[datensicherheit.de, 01.12.2020] Die meisten IT-Teams würden wohl gerne glauben, dass ihr Unternehmen alle Anwendungen, Websites und Tools kennt, die Mitarbeiter zur Erledigung ihrer Aufgaben einsetzen, so Netmotion nach eigenen Angaben als Fazit aus zahlreichen Kundengesprächen. Tatsächlich investierten Unternehmen in eine Vielzahl von Produktivitäts-, Kommunikations-, Speicher- und Collaboration-Tools für ihre Belegschaft, um sicherzustellen, dass die Mitarbeiter ihre Arbeit effizient und effektiv erledigen könnten. Was Arbeitnehmer möglicherweise darüber hinaus benötigen könnten, zeige eine kürzlich durchgeführte Studie, wonach 62 Prozent der mobilen Mitarbeiter zugegeben hätten, dass sie für ihre Arbeit alternative Anwendungen verwendeten, von denen ihre IT-Abteilung nichts wisse.

Foto: NetMotion

Thomas Lo Coco: Arbeitnehmer greifen zwar auf nicht genehmigte Tools zu, dies aber zumeist im Interesse der Arbeitserledigung…

Mitarbeiter nutzen Schatten-IT womöglich mit einem Gefühl der Freiheit

„Warum halten sich also nur 38 Prozent der Arbeitnehmer an die Liste der sanktionierten IT-Software ihres Arbeitgebers?“ Wenn man sich die Ereignisse des Jahres 2020 anschaue, könne man einige Vermutungen anstellen: Aufgrund von Auflagen, zu Hause zu bleiben, und weil die Teammitglieder mehr Arbeit außerhalb des Büros erledigten, habe die IT ein gewisses Maß an Sichtbarkeit und Kontrolle verloren.
Möglicherweise spürten auch die Mitarbeiter selbst ein Gefühl der Freiheit. Sie müssten sich keine Sorgen mehr darüber machen, „dass sie ein Büronetzwerk nutzen oder bei der Nutzung einer externen Ressource auf frischer Tat ertappt werden“. Das Ergebnis sei ein Potpourri aus verschiedenen Anwendungen und Diensten, die Mitarbeiter gerne nutzten, um gewisse Lücken zu füllen. Ohne Kenntnis dieser Tätigkeit indes seien Unternehmen einem erhöhten Risiko von Datenlecks und potenziellen Sicherheitsverletzungen ausgesetzt.

Die Top-5 der Schatten-IT in Unternehmen laut NetMotion

„Welche Online-Tools und -Dienste sind für Mitarbeiter so wichtig, dass sie bereit sind, ihre Unternehmensrichtlinien zu verletzen, um diese Tools und Dienste dennoch zu nutzen?“ Die Antworten von NetMotion seien naheliegender als erwartet:

1. Produktivitätswerkzeuge
   Die erste Kategorie von Software, die von Fernmitarbeitern (in nicht sanktionierter Weise) eingesetzt wird, sind Produktivitätstools. Dies ist eine andere Sichtweise als die finstere, die den meisten in den Sinn kommt, wenn sie an „Schatten-IT“ denken. Die Arbeitnehmer versuchen hierbei eindeutig nicht, ihr Unternehmen zu sabotieren, indem sie auf bösartige Websites zugreifen – sie benutzen einfach Tools, die ihnen helfen, produktiver zu sein, während sie von zu Hause arbeiten.
   Anhand einiger der relevantesten Tools in dieser Kategorie ist dies leicht nachzuvollziehen. „Google Docs“ wird zwar von den meisten IT-Teams nicht sanktioniert, ermöglicht es den Mitarbeitern jedoch, Dateien schnell und einfach auszutauschen und zusammenzuarbeiten. Dennoch müssen IT-Teams wissen, welche Tools die Mitarbeiter verwenden, um sie effektiv zu sperren. Eine falsche Datei, die über einen Online-PDF-Konverter ausgetauscht wird, kann ein unbeabsichtigtes Datenleck und enorme Auswirkungen bis hin zum finanziellen und Reputationsverlust für das betroffene Unternehmen führen.
2. Kommunikation
   Kommunikationssoftware kommt im Bereich der Schatten-IT an zweiter Stelle und umfasst Tools wie „Zoom“, „Slack“ und „WhatsApp“. Auch hierbei ist es keine Überraschung, dass die Team-Mitglieder sich in Projekten engagieren und miteinander kommunizieren wollen. Für Unternehmen vielleicht noch schockierender ist der Umstand, dass die Mitarbeiter anscheinend unzufrieden mit den Kommunikationstools sind, die von der IT eigens eingerichtet wurden.
   Es ist die halbe Miete, wenn man versteht, welche Kommunikationswerkzeuge die Mitarbeiter (abgesehen von den sanktionierten) verwenden. Wenn das IT-Team das Problem versteht, macht es die Lösung des Problems einfach. Vielleicht wäre dies eine Investition in „Slack“ für die Mitarbeiter oder eine Schulungssitzung dazu, dass die aktuelle offizielle Kommunikationssoftware viele der gleichen Funktionen aufweist. Unabhängig davon ist es wichtig, sicherzustellen, dass die Kommunikationswerkzeuge, die Mitarbeiter verwenden, konsistent und sicher sind. Nachrichten bezüglich sensibler Unternehmensinformationen, die auf nicht genehmigten Nachrichtenplattformen gesendet werden (obwohl sie an sich sicher sind), können leicht in die falschen Hände geraten.
3. Storage
   An dritter Stelle, weit unterhalb von Produktivität und Kommunikationssoftware, stehen Storage-Tools. Dazu gehören Anwendungen wie „Dropbox“, „Box“ und „WeTransfer“. Diese sind überaus bekannt und werden in vielen Unternehmen verwendet, unabhängig davon, ob sie mit Sanktionen belegt sind oder nicht. Die gute Nachricht ist, dass die Unternehmen anscheinend einen Schritt zur Bekämpfung dieser nicht sanktionierten Verwendung unternommen haben, indem sie den Arbeitnehmern den Zugang zu Storage auf funktionierende Weise ermöglichen. „Dropbox“ zum Beispiel hat jetzt ein Angebot für Unternehmen, das einen robusteren Sicherheitsstandard erfüllt.
   Wenn Unternehmen jedoch noch nicht in externe Speicherkapazitäten investieren, sollten sie dies möglicherweise in Betracht ziehen. Große Dateien, die auf unsichere Speicherorte hochgeladen werden, sind eine einfache Möglichkeit, Daten durchsickern zu lassen, von der die meisten Mitarbeiter häufig Gebrauch machen, wenn sie keine Alternative haben.
4. Zusammenarbeit
   Collaboration-Tools belegen den letzten Platz in der Kategorie Schatten-IT-Software. Es ist leicht, dies als positiv zu sehen. Tools wie „Asana“, „Trello“ und „Coda“ sind ohne spezielle IT-Kenntnisse nutzbar. So scheint es, dass die Mehrheit der Mitarbeiter ihre Bedürfnisse an diese Tools erfüllt sieht. Ein Beispiel wäre, dass ein Team „Asana“ verwendet, ohne dass die IT-Abteilung davon weiß.
   Auch hierbei handelt es sich um eine Situation, die leicht gelöst werden kann und die wahrscheinlich darauf zurückzuführen ist, dass die Bedürfnisse der Mitarbeiter nicht erfüllt wurden. Wenn „Asana“ verwendet wird, bedeutet das normalerweise, dass ein Team versucht, sich zu organisieren und effektiver zusammenzuarbeiten. Wenn die IT-Abteilung in der Lage ist, diesen Bedarf zu erkennen, sollte sie helfen, indem sie entweder in „Asana“-Lizenzen investiert und Personal ausbildet oder diesen funktionalen Bedürfnissen auf andere Weise gerecht wird.
5. Sonstige
   Diese Kategorie regt die Phantasie auf Anhieb an, vor allem bei IT-Teams, denn es ist schwierig zu ergründen, welche Tools unter „Sonstige“ fallen.
   Was sich jedoch sagen lässt, ist, dass Fern-Arbeiter diese als ihre Antwort auf ein Problem wählen, weil sie bestimmte Tools ohne IT-Kenntnisse verwenden können.

