Kategorien
Schadsoftware

Spionagesoftware Pegasus

Eine israelische Spionagesoftware, die unter Experten als das leistungsfähigste Spähprogramm für Smartphones bekannt ist und ebenfalls als Cyberwaffe eingestuft wurde, macht zurzeit erneute Schlagzeilen.

Es handelt sich hierbei um die Spionagesoftware „Pegasus“ der israelischen Sicherheitsfirma NSO Group Technologies, mit welcher ein Kunde uneingeschränkten Zugang zu dem Smartphone seiner Zielperson genießt. Jegliche Chat-Nachrichten können mitgelesen werden, jede App kann geöffnet werden und das Mikrofon, wie auch die Kamera kann nach Belieben aktiviert werden.

Laut NSO Group wurde diese Spionagesoftware zum Zwecke der Fernüberwachung der Smartphones von Terroristen und Kriminellen entwickelt. Des Weiteren wurde die Software angeblich nur an ausgewählte Staaten verkauft, wobei zwingend die Zustimmung des Verteidigungsministerium vorhanden war.

Jüngste Ergebnisse der internationalen Recherchegruppe erwiesen jedoch das Gegenteil.

Auf der Liste der Zielpersonen befanden sich forensisch nachgewiesen Journalisten meinungsbildender Publikationen, hochrangige Politiker, Oppositionelle, wie auch Menschenrechtsaktivisten. 

Es kam verteilt auf 40 Ländern seit 2016 zu ca. 50’000 nachgewiesenen Zielpersonen. 

Zu den Clients der NSO Group zählen unter anderem Mexiko, Marokko, Indien und Ungarn (als einziges Land Europas) – Länder, die häufig für mangelnde Meinungs- und Medienvielfalt kritisiert werden.

Wie kommt Pegasus aufs Smartphone?

Die Spionagesoftware kommt überwiegend über eine fingierte Nachricht inkl. eines korrumpierten Links auf das Smartphone. Allerdings ist es auch möglich das Schadprogramm unbemerkt auf das ausgewählte Smartphone zu laden –  vorausgesetzt es ist eingeschaltet und mit dem Internet verbunden.

Wie überprüft man ob man ein Teil der Pegasus-Attacke ist?

Bislang haben IOS-User einen gewissen Vorsprung im Kampf gegen Pegasus, da hier bereits ein Programm entwickelt wurde, welches Pegasus und andere Schadsoftware aufspüren soll.

Es handelt sich um die kostenlose App Lookout. Ist dies der Fall soll persönlicher Kontakt zu Lookout aufgenommen werden.

Kategorien
3CX

Native Microsoft Teams Integration in 3CX

3CX unterstützt ab der Version V18 nativ Microsoft Teams. Mit der Teams-Integration können Teams-Benutzer 3CX-Benutzer anwählen und umgekehrt. Teams-Benutzer können über 3CX herauswählen und dabei von 3CX´s umfangreicher Unterstützung von SIP-Trunk-Anbietern profitieren. Sie sparen Sie sich ab sofort kostspielige Microsoft 365 Tarife.

Noch wichtiger ist, dass Teams-Benutzer auch von einer voll ausgestatteten PBX profitieren, die viel einfacher zu verwenden und zu konfigurieren ist. Mit zusätzlichen Contact Center-Funktionen wie erweiterte Anrufwarteschlangen, Berichterstellung, Anrufweiterleitung und mehr. Die Integration ist ein einfacher Prozess in vier Schritten, der auch vorgefertigte Skripte umfasst, die der Administrator schnell und einfach implementieren kann.

Die 3CX – Teams Integration bietet Ihnen folgendes Einsparpotential.

  • Sparen Sie bei der Lizenzierung der SBC-Lösung mit der nativen Integration in 3CX.
  • Keine Teams-kompatiblen Mobilteile erforderlich. Verwenden Sie ein beliebiges IP-Telefon.
  • Mobile Anbindung mit kostenlosen 3CX-Apps für iOS und Android.

