Schlagwort-Archiv: Datensicherheit

beA, besonderes elektronisches Anwaltspostfach, Bundesnotarkammer, bnotk. Bundesrechtsanwaltskammer, brak, ERV, Elektronischer Recthsverkehr

beA: Gute Vorsätze für das neue Jahr

besonderes elektronisches Anwaltspostfach, beA, elektronischer Rechtsverkehr, ERV,Die Einführung des besonderen elektronischen Anwaltspostfachs beA wurde jüngst verschoben – damit erhalten Sie mehr Zeit für die nötigen Vorbereitungen.  Die wichtigsten Punkte haben wir in einem beA-Leitfaden für Sie zusammengefasst. Darüber hinaus bieten wir Ihnen einige Sonderaktionen, um Ihnen die Einhaltung der guten Vorsätze so attraktiv wie möglich zu machen:

  • Datensicherung: Spätestens mit der beA-Einführung wird eine professionelle Datensicherung Pflicht. Mit unserem RA-MICRO Backup bieten wir Ihnen eine Rundum-Sorglos-Lösung ab 22,65 € monatlich. Testen Sie RA-MICRO Backup bei Bestellung im Januar 1 Monat lang kostenlos.
  • Dokumentenscanner: Ein spezialisierter Dokumentenscanner ist Multifunktionsgeräten in Geschwindigkeit, Stapelscan und Texterkennung deutlich überlegen. Wir bieten Ihnen den perfekt geeigneten Scanner Fujitsu FI-7160 inklusive Konfiguration und Einweisung im Komplettpaket – und bei Bestellung im Januar 2016 erhalten Sie ein iPad Air 32 GB gratis dazu, um Ihre digitalen Akten auch mobil einsehen zu können.
  • IT-Sicherheit: Wie sicher ist Ihre Kanzlei-IT? Die Bedrohungen nehmen so stark zu wie die Bedeutung Ihrer IT. Wir bieten Ihnen im Januar einen umfassenden Sicherheits-Check für nur 99,- € (Normalpreis 549,- €) an. Der Sicherheitscheck umfasst eine Systemanalyse, die Erstellung eines Sicherheitsreports und ein persönliches Beratungsgespräch.

Wir wünschen Ihnen eine erholsame und besinnliche Adventszeit. Genießen Sie die Feiertage und nutzen Sie die Zeit für Entspannung, Reflektion und Vorausschau. Wenn Sie dann mit frischem Schwung ins neue Jahr starten, freuen wir uns, Sie zu begleiten.

GUTSCHEIN 1

Testen Sie RA-MICRO Backup 1 Monat lang kostenlos

Die Rundum-Sorglos-Lösung für Ihre RA-MICRO-Daten bietet Ihnen:

  • Verschlüsselte Sicherung im zertifizierten deutschen Rechenzentrum
  • Wiederherstellung der Arbeitsfähigkeit innerhalb von Minuten
  • Sicherung in 20 Generationen mit Langzeitarchiven
  • Erfüllt die Anforderungen gem. § 203 StGB und § 2 BORA
  • Bereits ab 22,65 € pro Monat, 1 Monat kostenlos testen

GUTSCHEIN 2

beA-Dokumentenscanner Paket + iPad Air GRATIS!

  • Effizienter Dokumentenscanner mit Duplexfunktion und Stapelscan
  • Konfiguration und Einbindung in RA-MICRO, 3 Jahre Vor-Ort-Service
  • Einrichtung der OCR Texterkennung und Volltextsuche
  • Einweisung in die Handhabung und den RA-MICRO E-Workflow
  • Gesamtpaketpreis nur 2.350 €
  • iPad Air 32 GB gratis bei Bestellung im Januar

GUTSCHEIN 3

IT-Sicherheitscheck zum Sonderpreis von 99,- € (Normalpreis 549,- €)

  • Umfassende softwaregestützte Analyse Ihrer Kanzlei-IT
  • Überprüfung auf Sicherheitslücken
  • Erstellung eines Sicherheitsreports
  • Erstellung eines Leitfadens für die IT-Sicherheit
  • Persönliches Beratungsgespräch
  • Nur 99,- € statt 549,- € 

Sichern Sie sich Ihre Vorteile bis zum 31.01.2016 formlos per Mail an info@michgehl.de oder gleich hier per Kontaktformular