Schatten-IT – Mangel an Sichtbarkeit im Allgemeinen nie eine gute Sache

„Offensichtlich hat diese Analyse aufgedeckt, was viele als ein Problem bezeichnen würden. Da einer von vier Umfrageteilnehmern NetMotion gegenüber offenbart, dass er eine beträchtliche Anzahl von Tools außerhalb der offiziellen IT-Richtlinien verwendet, ist Handlungsbedarf gegeben“, betont Thomas Lo Coco von NetMotion und fährt fort:
„Ist in Sachen Schatten-IT wirklich alles schlecht? In gewisser Weise ja – ein Mangel an Sichtbarkeit für die IT ist im Allgemeinen nie eine gute Sache. Andererseits zeigt die Erfahrung, dass Arbeitnehmer zwar auf nicht genehmigte Tools zugreifen, dies aber im Interesse der Arbeitserledigung tun.“

Schatten-IT so steuern, dass sie zu etwas Positivem wird

„Wie löst ein Unternehmen dieses Problem? Jedes Unternehmen ist anders. Ein Team nutzt vielleicht einen Mix von Schatten-IT oder weist eine große Anzahl von Fällen auf, die in eine ganz bestimmte Kategorie fallen.“ Unter dem Strich benötige die IT-Abteilung Sichtbarkeit außerhalb der vier Wände des Büros. Die IT müsse nach Meinung von Netmotion in der Lage sein, zu entschlüsseln, auf welche Tools die Mitarbeiter in jedem Netzwerk zugreifen.
Ist diese Sichtbarkeit gegeben, müsse die IT-Abteilung mit den Mitarbeitern zusammenarbeiten und effektive Lösungen finden, anstatt produktive Arbeitsweisen zu verhindern. Die Schatten-IT lasse sich so steuern, dass sie zu etwas Positivem wird, statt das eher archaische Modell der Beschränkung von Mitarbeitern, ihren Methoden und Geräten zu verfolgen.

Weitere Informationen zum Thema:

NetMotion
An introduction to experience monitoring

datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT / Laut neuer McAfee-Studie hat Cloud-Nutzung während der „Corona“-Krise um 50 Prozent zugenommen – damit wuchs auch Risiko der Schatten-IT

Gastbeitrag von Deepen Desai, VP Security Research bei Zscaler, 06.3.2020
Schatten-IoT: Wie man Licht ins Dunkel bringt / Bedrohungslandschaft im ständigen Wandel

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe / Beliebte Angriffsvektoren für Cyberkriminelle

datensicherheit.de, 16.09.2018
Fünf Maßnahmen gegen die mobile Schatten-IT / Starke Herausforderung für die Unternehmens-IT / Mitarbeiter nutzen nicht genehmigte Geräte und Apps

datensicherheit.de, 11.08.2016
Die dunklen Seiten der betrieblichen Schatten-IT / Tenable-Studie zeigt wachsende Anfälligkeit für Angriffe auf Unternehmen

[datensicherheit.de, 11.10.2020] Datenbanken sind heutzutage offensichtlich eine tragende Säule zahlreicher Geschäftsprozesse. „Unabhängig von der Größe eines Unternehmens – Datenbestände können stets komplex sein. Deshalb lohnt es sich die im Einsatz befindlichen Monitoring-Lösungen regelmäßig kritisch zu evaluieren und wirksame, effiziente Prozesse zu entwickeln“, empfiehlt Steven Wright, „Director of Sales Enablement“ bei SentryOne. Die Einstellung, dass die eingesetzten Lösungen zwar als „gut genug“ erscheinen, kann laut Wright „letztendlich unnötige Kosten verursachen“. Er gibt in seiner aktuellen Stellungnahme Tipps zum effizienten Einsatz von Datenbank-Überwachungstools und schildert worauf dabei zu achten ist.

Foto: SentryOne

Steven Wright: Bestehende Lösungen in regelmäßigen Abständen kritisch evaluieren!