Voraussetzung dafür ist einer der folgenden Microsoft Pläne:

  • Microsoft 365 E5 
  • Microsoft 365 Plan + Microsoft Phone System (add-on) oderBusiness Voice (add-on)

IT-Sicherheit im Gesundheitssektor ab 2022 verpflichtend

Betreiber sog. kritischer Infrastruktur (KRITIS) wie größerer Kliniken die mindestens 30.000 stationäre Patienten im Jahr behandeln sind bereits seit 2017 durch das IT-SIcherheitsgesetz (§ 8 BSI-Gesetz) verpflichtet, ihre IT-Systeme nach dem “Stand der Technik” abzusichern.

Im Oktober 2020 wurden die gesetzlichen Rahmenbedingungen erneut verschärft. Nach Sozialgesetzbuch (§ 75c SGB V) sind ab 01. Januar 2022 auch kleinere Kliniken in Deutschland verpflichtet, ihre IT-Sicherheit auf ein angemessenes Schutzniveau anzuheben. Der Gesetzgeber verpflichtet die Krankenhäuser nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. 

Organisatorische und technische Vorkehrungen gelten als angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

Kategorien
Yealink

Yealink W90 Multizellulares IP-DECT-System

Das Yealink W90 Multizellulare IP-DECT-System ist ideal für den Einsatz in Betrieben, die eine große Fläche abdecken wollen um zu telefonieren. Während das W80 noch eine Reichweite von 20-50m im Innenbereich hat, besitzt das W90 im Innenbereich eine Reichweite von 30 — 50 m. Im Außenbereich besitzen das W80 und auch das W90 unter Idealbedingungen eine effektive Reichweite von 300 m. Die Multizellularen IP-Dect-Systeme sind auch in kleineren Betrieben sinnvoll, in denen man mit kabellosen Telefonen arbeitet. An das W90 können bis zu 250 Mobilteile angeschlossen werden, das sind im Vergleich zum Vorgänger 150 Mobilteile mehr. Das W90 hat ebenso bis zu 250 VoIP-Konten und bis zu 250 Anrufe gleichzeitig, welche ebenso den Wert von 150 mehr im Vergleich zum Vorgänger Modell aufweisen. Ansonsten unterscheiden sich die beiden Modelle nicht weiter voneinander. Wir empfehlen Yealink- Geräte, da sie Preis-Leistungstechnisch die beste Option auf dem Markt sind. Neben dem Preis und der Leistung setzten wir auch wegen der Qualität und der Verarbeitung der Geräte auf die Marke Yealink.  

Kategorien
Seniorenheim

Neue Broschüre: „Das digitale Seniorenheim“

Digitale Technologien sind dabei, den gesamten medizinischen Sektor grundlegend zu verändern. Zusätzlich steigt insbesondere in Seniorenheimen das Bedürfnis der Bewohner an digitaler Teilhabe, die zunehmend – auch seitens des Gesetzgebers – als Grundbedürfnis anerkannt wird.

In unserer neuen Broschüre stellen wir attraktive Optionen für einen digital unterstützen Heimbetrieb vor, der Heimbewohnern einen unkomplizierten Internetzugang bietet, das Personal durch innovative Lösungen in der Pflegedokumentation entlastet und Einrichtungen zukunftssicher gestaltet.

Hierbei das ökonomisch Sinnvolle im technisch Möglichen auszumachen ist insbesondere im kostensensiblen Pflegesektor eine wichtiges Kriterium für jeden Projektansatz. Umso erfreulicher, dass jede Einrichtung mit ihrer bestehenden Telefonverkabelung bereits über eine kostensparende Grundlage für eine digitale Infrastruktur verfügt.

Für Heimbetreiber entfällt der Abstimmungsbedarf zwischen den üblicherweise verschiedenen Einzelanbietern und mit unserem bundesweiten Service stellen wir zudem den zuverlässigen Betrieb Ihrer digitalen Infrastruktur langfristig sicher. 

