KontaktRufen Sie uns an +49 89 993412-0

Firmenbrief 04/2019

Liebe Leserinnen und Leser,

in Zeiten von immer mehr Datenvolumen spielt der Datenschutz eine wachsende Rolle. Wie Sie in der letzten Ausgabe unseres Firmenbriefs lesen konnten, sind diesbezüglich die sozialen Medien durchaus heikel. In unserem Artikel "Datenkrake Facebook" haben wir sämtliche Informationen zum größten Social-Media-Netzwerk für Sie zusammengefasst. Laut statista.de befinden sich im Januar 2019 etwa 2,7 Milliarden Nutzer bei den Diensten und das mit steigender Tendenz. Immer wieder kommt einem zu Ohren, dass Facebook in der Beliebtheit sinkt. Jedoch ist es interessant zu wissen, dass sich die sinkenden Zahlen eher auf Europa beziehen, weltweit sind die Nutzerzahlen weiterhin steigend - und das obwohl jüngst wieder ein Datenskandal in Verbindung mit Facebook bekannt wurde. Zwar hat Facebook in diesem Fall nicht direkt damit zu tun, jedoch handelt es sich um Daten von Facebook-Usern. Und genau hier kommen wir wieder zu dem Punkt, der "Datenkrake Facebook", die einerseits Millionen von Unternehmen dazu verhilft bessere Zahlen zu schreiben, das aber wiederum auf Kosten seiner User und Userinnen. Nicht weil man direkt den Service von Facebook bezahlt - aber, weil man mit der Anmeldung auf einen der Dienste die auch zu Facebook gehören, also z.B. Instagram und WhatsApp, mit seinen eigenen Daten bezahlt. Vorlieben können herausgefiltert werden, Namen aus dem Bekanntenkreis, sowie am Ende sogar Handy-Nummern. Letztendlich können die Daten dann irgendwo unverschlüsselt dort landen, wo man sie gar nicht haben will. Interessanterweise passieren all diese Vorfälle genau zu Zeiten von größten Datenschutz-Regelungen, die noch nie so streng gehandhabt wurden wie momentan.

Nichtsdestotrotz bleibt ja jedem selbst überlassen, ob man sich auf Facebook oder den dazugehörigen Diensten wie WhatsApp und Instagram aufhält. Lesen Sie in einem unserer Artikel, mit welchen Diensten Sie beispielsweise WhatsApp ersetzen können. Auch Vor- und Nachteile werden hier aufgezählt. Darüber hinaus sprechen wir im aktuellen Firmenbrief auch wieder die Penetration-Tests an. Den dazugehörigen ersten Teil können Sie im Firmenbrief 02/2019 einsehen. Unsere Wissens-Ecke hat darüber hinaus auch diesmal einiges zu bieten.

Unsere Artikel der Ausgabe 04/2019 im Überblick:

  • OPSI macht Windows 10 DSGVO-konform
  • Business-Kommunikation ohne WhatsApp
  • Penetration-Test – Arten von Pentests
  • VoIP-Umstieg
  • Wussten Sie schon? – Unsere Wissens-Ecke
  • Der Witz zum Schluss

Viel Spaß beim Lesen!

Die Firmenbrief-Redaktion

OPSI macht Windows 10 DSGVO-konform

„Wäre schön, geht aber bei uns nicht. Und außerdem lohnt sich für die paar Standard-Arbeitsplätze die Investition nicht.“ Solche Aussagen hören wir häufig, wenn wir mit Kunden die Einführung eines Client-Management-Systems diskutieren.

Es gibt viele Fälle, in denen die Inhomogenität der Client-Welt tatsächlich unvermeidlich ist, beispielsweise wenn dort teure Anwendungen laufen wie CAD, Buchhaltungs­soft­ware, Planungstools oder ähnliches. Diese will man aufgrund der Kosten nicht für jeden Arbeitsplatz lizenzieren. In den meisten Fällen liegt der Grund für individuelle Clients jedoch ganz banal „in der Historie“, weil noch kein ernsthafter Versuch unternommen wurde, zu standardisieren. Oft bedeutet dies ja auch Widerstände bei den Anwendern, weil stellenweise ihre Freiheiten eingeschränkt werden. Beide oben genannten Fälle lassen sich mit OPSI vorteilhaft adressieren.