Abbildung: SentryOne

Ausfallzeiten frühzeitig und schnell identifizieren, Ursache ermitteln und künftig zu vermeiden

Ob Interaktion mit den Kunden in einem Online-Shop, Zugriffe auf Ressourcen einer Website oder die betriebsinterne Nutzung von Software-Anwendungen: „Datenbanken sind eine tragende Säule zahlreicher Geschäftsprozesse.“ So könnten auch kleine Probleme auf Datenbankebene verlangsamte Abläufe mit sich bringen oder gar zu Ausfallzeiten führen, warnt Wright. „Laut Gartner liegen die durchschnittlichen Kosten für IT-Ausfallzeiten bei 5.600 US-Dollar pro Minute. Obwohl die Bezifferung maßgeblich von der Größe und Art des Unternehmens abhängt, können selbst kleine Unternehmen Kosten von bis zu 100.000 US-Dollar pro Stunde Ausfallzeit verzeichnen, während bei größeren Unternehmen die Kosten auf über eine Million US-Dollar pro Stunde ansteigen können.“
Verlangsamte Prozesse wiederum verursachten zwar geringeren Schaden – man schätze etwa ein Fünftel der stündlichen Ausfallkosten – sie träten allerdings zehnmal häufiger auf. Diese Kosten könnten sich dann sehr schnell summieren, so dass es für jedes Unternehmen von enormem Wert sei, derartige Ereignisse frühzeitig und schnell zu identifizieren, ihre Ursache zu ermitteln, zu lösen und künftig zu vermeiden.

Unternehmen sollten ihre Monitoring-Lösungen kritisch betrachten

Datenbanken seien mit einer Vielzahl an weiteren Prozessen verknüpft, welche sich auf die Leistung auswirken könnten. Unternehmen nutzten daher verschiedene Tools und Methoden, um Schwierigkeiten, die die Performance von Datenbanken beeinträchtigten oder diese hervorrufen könnten, ausfindig zu machen.
„Diese mögen augenscheinlich für den täglichen Betrieb gut genug sein, werden sie jedoch auf die falsche Weise eingesetzt, können noch mehr Aufwand und Kosten entstehen“, so Wright. Für Unternehmen lohne es sich daher, ihre Monitoring-Lösungen kritisch zu betrachten:

1. Tipp: Überwachung der Anwendungsleistung – Application Performance Management (APM) Tools

Heute gebe es eine Fülle von Tools auf dem Markt, die eine einfache Überwachung der Anwendungsleistung in guter Qualität ermöglichten und einen allgemeinen Überblick des Zustands von IT-Umgebungen böten. „Wie die Mehrheit der Nutzer angibt, sind APM-Tools zwar in der Lage, in die richtige Richtung zu weisen, allerdings gelingt es ihnen nicht, Problemursachen auf der Datenplattform zu identifizieren. Somit ist es erforderlich, zusätzlich manuelle Daten zu erfassen, um Probleme zu beheben und dauerhaft zu lösen.“
Da APM-Tools mitunter nicht die erforderliche Tiefe der Datenbankanalyse erreichten, um die zugrunde liegenden Performance-Probleme zu eliminieren, dauere die Ursachenanalyse meist länger und erschwere die langfristige Optimierung.

2. Tipp: Benutzerdefinierte Skripte

Erfahrene Datenbank-Administratoren (DBAs) verfügten meist über eine Sammlung von benutzerdefinierten Skripten, welche sie entweder online recherchiert oder selbst erstellt hätten. Diese Skripte dienten in der Regel dazu, andere Werkzeuge wie beispielsweise APM zu ergänzen, fehlende Funktionen auszugleichen oder Ad-hoc-Probleme zu lösen.
„Wird die Leistungsüberwachung vornehmlich durch eine Skript-Bibliothek bewerkstelligt, kann dies dennoch Einschränkungen nach sich ziehen. Denn nur in Ausnahmefällen lässt sich mit ihnen ein vollständiges Bild der IT-Umgebung erstellen. Viele Skripte werden lediglich für einen bestimmten Sachverhalt entwickelt und sind bereits nach einmaliger Anwendung überflüssig.“ Diejenigen, die einen längerfristigen Wert böten, seien hingegen oft schwer zu warten: „Wenn die Umgebung wächst und neue Technologien zum Einsatz kommen, kann die Pflege der Skripts schnell zu einer Vollzeitbeschäftigung werden.“ Angesichts der geringen Wahrscheinlichkeit, dass die Skripts die erforderliche Granularität besäßen und/oder signifikante historische Details lieferten, um den Ursachen auf den Grund gehen zu können, ein unnötig hoher Aufwand, so Wright.

3. Tipp: SQL Server Wait Statistics

„Eine ,Ressourcen-Wartezeit‘ wird durch Prozesse akkumuliert, die auf SQL-Servern laufen und darauf warten, dass eine bestimmte Ressource verfügbar wird. Warte-Statistiken (wait statistics) zeigen entsprechend auf, wo sich kritische Engpässe innerhalb von SQL-Servern aufbauen.“ Einige IT-Verantwortliche könnten versucht sein, sich einfach auf die Warte-Statistiken zu konzentrieren, um die Leistung ihrer Datenbanken zu verstehen. Dies könne jedoch – insbesondere auf Abfrageebene – zu völlig falschen Schlussfolgerungen führen: „Es ist in etwa so, als würde man bei einem Verkehrsstau lediglich ein einzelnes Auto betrachten. Das Auto bewegt sich und läuft demnach einwandfrei. Was dieser Betrachtung jedoch entgeht, ist der Lastwagen weiter vorne, der umdrehen möchte.“
Ebenso benötige man auch bei der Betrachtung von Warte-Statistiken Informationen aus anderen Quellen, „damit man ein vollständiges Bild erlangen und den Ursachen auf den Grund gehen kann“. Dennoch bildeten sie zumindest einen sehr guten Ausgangspunkt, um ein Gefühl für das Leistungsprofil des Servers zu bekommen und zu erfahren, wo Probleme auftreten könnten.