Sie können die Broschüre „Das digitale Pflegeheim“ direkt hier oder im Dokumentenbereich herunterladen.

Kategorien
Seniorenheim

Auf dem Weg zum digitalen Pflegeheim

Die deutschlandweit erscheinende Fachzeitschrift Seniorenheim-Magazin thematisiert in ihrer aktuellen Ausgabe unter dem Titel „Auf dem Weg zum digitalen Pflegeheim“ die Digitalisierung und den Einsatz softwarebasierter Pflegedokumentation in Senioreneinrichtungen.

In einem Interview mit Frank Espenhain -CEO der Arconda Systems AG- werden im aktuellen Heft Fragestellungen zur momentanen Internetversorgung von Heimbewohnern, technische Realisierungsoptionen und Potentiale für einen effizienteren Pflegebetrieb erörtert.

Hier finden Sie das komplette Interview zum nachlesen:

Datenschutzkonforme Lead-Ads by Facebook

Schon seit längerer Zeit wird Facebook nicht mehr nur als einfache Social-Media-Plattform verwendet, sondern fungiert ebenfalls als Werbeplattform, indem den Usern (auf Facebook und Instagram) sog. Lead-Ads angeboten werden.

Eine Lead-Ad ist eine Art Landingpage – eine Website, auf welche ein potentieller Kunde mit einer Werbeanzeige geleitet wird, um bestimmte Informationen zu übermitteln. 

Landingpages sind interessant für Unternehmen, weil Zielgruppen spezifisch angesprochen werden können.

Funktionsweise 

Eine individualisierte Zielgruppe entsteht durch Einsatz von Tracking-Tools auf der eigenen Website des Unternehmens. Diese Tracking-Tools bewirken eine Analyse von Interessen und Gemeinsamkeiten der Websitebesucher, über welche Besucher gruppier- und damit ansprechbar werden.

Die Lead-Ads by Facebook unterscheiden sich von herkömmlichen Landingpages. Anstelle einer einfachen Website-Weiterleitung wird hier eine Befragung per Kontaktformular durchgeführt, wodurch jeweilige Interessen und Präferenzen noch konkreter erfasst werden können.

DSGVO-Konformität

Es ist sicherzustellen, dass die Erstellung von Zielgruppen, welche offensichtlich auf der Speicherung und Verwendung personenbezogener Daten basiert, den Richtlinien der EU-Datenschutz-Grundverordnung (DSGVO) entspricht.

Es ist zu prüfen, welche personenbezogenen Daten (Adressdaten, Emailadresse, etc.) der potentiellen Kunden gespeichert, verarbeitet und/oder an Dritte weitergegeben werden dürfen und inwiefern Verwendungszwecke, wie auch Speicherdauer der gewonnenen Daten transparent sind.

Um Lead-Ads datenschutzkonform auszugestalten, müssen einige wichtige Grundbedingungen vorausgesetzt sein. 

Gem. Art. 5 und 6 DSGVO bedarf die Speicherung und Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person, wobei der Einwilligungsempfänger (Sie) stets erkennbar sein muss, wie auch der Verwendungszweck aller erhobenen Daten. Die gewonnenen Kundendaten dürfen grundsätzlich nicht an Dritte übermittelt werden, es sei denn es liegt eine zusätzliche Einwilligung des Betroffenen i.S.d Art. 6 I DSGVO vor. 

Des Weiteren wird für Regelkonformität gesorgt, wenn das Unternehmen mit dem Dritten in einem Vertragsverhältnis steht und/oder es sich um ein verbundenes Unternehmen handelt (gem. § 15 AktG). Der Datenverantwortliche (Sie) trägt die Verantwortung für die rechtmäßige Verarbeitung der zur Verfügung gestellten Daten beim Auftragsverarbeiter (Dritter) (gem. § 11 BDSG).

Alle Datenempfänger müssen namentlich in den Datenschutzrichtlinien, die Detailangaben zu Ihrer Datenerhebung enthält, erwähnt sein.