Module

Anwaltskanzleien und IT-Dienstleister: Die 5 wichtigsten Haftungsfallen

ModuleAnwaltskanzleien sind besonders. Immer häufiger hören wir in letzter Zeit von IT-Dienstleistern: „Mit Anwälten arbeiten wir nicht mehr – das ist uns zu aufwändig und zu gefährlich“. Wir bei der Michgehl & Partner GmbH zählen ausschließlich Anwaltskanzleien zu unseren Kunden und können nur bestätigen: In sehr vielen Fällen wissen weder die Anwälte noch die IT-Dienstleister um die rechtlichen Risiken ihrer Zusammenarbeit. In der Folge finden wir immer wieder IT-Strukturen in Kanzleien vor, die klar gegen geltendes Recht verstoßen, ohne dass es einem der Beteiligten bewusst wäre. Die fünf wichtigsten Fehler und mögliche Lösungen finden Sie in diesem Artikel.

Rechtliche Grundlagen

Von herausragender Bedeutung für die (Un-)Vereinbarkeit von anwaltlicher Arbeit und IT-Service ist das Strafgesetz. § 203 StGB regelt die besondere Verschwiegenheitspflicht von Geheimnisträgern und explizit von Rechtsanwälten. Die Zusammenarbeit mit IT-Dienstleistern ist nach Meinung führender Standesvertreter nur unter erschwerten Bedingungen rechtlich zulässig. So zeigt RA Dr. Rainer Spatscheck im Anwaltsblatt ausführlich, dass ein IT-Dienstleister nicht als Gehilfe angesehen werden kann. Die eBroschüre „Datenschutz und Datensicherheit in der Rechtsanwaltskanzlei“ des DAV kommt zu dem Schluss, dass eine sorgfältige Anbieterauswahl und Vertragsgestaltung das Risiko eines Verstoßes zumindest stark reduzieren. Anwaltskanzleien sollten daher einen langfristigen Vertrag mit einem spezialisierten IT-Dienstleister für Anwälte abschließen. Es bleibt jedoch das Restrisiko, dass auch in diesem Fall kein Zeugnisverweigerungsrecht und keine Beschlagnahmefreiheit vorliegen.

Neben das Strafrecht treten zahlreiche weitere Regelungen in Datenschutz und Berufsrecht hinzu. So verlangt § 11 BDSG eine Vereinbarung zur Auftragsdatenverarbeitung und die technisch-organisatorischen Maßnahmen der Anlage zu § 9 BDSG sind als Leitlinie für Datenschutz und Datensicherheit auch in der Anwaltskanzlei zu betrachten. Die Berufsordnung für Rechtsanwälte regelt in § 2 BORA die Verschwiegenheit und wurde jüngst neu gefasst: Einen Verstoß bedeutet demnach nur noch eine Handlung, die nicht „sozialadäquat“ ist. Die Frage lautet demnach: „Muss der Mandant davon ausgehen, dass diese Handlung vorgenommen wird?“. Bei der Speicherung von personenbezogenen Daten ist das sicherlich zu bejahen – bei der Verarbeitung in externen Rechenzentren eher nicht. Abschließend regelt § 43 BRAO die allgemeinen Berufspflichten des Rechtsanwalts, wobei die Wörter „gewissenhaft“ und „würdig“ zwar schwammig klingen, in der Rechtsprechung jedoch häufige Verwendung finden.

Vereinbarung zur Auftragsdatenverarbeitung

Wer andere im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen lässt, der ist für die Einhaltung des Datenschutzes verantwortlich. Der Auftraggeber ist also in der Pflicht und muss nach sorgfältiger Anbieterauswahl einen detaillierten Vertrag mit dem Auftragnehmer schließen. § 11 Abs. 5 BDSG macht unmissverständlich klar, dass diese Regelung auch für die Betreuung von IT-Systemen gilt: „(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“ Wichtig ist dabei, dass die Regelungen konkret und spezifisch getroffen werden. Jüngst wurde ein fünfstelliges Bußgeld verhängt, weil allgemeine Standardformulierungen verwendet wurden.

