Arconda Systems Logo

Safety Management
Safety Management
Safety Management
Safety Management
Safety Management
Safety Management
Safety Management
Safety Management

Aktuelles

10.04.2019

Microsoft OneDrive mit zahlreichen Schwächen behaftet

 

Microsoft OneDrive for Business ermöglicht es Endanwendern, Dokumente zu teilen und freizugeben. Es handelt sich um einen Online-Speicher mit Kollaborations-Features, der allerdings eine Vielzahl an Schwächen aufweist:

Beschränkungen in Speicher und Dateigröße:

 

Die Standard-Speicherkapazität pro Benutzer liegt bei lediglich 1TB und kann nur mit Hilfe des Office 365 Administrators auf 5TB pro Benutzer erhöht werden. Es können zudem keine Dateien größer als 15GB hochgeladen werden.

Fehlende App-Integration von Drittanbieter Apps:

Im Gegensatz zum OneDrive für den persönlichen Gebrauch, lässt sich das OneDrive for Business nicht mit Apps von Drittanbietern nutzen. Eine Synchronisation des Accounts mit Kalendern oder Messageboards ist nicht möglich.

Datensicherheit:

Die Daten auf OneDrive werden mit Microsoft-Tochergesellschaften und –Niederlassungen geteilt, sowie mit Anbietern die im Auftrag von Microsoft handeln. Eine Verschlüsselung von Nutzerdaten auf dem Microsoft Server ist nicht gegeben. Lediglich die Übertragung der Daten ist verschlüsselt mittels TLS. Als Standardeinstellung bietet Windows 8 die Möglichkeit, den Bitlocker-Recovery-Key direkt in den Microsoft-Account in der Cloud zu sichern und gibt damit kritische kryptographische Geheimnisse in die Hände dritter. Nutzen Mitarbeiter ihren Microsoft-Account auch auf ihren privaten Geräten, können Firmendaten ungewollt auf diese übertragen werden.

Bedienung:

OneDrive ist seit Windows 8.1 fester Bestandteil des Betriebssystems. Es ist nicht möglich, Onedrive über die grafische Bedienoberfläche zu deaktivieren. Meldet man sich mit bereits aktiviertem Microsoft-Account auf einem PC an, werden dort automatisch die von ihm genutzten Microsoft-Cloud-Dienste eingerichtet. Ist der Cloud-Speicherplatz fast vollständig ausgenutzt, „klemmt“ die Synchronisierung.

Preise:

Für Geschäftskunden gibt es drei Business-Tarife, die ab 50,40 Euro pro Jahr und Nutzer beginnen. Dort erhält jeder User einen Cloud-Speicher mit 1 TB, die Größe einzelner Uploads ist aber auf 15 GB begrenzt.

Fazit:

Aufgrund der zahlreichen Schwächen halten wir den Einsatz des Microsoft OneDrive für den Unternehmenseinsatz für ungenügend und empfehlen den Einsatz der Cloud-Lösung Nextcloud. „Nextcloud“ ist eine etablierte Cloudsoftware die von großen Unternehmen und Organisationen wie Siemens oder der Max-Planck-Gesellschaft genutzt wird, sich aber ebenfalls für kleine und mittelständische Unternehmen eignet. Wir hosten die Arconda-Nextcloud für unsere Kunden in einem deutschen Hochverfügbarkeitsrechenzentrum und ermöglichen ihnen alle bekannten Vorteile von Dropbox & Co. zu nutzen ohne Abstriche bei Datenschutz und -sicherheit eingehen zu müssen.


Weitere Informationen: 

Artikel: arconda.ag/portfolio/cloud/arcondanextcloud

 
29.03.2019

Deal or No Deal - Datenschutz und Brexit

 

Wann und wie das Vereinigte Königreich die EU tatsächlich verlässt, ist zurzeit immer noch nicht geklärt, dass es passiert, ist aber sicher. Was bedeutet dies für den Datenschutz und die Unternehmen und öffentlichen Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln?

 Deal or ...

Im Falle eines geregelten Austritts (Deal), dem sog. Backstop, ist UK für die folgenden zwei Jahre kein Drittland und es gelten weiterhin die Regelungen der DSGVO. In dieser Zeit können Vereinbarungen zum Datenverkehr, wie z. B. ein Angemessenheits-Beschluss, getroffen werden.