Wir empfehlen:

Wir empfehlen die Verwendung von Opt-In i. S. e. eines ausdrücklichen Zustimmungsverfahren, in welchen der Link zu Ihren Datenschutzrichtlinien integriert ist. 

Eine weitere Verbesserung des Verfahrens ist durch ein Double-Opt-In zu erzielen. Dieses erfordert eine zusätzliche Bestätigung per Bestätigungsmail, um die Eintragung der persönlichen Daten auf ihre Richtigkeit zu überprüfen. Dies bietet Schutz vor Missbrauch der Daten, falls der User nicht die personeneigenen Daten verwendet hat, sondern sich als eine andere Person ausgegeben hat.

Dieser zusätzliche Schritt ist nicht gesetzlich verpflichtend, bietet jedoch zusätzliche Sicherheit, wenn dieses im individuellen Fall empfehlenswert scheint.

Sofern Lead-Ads nicht datenschutzkonform gestaltet werden, sind Sperrungen der Werbeanzeigen durch Facebook und Sanktionierungsmaßnahmen der Behörden nicht auszuschließen.

Kategorien
Referenz

Einrichtung einer cloudgestützten standortübergreifenden Telefonanlage für das Gesundheitszentrum Schmidt

Das Gesundheitszentrum Peters & Schmidt GmbH in Lübeck versorgt Kliniken, Ärzte und Patienten mit Reha- und Orthopädie-Technik. Wir wurden vom Gesundheitszentrum mit dem Umstieg auf eine VoIP-basierte Telefonanlage beauftragt.

Projektziel:

Eine moderne und cloudgestützte Telefonanalage sollte die alte analoge Telefonanlage in allen Niederlassungen des Unternehmens ablösen. Die neue Telefonanlage sollte die Nebenstellen in allen Standorten untereinander vernetzen, die Einbindung von (Mitarbeiter-)Smartphones unterstützen und die Unternehmenskommunikation zukunftssicher gestalten. 

Umsetzung:

Wir haben die virtuelle Telefonanlage als 3CX-Lösung schlüsselfertig in der Arconda Cloud im Rechenzentrum bereitgestellt. Die Niederlassungen wurden über sichere VPN-Verbindungen  aufgeschaltet. Wir haben den Umstellungsprozess von ISDN auf digitale Trunks übernommen und so den termingerechten Produktivbetrieb ohne Übergangsschwierigkeiten sichergestellt.

Kategorien
Sicherheitslücke

Kritische Sicherheitslücke in MS Exchange-Servern

Mit den kürzlich bekannt gewordenen Sicherheitslücken für Microsoft Exchange 2010, 2013, 2016 und 2019 Server ist wieder einmal ein Worst-Case-Szenario eingetreten, welches unmittelbaren Handlungsbedarf hervorruft.

Der Ablauf eines durch diese Schwachstellen möglichen Angriffs erfolgt in folgender Reihenfolge:

1.       Zunächst wird eine als CVE-2021-26855 dokumentierte SSRF-Schwachstelle (Server-Side Request Forgery) ausgenutzt, um beliebige HTTP-Anfragen zu senden und sich als Microsoft Exchange-Server zu authentifizieren.

2.       Unter Verwendung der unter 1. erfolgten Authentifizierung auf SYSTEM-Ebene werden SOAP-Payloads gesendet, die vom Unified Messaging Service unsicher deserialisiert werden, wie in CVE-2021-26857 dokumentiert. 

3.       Zusätzlich werden CVE-2021-26858 und CVE-2021-27065 ausgenutzt, um beliebige Dateien wie z. B. Webshells hochzuladen, die eine weitere Exploitation des Systems ermöglichen. Das kompromittierte System wird dann genutzt um weitere Systeme im Netzwerk zu kompromittieren. Für das Schreiben der Dateien ist eine Authentifizierung erforderlich, die jedoch mit CVE-2021-26855 umgangen werden kann.