Passwörter für sensible Daten

Ein großes Risiko des Geheimnisverrats im strafrechtlichen Sinne stellt die Weitergabe von Passwörtern dar. In der Praxis kommt es allerdings häufig vor, dass IT-Dienstleister vollen Zugriff auf die Server, Datensicherung und Software in Anwaltskanzleien haben. In diesem Fall hilft auch eine Vereinbarung zur Auftragsdatenverarbeitung nicht weiter. Wer so vorgeht, macht sich strafbar – und das betrifft nicht den Dienstleister sondern den Rechtsanwalt. Um dieses Risiko so weit wie möglich zu minimieren, bleiben die Passwörter unserer Kunden für sensible Systeme ausschließlich in den Händen der Anwälte. Der Zugriff erfolgt dann nur gemeinsam mit der Kanzlei, unter Beobachtung, transparent und für einen kurzen Zeitraum. So ist ein Höchstmaß an Daten- und Geheimnisschutz sicher gestellt.

Vorsicht bei Cloud-Diensten

Ähnlich verhält es sich mit Cloud-Diensten: Dateispeicherorte und Datensicherung sind möglich, wenn eine Ende-zu-Ende-Verschlüsselung benutzt wird. Sonst nicht! Eine Kanzleisoftware aus der Cloud ist damit aktuell nicht zulässig: Daten müssen in der Cloud entschlüsselt werden –  der Dienstleister ist kein Gehilfe im Sinne des § 203 StGB und auch die Sozialadäquanz nach § 2 BORA ist fraglich. Die einzige Lösung liegt im Betrieb einer Private Cloud, in der namentlich genannte und als Gehilfe zu betrachtende Mitarbeiter ausschließlichen Zugriff auf die Server haben.

Druckerfestplatten als Gefahr für die Verschwiegenheitspflicht

Eine weitere Gefahr für den Verstoß gegen die besondere Verschwiegenheit sollten man als Anwalt und als IT-Dienstleister kennen: Drucker und Kopierer verfügen mittlerweile fast ausnahmslos über interne Festplatten, die sämtliche Dokumente speichern. Von hier aus lassen sie sich mit wenig Aufwand auslesen und insbesondere bei Weiterverkauf oder unsachgemäßer Entsorgung sind die Daten offen zugänglich. Es sollte daher regelmäßig der Speicher des Geräts geleert werden, vor allem am Ende seines Lebenszyklus in der Kanzlei.

Verschlüsselung

Die Verwendung aktueller Verschlüsselungsmethoden wird nicht nur im Bundesdatenschutzgesetz explizit vorgeschrieben, sie ist auch aus nachvollziehbaren Gründen dringend zu empfehlen: Auf gestohlene Notebooks kann mit wenigen Handgriffen das Windows-Kennwort umgangen werden, E-Mails können trotz Transportverschlüsselung an allen Knotenpunkte einfach mitgelesen werden und Daten in der Cloud sind ohne Verschlüsselung undenkbar. Die Lösung liegt in maßgeschneiderten Software-Angeboten für Anwaltskanzleien. So ist die Kommunikation mit Gerichten und Kollegen in naher Zukunft über das besondere elektronische Anwaltspostfach möglich, die Mandantenkommunikation erfolgt jedoch immer häufiger per (unsicherer) E-Mail. Hier bieten wir die WebAkte an, die direkt aus RA-MICRO heraus eine Ende-zu-Ende-verschlüsselte Übermittlung strukturierter Daten ermöglicht. Darüber hinaus verwenden wir verschlüsselungsfähige Wechselfestplatten mit PIN-Pad und natürlich verschlüsselte Datensicherungen.

Spezialisierte Anbieter für Kanzlei IT

Die vorstehenden Beispiele verdeutlichen exemplarisch, wie wichtig ein IT-Dienstleister ist, der sich wirklich mit Anwaltskanzleien auskennt. Mittlerweile unterstützen wir bei der Michgehl & Partner GmbH viele weitere IT-Systemhäuser in der Arbeit mit Rechtsanwälten, da die Risiken für alle Beteiligten schwer überschaubar sind und nur mit spezialisierten Lösungen zu bewältigen sind. Ob Sie Anwalt oder IT-Dienstleister sind: Nehmen Sie gerne Kontakt zu uns auf, um eine mögliche Zusammenarbeit zu besprechen. Wir freuen uns auf Sie.

