Arconda Systems Logo
Safety Management
Safety Management
Bird Control
Bird Control
Compliance Management
Compliance Management

Aktuelles

17.04.2019

Release: Version 16 der 3CX Telefonanlage mit neuen Funktionen & Verbesserungen

 

Die 3CX Telefonanlage wurde mit der Version 16 entscheidend weiterentwickelt und um neue Funktionen ergänzt. 

Es ist jetzt möglich, Kontakte direkt aus Office 365 zu importieren. Mit der überarbeiteten Warteschleifen-Engine können zudem komplexere Regeln zur Anrufweiterleitung definiert werden.

Die Funktion „Digitaler Rezeptionist“ unterstützt jetzt Skripte und DMTF-Code basierte Aktionen. Übermittelt ein Anrufer bspw. seine Kundennummer mittels Nummernfeld (DMTF), so kann der entsprechende Datensatz automatisch vom nachgelagerten System abgerufen und angezeigt werden.

Weitere Verbesserungen:

Überarbeitete Apps:

  • Android & iOS – Apps:
    • Emoji-Support
    • Dokumentenversand

  • Webclient:
    • Emoji-Support
    • Feedback-Mitteilungen
    • Dokumentenversand- und Suchfunktion
    • Sennheiser-Headset Unterstützung

  • Webkonferenzen:
    • Beitritt einer Konferenz per Telefon (via Anwahl der Konferenznebenstelle)
Sicherheits-Updates und -Funktionen:

  • Optional automatische tägliche Sperrlisten-Aktualisierung über eine 3CX-Onlineliste zur Abwehr von Spam/Werbe-Anrufen
  • Export-Import von IP-Sperrlisten
  • Zugriffsregulierung auf die 3CX-Telefonanlage anhand der IP-Adresse um bspw. nur internen Zugriff auf die Anlage zu erlauben
  • Neue Optionen zum Zurücksetzen eines Passwortes in der 3CX-Verwaltungskonsole
  • Neue Checkverfahren und Warnungen zu unzureichenden Sicherheitseinstellungen bei Nebenstellen

 
10.04.2019

Microsoft OneDrive mit zahlreichen Schwächen behaftet

 

Microsoft OneDrive for Business ermöglicht es Endanwendern, Dokumente zu teilen und freizugeben. Es handelt sich um einen Online-Speicher mit Kollaborations-Features, der allerdings eine Vielzahl an Schwächen aufweist:

Beschränkungen in Speicher und Dateigröße:

Die Standard-Speicherkapazität pro Benutzer liegt bei lediglich 1TB und kann nur mit Hilfe des Office 365 Administrators auf 5TB pro Benutzer erhöht werden. Es können zudem keine Dateien größer als 15GB hochgeladen werden.

Fehlende App-Integration von Drittanbieter Apps:

Im Gegensatz zum OneDrive für den persönlichen Gebrauch, lässt sich das OneDrive for Business nicht mit Apps von Drittanbietern nutzen. Eine Synchronisation des Accounts mit Kalendern oder Messageboards ist nicht möglich.

Datensicherheit:

Die Daten auf OneDrive werden mit Microsoft-Tochergesellschaften und –Niederlassungen geteilt, sowie mit Anbietern die im Auftrag von Microsoft handeln. Eine Verschlüsselung von Nutzerdaten auf dem Microsoft Server ist nicht gegeben. Lediglich die Übertragung der Daten ist verschlüsselt mittels TLS. Als Standardeinstellung bietet Windows 8 die Möglichkeit, den Bitlocker-Recovery-Key direkt in den Microsoft-Account in der Cloud zu sichern und gibt damit kritische kryptographische Geheimnisse in die Hände dritter. Nutzen Mitarbeiter ihren Microsoft-Account auch auf ihren privaten Geräten, können Firmendaten ungewollt auf diese übertragen werden.

Bedienung:

OneDrive ist seit Windows 8.1 fester Bestandteil des Betriebssystems. Es ist nicht möglich, Onedrive über die grafische Bedienoberfläche zu deaktivieren. Meldet man sich mit bereits aktiviertem Microsoft-Account auf einem PC an, werden dort automatisch die von ihm genutzten Microsoft-Cloud-Dienste eingerichtet. Ist der Cloud-Speicherplatz fast vollständig ausgenutzt, „klemmt“ die Synchronisierung.