4. Tipp: Überwachung der Datenbankleistung: Data Performance Monitoring (DPM) Tools

Auf den ersten Blick erschienen DPM-Tools natürlich als effektivste Methode zur Überwachung der Datenbankleistung, schließlich seien sie genau dafür konzipiert. Doch auch sie brächten Einschränkungen mit sich, „wenn man es nicht versteht, ihr Potenzial maximal zu nutzen“.
Ein Problem von DPM-Tools könnten beispielsweise zu wenige Details sein, insbesondere bei Counter-Metriken wie CPU oder IO. Manche Produkte und auch selbst entwickelte Lösungen erfassten Momentaufnahmen dieser Daten lediglich einmal im Abstand von mehreren Minuten, um den entsprechenden Server nicht übermäßig zu belasten. Andere Einschränkungen betreffen demnach die Details auf Abfrageebene: „Meist werden lediglich die Top N-Abfragen gesammelt oder angezeigt, unabhängig von der Aktivitätsebene auf dem Server. Oder man konzentriert sich auf Abfragen, die auf ihren eigenen Wartezeiten basieren, im Gegensatz zum tatsächlichen Ressourcenverbrauch der Anfrage, bei dem es viel wahrscheinlicher ist, die Ursache zu identifizieren.“

Skalierbarkeit oft eine Herausforderung

Auch die Skalierbarkeit sei oft eine Herausforderung. Die Anzahl an Servern, die sich mit einer Produktinstallation überwachen ließen, sei bei den meisten DPM-Tools begrenzt. Die Tatsache, dass sie alle von einer SQL-Server-Datenbank unterstützt würden, um sämtliche gesammelten Daten zu speichern, schaffe allerdings einen Engpass.
Aus diesem Grund hätten diese Produkte ab etwa 200 bis 300 überwachten SQL-Servern zu kämpfen. Für größere Unternehmen könne es daher notwendig sein, mehrere Installationen zu implementieren, um alle Server abzudecken. Einige DPM-Produkte handhabten dies, indem sie mehrere Back-End-Datenbanken von einer einzigen Schnittstelle aus unterstützten, „obwohl dies einen erheblichen Kosten- und Verwaltungsaufwand erfordert“.

Eingesetzten Tools sollten optimal laufen und maximalen Nutzen liefern

„Gut genug“ könne durchaus teuer werden, sagt Wright. Unabhängig von der Größe eines Unternehmens könnten die Datenbestände stets komplex sein. Deshalb sei es wichtig, sicherzustellen, dass die eingesetzten Tools optimal liefen und maximalen Nutzen brächten. Im Wesentlichen könnten Unternehmen anhand der folgenden Kriterien beurteilen, „ob ihre Lösung zur Datenbanküberwachung ausreichend wirksam ist“:

• Bietet die Lösung genügend Details und exakt die Angaben, um Probleme schnell zu lösen und zu verhindern?
• Lässt sie sich entsprechend des erwarteten Datenwachstums skalieren?
• Funktioniert die Lösung in allen Umgebungen, in denen sie benötigt wird?
• Trägt sie in zufriedenstellendem Maß zur Problemlösung bei – oder ruft sie womöglich noch mehr hervor als sie lösen soll?
• Wie sieht es mit dem Support aus? Besteht Unterstützung durch erfahrende Ingenieure – für den Fall, dass etwas schief geht?

Wrights Fazit: „Bestehende Lösungen in regelmäßigen Abständen kritisch zu evaluieren hilft dabei, wirksame und effiziente Prozesse zu entwickeln. Insbesondere verhindert es dem Phänomen entgegen, dass die eingesetzten Lösungen zwar als gut genug erscheinen, letztendlich aber durch Verlangsamung oder Ausfälle unnötige Kosten verursachen.“

Weitere Informationen zum Thema:

datensicherheit.de, 29.09.2017
NoSQL-Datenbanken: Schlüsseltechnologie für Digitalisierung

[datensicherheit.de, 26.06.2020] Aufgrund der Corona-Pandemie sind Besprechungen nicht mehr im gewohnten Rahmen möglich. In Unternehmen hat sich bewährt, Besprechungen und Konferenzen stattdessen über Videotelefonie mit zwei oder mehr Teilnehmern durchzuführen. Den Unternehmen stehen dabei verschiedene Anwendungen wie Zoom, Skype, MS Teams, GoTo-Meeting, Teamviewer oder WebEx zur Auswahl. Bei allen Videotools stellt sich die Frage, wie personenbezogene Daten und Geschäftsgeheimnisse am besten geschützt werden und welche Risiken sich im Einzelnen ergeben können. Besonders, wenn Personal- und/oder Gesundheitsdaten geteilt werden, aber auch bei der Nutzung in Schulen bzw. mit und durch Minderjährige, muss auf den Schutz dieser sensiblen Daten geachtet werden. Gleiches gilt für wichtige Geschäftsgeheimnisse oder geschäftliche Daten, die durch unvorsichtiges Handeln nicht in die falschen Hände geraten sollen.

Eine Vielzahl an Kriterien beeinflusst die Wahl des Tools

Bei der Auswahl eines Videokonferenz-Tools stellen sich vorab viele Fragen. Zunächst muss geklärt werden, ob die Einführung eines eigenen Dienstes möglich ist, sprich: ein Unternehmen eine eigene oder eine Fremdsoftware auf der IT-Infrastruktur sicher und funktional betreiben kann. In diesem Fall werden die Daten nur auf Ihrem Server gespeichert und der Anbieter der Videokonferenzlösung erhält in der Regel keinen Zugriff auf die Videokonferenz-Daten. In diesem Fall obliegt es aber auch der Verantwortung des Betreibers, die IT-Infrastruktur hinreichend zu sichern und ausreichend Kapazitäten bereitzuhalten, die für die Durchführung der Videokonferenzen, möglicherweise sogar mehrere zur gleichen Zeit, erforderlich sind.

Entscheiden Sie sich gegen die Einrichtung eines eigenen Dienstes, so sollte ein Anbieter gewählt werden, der seinen Sitz in der EU bzw. im EWR hat. Alternativ kann ein Anbieter ausgesucht werden, der seinen Sitz in einem Staat mit angemessenem Datenschutzniveau hat (Liste der Staaten unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en ). Handelt es sich um ein Unternehmen aus den USA, so sollte es nach den EU-US-Privacy Shield zertifiziert sein. Diese Zertifizierung müssen die US-Unternehmen jährlich erneuern. In Folge müssen auch Sie als Nutzer die Zertifizierung jährlich überprüfen.