 

 

elektronischer Rechtsverkehr, ERV, IT-Sicherheit, Rechtsanwalt, Anwalt, Kanzlei, besonderes elektronisches Anwaltspostfach, beA, Kanzleisoftware, RA-MICRO,

Ist Ihre Kanzlei fit für den elektronischen Rechtsverkehr?

elektronischer Rechtsverkehr, ERV, IT-Sicherheit, Rechtsanwalt, Anwalt, Kanzlei, besonderes elektronisches Anwaltspostfach, beA, Kanzleisoftware, RA-MICRO, am 01.01.2016 wird für jeden Rechtsanwalt das besondere elektronische Anwaltspostfach (beA) eingerichtet. Damit fällt der Startschuss für die mehrstufige Einführung des elektronischen Rechtsverkehrs (ERV), der zur flächendeckenden Digitalisierung aller Anwaltskanzleien führen wird. Zur Teilnahme an der digitalen Kommunikation mit Gerichten und Mandanten sind einige Voraussetzungen zu erfüllen. Weiterlesen

ERV Blog

IT-Sicherheit ist DAS Kanzlei-Thema 2015 und die Basis für den Elektronischen Rechtsverkehr

ERV BlogIn weniger als einem Jahr startet der elektronische Rechtsverkehr. Damit ist auf den ersten Blick auch klar, was Anwaltskanzleien in 2015 bewegt. Und in der Tat wird die Einführung des besonderen elektronischen Anwaltspostfaches (beA) in den nächsten Jahren die Arbeitsweise in Anwaltskanzleien grundlegend verändern. Die flächendeckende Digitalisierung der Kanzleien führt letztlich dazu, dass Papier durch Tablet ersetzt wird, Brief durch Mail und Akte durch Dateiordner. Weiterlesen

IT-Service IT-Sicherheit Cloud

Warum Cloud Computing für Rechtsanwälte (noch) keine Lösung ist

IT-Service IT-Sicherheit CloudDie Auslagerung von Servern in Rechenzentrum ist dem Eigenbetrieb in technischer Hinsicht vielfach überlegen. Bessere Verfügbarkeit, redundante Strom- und Datenleitungen, Zugangskontrolle mit Iris-Scan, Brandschutzanlagen – da stellt sich doch die Frage, warum in einer Anwaltskanzlei überhaupt noch Server stehen sollten. Neben der teilweise nicht ausreichenden Bandbreite und je nach Konfiguration höheren Kosten ist es vor allem aktuell nicht rechtssicher möglich, Mandantendaten auszulagern.

Schon der Einsatz eines einzigen IT-Dienstleisters ist bei sehr genauer Betrachtung nicht eindeutig mit §203 StGB zu vereinbaren, wie eine intensive Beleuchtung des Themas durch RA Dr. Rainer Spatscheck im Anwaltsblatt zeigt. Auch die eBroschüre „Datenschutz und Datensicherheit in der Rechtsanwaltskanzlei“ kommt zu dem Schluss, dass von der Anbieterauswahl bis zur Vertragsgestaltung möglichst sorgfältig vorgegangen werden sollte, um eine strafbare Handlung zumindest unwahrscheinlicher zu machen.

Die Argumentation lautet sehr kurz zusammengefasst:

  • In §203 StGB sind die besondere Verschwiegenheitspflicht, Zeugnisverweigerungsrecht und Beschlagnahmefreiheit geregelt
  • Ein externer IT-Dienstleister kann im Rahmen seiner Tätigkeiten auf Mandantendaten zugreifen, und wenn es nur die Namen sind. Dies stellt nach einhelliger Meinung ein unbefugtes Offenbaren dar.
  • Ein erster Lösungsansatz: Der IT-Dienstleister als Gehilfe im Sinne des §203 StGB – kann zumindest bei bestehender Vertragsbeziehung / Wartungsvertrag angenommen werden
  • Dem gegenüber steht die Auffassung, dass ein Gehilfe zwingend weisungsbefugt sein muss, insbesondere in Zeit, Ort und Inhalt seiner Tätigkeit vom Auftraggeber direkt steuerbar sein muss. Dies ist nur bei angestellten Mitarbeitern der Fall.
  • Fazit: Aktuell ist selbst für den „normalen“ und unbestritten notwendigen IT-Service keine rechtssichere Lösung möglich. Es kann nur bestmöglich vorgesorgt werden, indem ein Servicevertrag und Vertrag zur Auftragsdatenverarbeitung mit einem professionellen und auf Anwälte spezialisierten Systemhaus geschlossen wird
  • Beim Cloud Computing kommen weitere Menschen und Unternehmen hinzu. Das erhöht die Wahrscheinlichkeit, einer strafbaren Handlung im Sinne des §203 StGB.

