:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/15/ff15bff08f3786c0748546eeaa5f39af/0115423531.jpeg ""Alles was Sie zu Data Security Posture Management wissen sollten", ein Interview von Oliver Schonschek, Insider Research, mit Sebastian Mehle von Varonis. (Bild: Vogel IT-Medien / Varonis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Compliance-Nachweise und Kontrollverfahren Wie Sie sich auf die Zertifizierung nach DSGVO vorbereiten sollten
Gesponsert von
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Lange wurde auf sie gewartet, nun ist die Zertifizierung des Datenschutzes nach DSGVO (Datenschutz-Grundverordnung) in greifbarer Nähe. Unternehmen tun gut daran, sich auf eine mögliche Zertifizierung vorzubereiten. Wichtig sind geeignete Compliance-Nachweise und Verfahren, die die Einhaltung von Richtlinien sicherstellen. Das gilt insbesondere auch für die Passwortrichtlinie.
Datenschutz muss nachgewiesen sein
Zertifizierungen nach der Datenschutz-Grundverordnung (DSGVO) werden künftig bei der Wahl von Dienstleistern und auch beim internationalen Datentransfer eine Rolle spielen, so erwarten es viele Datenschützer.
Offensichtlich hat dann ein Zertifikat, das ein angemessenes Datenschutzniveau nach DSGVO bescheinigt, einen Wettbewerbsvorteil für den Inhaber. Entsprechend hoffen und warten viele Unternehmen seit Anwendung der DSGVO auf die Möglichkeit, ihre Verarbeitung personenbezogener Daten zertifizieren lassen zu können.
DSGVO-Zertifikate können in naher Zukunft helfen
Nun zeichnet sich ab, dass es noch in diesem Jahr DSGVO-Zertifizierungen geben wird: Die Anforderungen an die Akkreditierung von Zertifizierungsstellen sind vorhanden. Sobald die ersten Zertifizierungsstellen anerkannt sind und die Zertifizierungsprogramme damit stehen, können auch Zertifikate nach DSGVO vergeben werden.
Eine Zertifizierungsstelle benötigt dazu eine Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS) zusammen mit der Befugniserteilung durch die zuständige Datenschutz-Aufsichtsbehörde. Mehrere Zertifizierungsprogramme befinden sich bereits im Akkreditierungsprozess, so die DAkkS.
Während die Vorbereitungen für Zertifizierungsstellen und Zertifizierungsprogramme nun weit fortgeschritten sind, steht es um den Datenschutz der Unternehmen, die sich womöglich zertifizieren lassen wollen, noch nicht so gut.
Unternehmen sollten sich auf eine Zertifizierung vorbereiten
In den vergangenen Jahren haben die Probleme bei der DSGVO-Umsetzung nicht wirklich abgenommen, das Gegenteil ist der Fall, so eine Umfrage des Digitalverbands Bitkom. Unverändert schwierig sind demnach die technische Umsetzung, sie behindert 34 Prozent, einen Mangel an qualifizierten Beschäftigten haben 33 Prozent.
Eine große Herausforderung stellt dabei die Sicherheit der Verarbeitung personenbezogener Daten dar. Wie die „Anforderungen an datenschutzrechtliche Zertifizierungsprogramme (Datenschutzrechtliche Prüfkriterien, Prüfsystematik und Prüfmethoden)“ der Datenschutzaufsichtsbehörden des Bundes und der Länder zeigen, müssen Unternehmen, die Zertifizierungsprogramme nach DSGVO bestehen wollen, hohe Maßstäbe an die Datensicherheit erfüllen und die Wirksamkeit der Maßnahmen nachweisen können.
Wie die geforderten Prüfkriterien und Prüfmethoden für eine DSGVO-Zertifizierung zeigen, müssen die Unternehmen unter anderem rechnen mit
- einer Prüfung der Spezifikation und der Schutzkonzepte hinsichtlich des Stands der Technik und der Konsistenz der einzelnen Maßnahmen (wie Berechtigungskonzept, Identitätsmanagement, Authentifizierung und Autorisierung, Revisions- und Protokollierungskonzept) und
- einer Kontrolle, ob es eine angemessene Verifikation der Maßnahmenumsetzung gibt, sprich: ob die Unternehmen auch überprüfen, ob ihre Schutzmaßnahmen wirksam sind.
