Category Archives:Unternehmenssicherheit
Kompetenz in Unternehmenssicherheit und Datenschutz | Kontakt +49 151 53872750 – info@secudor.de

secudor GmbH ist Partner im Netzwerk von The AuditFactory

secudor GmbH ist Partner im Netzwerk von The AuditFactory

Die secudor GmbH unterstützt zukünftig The AuditFactory im Umfeld der Internen Revision, des Anti Fraud Management, des Risikomanagement und der Corporate Governance

The AuditFactory bietet Services zur Internen Revision, zum Risikomanagement und zur Corporate Governance an. Einen besonderen Schwerpunkt bilden dabei Anti Fraud Management Systeme, die zur Abwehr wirtschaftskrimineller Handlungen (Betrug, Bestechung, Hinterziehung, usw.) eingesetzt werden.

secudor arbeitet im Rahmen von Co-Sourcing mit The AuditFactory zu Themen rund um IT-Revision zusammen. Im Rahmen der IT-Revision stellt secudor die Ordnungsmäßigkeit der IT-Infrastruktur und Organisation durch Bedrohungsanalysen (z.B. Penetrationstests, Schwachstellenanalysen, Social Engineering) fest. Dies umfasst auch die Planung, Implementierung und Qualitätssicherung von Information Security Management Systemen (ISMS) auf Basis BSI IT Grundschutz. Weiterhin unterstützt secudor die AuditFactory im Rahmen von Anti Fraud Einsätzen bei der Analyse, Beweissicherung, sowie mit gerichtsverwertbaren Gutachten durch Einsatz von Methodern, Verfahren und Werkzeugen der Digitalen Forensik.

Bei Fragen zu allen Themen der AuditFactors stellt secudor gerne den Kontakt her.

Mehr können Sie hier erfahren:

secudor GmbH (Member of RealCore Group)
Joachim A. Hader
Werner-von-Siemens-Straße 6
86159 Augsburg
Tel.: 09145 839431

eCommerce: Aufklärung eines Hackerangriff

You have been hacked!!!

Hackerangriff auf einen eCommerce-Shop – Ein Praxisbericht über Ablauf, Konsequenzen und Kosten

Joachim A. Hader, Inhaber der secudor GmbH berichtet über einen realen Fall eines erfolgten Hackerangriff auf einen eCommerce-Shop. Er erläutert wie der Angriff durchgeführt wurde, was die Auswirkungen waren und welche Konsequenzen der Shop-Inhaber für sich daraus gezogen hat.

Internetauftritte sind täglich Angriffen aus dem Internet ausgesetzt, die von unterschiedlichsten Typen von Angreifern ausgeführt werden:

Read More

Projektbericht

security awarenessSicherheitskultur
Branche:Bank
Aufgabe:Planung, Konzeption und Umsetzung einer nachhaltigen Sicherheitskultur.
Tätigkeiten:Planung und Durchführung von zielgruppenorientierten Sensibilisierungsmaßnahmen (Schulungen, Workshops, Printmedien, Intranet, Wettbewerbe etc.) zum Thema „Prävention von Social Engineering“ auf Basis des standardisierten „Security Awareness-Blueprints“ der secudor GmbH
Erfolge:Unterweisung von ca. 700 Mitarbeitern und Führungskräften. Schaffung der Nachhaltigkeit durch regelmäßige Erfahrungsberichte und Aufzeigen von Good Practices im Firmenintranet, das durch die Unternehmenskommunikation gepflegt wird.

Urheberrecht

Daten zwingen zu Taten – Wem gehört das Bild – Urheberrecht beachten?

Mal eben schnell mit dem Handy Bilder und Filme von Stakeholdern aufgenommen und im Projekt-Intranet oder öffentlichen Medien veröffentlicht.

Für das Projektorganigramm werden Bilder der Projektmitarbeiter benötigt, mal eben schnell aus dem Firmen-Intranet kopiert – fertig.

Die Aufnahmen vom letzten Teamevent, auf dem es feucht-fröhlich zuging, mal eben in sozialen Netzen veröffentlicht.

Vorsicht hier lauern rechtliche Stolpersteine!

Wenn Sie zum Beispiel im Rahmen Ihrer Tätigkeit als Projektmanager oder auch als Mitarbeiter im Projektbüro Bild- oder Videomaterial zum Einsatz bringen möchten, auf dem Personen abgebildet sind, müssen Sie die rechtlichen Aspekte berücksichtigen.

1.      Veröffentlichen Sie nur mit Einwilligung des Abgebildeten

Read More

„Social Engineering“

Social Engineering & Social Hacking: ein Überblick für Interne Revisoren

„Viele Unternehmensverantwortliche sind der Meinung, Informationssicherheit ist ein Thema alleine der Spezialisten aus der IT und vertrauen auf technische Maßnahmen, um wichtige Daten zu schützen. Dabei wird der Faktor Mensch sehr oft unterschätzt.“, sagt der Joachim A. Hader, Geschäftsführer des Sicherheitsunternehmens secudor GmbH und Partner des Expertennetzwerks Forensic Thinktank.

