RE: Cookie-Chaos – wie Webseitenbetreiber beim Datenschutz rechtssicher bleiben

Hallo lieber Leser, es freut mich, dass Ihnen der Beitrag gefällt. Was Sie an unserer Cookie-Policy "fragwürdig" finden erschließt sich mir allerdings nicht. Alle unsere Cookie-Einstellungen erfüllen alle rechtlichen Anforderungen und sind mit wenigen Klicks eingestellt. Verglichen mit Webseiten bei denen es hunderte von Cookie-Anbietern gibt ist die Liste bei Security-Insider doch sehr überschaubar. Wenn Ihnen ein gut geschriebener, kostenloser Artikel nicht die 30 Sekunden wert ist, Ihre Cookie-Einstellungen zu personalisieren können Sie uns ja auch einfach unterstützen indem Sie die Cookies mit einem Klick akzeptieren.

Viele Grüße,
Peter Schmitz
Chefredakteur Security-Insider

Ransomware ist auf jeden Fall ein Angriff auf die Verfügbarkeit, hier sind funktionierende und sichere Backups die einzige echte Gegenwehr.

Dennoch kann ein Unternehmen Ransomware natürlich nicht allein für sich genommen betrachten, weitere Schutzschichten gegen Datenabfluss und Datendiebstahl müssen zeitgleich greifen, denn ein Ransomware-Befall kann zwar ein einzelnes Security-Event sein, kann aber auch ein Teil einer größeren Attacke inklusive Datenexfiltration sein.
Viele Grüße,
Peter Schmitz
Chefredakteur Security-Insider

Ich geben Ihnen absolut recht, dass im Beruf das Geschlecht oder die sexuelle Ausrichtung absolut keine Rolle spielen SOLLTEN! So lange aber speziell die technischen Berufe noch immer ein schlechtes Image bei Frauen haben, auch aufgrund einer anhaltenden Benachteiligung der Frauen in diesen Berufen - und das ist leider kein Cliché sondern ein Fakt - muss man das thematisieren.

Wir haben seit Jahren einen Fachkräftemangel in der IT den sehr viele Unternehmen beklagen und dieser Umstand wird in den nächsten Jahren nicht besser, sondern schlimmer und dennoch müssen wir seit Jahren darüber berichten, dass Frauen in diesem Berufsfeld unterrepräsentiert sind:
2014: https://www.security-insider.de/verzweifelt-gesucht-frauen-in-der-it-a-469756/
2016: https://www.security-insider.de/diversitaet-als-ziel-in-der-cyber-sicherheit-a-551603/
2017: https://www.security-insider.de/junge-frauen-sehen-wenig-anreiz-in-karriere-im-it-sicherheitsumfeld-a-663075/
2019: https://www.security-insider.de/die-it-sicherheitsbranche-braucht-einen-image-wechsel-a-843948/

Viele Grüße,
Peter Schmitz
Chefredakteur Security-Insider

@grossmann-sylvia
Informationsschutz umfasst alle Bereiche und sämtliche Maßnahmen zum Schutz von Informationen und nicht nur den digitalen Schutz, sondern bspw. auch vor Diebstahl, Verlust oder physischer Vernichtung. IT-Sicherheit umfasst dagegen nicht nur den Schutz von Informationen, sondern auch der Systeme. Siehe dazu: https://www.security-insider.de/it-security-umfasst-die-sicherheit-der-ganzen-it-a-578480/

Computersicherheit befasst sich ausschließlich mit dem Schutz eines Computersystems (vor Ausfall oder Manipulation) und ist damit ein Teilbereich der IT-Sicherheit, die sich ja zusätzlich noch mit dem Schutz von gespeicherten Informationen befasst.

Viele Grüße,
Peter Schmitz
Chefredakteur Security-Insider

Es wäre hilfreich, wenn wir wüssten, wie das Format der IP-Adresse war.
Ich würde jetzt vermuten, dass es sich um eine IPv6-Adresse im Stile von 2001:0db8:85a3:0000:0000:8a2e:0370:7334 gehandelt hat.

Das ist eine sehr komplexe Frage: SSDs funktionieren, wie Sie ja schon selbst festgestellt haben, komplett anders als "normale" Festplatten.

Zu Ihrer ersten Frage: Nach meinem Verständnis bezieht sich der Performance-Aspekt nur auf die initiale Bitlocker-Verschlüsselung. Ich würde also einfach empfehlen, die Verschlüsselung einmal in Ruhe durchlaufen zu lassen, dann haben Sie das Problem ohne "Klimmzüge" gelöst.