So bleibt Cloud Computing eine technisch sinnvolle Lösung, die für Anwälte nur in einer Form darstellbar ist: Private Cloud. Das bedeutet: Das Rechenzentrum wird in der Kanzlei betrieben. Ein verschlüsseltes Backup kann dabei auch in ein Rechenzentrum gelegt werden und auch der verschlüsselte Mailverkehr über die Public Cloud ist möglich. Aber der Kanzleiserver steht in der Kanzlei. So wird es wohl erstmal bleiben. Gerne unterstützen wir Sie bei Konzeption, Umsetzung und Betrieb Ihrer Kanzlei-IT. Nehmen Sie einfach direkt Kontakt auf.

 

ERV Blog

Elektronischer Rechtsverkehr: Was sollten Kanzleien jetzt tun und was kann warten?

ERV BlogLassen wir doch mal die Kirche im Dorf: Am 01.01.2016 kommt mit dem besonderen elektronischen Anwaltspostfach (beA) nicht mehr als ein weiteres Mailpostfach für Kanzleien hinzu. Dafür muss die Kanzlei nicht auf den Kopf gestellt werden und es ist in Ruhe abzuwarten, welche Gerichte wann bereit sind für die digitale Kommunikation. Weiterlesen

5 Gründe, warum Phishing immer noch lukrativ ist

Icon Mail Protection„Phishing? So etwas passiert mir doch nicht?“, lautet eine häufige Annahme von IT-Nutzern und Administratoren in Unternehmen. Dennoch steht Phishing nach wie vor ganz oben auf der Liste der einfachsten und lukrativsten Hacking-Attacken. Doch wer klickt auf sowas? Die einfache Antwort: Es kann offensichtlich jeden treffen. Laut dem McAfee Labs Threats Report 2014  erkennen 80% der professionellen Anwender Phishing-Seiten nicht. Der größte Unsicherheitsfaktor im Unternehmen ist und bleibt damit der Mensch. Das häufigste Einfallstor ist und bleibt die E-Mail. Die beste Lösung ist und bleibt die Kombination aus Schulung und Mail Protection. Doch warum klicken Mitarbeiter auf Phishing-Seiten?

1. Die Strategien werden immer ausgeklügelter und gezielter

Klar, die angebliche Mail der Postbank mit acht Rechtschreibfehlern und pixeligen Grafiken erkennen mittlerweile die meisten Menschen. Fehlerfrei formulierte Mahnungen mit deutschen Absenderadressen werden schon mal geöffnet, um sich den Anhang anzusehen. Und neben diesen Massenmails gibt es sehr viel individuellere und gezieltere Nachrichten, die von Originalen nicht zu unserscheiden sind. Dabei merkt der Nutzer in der Regel gar nicht, dass er Opfer einer Attacke wurde. Er hat gerade vielleicht Zugang zu unternehmenskritischen Daten gewährt, aber das fällt zunächst nicht auf.

2. Die schiere Masse: 250.000 neue Phishing URLs mit 1 Mio. neuen Webseiten in nur einem Quartal

Täglich lesen wir Berge von Mails, da können schon kleine Unkonzentriertheiten dazu führen, dass mal schnell etwas geklickt wird. Allein die häufige Gelegenheit, etwas falsch zu machen, führt dazu, dass es auch falsch gemacht wird. Und so werden von den Unmengen an Phishing-Mails jeden Tag auch einige geöffnet und sensible Daten wie Passwörter und Zugangsdaten offenbart.

3. IT-Sicherheit wird in einigen Unternehmen einfach nicht wichtig genommen

Zwar existieren rudimentäre Sicherheitskonzepte und Leitlinien – sie werden aber nicht gelebt. Am deutlichsten ist das aktuell ablesbar an den vielen Unternehmen, bei denen die Heartbleed-Lücke noch nicht geschlossen wurde, die bereits im April bekannt wurde. Listen solcher Unternehmen sind in Hackerkreisen gern gesehene Dokumente, denn solch grobe Fahrlässigkeiten sind eine Einladung an jeden Cyber-Kriminellen.

4. Keine Sensibilisierung der Mitarbeiter

Schulungen werden als lästige Pflicht empfunden und pro forma abgehalten, anstatt die wenigen wirklich wichtigen Maßnahmen mit Nachdruck zu erläutern. Welche Webseiten sollten gemieden werden? Wie erkenne ich eine potentiell gefährliche Mail? Eine regelmäßige und ernst gemeinte Mitarbeiter-Sensibilisierung ist die beste Investition in Ihre IT-Sicherheit.