Ein guter Anlass, sich des Themas anzunehmen, ist die Umstellung auf Windows 10 am Arbeitsplatz. Hier konnten wir in letzter Zeit vielen Kunden mit OPSI helfen. Es ist bekannt, dass Windows 10 unaufgefordert und intensiv mit Microsoft kommuniziert. Im Zustand der Grundinstallation geht dies nicht mit den Anforderungen der DSGVO zusammen, sodass IT-Verantwortliche angehalten sind, die Tore für die unkontrollierten Datenströme ein wenig zu schließen. Die bayerischen Datenschützer haben zu Windows 10 eine interessante Studie mit Empfehlungen erstellt, die durchaus bedenklich stimmt. Unter diesem Link ist der Report zu finden.

Will man OPSI für diesen Zweck einsetzen, muss zunächst ein Profil für einen Windows 10 Client erstellt werden. Hier sei noch angemerkt, dass Windows 10 Professional nur sehr limitiert Optionen der sicherheitstechnischen Einschränkung bietet, bessere Möglichkeiten bietet Windows 10 Enterprise. Praktisch wird über Gruppenrichtlinien und sonstige Einstellungen die Kommunikation zu Microsoft soweit wie möglich eingeschränkt. Darüber hinaus werden alle generischen Anwendungen (wie MS-Office), die jeder Benutzer braucht in den OPSI Client konfiguriert. Dieser sichere und kundenspezifische Arbeitsplatz-Client wird über OPSI ausgerollt. Damit ist gewährleistet, dass jeder Arbeitsplatz einheitlich konfiguriert ist, was manuell kaum machbar wäre.

Die oben erwähnten Spezialanwendungen für einzelne Benutzer werden dann on Top nachinstalliert. Theoretisch könnte man mit OPSI auch diese Anwendungen in entsprechen­den Spezialclients einbauen, hier stellt sich die Frage, was am wenigsten Aufwand bedeutet.

Zuletzt noch einige Anmerkungen zum Thema Preis. Am oberen Ende der Leistungs-Skala stehen Systeme, die mit allen erdenklichen Funktionen ausgestattet sind, aber leider auch sehr teuer sind. Diese rechnen sich tatsächlich erst bei größeren Unternehmen mit vielen Arbeitsplätzen.

Wir sind als LIS auf den Mittelstand ausgerichtet und setzen deshalb auf OPSI als Client-Management System. Das System ist Open Source und basiert auf einem sehr fairen Businessmodell: alle entwickelten und bereits finanzierten Komponenten können kostenlos genutzt werden, für noch nicht refinanzierte Module zahlen die Kunden anteilsmäßig Entwicklungskosten. Darüber hinaus kann man fertige Pakete zum Update von Windows Betriebssystemen und MS-Office beziehen, dafür fallen je Kunde (nicht je Benutzer) Wartungskosten von 720 € pro Jahr an.

Das ist nicht viel, wenn man mit dem damit eingesparten Aufwand vergleicht.

Bitte melden Sie sich bei uns, wenn Sie Interesse an OPSI allgemein oder an einem sicheren Windows 10 Client haben, wir beraten Sie gerne.

Business-Kommunikation ohne WhatsApp

Es muss nicht immer WhatsApp sein: wer auf Sicherheit und Datenschutz Wert legt, findet bessere Alternativen. Der zum Facebook-Konzern gehörige Messengerdienst WhatsApp wird von Unternehmen zum Teil als internes Kommunikationsmittel genutzt. Zum Zeitpunkt der Übernahme in 2014 hatte der Messenger-Dienst rund 450 Millionen private und geschäftliche User und es ist bekannt, dass WhatsApp seitdem Daten an den Mutterkonzern weiterleitet. Siehe hierzu den Artikel „Datenkrake Facebook“.

Seit Anfang 2016 gibt es eine Ende-zu-Ende-Verschlüsselung der Nachrichten, welche ein wichtiger Sicherheitsaspekt ist. Damit ist der Inhalt einer Text- oder Sprachdatei auf dem Weg nicht mehr einsehbar. Unabhängig davon sammelt WhatsApp aber fleißig Metadaten, welche an den Mutterkonzern weitergeleitet werden. Zu den Metadaten gehören zum Beispiel: Absender, Empfänger, Adressbuch, eigene Telefonnummer, Geräteinformationen wie Modellnummer, Betriebssystemversion, App-Version, Ländervorwahl, Netzwerkcode auch Nutzungsinformationen wie Registrierungsdatum und Art sowie Häufigkeit der Nutzung und vieles mehr.