Nach dieser Vorauswahl ist entscheidend, ob durch Zertifizierungen oder Verschlüsselungen eine ausreichende Datensicherheit erreicht werden kann. Mit Blick auf die Verschlüsselung sollte mindestens eine Transportverschlüsselung vorliegen. Sollen ausnahmsweise auch sensible Daten bearbeitet werden, ist eine Ende-zu-Ende-Verschlüsselung geboten.

Dann ist mit dem ausgewählten Anbieter nur noch eine Vereinbarung zur Auftragsverarbeitung abzuschließen. Sofern es sich um ein nicht in der EU-/EWR-ansässiges Unternehmen handelt, muss zusätzlich überprüft werden, ob eine Privacy-Shield-Zertifizierung vorliegt oder die EU-Standardvertragsklauseln abgeschlossen werden können.

Aus rechtlicher Sicht ist bei der Auswahl und Einführung der Videotelefonie auf die Beteiligung, des Betriebs-/Personalrats sowie der Datenschutzbeauftragten zu achten.

Datenschutzkonforme Verwendung von Videotools

Nach Einführung des Videotools sind für die Nutzung verschiedene Sicherheitsmaßnahmen zu treffen.
Das Unternehmen muss durch organisatorische Maßnahmen sicherstellen, dass weder der Anbieter noch ein Teilnehmer unberechtigt Aufnahmen der Konferenz erstellt oder Nutzungsdaten an Dritte, wie z.B. Social-Media-Netzwerke, übermittelt werden. Auch Features zur Überprüfung der Aufmerksamkeit sollten in der Regel nicht verwendet werden. Etwas anderes kann beispielsweise dann gelten, wenn die Überprüfung der Aufmerksamkeit für die Teilnahme an einer Prüfung oder einem Seminar mit Teilnahmebescheinigung erforderlich ist, um festzustellen, ob die Teilnehmer keine anderen Programme auf ihren Geräten nutzen. Verschiedene Betreiber bieten die sinnvolle Möglichkeit, den Teilnehmern das Betreten der Konferenz nur mit einem Passwort zu gestatten oder die Identität der Teilnehmer durch den Moderator in einem Warteraum vor Zutritt zur Konferenz zu überprüfen.

Verfügt das eingesetzte Tool über eine Aufnahme-Funktion, sollte diese nur in engen Ausnahmefällen genutzt werden. Ein Meeting kann nur dann aufgezeichnet werden, wenn alle Teilnehmer freiwillig und ausdrücklich darin eingewilligt haben. Soll die Aufzeichnung exemplarisch erfolgen, um im Anschluss die Erstellung eines Protokolls zu erleichtern, darf die Aufzeichnung auch nur zu diesem Zweck gespeichert und muss umgehend gelöscht werden, wenn das Protokoll angefertigt wurde. Die Teilnehmer müssen vom Unternehmen auch vorab ausführlich über den Datenschutz informiert werden. Die von der DSGVO geforderten Pflichtinformationen umfassen dabei unter anderem die Kontaktdaten des Unternehmens und des Datenschutzbeauftragten, die Zwecke und Rechtsgrundlage für die Verarbeitung, Angaben zur Speicherdauer und Hinweise auf die Betroffenenrechte.

Treten während der Konferenz Probleme auf, so hilft auch hier die gute Vorbereitung des Moderators. Beispielsweise müssen unberechtigte Personen entfernt werden können, die unerlaubte Veröffentlichung der Zugangsdaten zur Konferenz verhindert sowie spontane Terminverschiebungen wegen technischer Probleme eingeplant werden.

Aber auch die Teilnehmer sollten verschiedene Regeln beachten und Vorsichtsmaßnahmen treffen. Vor aktiver Nutzung des Tools muss überprüft werden, ob die Privatsphäre durch das Ausschalten von Mikrofon und/oder Kamera geschützt werden kann. Des Weiteren sollte der Teilnehmer darauf achten, im beruflichen Umfeld keine privaten Accounts zu verwenden.

Nutzung von Zoom

Der Anbieter Zoom Video Communications, Inc. („Zoom“) war zuletzt starker Kritik ausgesetzt; hier ist allerdings zu differenzieren. Zoom hat seinen Sitz in den USA und sich dem Privacy-Shield unterworfen. Allerdings gilt dies nicht für die besonders sensiblen Personaldaten. Diese, wie auch andere sensible Daten, sollten daher nicht über Zoom geteilt werden.

Weiter bietet der Dienst standardmäßig die Transportverschlüsselung an. Hingegen werden die Daten nicht Ende-zu-Ende verschlüsselt. Die Landesdatenschutzbeauftragte aus NRW fordert jedoch auch nur für sensible Daten eine Ende-zu-Ende-Verschlüsselung. Für die Übermittlung sensibler Daten oder von Geschäftsgeheimnissen ist der Dienst zur Zeit der Erstellung des Beitrages daher nicht geeignet, im Übrigen aber prinzipiell schon.

Weiterhin bietet das Programm die Möglichkeit, einzelne Sitzungen aufzunehmen oder sich die Aufmerksamkeit anzeigen zu lassen; konkret bekommt der Moderator bei aktivierter Aufmerksamkeitsanzeige einen Hinweis, wenn ein Teilnehmer das Programm nur im Hintergrund laufen lässt und eine andere Anwendung nutzt. Beide Möglichkeiten sind nicht per se datenschutzkonform und daher grundsätzlich zu deaktivieren. Insbesondere für die Aufnahme bedarf es die Einwilligung sämtlicher Teilnehmer.

Fazit

Die aufsichtsbehördlichen Einschätzungen zu den Videokonferenz-Tools sind noch im Fluss. Durch die Corona-Pandemie wurden teilweise auch Tools im Schnellverfahren eingeführt. Die jüngste Ankündigung des Thüringischen Landesdatenschutzbeauftragten, von Lehrern eingesetzte, nicht genehmigte Tools kritisch zu überprüfen, zeigt die Brisanz der Thematik.