Preise:

Für Geschäftskunden gibt es drei Business-Tarife, die ab 50,40 Euro pro Jahr und Nutzer beginnen. Dort erhält jeder User einen Cloud-Speicher mit 1 TB, die Größe einzelner Uploads ist aber auf 15 GB begrenzt.

Fazit:

Aufgrund der zahlreichen Schwächen halten wir den Einsatz des Microsoft OneDrive für den Unternehmenseinsatz für ungenügend und empfehlen den Einsatz der Cloud-Lösung Nextcloud. „Nextcloud“ ist eine etablierte Cloudsoftware die von großen Unternehmen und Organisationen wie Siemens oder der Max-Planck-Gesellschaft genutzt wird, sich aber ebenfalls für kleine und mittelständische Unternehmen eignet. Wir hosten die Arconda-Nextcloud für unsere Kunden in einem deutschen Hochverfügbarkeitsrechenzentrum und ermöglichen ihnen alle bekannten Vorteile von Dropbox & Co. zu nutzen ohne Abstriche bei Datenschutz und -sicherheit eingehen zu müssen.

Sie finden weitere Informationen zur Arconda-Nextcloud unter: http://www.arconda.ag/portfolio/Cloud/Arconda-Nextcloud

 
29.03.2019

Deal or No Deal - Datenschutz und Brexit

 

Wann und wie das Vereinigte Königreich die EU tatsächlich verlässt, ist zurzeit immer noch nicht geklärt, dass es passiert, ist aber sicher. Was bedeutet dies für den Datenschutz und die Unternehmen und öffentlichen Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln?

 Deal or ...

Im Falle eines geregelten Austritts (Deal), dem sog. Backstop, ist UK für die folgenden zwei Jahre kein Drittland und es gelten weiterhin die Regelungen der DSGVO. In dieser Zeit können Vereinbarungen zum Datenverkehr, wie z. B. ein Angemessenheits-Beschluss, getroffen werden.

No Deal 

Im Falle eines ungeregelten Austritts (No Deal) wird das Vereinigte Königreich - wahrscheinlich ab dem 12.04.2019 - sofort zu einem sog. Drittland ohne einen Angemessenheits-Beschluss.
Kurzfristig sind keine Regelungen einem Angemessenheits-Beschluss zu erwarten und die betroffenen Unternehmen und öffentlichen Stellen sind in der Pflicht, ein angemessenes Schutzniveau herzustellen und den Datenverkehr gem. DSGVO Artikel 44-50 z. B. über verbindliche interne Datenschutzvorschriften, Standardvertragsklauseln, Verträge oder genehmigte Verhaltensregeln zu regeln oder den Datenverkehr gem. Artikel 49 zu legitimieren.

 Die Dokumentationspflichten zur Datenübermittlung in Drittländer sind zu beachten:

 In der Datenschutzerklärung einer Website ist über die Datenübermittlung in ein Drittland zu informieren.

  • Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, muss eine Auskunft auch über die Datenübermittlung in Drittländer erfolgen.
  • Das Verzeichnis von Verarbeitungstätigkeiten muss bei Datenübermittlungen in Drittländer die in diesem Zusammenhang geforderten Angaben zu machen.
  • Ggf. sind Datenschutz-Folgenabschätzungen durchzuführen oder bereits erfolgte zu überprüfen

 Es besteht sofortiger Handlungsbedarf, da es keine Übergangszeit geben wird.

Auch wenn die Aufsichtsbehörden Verständnis für die Situation haben und erst einmal nur anlassbezogene Prüfungen durchführen wollen, ist sofortiges Handeln erforderlich, um Bußgelder zu vermeiden.