5. Verzicht auf Mail Protection Software

Vor allem aber werden die am Markt vorhandenen IT-Systeme zum effektiven Schutz nicht eingesetzt. Das beste Beispiel hier ist Mail Protection Software: Mit einer einfachen Umleitung Ihrer Mails über ein Rechenzentrum wird jede Nachricht mit diversen Spamfiltern und mehreren Anti-Virus Anwendungen untersucht. Bei Gefahr gelangt die Mail gar nicht erst in Ihr Unternehmen.

Gerne unterstützen wir Sie beim effektiven Schutz Ihrer Daten und Ihrer IT-Infrastruktur. Nehmen Sie einfach Kontakt zu uns auf.

IT-Service IT-Sicherheit Cloud

Keine Datensicherheit bei amerikanischen Cloud-Diensten

CloudEin Server im deutschen Rechenzentrum unterliegt auch deutschen Gesetzen. So ist es in der EU geregelt. Amerikanische Gerichte sehen das offenbar anders. In einem Streit mit MICROSOFT wurde in der ersten Berufung klar gestellt, dass für US-Unternehmen auch amerikanisches Recht gelte. Europäische Gesetze werden dabei ignoriert.

Privateigentum oder Geschäftsunterlagen?

Konkret wird MICROSOFT aufgefordert, E-Mails eines Kunden an die Strafverfolgungsbehörden zu übermitteln. Der US-Konzern argumentiert dagegen, bei den Mails handele es sich um Privateigentum. Richterin Loretta Preska stuft sie allerdings als Geschäftsunterlagen von MICROSOFT ein und folgt damit der Argumentation des erstinstanzlichen Bezirksgerichts New York.

Strafverfolgung vor Datenschutz?

In der Urteilsbegründung wird deutlich, dass es im Kern um unterschiedliche Prioritäten geht: Für MICROSOFT sind der Schutz der Privatsphäre und die Gewährleistung von Datenschutz und Datensicherheit Grundbedingungen, um Cloud-Dienste im europäischen Raum anbieten zu können. Für die US-Gerichte stehen andere Motive im Vordergrund: Die Ermittlungen würden behindert und die Belastung für die Regierung sei sonst erheblich, betonte der New Yorker Richter im ersten Urteil.

EU-Unternehmen meiden amerikanische Cloud-Dienste

Noch weigert sich MICROSOFT, die Daten an die Behörden zu übergeben. Für europäische Unternehmen ist die Konsequenz aber klar: Amerikanische Cloud-Dienste sind (mindestens zur Zeit) nicht mit Datenschutz und Datensicherheit vereinbar. Es muss jederzeit damit gerechnet werden, dass sensible Daten an amerikanische Behörden übermittelt werden.

Deutsche Cloud-Anbieter als sichere Alternative

Einen einfachen Ausweg bieten deutsche Cloud-Anbieter. Die Michgehl & Partner GmbH bietet beispielsweise MICROSOFT Hosted Exchange als eigenen Cloud-Dienst an: Die Software wird nicht auf MICROSOFT Servern in Irland betrieben, sondern auf eigenen Servern im Rechenzentrum in Hannover. Damit hat der Hersteller keinen Zugriff auf die Daten – Datenschutz und Datensicherheit werden voll gewährleistet.

Update

MICROSOFT Patchday September 2014: Insbesondere Nutzer des Internet Explorer sollten umgehend Updates installieren

UpdateAm Microsoft Patchday September 2014 wurden vier Sicherheitsupdates veröffentlich, die insgesamt 42 Sicherheitslücken schließen. Der Fokus liegt auf einem großen Update für den Internet Explorer, das 37 Schwachstellen beseitigt und vom Hersteller als kritisch eingestuft wird. Regelmäßige Nutzer des Internet Explorers sollten umgehend das Update installieren. Weitere drei Updates werden in der sicherheitsrelevanten Bedeutung als „hoch“ eingestuft und betreffen das .NET Framework, Lync Server und Windows 8 / Server 2012.