Letztendlich stellen sich jedoch aus datenschutzrechtlicher Sicht die normalen Fragen, die sich immer bei der Einführung von neuer Software stellen. Daher empfehle ich Ihnen, die Einführung mit dem Datenschutzbeauftragten anhand der skizzierten Kriterien initial und dann regelmäßig zu überprüfen. Hier ist es wichtig, eine vertretbare Entscheidung zu treffen und diese zu dokumentieren.

Foto: dhpg

Dr. Christian Lenz ist Rechtsanwalt bei der dhpg. Der Fokus seiner Tätigkeit liegt in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen. Als zertifizierter Datenschutzbeauftragter (TÜV®) ist sein Know-how in vielen Unternehmen als externer Datenschutzbeauftragter gefragt. Ein Fachgebiet, das er als Referent mit einem breiten Angebot an Schulungen und Vorträgen begleitet. Daneben unterstützt er Unternehmen beim Schutz ihrer Betriebs- und Geschäftsgeheimnisse entsprechend des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG).

Weitere Informationen zum Thema:

datensicherheit.de, 08.05.2020
Zoom übernimmt Verschlüsselungsspezialisten Keybase

datensicherheit.de, 15.04.2020
Sicherheit: Zoom ist keine Malware

datensicherheit.de, 11.12.2019
Zum Schutz des Bewerbers: Datenschutz im Einstellungsverfahren

datensicherheit.de, 14.10.2019
GeschGehG: Das neue Geschäftsgeheimnisgesetz

Von unserem Gastautor Michael Gerhards, Head of Airbus CyberSecurity Germany

[datensicherheit.de, 10.03.2019] Das Akronym UTM (Unified Threat Management) wurde ursprünglich für Firewall-Appliances entwickelt, die um zusätzliche Sicherheitsfunktionen wie IDS, IPS, URL-Filterung, SPAM-Filterung, Web Proxy mit Download-Virenprüfung erweitert wurden und nun auch Sandboxing-Lösungen für Dateidownloads und E-Mail-Anhänge beinhalten, – grundsätzlich also alles, was sich am Rande eines Netzwerks befindet, wo es ans Internet angebunden ist.

Integrierte Sicherheitspakete mit Managementkonsole

Dies hat sich dahin entwickelt, dass die meisten UTM-Anbieter nun auch ein Endpunkt-Schutzpaket anbieten, das typischerweise Host-Firewall, Virenschutz, Malware-Erkennung mittels Heuristiken und/oder Anomalie-Erkennung umfasst. Diese sind typischerweise mit einer Managementkonsole ausgestattet, die die Informationen aus dem Netzwerkverkehr der Appliance und den Host-Überwachungsfunktionen zusammenführt.

Bild: Michael Gerhards, CyberSecurity Germany

Michael Gerhards, Head of Airbus CyberSecurity Germany

Diese Lösungen können sehr kostengünstig sein und machen sie für kleine und mittlere Unternehmensgrößen mit einem begrenzten Budget attraktiv. UTM-Lösungen haben jedoch den Nachteil, dass sie gegen Verteidigung in der Tiefe wirken, weil eine Schwachstelle in der Appliance, der Host-Überwachung oder der Management-Anwendung den gesamten Schutz gefährden kann und weil die im Netzwerk und Host verwendete Antiviren- und Bedrohungserkennung in der Regel identisch ist und aus einer einzigen Quelle stammt. UTM-Netzwerk-Appliances können auch in großen Netzwerken Leistungseinschränkungen aufweisen, wenn sie für viele Funktionen gleichzeitig verwendet werden. Aus diesen Gründen ist es zwar möglich, dass eine UTM-Appliance und eine Endpunktlösung für kleine Netzwerke geeignet sind, aber größere Unternehmen verwenden eher getrennte Geräte von verschiedenen Anbietern für eine bestmögliche Lösung und erhalten so Informationen über Bedrohungen aus verschiedenen Quellen. Wenn dies aufgrund des Budgets oder der Verfügbarkeit eines operativen Teams nicht möglich ist, können UTM-Appliances eine Option sein, beginnend mit der Basis-Firewall. Bei der Abwehr der häufigsten Angriffe mit bösartigen Links in E-Mails oder dem Herunterladen von Malware auf kompromittierten Websites, können DNS und Webfiltering eine wirksame Verteidigung bieten, zusammen mit Virenprüfungen von E-Mail-Anhängen und Web-Downloads. Das Endpunktpaket kann dann weitere AV- und Verhaltensanalysen der ausführbaren Dateien liefern.

SIEM-TOOL wichtigstes Werkzeug

Für große Unternehmen ist das SIEM-Tool (Security Information and Event Management) das wichtigste Werkzeug, um die Ergebnisse der verschiedenen Detektions- und Protokollierungsgeräte zusammenzuführen. Hier werden Informationen aus verschiedenen Quellen zusammengeführt, um so eine Korrelation und Analyse dieser Informationen zu ermöglichen. Bösartige Aktivitäten werden so effektiver erkannt und die Reaktion auf Vorfälle beschleunigt. Dies ist in der Regel das einzige Tool, das einen Überblick über das gesamte Unternehmen bietet und beispielsweise die Korrelation von IDS-Alarmen und DNS-Anfragen ermöglicht. Das SIEM ermöglicht es auch, analytische Anwendungsfälle mit Hilfe aktueller Bedrohungsinformationen zu entwickeln. Bekannte oder neu auftretende Bedrohungen können so auf der Grundlage der verwendeten Techniken und Malware sowie der von den Sicherheitsgeräten gesammelten Informationen erkannt werden. Kontinuierliche Bedrohungserkennung ist für diese Aktivität von entscheidender Bedeutung.

Typischerweise werden eine Reihe von verschiedenen Toolsets verwendet, um Daten zu sammeln und zu verarbeiten, um aus den Rohdaten verwertbare Informationen zu gewinnen. Es gibt viele kostenlose Feeds, die in diese Tools aufgenommen werden können. Die häufigste Aggregation von Feeds wird innerhalb des MISP durchgeführt. Der MISP-Dienst ist Open Source und wird von vielen Unternehmen genutzt, zusammen mit einer Reihe von kostenpflichtigen und kostenlosen Feeds. Domänenrelevante Informationen können auch durch die Teilnahme an einer der vertikalen Informationsaustauschgruppen der Branche gewonnen werden.