No Deal 

Im Falle eines ungeregelten Austritts (No Deal) wird das Vereinigte Königreich - wahrscheinlich ab dem 12.04.2019 - sofort zu einem sog. Drittland ohne einen Angemessenheits-Beschluss.
Kurzfristig sind keine Regelungen einem Angemessenheits-Beschluss zu erwarten und die betroffenen Unternehmen und öffentlichen Stellen sind in der Pflicht, ein angemessenes Schutzniveau herzustellen und den Datenverkehr gem. DSGVO Artikel 44-50 z. B. über verbindliche interne Datenschutzvorschriften, Standardvertragsklauseln, Verträge oder genehmigte Verhaltensregeln zu regeln oder den Datenverkehr gem. Artikel 49 zu legitimieren.

 Die Dokumentationspflichten zur Datenübermittlung in Drittländer sind zu beachten:

 In der Datenschutzerklärung einer Website ist über die Datenübermittlung in ein Drittland zu informieren.

  • Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, muss eine Auskunft auch über die Datenübermittlung in Drittländer erfolgen.
  • Das Verzeichnis von Verarbeitungstätigkeiten muss bei Datenübermittlungen in Drittländer die in diesem Zusammenhang geforderten Angaben zu machen.
  • Ggf. sind Datenschutz-Folgenabschätzungen durchzuführen oder bereits erfolgte zu überprüfen

 Es besteht sofortiger Handlungsbedarf, da es keine Übergangszeit geben wird.

Auch wenn die Aufsichtsbehörden Verständnis für die Situation haben und erst einmal nur anlassbezogene Prüfungen durchführen wollen, ist sofortiges Handeln erforderlich, um Bußgelder zu vermeiden.

Weitere Informationen:

Portfolio: Datenschutz

 
15.03.2019

Auskunftsrecht der betroffenen Person - Auskunftsanfragen bearbeiten

 

Die DSGVO räumt den betroffenen Personen weitgehende Auskunftsrechte über die Verarbeitung von personenbezogenen Daten ein (DSGVO Art. 15-22) und ermöglicht dem Betroffenen Schadensersatz bei Verstößen oder fehlerhaften Verarbeitungen zu fordern.  
Die Abwicklung von Auskunftsanfragen durch ein Unternehmen sollte deshalb gut organisiert und dokumentiert werden.
Der Prüfung der Identität ist dabei eine der wichtigsten Voraussetzungen. Laut Erwägungsgrund 64 sollte "[...]Der Verantwortliche (sollte) alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen[...]".
Sinn und Zweck der Regelungen zur Auskunft ist die Erteilung von Informationen darüber, was zu einer Person gespeichert wurde. 
Dies können z. B. bei einem Mitarbeiter auch Informationen über interne Ermittlungen, Arbeitszeugnisse, Leistungsdaten und andere Daten mit einem direkten Bezug zur Person sein. Die Rechtssprechung ist hier noch nicht eindeutig, z. T. haben Gerichte einen umfassenden Anspruch auf Informationen festgestellt und z. B. auch die Beauskunftung über empfangene und gesendete E-Mails gefordert.

Negativ-Auskunft am Beispiel einer Bank
Wie geht man mit Anfragen von Personen um, von denen keine Daten verarbeitet werden?
Stellt der Verantwortliche fest, dass keine Daten der anfragenden Person verarbeiten, teilt er dies dem Fragesteller mit (sog. Negativ-Auskunft). 
Die Frage, ob personenbezogene Daten verarbeitet werden, muss dabei sorgfältig geprüft werden, wie das folgende Beispiel zeigt:
Eine Bank erhält eine Anfrage von einer Person, die weder Kunde noch Mitarbeiter oder Interessent der Bank ist und erteilt eine sog. Negativ-Auskunft. Die betroffene Person teilt der Bank daraufhin mit, dass diese personenbezogene Daten von ihr verarbeiten würde, da die betroffene Person regelmäßig Mietzahlungen auf ein Konto der Bank überweisen würde. Die Negativ-Auskunft war aber in diesem Fall korrekt, da die Bank die Daten für den Zahlungsverkehr erhoben aber nicht zu dieser Person gespeichert hat.
Die Regelungen zum Schadensersatz gem. DSGVO Artikel 82 sind relativ unscharf, durch die Beweislastumkehr können aber erhebliche Risiken auf die Firmen zukommen. Zurzeit kursieren bereits Schmerzensgeld-Forderungen in 6-stelliger Höhe.

 

Weitere Informationen:

Portfolio: Datenschutz

 
11.03.2019

Die neue Generation von Verschlüsselungstrojanern

 

Anfang dieses Monats wurde die IT eines Verwaltungsbezirks des amerikanischen Bundesstaates Georgia durch den Verschlüsselungstrojaner „Ryuk“ komplett lahmgelegt und um 400.000 Dollar erpresst.