Social Engineering (engl. eigentlich „angewandte Sozialwissenschaft“, auch „soziale Manipulation“) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhalten hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.

Lesen Sie in diesen Fachartikel, den wir zusammen mit der AuditFactory erstellt haben, was man unter Social Engineering versteht und wie Angreifer in der Praxis vorgehen.

Hier können Sie sich den Fachartikel herunterladen.

 

 

 

Webinar Cybercrime und Risikomanagement

Am 13.11.2014 haben wir in Zusammenarbeit mit der Refa-Akademie und der RealCore Gruppe ein Webinar durchgeführt. Das Webinar zeigt auf, wie der aktuellen Bedrohungsstand im Umfeld der Internetkriminalität ist, wer der Angreifer sind und mit welchen Mitteln Sie versuchen an wertvolle Unternehmesinformationen zu gelangen. Weiterhin bekamen die Teilnehmer einen Einblick, welche Maßnahmen zur Risikominimierung ergriffen werden können.
Read More

Daten zwingen zu Taten – Datenschutz ist Pflicht des Unternehmers – und wird völlig unterschätzt

Pressemitteilung von: HADER Consulting
Langenaltheim / Nürnberg: Bis zu 50.000€ Bußgeld sind fällig, wenn dem Unternehmer Fahrlässigkeit und Vorsatz im mangelnden Umgang mit personenbezogenen Daten nachgewiesen werden. Konzerne und Großbetriebe haben es leicht; sie beschäftigen Datenschutzbeauftragte die den Unternehmer beraten und auf den richtigen und sicheren Umgang mit personenbezogenen Daten hinwirken. Und der Handwerksbetrieb und kleine Unternehmen? Sie können es sich oft nicht leisten, ihr Personal mit Tätigkeiten zu beschäftigen, die nicht zum eigentlichen Geschäft gehören. Die Hilfe: Externe Datenschutzbeauftragte.
Der Gesetzgeber hat den Umgang mit personenbezogenen Daten unter einen besonderen Schutz gestellt. Im Bundesdatenschutzgesetz – BDSG – ist u.a. festgelegt, dass die Leitung eines Unternehmens die alleinige Verantwortung für den rechtmäßigen Umgang mit personenbezogenen Daten im Unternehmen hat. Fehlerhafter Umgang mit personenbezogenen Daten ist kein Kavaliersdelikt und kann empfindliche Geldbußen nach sich ziehen. Darüber hinaus kann, durch Bekannt werden einer Datenpanne, ein nicht zu bewertender Imageschaden für Unternehmen entstehen. „Viele Unternehmer unterschätzen das persönliche Risiko, das im nicht fachgerechten Umgang mit personenbezogenen Daten für sie entstehen kann“, sagt Joachim A. Hader, Geschäftsführer der Firma HADER Consulting (www.hader-consulting.de).

Damit das Risiko einer „Datenschutzpanne“ beim Umgang mit personenbezogenen Daten minimiert wird, ist es zwingend notwendig den Datenschutz in Unternehmen zu etablieren und zu professionalisieren. Dies erreicht man einerseits durch eine Sensibilisierung der Menschen, die mit den Daten umgehen und diese nutzen, anderseits durch Treffen von proaktiven Maßnahmen um Daten technisch und organisatorisch zu schützen (Datensicherheit).

Eine tragende Rolle im Umgang mit personenbezogenen Daten im Unternehmen kommt dem Datenschutzbeauftragten (DSB) zu. Der DSB hat die u.a. die Aufgabe die Mitarbeiter im Umgang mit personenbezogenen Daten zu sensibilisieren und auf die richtige und sachgerechte Handhabung der Daten hinzuwirken. Alle Unternehmen in denen mehr als neun Mitarbeiter ständig elektronisch mit personenbezogenen Daten umgehen müssen einen DSB bestellen. Da viele Firmen auf Grund ihrer internen Kostenstruktur keinen internen DSB bestimmen können, greifen sie auf die Dienstleistung eines externen DSB zurück.

„Anders als ein interner DSB unterliegt ein externer DSB keinem besonderen Kündigungsschutz. Von Gesetzes wegen muss ein Unternehmer dem internen DSB die Gelegenheit geben, sich laufend in Bezug auf den aktuellen Stand der Gesetze, Vorgaben und Entscheidungen weiterzubilden. Dies ist ein nicht zu unterschätzender Kostenfaktor, gerade für kleinere Unternehmen. Ein externer DSB trägt dies Kosten selbst. Weiter Vorteile für die Beschäftigung eines externen DSB sind, dass er Erfahrungen von anderen Firmen und Branchen mitbringt, sowie eine unvoreingenommen Sichtweise auf interne Abläuft mitbringt. Selbstverständlich sind die Kosten für einen externen DSB jederzeit transparent und planbar. Von Gesetzes wegen Verschwiegenheit und Vertraulichkeit verpflichtet.“, erläutert der Datenschutzexperte Joachim A. Hader.