Überwachung zeigt Schwachstellen auf

Die Überwachung des externen Fußabdrucks des Unternehmens ist auch der Schlüssel zur Identifizierung von Ein- und Ausstiegspunkten für Bedrohungsakteure. Premium-Tools sind das primäre Überwachungswerkzeug für jene Geräte, die für das Internet von außen sichtbar sind. Diese Tools zeigen auch potenzielle Schwachstellen, wenn sie für Host und offene Ports anwendbar sind. Monitoring Tools können auch eingesetzt werden, um Sites zu identifizieren, die bestimmten Organisationen zuzuordnen sind. Diese Art der Überwachung ist im aktuellen Klima sehr relevant, wo z.B. die Magecart Gruppe gefälschte Websites und ähnliche Domainnamen verwendet, um den Datenverkehr umzuleiten. Die Tools überwachen auch, ob ähnlich benannte Domainnamen registriert werden.

Schließlich ermöglichen es Premium-Abonnements für Malware-Samples dem CTI-Team, bösartige Samples herunterzuladen und Malware durch Reverse Engineering zu erkennen. So können IOCs identifiziert werden und Samples mit Bedrohungsgruppen verknüpft werden, um sich ein Bild von ihrer Funktionsweise und der Malware zu machen, die sie wahrscheinlich verwenden werden. Es hilft auch zu erkennen, ob ein Unternehmen gezielt attackiert wurde oder ob Samples im Rahmen einer größeren Kampagne blind ausgestreut wurden.

Weitere Informationen zum Thema:

Airbus Cyber Security
Herausforderung Cyber-Sicherheit

datensicherheit.de, 18.09.2018
Künstliche Intelligenz zur Erhöhung der Sicherheit im Netzwerk

datensicherheit.de, 17.12.2017
Cyber-Sicherheit im Jahr 2018: Airbus CyberSecurity gibt Prognose ab

[datensicherheit.de, 29.06.2018] Das sogenannte Ticketmaster-Leak hat bei dem britischen Konzertkarten-Anbieter offenbar dazu geführt, dass Angreifer persönliche Informationen wie Adressen, E-Mail-Adressen, Log-in-Daten, Namen, Telefonnummern und Zahlungsinformationen von Kunden dieses Webshops entwenden konnten. Das Datenleck ist offensichtlich eine Malware in einem eingesetzten Drittanbieter-Tool  gewesen, über deren Ursprung derzeit noch Unklarheit bestehen soll. In seinem aktuellen Kommentar nimmt Thomas Ehrlich, „Country Manager DACH“ bei Varonis, Stellung zu diesem ernsten Vorfall:

Foto: Varonis Systems

Thomas Ehrlich, „Country Manager DACH“ bei Varonis

Weniger als 5% betroffene Kunden – aber kein Grund zur Entwarnung

Von der Datenpanne seien offensichtlich nur in Großbritannien ansässige Kunden betroffen, die zwischen Februar und dem 23. Juni 2018 Tickets gekauft haben – dabei handele es sich um weniger als fünf Prozent der Kunden weltweit.
Dennoch sei dies – auch aus deutscher Sicht – „kein Grund zur Entwarnung oder Freude“. Vielmehr zeige dieser Fall, dass Angreifer immer wieder einen Weg in die anvisierten Systeme finden könnten – und sei es über Wege, auf die man keinen oder kaum Einfluss hat, wie in diesem Fall das Tool eines Drittanbieters.

Unternehmen nicht in der Lage, sämtliche Angriffsvektoren zu adressieren

Aus diesem Grund müssten Unternehmen ihre Abwehrmaßnahmen vor allem darauf fokussieren, was sie selbst in der Hand haben und was schützenswert sei – die (Kunden-)Daten. Es zeige sich hierbei nämlich exemplarisch, dass „Unternehmen gar nicht in der Lage sind bzw. sein können, sämtliche Angriffsvektoren zu adressieren“, so Ehrlich.
Stattdessen müssten die sensiblen Daten „ins Zentrum der Sicherheitsstrategie gestellt“ werden. Restriktive Zugriffsrechte nach dem „need-to-know“-Prinzip spielten hierbei ebenso eine entscheidende Rolle wie auch eine intelligente Überwachung des Nutzerverhaltens (UBA).

Intelligente Überwachung des Nutzerverhaltens empfohlen

Durch UBA würden anomale Aktivitäten (wie eben das Aufrufen, Kopieren etc. von Daten in erheblichem Umfang) identifiziert und automatisch blockiert.
Ehrlich: „Was sollten Kunden tun? Ticketmaster hat sicherheitshalber Warnmails auch an höchstwahrscheinlich nicht betroffene Kunden verschickt und ihnen empfohlen, ihre Passwörter zu ändern. Auch sollten diese darüber hinaus in der nächsten Zeit ihre Konto- und Kreditkartenauszüge im Blick haben.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2018
Ticketmaster: Schwerer IT-Sicherheitsvorfall bei Ticketvertriebs-Portal / Cyber-Kriminelle nehmen gerne schwächstes Glied der Kette ins Visier

[datensicherheit.de, 14.12.2015] Carsten Pinnow (CP) für datensicherheit.de im Gespräch mit Heather Mahalik, Trainerin für Smartphone-Forensik beim SANS Institut zum Thema „Smartphone-Forensik“ als Methodik bei Cyber-Vorfällen.

CP: Frau Mahalik, Smartphone-Forensik ist ein sehr interessantes Feld für Cyber-Untersuchungen. Können Sie einen Security-Vorfall beschreiben, der untersucht und im Anschluss publik gemacht wurde?