Nachdem die EU-Kommission 2017 eine Strafe von 110 Millionen Euro gegen den Facebook-Konzern verhängt hat, ist das Vertrauen auch in den Messenger-Dienst WhatsApp deutlich geschrumpft. Facebook hatte bei der Übernahme falsche Angaben über den Austausch der Daten des Messengers mit dem Mutterkonzern gemacht.

Alternativen zu WhatsApp

Telegram: die wohl bekannteste WhatsApp-Alternative wird laut statista.com von 200 Millionen Nutzern (Stand März 2018) verwendet. Die kostenlose Open-Source-Variante wurde 2013 von den Brüdern Nikolai und Pawel Durow auf den Markt gebracht, diese hatten vorher bereits das bekannte russische soziale Netzwerk Vk.com gegründet. Telegram gibt es für iOS, Android und Windows Mobile. Neben dem Zugriff auf dem Handy oder Tablet gibt es ein Desktop-Programm für Windows, und Linux und Mac sowie eine Web-Applikation. Die App-Entwicklung von Telegram wird von den Brüdern Durov privat finanziert. Das Geld reicht nach eigenen Angaben vorübergehend aus, um den Messenger kostenlos anzubieten. Auf lange Sicht besteht die Möglichkeit, kostenpflichtige Zusatzfunktionen einzubauen. Der Einbau von Werbung und der Verkauf von Daten ist laut Hersteller aber keine Option. Besonderheiten von Telegram sind die selbst konfigurierbaren Chat-Rooms und die Implementierung von Bots, die in bestimmten Fällen automatisch Nachrichten an den Adressaten schicken können. Außerdem bietet Telegram eine API und ein Kommandozeilen-Programm, um Nachrichten automatisch von anderen Diensten aus zu senden, zum Beispiel Alerts aus einem Check_mk-Monitoring-System.

Nachteil: Speichert die Nachrichten in der Cloud.

Threema: ein kostenpflichtiger Messenger für einmalig 3€, entwickelt von der Threema GmbH in der Schweiz. Die Sicherheit der Nutzerdaten stehen bei dieser Alternative im Vordergrund. Sämtliche Kommunikationsmöglichkeiten sind Ende-zu-Ende verschlüsselt. Das betrifft herkömmliche Nachrichten, versendete Dateien, Anrufe und Sprachnachrichten. Threema nutzt keine Cloud-Synchronisation, um einen zusätzlichen Schutz der Daten zu gewährleisten. Die Nutzung erfolgt als Applikation auf jedem Mobilgerät, oder über den Browser. Threema ist DSGVO-konform und gibt kaum Metadaten weiter.

Nachteile: es können keine Videoanrufe getätigt werden. Der Zugriff kann über den Browser erfolgen, aber eine Computer-Applikation gibt es bisher noch nicht. Bei eingeschalteter Synchronisation kann Threema die Telefon-Kontakte auslesen. Der Nachteil ergibt sich, wenn die Synchronisation zunächst eingeschaltet ist und im Nachhinein wieder ausgeschaltet wird. Bei diesem Vorgang werden die Kontakte zwar nicht mehr automatisch synchronisiert, der Messenger kann aber dennoch die Kontakte auslesen. Wenn die Synchronisation beim allerersten Starten der App ausgeschaltet wird, lässt sich dieser Nachteil umgehen. Threema ist nicht Open Source und hat im Vergleich mit den anderen genannten Messengern die wenigsten User.

Signal: eine kostenlose Open-Source-Variante. Sämtliche Kommunikation ist ebenfalls Ende-zu-Ende-verschlüsselt. Signal enthält eine Timer-Funktion, bei der der Nutzer selbst entscheiden kann, nach welcher Zeit sich die Nachrichten automatisch selbst löschen sollen. Der Messenger nutzt zudem keinen Cloudspeicher. Der Zugriff erfolgt als Applikation auf dem Handy oder per Desktop-Client. Signal bietet viele Features, die auch bei WhatsApp genutzt werden können und ist ebenfalls laut Herstellerangaben DSGVO-Konform. Da es sich bei diesem Messenger um ein amerikanisches Unternehmen handelt und die Server in den USA platziert sind, steht hinter der DSGVO-Konformität noch ein großes Fragezeichen.  