 
15.03.2019

Auskunftsrecht der betroffenen Person - Auskunftsanfragen bearbeiten

 Die DSGVO räumt den betroffenen Personen weitgehende Auskunftsrechte über die Verarbeitung von personenbezogenen Daten ein (DSGVO Art. 15-22) und ermöglicht dem Betroffenen Schadensersatz bei Verstößen oder fehlerhaften Verarbeitungen zu fordern.  
Die Abwicklung von Auskunftsanfragen durch ein Unternehmen sollte deshalb gut organisiert und dokumentiert werden.
Der Prüfung der Identität ist dabei eine der wichtigsten Voraussetzungen. Laut Erwägungsgrund 64 sollte "[...]Der Verantwortliche (sollte) alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen[...]".
Sinn und Zweck der Regelungen zur Auskunft ist die Erteilung von Informationen darüber, was zu einer Person gespeichert wurde. 
Dies können z. B. bei einem Mitarbeiter auch Informationen über interne Ermittlungen, Arbeitszeugnisse, Leistungsdaten und andere Daten mit einem direkten Bezug zur Person sein. Die Rechtssprechung ist hier noch nicht eindeutig, z. T. haben Gerichte einen umfassenden Anspruch auf Informationen festgestellt und z. B. auch die Beauskunftung über empfangene und gesendete E-Mails gefordert.

Negativ-Auskunft am Beispiel einer Bank
Wie geht man mit Anfragen von Personen um, von denen keine Daten verarbeitet werden?
Stellt der Verantwortliche fest, dass keine Daten der anfragenden Person verarbeiten, teilt er dies dem Fragesteller mit (sog. Negativ-Auskunft). 
Die Frage, ob personenbezogene Daten verarbeitet werden, muss dabei sorgfältig geprüft werden, wie das folgende Beispiel zeigt:
Eine Bank erhält eine Anfrage von einer Person, die weder Kunde noch Mitarbeiter oder Interessent der Bank ist und erteilt eine sog. Negativ-Auskunft. Die betroffene Person teilt der Bank daraufhin mit, dass diese personenbezogene Daten von ihr verarbeiten würde, da die betroffene Person regelmäßig Mietzahlungen auf ein Konto der Bank überweisen würde. Die Negativ-Auskunft war aber in diesem Fall korrekt, da die Bank die Daten für den Zahlungsverkehr erhoben aber nicht zu dieser Person gespeichert hat.
Die Regelungen zum Schadensersatz gem. DSGVO Artikel 82 sind relativ unscharf, durch die Beweislastumkehr können aber erhebliche Risiken auf die Firmen zukommen. Zurzeit kursieren bereits Schmerzensgeld-Forderungen in 6-stelliger Höhe.

 
11.03.2019

Die neue Generation von Verschlüsselungstrojanern

 

Anfang dieses Monats wurde die IT eines Verwaltungsbezirks des amerikanischen Bundesstaates Georgia durch den Verschlüsselungstrojaner „Ryuk“ komplett lahmgelegt und um 400.000 Dollar erpresst.

Der Fall zeigt, dass auch ein Jahr nach Auftreten der populären Ransomware „Wannacry“ die Gefahr durch Verschlüsselungstrojaner noch immer aktuell ist. Die Verschlüsselungstrojaner der neuesten Generation heißen Emotet, Cr1ptTor, Hidden Tear oder auch Grandcrab.

Gefährdet sind in erster Linie Windows-Systeme, welche mittels gefälschter Bewerbungsschreiben oder Rechnungen über Dateianhänge infiltriert werden. Manche Ransomware, wie Cr1ptTor, hat es aber auch gezielt auf Netzwerkspeicher von D-Link abgesehen und infiltriert Linux-Systeme.

Aufgrund des Auftauchens immer neuer Schadsoftware bieten klassische Anti-Viren-Programme, welche Schadsoftware anhand bekannter Signaturen identifizieren, keinen ausreichenden Schutz.

Wir haben daher für Sie und Ihre Mitarbeiter die wichtigsten Grundregeln im Umgang mit solchen Bedrohungen in einem Merkblatt zusammengefasst: 6 Regeln zur Abwehr von Ransomware & anderer Schadsoftware

Für einen wasserdichten Schutz vor diesen neuartigen Bedrohungen bieten wir mit unserem Partner Sophos eine hochwertige Cloud-Lösung an, die mit ihrer Sandbox-technologie in der Lage ist, auch zielgerichtete Attacken mit bisher nicht bekannter Schadsoftware abzuwehren Weitere Informationen hierzu Sie auf unserer Portfolio-Seite: Sophos-Sandstorm