Achtung Bußgeld!
Das Datenschutzrecht sieht für formale Verstöße ein Bußgeld von bis zu 50.000 € vor. Bei fahrlässig oder vorsätzlicher unbefugter Erhebung oder Verarbeitung personenbezogener Daten können Geldbußen bis zu 300.000 Euro verhängt werden. Verstöße gegen das Datenschutzrecht stellen teilweise Straftatbestände dar. Bei der Verhängung eines Bußgelds durch die Datenschutzaufsichtsbehörden wird immer Fahrlässigkeit oder Vorsatz angenommen, d.h. die Leitung des Unternehmens haftet persönlich. „Es droht zum Beispiel bei Nicht- oder Scheinbestellung eines Datenschutzbeauftragten ein Bußgeld von bis zu 50.000 Euro.“, gibt Hader zu bedenken.

So haben Mitarbeiter eines Händlers in Bayern im vergangenen Jahr eine Kundeninformation mit allen Emailadressen der Kunden im „AN-Feld“ versandt. Die Emailadressen enthielten vorwiegend die Vor- und Nachnamen der Kunden, deshalb hat das Landesamt für Datenschutzaufsicht in Bayern dies als einen Verstoß gegen die geltenden Datenschutzbestimmungen gewertet und ein empfindliches Bußgeld verhängt. Der Arbeitgeber eines ehemaligen Mitarbeiters wurde mit einem Bußgeld belegt, weil er sich unter einem Vorwand das Handy seines Mitarbeiters geben ließ und dann zwei in Whats-App gespeicherte private Chatverläufe an seine eigene Emailadresse geschickt hat. Auch werden oft Datenschutzvorfälle gemeldet und geahndet, bei denen Unterlagen mit personenbezogenen Daten in Altpapiercontainern oder frei zugänglichen Papierlagern von Dritten gefunden werden. Datenschutzpannen geschehen fast täglich.

Checkliste Datenschutzstatus:
Prüfen sie den Datenschutzstatus im Umgang mit personenbezogenen Daten (pbD) in ihrem Unternehmen:
• Sind in ihrem Unternehmen mehr als 9 Mitarbeiter mit der automatisieren oder mehr als 20 mit manueller Verarbeitung von pbD beschäftigt? und haben sie einen DSB benannt? (Verarbeitung: z.B. Email, Zahlungsterminals, Kundenbuchhaltung, Lieferantenverwaltung, Personalverwaltung; Mitarbeiter: Vollzeit, Teilzeit, Aushilfen, Praktikanten in Vertrieb, Einkauf, Personalabteilung, Kasse, etc.)
• Kennen Sie alle Verfahren, mit denen in ihrem Unternehmen pbD erfasst, verarbeitet und genutzt werden und sind diese dokumentiert (Verfahrensverzeichnis)?
• Können Sie jederzeit Auskunft geben bzw. nachvollziehen wann und wie pbD in ihrem Unternehmen erfasst und / oder verändert wurden?
• Sind ihre Mitarbeiter im Sinne des § 5 BDSG (Datengeheimnis) geschult und verpflichtet worden und wird diese Schulung regelmäßig wiederholt?
• Werden in ihrem Unternehmen pbD gelöscht, wenn sie nicht mehr benötigt werden?
• Haben Sie pbD ausgelagert (z.B. in der Cloud wie Google, Amazon, Dropbox, Microsoft etc. externes Rechenzentrum; Lohn- und Gehaltsbuchhaltung) und haben Sie eine Vereinbarung nach § 11 BDSG (Auftragsdatenverarbeitung) mit dem Dienstleister abgeschlossen?
• Speichern oder verarbeiten Sie pbD auf mobilen Datenträgern (z.B. Notebooks, ext. Festplatten, USB-Sticks) und sind diese verschlüsselt?
• Sind Ihre EDV-Anlagen auf denen pbD gespeichert und verarbeitet werden ausreichend gegen den Zugriff durch Dritte geschützt (z.B. Passwörter, Bildschirmsperre, Zugangs- und Zutrittskontrolle, Virenschutz, etc.)

Der externe Datenschutzbeauftragte Joachim A. Hader gibt den Rat: „Wenn Sie eine dieser Fragen mit NEIN beantworten, dann sollten sie sich den Rat eines Fachmanns zum Thema Datenschutz und IT Sicherheit einholen, um ihr persönliches Risiko (Bußgeld, Datenpanne) zu minimieren. Nehmen Sie Kontakt mit uns auf. Wir werden Ihr Anliegen vertraulich und professionell behandeln.“

Diese Pressemitteilung wurde auf openPR am 01.06.2014 veröffentlicht.

Daten zwingen zu Taten – Was tun, wenn passiert was nicht passieren soll? –

Es ist passiert! Ihr Unternehmen wurde gehackt! Beweissicherung, Ursachenforschung und Beseitigung der Schwachstellen sollte nur durch gut ausgebildete Experten durchgeführt werden.

„Es gibt nur zwei Arten von Unternehmen: Diejenigen, die wissen, dass sie gehackt wurden und die jenigen, die nicht wissen, dass sie gehackt wurden“, titelt die IT-Sicherheitsabteilung eines der weltgrößten Softwareunternehmen. Aber wie soll man sich verhalten, wenn man den Verdacht hat, dass das passiert ist was nicht passieren soll?
Read More