Unternehmen mit einer lückenhaften Passwortsicherheit können die Anforderungen einer DSGVO-Zertifizierung wohl kaum erfüllen. Viele Unternehmen haben aber Probleme damit, eine gute Passwortrichtlinie zu definieren, sie durchzusetzen und die Umsetzung zu überwachen.
Das zeigt sich auch eindrucksvoll an diesen Zahlen: Specops Software, Anbieter von Passwort Management- und Authentifizierungslösungen, führt eine Datenbank mit bereits 2,4 Milliarden kompromittierten Passwörtern aus Sicherheitsverletzungen rund um den Globus, und die Zahl der kompromittierten Passwörter wächst und wächst.
So hilft Specops Password Policy bei der Datenschutz-Zertifizierung
Unternehmen, die sich auf eine bald mögliche DSGVO-Zertifizierung vorbereiten wollen, haben viele Baustellen vor sich, darunter auch die Passwortsicherheit und das Passwortmanagement. Nicht für alle Baustellen gibt es bereits hilfreiche Lösungen und Tools. Wenn es um die Passwortrichtlinie, deren Definition und Durchsetzung geht, gibt es dies aber.
Wer in Vorbereitung auf eine Datenschutz-Zertifizierung bewerten möchte, wie gut die bestehenden Passwortrichtlinien mit verschiedenen Compliance-Standards übereinstimmen, kann von einem kostenlosen Scan mit Specops Password Auditor profitieren. Einer der von Password Auditor bereitgestellten Berichte ist der Report „Einhaltung der Kennwortrichtlinie“. Solche Berichte helfen dabei, das eigene Unternehmen auf die Prüfungen durch eine Zertifizierungsstelle vorzubereiten.
Mit Specops Password Auditor haben Unternehmen ein Tool an der Hand, dass hilft, den Angriffsvektor schwache Passwörter zu minimieren. Das Audit-Tool kann dazu verwendet werden, um Sicherheitsschwächen im Zusammenhang mit Benutzerkonten zu identifizieren. Die Prüfung zeigt, welche Benutzer Administratorrechte haben, welche Konten inaktiv sind und welche Konten abgelaufene Passwörter haben.
Die Prüfung hilft auch dabei zu erkennen, welche Konten möglicherweise die Sicherheitsrichtlinien verletzen. Anhand der Ergebnisse der Überprüfung lassen sich konkrete Maßnahmen zur Verbesserung von Passwortrichtlinien ableiten, die mit der Lösung Specops Password Policy schnell und einfach in Active Directory implementiert werden können.
Um ein Verfahren zur Durchsetzung und zum Nachweis der Passwortrichtlinien einzuführen, sollten Unternehmen sich ein Tool wie Specops Password Policy ansehen. Wer Hilfe bei der Befürwortung des Budgets benötigt, kann die Ergebnisse in Specops Password Auditor nutzen. Hier gibt es eine Zusammenfassung, die bestehende Compliance-Probleme bei der Passwortsicherheit aufführt und die Geschäftsleitung darüber informiert, wo es zum Beispiel im Bereich Passwortsicherheit Handlungsbedarf gibt, damit der Datenschutz zertifiziert werden kann.
(ID:48022646)
:quality(80)/p7i.vogel.de/wcms/72/b8/72b807ae9bd8f944e35952c4f3727741/0108720947.jpeg "Viele IT-Sicherheitsstandards enthalten die Empfehlung oder Anforderung, auch eine Liste bekannter kompromittierter Kennwörter zu verwenden, um die Verwendung von kompromittierten Kennwörtern zu verhindern – und das aus gutem Grund. Das Diagramm zeigt, welcher Prozentsatz des Datensatzes bekannter kompromittierter Kennwörter die Empfehlungen der Regulierungsbehörden erfüllen würde. (Bild: Specops Software)")
:quality(80)/p7i.vogel.de/wcms/e9/cc/e9cc735d56e152ad860a9a309f81acc3/0112630557.jpeg "Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung - von Technikern für Techniker! (Bild: Vogel IT-Medien / Specops)")