Nachteil: Signal liest die im Telefon gespeicherten Kontakte aus, diese werden laut Angaben auf den Servern aber nicht verarbeitet. Für Apple-User ist Signal erst ab der Version iOS 8 erhältlich. Der Messenger besitzt keine Back-up-Funktion.

Penetration-Test Arten von Pentests

1995 wurde der erste, auf Unix basierende Schwachstellen-Scanner mit dem Namen „SATAN“ (Venema95) veröffentlicht. Dieses war das erste Tool, mit dem Computersysteme auf Schwachstellen überprüft werden konnten. Mittlerweile gibt es eine Vielzahl von freien und kommerziellen Pentesting-Tools, welche das Finden von Schwachstellen erleichtern sollen.
Dennoch ersetzen diese Tools keinen professionellen Pentester.
Grundsätzlich wird zwischen fünf Testverfahren unterschieden. Hier finden Sie ein umfassendes Dokument zu diesem Thema.

Technisches Sicherheitsaudit: Dies ist kein wirklicher Pentest. Der Sicherheitsprüfer versucht mit Hilfe von vorhandener Dokumentation Sicherheitslücken ausfindig zu machen. Außerdem wird die aktuelle Konfiguration beziehungsweise der Aufbau der IT-Infrastruktur überprüft.

Webcheck: Im Zeitalter von E-Business und webbasierten Anwendungen ist dies wohl eines der wichtigsten Testverfahren. Prinzipiell geht es darum, die Prozesse und die Kontrollmaßnahmen von Webanwendungen zu prüfen. Zu evaluierende Themen sind die Verschlüsselung der Benutzerdaten, die Integrität der Benutzersitzungen in Verbindung mit der Host-Anwendung und die Verwendung von Cookies. Es ist möglich, den kompletten Programmcode der Anwendung zu analysieren oder auch den Aufbau und die Aufrechterhaltung von Nutzer-Sessions. Die Hardware wird hier generell nicht mit einbezogen.

Nicht aktiver Schwachstellenscan: Der Pentester überprüft mithilfe seiner eigenen Techniken und Tools, welche Informationen er aus der IT-Infrastruktur entnehmen kann, er manipuliert sie aber nicht.  Für Unternehmen die aus Kompatibilitätsgründen ältere Software einsetzen empfiehlt sich eine manuelle Methode, welche kosten -und zeitintensiver ist als ein automatisierter Pentest. Ansonsten besteht die Möglichkeit, den Scan mithilfe einer dafür konzipierten Software durchzuführen.

Aktiver Schwachstellenscan (Nutzung von Exploits): Mithilfe von Exploit-Programmen überprüft der Pentester die eingesetzten Anwendungen auf Sicherheitslücken. Er prüft vor allem ob die Daten und Konfigurationen eingesehen werden können. Zusätzlich sollte getestet werden, ob die Daten manipulierbar sind. Dies ist einer der kritischsten Tests, da leicht unerwartete Beeinträchtigungen des IT-Betriebs entstehen können.

Social Engineering Test: Nicht nur die Hard- und Software von Unternehmen stellen ein großes Sicherheitsrisiko da, sondern auch deren Mitarbeiter. Der Sicherheitstester versucht mit falscher Identität und psychologischen Tricks an interne Daten,wie Passwörter oder Strukturinformationen zu gelangen. Computer handeln rational, während Menschen auch von ihren Emotionen geleitet werden. Deshalb ist es wichtig, regelmäßig Schulungen zu veranstalten, in denen Mitarbeiter über diese Gefahren aufgeklärt werden.

Der nächste und abschließende Teil dieser Artikelserie, behandelt einen realen Businesscase. Außerdem wird erklärt, wie ein Penetration-Test bei uns abläuft.

VoIP-Umstieg

Die Tage von ISDN und der klassischen Telefonanlage in Deutschland sind gezählt. Die Deutsche Telekom stellt alle Kunden auf Internet-Telefonie um. Der Telekommunikationsriese hat bis zum Mai 2018 bereits 1,8 Millionen geschäftliche Telefonanschlüsse auf IP umgestellt, was 85% aller Geschäftskundenanschlüssen entspricht. Im April 2017 lag die Anzahl der Geschäftskunden, die auf All-IP umgestiegen sind, erst bei 45%.  Zwar ermöglichen manche Anbieter noch eine Gnadenfrist bis 2022, jedoch sollten Unternehmen die noch nicht umgestiegen sind, nun rechtzeitig mit ihrer Migrationsplanung beginnen. Die IP-Telefonie bietet zudem einige Vorteile gegenüber ISDN. Bei der Umstellung gibt es einige Punkte die beachtet werden sollten.