Im Vergleich zu bislang bekannt gewordenen Exploits werden die o.g. Exploits bereits aktiv ausgenutzt und stellen so Administratoren weltweit vor das große Problem der Beseitigung der Lücken und dem gleichzeitigen Aufspüren möglicher Verbreitungen von Backdoors und Schadsoftware im kompromittierten Netz.

Unmittelbar nach Bekanntwerden der Schwachstellen begannen bei der Arconda Systems AG die erforderlichen Prozesse zur Benachrichtigung unserer Kunden, sowie die Mitigation der Bedrohung durch schnelles Patchen und weiterer diagnositischer Scans in unserem Rechenzentrum für unsere Hosted Exchange Lösungen. Unsere umfangreichen Vorsorgen zur Identifizierung von Eindringlingen (Intrusion Detection), sowie State-of-the-Art Virenscanner ermöglichten es uns schnellstmöglich festzustellen, daß die bei uns gehosteten Kundensysteme zu keiner Zeit kompromittiert worden sind.

Für alle Exchange-System gilt:

  1. Systeme aktualisieren und die Sicherheitslücke ab sofort schließen
  2. Alle aktualisierten Systeme müssen auf einen möglicherweise bereits in der letzten Zeit erlittenen Befall kontrolliert werden

Wenden Sie sich bitte für weitere Informationen direkt an unsere Systemtechnik und verfolgen Sie bitte die Veröffentlichungen auf unserer Website.

Fernwartung datenschutzkonform durchführen

Fernwartung wird gerade in der heutigen Zeit als ein Segen empfunden, so denn sie es ermöglicht kurzfristig technische Probleme auf den Arbeitsrechnern der Mitarbeiter oder auch auf den hausinternen Servern schnell und qualifiziert beheben zu lassen. In Zeiten von Covid-19 ist dies durch weit verbreitete Homeoffice-Regelungen und die bestehenden Kontaktbeschränkungen oftmals die letzte Rettung zum Erhalt einer produktiven Arbeitsumgebung.

Nicht zu unterschätzen sind hier jedoch die Auswirkungen des BDSG auf solche Fernzugriffe. Selbstverständlich ist bei solchen Tätigkeiten es unablässlich einen Vereinbarung zur Auftragsdatenvereinbarung mit dem Dienstleister zu schliessen, aber es gibt noch einige technische und oranisatorische Regelungen, welche unbedingt beachtet werden müssen:

  • Individuelle Zustimmung des Auftraggebers/Mitarbeiters
    Vor jeder Fernwartung ist es unabdingbar, daß der Auftraggeber, bzw. der Mitarbeiter auf dessen Endgerät zugegriffen werden soll seine Zustimmung für den Zugriff gibt. Dies kann präferiert über ein Hinweisfenster der Fernwartungssoftware geschehen, oder anderweitig, dann aber dokumentiert und nachweisbar.
  • Sichtbarkeit der Fernwartung
    Ein gegenwärtiger Fernwartungszugriff muss jederzeit für den Auftraggeber/Mitarbeiter auf dem Endgerät erkennbar sein.
  • Unterbindung/Abbruch Fernwartung
    Der Auftraggeber/Mitarbeiter muss jederzeit in der Lage sein eine laufende Fernwartung zu beenden.
  • Protokollierung
    Fernwartungszugriffe müssen protokolliert werden. Es muss jederzeit ersichtlich sein welcher Benutzer in welchem Zeitraum auf das Endgerät zugegriffen hat und weshalb dieser Zugriff erforderlich war (Tätigkeitsbeschreibung).
  • Vernichtung personenbezogene Daten
    Sofern der Auftragnehmer während der Ferwartung personenbezogene Daten erhalten hat, so sind diese nach Beendigung der Arbeiten unverzüglich zu löschen, bzw. dem Auftraggeber zurückzugeben.
  • Zugriff auf produktive Daten (Wirkdaten)
    Sofern im Rahmen einer Fernwartung zum Zwecke der Fehlersuche auf Wirkdaten des Auftraggebers zugegriffen werden muss, so ist vorab die Einwilligung des Auftraggebers einzuholen.