Mahalik: Malware hat die letzten Jahre geprägt und die Sicherheit von Smartphones mehr als je zuvor beeinflusst: Im September 2015 wurde die Infiltrierung von Apples streng überwachtem iTunes App Store durch die iOS Malware „XcodeGhost“ bekannt. Vor kurzem veröffentlichte Apple dann eine Liste mit den Top 25 der Applikationen, die nachweislich mit dem bösartigen Code entwickelt wurden. Darunter befindet sich auch die beliebte Messaging-Applikation WeChat, die in Asien weit verbreitet ist.
Die Malware wurde in gestohlene Versionen von Xcode, der Programmierumgebung von Apple, die auf MAC OS läuft und die für die Entwicklung von Software für iOS und OS X verwendet wird, eingespeist. Auf Webseiten von Drittanbietern wurden die manipulierten Versionen von Xcode dann zum Download angeboten. Wer mit der gehackten Version nun Code entwickelt hat, hat unwissentlich bösartige Software-Versionen zu Apple geschickt, die dann im iTunes Store veröffentlicht wurden – natürlich bevor der Exploit bekannt war.
In den gestohlenen Versionen wurde die CoreService-Entwicklungsumgebung ausgetauscht, die dann erhöhte Berechtigungen für Applikationen sammelte, die mit der Software erstellt wurden. Hierbei zog die infizierte Applikation Informationen wie Name, Versionsnummer, Systemversion, Sprache, Land, Entwickler, Installationszeit, Gerätename und Gerätetyp ab. Anschließend wurden die gesammelten Daten an einen Command und Control-Server übermittelt, wo sie in vielerlei Hinsicht verwendet wurden.

CP:  Gibt es eine wachsende Bedrohungslandschaft für Smartphones? Welche sind die häufigsten Malware-Typen?

Mahalik:  Am meisten gefährdet ist zwar noch immer Android, erst vor wenigen Wochen wurde aber auch iOS gehackt. Die Ansicht, dass iOS-Geräte sicher sind, ist weit verbreitet, weshalb viele denken, dass sie sich keine Sorgen machen müssen. Allerdings existieren die meisten Schwachstellen, die genutzt werden, um Zugang zu Computern zu erhalten, ebenfalls auf Smartphones.

Trojaner sind am häufigsten auf Smartphones zu finden. Doch auch andere Malware-Typen wie Ransomeware sollten nicht außer Acht gelassen werden. Malware auf einem Smartphone ausfindig zu machen, ist wesentlich leichter, als zu ermitteln, auf welche Daten die Malware zugreift und wo diese abgefiltert werden. In FOR585 lernen die Teilnehmer, wie sie Mal- oder Spyware erkennen und manuell dekompilieren können.

CP: Welche sind die wichtigsten Schritte, um forensische Untersuchungen auf Smartphones durchzuführen? Können Sie eine Vorgehensweise kurz beschreiben?

Mahalik: Smartphones zu untersuchen, verlangt ein spezielles Paket an Fertigkeiten und jeder Prüfer ist für die Entwicklung seiner eigenen Herangehensweise verantwortlich. Nur die bloße Bedienung des Smartphones kann schon dazu führen, dass die Daten nicht wiederhergestellt werden können, wenn per Remote auf das Gerät zugegriffen oder es gesperrt wird. In FOR585 besprechen wir geeignete Schritte, die sicherstellen, dass Daten nicht verloren gehen, wenn das Gerät in Ihrem Besitz ist. Neben dem Umgang mit Verschlüsselungen lernen die Teilnehmer zudem, wie sie ein Gerät rooten und „knacken“ können.

Ist einem erst einmal der Zugriff auf die Daten gelungen, sind die nächsten Schritte kritisch und werden oft nicht korrekt ausgeführt: Der Prüfer vertraut darauf, dass ein Forensik-Tool die Daten korrekt interpretiert. Dass Tools versagen, ist keinesfalls Fehler des Verkäufers, sondern ein Problem in Bezug darauf, wie das Smartphone für uns denkt und wo die Daten gespeichert werden. Für ein Tool ist es schwer zu wissen, ob der User etwas getan hat oder ob es das Smartphone war. Für den Prüfer gilt es daher herauszufinden, wie die Daten auf das Gerät gelangt sind. Die hierfür notwendigen Skills vermitteln wir in unseren Kursen. Das Erlernen von Techniken, um durch Applikationen geschützte Daten zu entschlüsseln, ist ebenfalls Bestandteil der Schulungen. Die Teilnehmer werden in manuellen Analyse-, Dekodierungs- und Entschlüsselungsmethoden trainiert, um auch schwierigere Analysetechniken später leichter anwenden zu können. Diese Techniken ermöglichen beispielsweise den Zugang zu Daten, auf die Tools ansonsten keinen Zugriff gewähren.

CP: Gibt es Unterschiede zwischen den mobilen OS, zum Beispiel Android, iOS oder WindowsPhone?

Mahalik: Smartphone-Betriebssysteme verwenden SQLite zur Datenspeicherung, wohingegen die Einstellungen in unterschiedlichen Dateien gespeichert sind und die Datenbanken an besonderen Orten sein können. Es ist sehr wichtig, nicht nur zu verstehen, wie Daten gespeichert werden, sondern auch, wie die Daten auf das Gerät gekommen sind.

Es gibt zwei Möglichkeiten, einen Nachweis zu erstellen: durch das Smartphone und durch den User. Eine Fehlinterpretation der Daten kann jedoch die ganze Untersuchung zu Nichte machen. Aufgabe des Prüfers ist zu lernen, wie der Dateipfad validiert werden kann, wie das Smartphone Daten speichert und wie die zur Verfügung stehenden Tools wirksam zur korrekten Dekodierung und zum Reporten korrekter Befunde eingesetzt werden können.

CP: Welche sind die wichtigsten Werkzeuge (Tools) für Smartphones und warum?

Ein Tool kann nicht alles machen, weshalb wir in unseren Kursen die besten Tools für unseren Job vorstellen. Außerdem ist das Budget ein Problem. Wo möglich, können Open Source und kostenlose Tools/Skripte helfen. Die wichtigsten Tools sind aber diejenigen, die im Labor getestet und validiert wurden und die dadurch sicher auf den am häufigsten verwendeten Geräten funktionieren. In FOR585 fokussieren wir uns auf verschiedene Tools wie Cellebrite Physical Analyzer, Autopsy, Andriller oder XRY, um Daten zu extrahieren, zu dekodieren und zu melden.

© SANS Institute

Heather Mahalik, Trainerin für Smartphone-Forensik beim SANS Institut