Austauschen statt umrüsten

Es ist möglich, bestehendes ISDN-Equipment übergangsweise auch an einem IP-Anschluss zu betreiben, jedoch hat diese Lösung keine Zukunft. Wenn die Telefonanlage schon älter als 3-4 Jahre ist, empfiehlt es sich eine neue VoIP Anlage zu beschaffen, anstatt die alte Anlange umzurüsten. Denn alte Hardware bringt höhere Wartungskosten mit sich und birgt ein hohes Reparatur-Risiko. Ein weiterer Punkt der für einen Austausch spricht, sind die fehlenden Funktionen von ISDN Anlagen im Vergleich zu VoIP Telefonanlagen. Zudem sind aktuelle VoIP-Anlagen deutlich günstiger, sowohl was die Anlage betrifft, als auch die Apparate die aufgrund des Wettbewerbs um 10% der früheren Preise gesunken sind. Falls trotzdem eine Umrüstung stattfinden würde, empfiehlt es sich einen externen Konverter anzuschaffen, da diese oftmals günstiger sind als proprietäre Erweiterungen der Telefonanlage.

Worauf ist noch zu achten

a) Die Sprachpakte dürfen nicht getrennt werden, daher sollte Quality of Service auf der Leitung oder separate Leitung vorhanden sein. Pro Anruf wird eine Bandbreite von mindestens 100 Kbit/s benötigt, damit ein Störungsfreier Anruf gelingt.
 
b) Das Session Initiation Protocol (SIP) dient als Schlüssel in die Telefon-Netzwerke. Es dient zum Aufbau, zur Steuerung und zum Abbau einer Kommunikations-Sitzung zwischen zwei und mehr Teilnehmern. Hier sollte man genau drauf achten, welchen SIP-Provider man sich aussucht, denn hier kann es zu Unterschieden in der Sprachqualität kommen.

c) Bei der Telefonanlage kann man sich entweder für eine lokale Installation entscheiden oder auf Cloud-Telefonie setzen. Bei der lokalen Installation läuft die Anwendung auf den Servern und wird von der eigenen IT-Abteilung oder einem externen Dienstleister gemanagt.
Im Gegenteil zu vor Ort realisierten Installationen, lassen sich Telefonie-Lösungen in der Cloud jederzeit flexibel anpassen und sind dabei völlig ungebunden vom tatsächlichen physischen Standort bzw. Standortwechsel eines Unternehmen.
Jedoch ist Cloud-Telefonie die deutlich teurere Variante.

d) Bei der Umstellung ist zu beachten, dass die Mitarbeiter vor der Umstellung schon geschult sind und nicht ins kalte Wasser springen.
Man sollte sich auch nicht auf die Termine der Telekom verlassen, sondern einen Plan haben, falls der Techniker erst später oder früher kommt. Am besten ist es die Hardware schon dazuhaben um entsprechend reagieren zu können.

Wussten Sie schon

Das Lakeside Technology Center in Chicago ist das weltweit größte Rechenzentrum

Mit einem Stromverbrauch von 100 Megawatt, 32 Millionen Liter Kühlflüssigkeit und 53 Generatoren für jeden möglichen Ausfall ist das Lakeside Technology Center das größte Rechenzentrum der Welt. Errichtet wurde das Backsteingebäude 1917 und war bis 1992 eine Großdruckerei. Seit Beginn der 2000er Jahre ist es ein Carrier-Hotel für mehrere Internet-Provider. Ein Carrier-Hotel ist ein sicherer physischer Standort oder ein Gebäude, in dem Datenkommunikationsmedien zusammenlaufen und miteinander verbunden werden. Deshalb ist es üblich, dass zahlreiche Dienstleister die selbe Einrichtung gemeinsam nutzen. Mit über 102.193 m² ist es zudem das bisher flächenmäßig größte Rechenzentrum der Welt.

Der Witz zum Schluss

Der Postillon hat neulich eine Umfrage zum Datenleck von Facebook gemacht, um herauszufinden, wie stark es die Userinnen und User wirklich belastet. Sehen Sie hier selbst die Ergebnisse!

Bis zum nächsten Mal!
Ihr Redaktionsteam

Firmenbrief