Der Fall zeigt, dass auch ein Jahr nach Auftreten der populären Ransomware „Wannacry“ die Gefahr durch Verschlüsselungstrojaner noch immer aktuell ist. Die Verschlüsselungstrojaner der neuesten Generation heißen Emotet, Cr1ptTor, Hidden Tear oder auch Grandcrab.

Gefährdet sind in erster Linie Windows-Systeme, welche mittels gefälschter Bewerbungsschreiben oder Rechnungen über Dateianhänge infiltriert werden. Manche Ransomware, wie Cr1ptTor, hat es aber auch gezielt auf Netzwerkspeicher von D-Link abgesehen und infiltriert Linux-Systeme.

Aufgrund des Auftauchens immer neuer Schadsoftware bieten klassische Anti-Viren-Programme, welche Schadsoftware anhand bekannter Signaturen identifizieren, keinen ausreichenden Schutz.

Wir haben daher für Sie und Ihre Mitarbeiter die wichtigsten Grundregeln im Umgang mit solchen Bedrohungen in einem Merkblatt zusammengefasst: 6 Regeln zur Abwehr von Ransomware & anderer Schadsoftware

Für einen wasserdichten Schutz vor diesen neuartigen Bedrohungen bieten wir mit unserem Partner Sophos eine hochwertige Cloud-Lösung an, die mit ihrer Sandbox-technologie in der Lage ist, auch zielgerichtete Attacken mit bisher nicht bekannter Schadsoftware abzuwehren Weitere Informationen hierzu Sie auf unserer Portfolio-Seite: Sophos-Sandstorm


Weitere Informationen: 

Portfolio: Sophos Sandstorm

 
05.03.2019

Dropbox - Risiken bei geschäftlicher Nutzun

 

Mit Cloud-Speicherdiensten wie Dropbox & Co. lassen sich bequem Urlaubsfotos und andere private Daten hochladen und mit Freunden und Bekannten teilen. Schnell ist man versucht, auch geschäftliche Daten wie Kundenlisten etc. in die Dropbox zu laden. Doch eine Reihe datenschutzbezogener Probleme und praktischer Einschränkungen sprechen gegen den Unternehmenseinsatz:

Datenschutz:

Dropbox & Co. setzen zur Datenspeicherung auf die Cloud-Architektur von Amazon. Damit ist nicht gewährleistet, dass die hochgeladenen Daten innerhalb Deutschlands oder der EU bleiben. Aufgrund der NSA-Gesetzgebung in den USA haben die dortigen Sicherheitsbehörden vollen Zugriff auf die hochgeladenen Daten. Zudem hat Dropbox die Erlaubnis, einmal zugänglich gemachte Dateien so lange zu speichern wie das Benutzerkonto besteht.

Sicherheit:

Dropbox-Accounts sind ein beliebtes Ziel von Phishing-Attacken (Angreifer bauen die Seite nach und greifen Anmeldedaten ab).

Handhabung:

Die Handhabung ist für die Bedienung per App optimiert. Möchte man den Service vornehmlich über den Browser nutzen, ist die Bedienung erschwert. Business Accounts benötigen mindestens fünf Benutzerkonten mit jeweils 1TB Speicher. Aufgrund der Datenschutzproblematik empfehlen Sicherheitsexperten, Daten vor dem Upload noch einmal separat zu verschlüsseln.

Standards:

Dropbox verfügt -bis auf Entwicklerschnittstellen- über keine externen Schnittstellen wie fttp, sftp oder WebDAV. Eigene Schnittstellen können nicht verwendet werden. 

Alternative: Nextcloud

Anstelle der primär an Privatanwender gerichteten Anbieter wie Dropbox, Onedrive, Google Drive & Co. empfehlen sich für den Geschäftsbetrieb Cloud-Lösungen die für den Unternehmenseinsatz konzipiert wurden. „Nextcloud“ ist eine etablierte Cloudsoftware die von großen Unternehmen und Organisationen wie Siemens oder der Max-Planck-Gesellschaft genutzt wird, sich aber ebenfalls für kleine und mittelständische Unternehmen eignet. Wir hosten die Arconda-Nextcloud für unsere Kunden in einem deutschen Hochverfügbarkeitsrechenzentrum und ermöglichen ihnen alle bekannten Vorteile von Dropbox & Co. zu nutzen ohne Abstriche bei Datenschutz und -sicherheit eingehen zu müssen.