Zur zweiten Frage: Wenn Sie die SSD komplett löschen fehlt dann ja auch das Betriebssystem, ist das so Ihre Intention? Dann könnten Sie die Festplatte nämlich auch einfach ausbauen und extern via USB-Adapter an Ihren aktuellen rechner hängen und mittels Magician oder Parted Magic löschen. Sanitize können Sie nur nutzen, wenn das Laufwerk diese Funktion auch unterstützt.

Generell würde ich einfach zum Löschen mittels Herstellertool raten. Sollten die Daten auf der SSD so sensibel sein, dass jemand ein Datenrettungsunternehmen beauftragen und viel Geld dafür bezahlen würde um zu versuchen die einzelnen Speicherzellen auszulesen, dann würde ich zu den beweährten Löschtools "Hammer" und "Schlagbohrmaschine" raten.
Viele Grüße,
Peter Schmitz
Chefredakteur Security-Insider

Ich verstehe die Frage schonmal generell nicht; warum sollte Ihr Arbeitgeber Ihren Router hacken?

Außerdem fehlen für die Beantwortung Ihrer Frage weitere Informationen: Wie sieht die Infrastruktur genau aus, sind die beiden Netze komplett getrennt, sprich gibt es auch getrennte Hardware oder gibt es geteilte Systeme, bzw. wechselt Ihre Hardware die Netze?

VG,
Peter Schmitz
Chefredakteur Security-Insider

Hallo Michael,

das sind leider ein wenig dürftige Informationen, mit denen die Runde nichts anfangen kann.

Welche Art Router haben Sie (genaue Typenbezeichnung), welche Fehlermeldung kommt genau, was meinen Sie mit IP Passwort, einfach nur das Passwort Ihres Routers? Hatten Sie das Passwort selbst einmal geändert, ist es ein von Ihrem Provider vorgegebenes Routerpasswort oder das Standard-Passwort des Herstellers?

Bitte mehr Infos, dann können wir vielleicht auch helfen.
VG,
Peter Schmitz

Das ist schwer zu sagen. So lange Sie sich in dem Fall keinen Vorsatz oder grobe Fahrlässigkeit zu Schulden kommen haben lassen, sollte da für Sie eigentlich nichts weiter passieren. Aber das ist jetzt nur meine rein persönliche Einschätzung und keine rechtlich verbindliche Aussage.

Generell würde ich an Ihrer Stelle jetzt erst einmal alles möglichst genau dokumentieren und dann abwarten, ob überhaupt etwas passiert. Sollte sich in diesem Fall dann doch jemand bei Ihnen melden, empfehle ich unbedingt den Kontakt zu einem Rechtsanwalt zu suchen.

Viele Grüße,
Peter Schmitz
Chefredakteur Security-Insider

Es gibt eine ganze Reihe von Zertifizierungen, die das BSI anbietet. Zum Beispiel nach Common Criteria (CC), nach dem Signaturgesetz (SigG) usw. Ob diese allerdings dem entsprechen was Sie sich genau vorstellen bezweifle ich.

Auch die Zertifizierungen für vernetzte Geräte wurden im Rahmen des Rechtsakts zur Cybersicherheit zwar im März diesen Jahres durch das EU-parlament verabschiedet und dieser trat am 28. Juni 2019 in Kraft, viel weiter sind wir da noch nicht und vorerst soll die Zertifizierung auch freiwillig bleiben.

Im Public Sector gelten seit 2016 für die Beschaffung von Hardware der öffentlichen Hand Ergänzende Vertragsbedingungen (EVB-IT). Kernelement der EVB-IT ist eine verpflichtende „No backdoors“-Klausel („technische No-Spy-Klausel“). Das heißt, dass in Projekten mit öffentlichen Auftraggebern nur noch Hardwarekomponenten geliefert werden dürfen, für die das betreffende Systemhaus oder der entsprechende Hersteller eine Gewähr darauf übernehmen.

Zudem gibt es natürlich die Initiative IT-Security made in Germany, die sich das Thema No Backdoors auf die Fahnen geschrieben haben.

Ich hoffe das hilft Ihnen weiter. Ich gebe aber zu bedenken, dass der NSA-Skandal gezeigt hat, dass Geheimdienste bei entsprechend interessanten Zielen durchaus in der Lage sind Geräte ohne Wissen des Herstellers abzufangen und Überwachungstechnik einzubauen. Da helfen dann auch Zertifikate nichts.

Viele Grüße,
Peter Schmitz
Chefredakteur Security-Insider