 

Update Internet Explorer verhindert die Übernahme Ihres Computers aus der Ferne

Das kumulative Update MS 14-052 schließt insgesamt 37 Sicherheitslücken. Einige der Schwachstellen ermöglichen Remotecode-Ausführung, also die Übernahme der Kontrolle über Ihren Rechner aus der Ferne. Dies geschieht in der Regel über eine manipulierte Webseite. Ein Besuch der Webseite reicht aus, damit sich Angreifer umfassende Rechte für Ihr IT-System aneignen können (Drive-by-Download).

 

.NET Framework: Angreifer können Ihr System lahmlegen

Die Sicherheitslücke im .NET Framework betrifft fast alle Windows Betriebssysteme für Server und Desktop. Kriminelle können massenhaft Anfragen senden, bis Ihr System überlastet ist (Denial of Service).

 

Angreifer können sich Administrator-Rechte freischalten

Ein weiteres Update schließt eine Sicherheitslücke bei Windows 8.x, RT und Server 2012 sowie Server 2012 RT. Die sicherheitsrelevante Bedeutung wird als „hoch“ eingestuft, da Angreifer sich unter Umständen erweiterte Rechte freischalten können. Laut Microsoft sind dafür allerdings Zugangsdaten und lokaler Zugriff nötig, ein Remote-Zugriff sei nicht möglich.

 

Microsoft Lync Server können mit Anfragen überschwemmt werden

Auch das Update für Microsoft Lync Server 2010 und 2013 wird als „hoch“ eingestuft. Es behebt drei Sicherheitslücken im Kommunikationssystem. Eine davon ermöglicht eine Überforderung und Stilllegung des Systems durch das Senden von Anfragen (Denial of Service)

 

Elf nicht sicherheitsrelevante Patches und neues Malware-Tool

Über die vier sicherheitsrelevanten Updates hinaus veröffentlich Microsoft elf weitere Patches. Wie immer am Microsoft Patchday wird auch die aktualisierte Version des „Windows-Tool zum Entfernen bösartiger Software“ veröffentlicht, das bekannte Schadsoftware identifiziert und löscht.

 

Professioneller IT-Service sorgt für IT-Sicherheit

Unser Tipp: Halten Sie Ihr Betriebssystem und Ihre Software stets aktuell und sorgen Sie mit einem professionellen Monitoring und automatischen Patch Management für IT-Sicherheit in Ihrer Kanzlei. Gerne unterstützen wir Sie dabei. Nehmen Sie einfach Kontakt zu uns auf.

 

 

Datendiebstahl – Eine Milliarde gestohlener Benutzerdaten

Das amerikanische Sicherheitsunternehmen Hold Security hat nach eigenen Angaben eine Datenbank mit gestohlenen Benutzerdaten ausfindig gemacht, die von einer Gruppe russicher Datendiebe gepflegt wird. Dabei handele es sich um mehr als eine Milliarde Benutzernamen und Passwörter sowie rund 500 Millionen E-Mail-Adressen, die weltweit auf über 420.000 Webseiten gesammelt wurden. Einige dieser Seiten seien nach wie vor angreifbar.

Hold Security bot besorgten Bürgern kurzzeitig die Möglichkeit, gegen eine Gebühr von 120 USD pro Monat nachzuprüfen, ob sie betroffen sind.

Unabhängige Gutachter bestätigten die Echtheit und Authentizität der Datenbank. Die Daten seien bislang für Spammails und Twitter-Nachrichten genutzt worden.

Nachdem einige Journalisten genauer nachfragten, wurde das Angebot der Hold Security zurückgezogen. Gegenüber Forbes erklärte das Unternehmen, dass der Dienst zur Überprüfung der eigenen Daten symbolische 120 USD im Jahr, bzw. 10 USD im Monat kosten solle, schließlich entstünden hierbei Kosten.

Das Bundesamt für Sicherheit in der Informationstechnik und das Hasso-Plattner-Institut bieten ähnliche Dienste kostenlos an.

In Zusammenarbeit mit deutschen und amerikanischen Behörden soll nun geklärt werden, ob deutsche Nutzer betroffen sind. Dies sei sehr wahrscheinlich, so das BSI und kritisiert, dass es derzeit für Privatnutzer keine Möglichkeit gebe zu überprüfen, ob die eigenen Daten in der Datenbank gelistet sind.

Internetnutzer, die die Empfehlungen des BSI zum sicheren Surfen im Internet berücksichtigen, schützen ihre digitale Identität bestmöglich.