Weitere Informationen: 

Artikel: arconda.ag/portfolio/cloud/arcondanextcloud

 
25.02.2019

Routinekontrollen - Ausfallzeiten vermeiden

 

Im laufenden Geschäftsbetrieb können sich Fehler in der IT einschleichen, die dem Anwender vorerst verborgen bleiben, sich später aber um so schwerwiegender auswirken. Läuft ein Backup-Dienst bspw. seit Monaten ins Leere, wird dies meist erst dann bemerkt, wenn Daten wiederhergestellt werden sollen.

Oft sind Probleme mit Hintergrunddiensten, nicht aktuell gehaltene Virenscanner oder Fehler in Festplatten und Raids für Systemausfälle verantwortlich. Ausgangspunkt sind immer unzureichend gemanagte Systeme, bei denen Ausfälle erst dann angegangen werden können, wenn sie bereits eingetreten sind.

Mit einem proaktiven Ansatz, bei dem mittels Routinekontrollen der Zustand aller relevanten Systemkomponenten von einem Fachmann periodisch überprüft und dokumentiert wird, steigern Sie die Verfügbarkeit Ihrer IT-Systeme signifikant. Verbunden mit einer statistischen Fehlerauswertung und Dokumentation kann so nicht nur die Systemverfügbarkeit sichergestellt werden, sondern es lässt sich auch präzise ableiten, welche Bereiche der IT bei künftigen Investitionsentscheidungen besonderer Berücksichtigung bedürfen.

Routinekontrollen sind ein eigenständiger Bestandteil unseres Dienstleistungsangebots und helfen unseren Kunden und ihren betreuenden IT-Dienstleistern eine nahezu hundertprozentige Systemverfügbarkeit zu erreichen. Unsere Kunden profitieren dabei von mehr als 20 Jahren Erfahrung, die wir als Softwareentwickler im Prozessmanagement gewonnen haben.


Weitere Informationen: 

Routinekontrollprogramm

 
12.02.2019

VoIP bei Stromausfall

 

Der Umstieg auf die neue VoIP-Telefonie hat viele Vorteile mit sich gebracht. Doch wie verhält sich die neue Technologie im Fall eines Stromausfalls?

Im früheren analogen Telefonnetz wurden die Leitungen unabhängig vom häuslichen Stromnetz mit Spannung versorgt. Dies gewährleistete bei einem Stromausfall die Erreichbarkeit und damit die Möglichkeit Notrufe abzusetzen. Bei der IP-Telefonie offenbart sich in diesem Punkt eine Schwäche, denn sie ist von einer funktionierenden Internetanbindung – und damit von der allgemeinen Stromversorgung abhängig.

Glücklicherweise stellen Stromausfälle in Deutschland eine absolute Ausnahme dar und sind in der Regel lokal auf wenige Stunden begrenzt. Im Jahr 2017 lag die Nichtverfügbarkeit von elektrischer Energie laut Bundesnetzagentur bei lediglich 15 Minuten.

Nichtsdestotrotz kann es je nach Bereich sinnvoll sein, Vorkehrungen für einen Stromausfall zu treffen um ggf. die Telefonfunktion aufrechterhalten zu können. Hierbei muss unterschieden werden, ob der Stromausfall das gesamte Areal, oder nur das Gebäude betrifft. Um bei einem Stromausfall im Gebäude weiterhin erreichbar zu sein, muss die notwendige Infrastruktur wie Router, Modem, Switch, Telefone und Telefonanlage über eine Notstromversorgung inkl. USV (Gerät für die unterbrechungsfreie Stromversorgung) mit leistungsfähigem Energiespeicher abgesichert sein.

Betrifft der Ausfall allerdings das gesamte Areal und damit die Infrastruktur des Netzbetreibers, hilft eine eigene Stromversorgung nicht weiter. In diesen Fällen ist es hilfreich, wenn die Telefonanlage in einem externen Rechenzentrum, das außerhalb des betroffenen Areals liegt, betrieben wird. Es ist dann u.U. möglich, die Anlage weiterhin mittels mobilen Endgeräten über das Mobilfunknetz zu nutzen, sofern die Sendemasten vom Netzbetreiber mit Notstrom versorgt werden.


Weitere Informationen:

Portfolio: 3CX Telefonanlage

 
 

Unsere Partner:

Diese Website verwendet Cookies. Indem Sie fortfahren, akzeptieren Sie die Verwendung von Cookies. Weitere Informationen finden Sie in unserer Datenschutzerklärung. OK