Suchergebnissen weiter nach hinten. Sollten Sie unseren Rahmenvertrag mit web4business nutzen, können Sie Ihre Webseite mit wenigem Mausklicks auf eine mobilfähige Webseite kostenlos umschalten.
Ob bei Google, Facebook oder in der Dropbox, viele Online-Accounts sind gespickt mit sensiblen Daten – eine begehrte Ware in einem immer komplexeren Umfeld. Eine 100-prozentige Sicherheit vor Datenklau gibt es leider nicht und so zählt jede Hürde. Die Zwei-Faktor-Authentifizierung (2FA) ist ein bewährtes Mittel, um seinen Online-Konten ein erhöhtes Maß an Sicherheit zu verschaffen.
Es gibt die unterschiedlichsten Sicherheitsmethoden, die Online-Aktivitäten im Netz stärker abzusichern – die gängigste Methode ist das Einsetzen eines Passworts, das jemanden bei der Anmeldung zu einem Internetdienst verifizieren soll. Leider ist die gängige Praxis hierbei aber so, dass nur ein Passwort in Verbindung mit der E-Mail-Adresse für viele verschiedene Dienste genutzt werden. Für Kriminelle ein leichtes Spiel, denn die E-Mail-Adresse, die als Login-Name dient, ist kein Geheimnis. Ist ein Zugang einmal ausgespäht, steht dem Identitätsdiebstahl nichts mehr im Wege.
Viele der großen Anbieter haben mittlerweile reagiert und bieten Möglichkeiten, die Passworteingabe noch stärker absichern – beispielsweise die Zwei-Faktor-Authentifizierung. Sie dient dem einwandfreien Identitätsnachweis eines Nutzers durch die Kombination zweier Komponenten. Laut Definition kann das etwas sein, das ein Nutzer weiß, besitzt oder das untrennbar zu ihm gehört.
Gängige Beispiele im Alltag finden sich im Bankwesen – am Geldautomaten oder im Online-Banking. Durch die Kombination einer Bankkarte, die in der Regel nur der Eigentümer bei sich trägt, und dem PIN kann eine Transaktion eingeleitet werden. Beim Online-Banking ist es die Kombination aus PIN und TAN, die zur Überprüfung an das Smartphone des Kontoeigners verschickt wird, sobald eine Transaktion ausgelöst werden soll. In beiden Fällen reichen die Zugangsdaten allein nicht aus, um eine Überweisung einzuleiten oder Geld vom Konto abzuheben.
Die Zwei-Faktor-Authentifizierung als Identitätsnachweis ist also nur dann funktionsfähig, wenn beide benötigten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Identität nicht zweifelsfrei feststellen. Der Zugriff, der durch die Zwei-Faktor-Authentifizierung gesichert ist, bleibt verweigert.
Das System der Zwei-Faktor-Authentifizierung wird mittlerweile neben Microsoft, Google und Facebook von vielen Diensten angeboten – leider wissen das nur wenige. Auf https://twofactorauth.org gibt es eine Übersicht und so funktioniert es:
Je nach Anbieter werden die Codes per SMS übermittelt oder mittels einer Smartphone-App bereigestellt. Als App eignet sich der kostenlose Google Authenticator, aber auch HDE OTP oder Free OTP. Letztere Apps sind Open Source Produkte. OPT steht für One Time Password. Die Apps generieren alle 60 Sekunden neue Zugangscodes.
Bei PayPal nennt sich die Zwei-Faktor-Verifizierung Sicherheitsschlüssel. Um diesen zu aktivieren loggt man sich in sein PayPal-Konto ein; klickt, um sein Benutzerprofil zu bearbeiten, auf das kleine Zahnrad oben rechts und danach auf den Reiter Sicherheit.
Hier kann man verschiedene wichtige Einstellungen vornehmen wie z.B. zwei Sicherheitsfragen definieren, eine PIN für den Kundenservice hinterlegen und natürlich den Sicherheitsschlüssel einrichten – ein Assistent führt durch die notwendigigen Schritte. Den Sicherheitsschlüssel erhält man dann per SMS. Alternativ kann man sich einen kostenpflichtigen Hardwareschlüssel im Kreditkartenformat zulegen.
Um die Zwei-Faktor-Authentifizierung bei Facebook einzurichten, geht man über die Facebook Konto-Einstellungen in die Rubrik Sicherheit und aktiviert dort den Unterpunt Anmeldebestätigung. Nach Aktivierung wird ein Code abgefragt, sobald man sich von einem fremden Browser einloggt. Damit der Sicherheitscode übermittelt werden kann, muss eine Telefonnummer angegeben werden, damit er per SMS verschickt werden kann.
Um bei Goolge die Zwei-Faktor-Verifizierung einzurichten, loggt man sich in sein Konto ein, klickt auf seinen Accountnamen und gelangt so über den Menüpunkt Konto zur Kategorie Sicherheit. Dort kann man die 2FA einrichten. Das System funktioniert hier ähnlich wie bei Facebook: Meldet man sich von einem unbekannten Browser oder Gerät an, wird der Sicherheitscode, den man einrichtet, per SMS, Sprachanruf oder mobiler App verschickt. Man kann auch ganz sicher gehen und angeben, dass bei jeder Anmeldung die Abfrage ausgelöst werden soll. Damit auch weiterhin Programme auf Google-Konten zugreifen können, müssen zusätzliche Passwörter eingerichtet werden. Diese speziellen Passwörter gelten dann nur für die jeweilige Verwendung.
Auch für den Cloud-Speicher Dropbox lässt sich eine 2FA einrichten. Die Vorgehensweise folgt dem gleichen Muster wie bei den anderen Diensten: Sobald man sich eingeloggt hat, geht man in den Kontoeinstellungen in die Rubrik Sicherheit, welche die Installation der Zwei-Faktor-Authentifizierung über den Bereich Zweistufige Überprüfung einleitet. Auch hier ist das Ziel, einen Sicherheitscode einzurichten, der eingegeben werden muss, sobald sich ein Nutzer von einem unbekannten Browser oder Gerät einloggt. (wi)
