Dr. CORONA oder: Wie ich lernte den Lock-down zu lieben

Artikel im itSM-Magazin

Eine kleiner Erfahrungsbericht zu den Erfahrungen von Unternehmen in der COVID-19-Pandemie

Wie steuert man als Business Continuity Manager durch eine globale Krise – mit dem klassischen Wasserfall-Ansatz oder besser doch mit Quick Checks?

Ein Jahr nach dem Ausbruch der COVID-19-Pandemie werden viele Erfahrungen aus der Krise auch im neuen modernisierten BSI-Standard 200-4 Business Continuity Management diskutiert.

Der Protagonist erscheint
Irgendwann während einer CNN Übertragung im Impeachment-Verfahren Ende 2019 – mittlerweile muss man ja vom ersten sprechen – erschien eine Nachricht auf dem unteren Tickerlaufband: „Multipler Virus auf Fischmarkt in China entdeckt.“ Das ging fast unter im Tohuwabohu der permanenten BREAKING NEWS an diesem Tag – aber irgendwie wurde es doch zur Kenntnis genommen.

Als der Ticker am nächsten Tag immer noch die Meldung brachte, und die erste Reportage eines nervösen CNN-Reporters von einem Lock-down der noch unbekannten Millionenmetropole Wuhan sprach, da kamen Erinnerungen an die Vogelgrippe H5N1 in 2006 und die Schweinegrippe H1N1 seit 2009 auf. Aber es ging damals alles ohne großartige Probleme weiter. Und auch die letzte Vogelgrippe H7N9 in 2013 war nicht dramatisch gewesen – und vor allem letztere nur im weit entfernten China. Betrifft das europäische Unternehmen? Der Markt mit Lieferketten und Lagern funktioniert doch?

Lesen Sie den ganzen Artikel 

Das neue it Service Management Magazin, Heft 54, ab Mitte Februar 2021 zu beziehen – www.itsmf.de

COVID-19 – AHA-L-C-Regeln einhalten

Animation Youtube

Das Einhalten der AHA-L-C-Regeln verringert das Ansteckungsrisiko in der COVID-19-Pandemie. Deshalb ist es sinnvoll und verkürzt oder verhindert sogar einen neuen Lockdown

Das NEUE NORMAL erfordert das Einhalten von Verhaltensregeln, um die Gesellschaft und Wirtschaft zu schützen

Für Fragen stehen wir gerne zur Verfügung

Kontaktieren Sie uns – info (a) marim . de !

COVID-19 – Exponentielle Funktion erklärt

Animation Youtube

Was macht die exponentielle Steigerung der COVID-19-Fallzahlen so gefährlich? Dies lässt sich mathematisch ganz einfach begründen

Das Einhalten der AHA-L-C-Regeln verringert das Ansteckungsrisiko in der COVID-19-Pandemie. Deshalb ist es sinnvoll und verkürzt oder verhindert sogar einen neuen Lockdown

Das NEUE NORMAL erfordert das Einhalten von Verhaltensregeln, um die Gesellschaft und Wirtschaft zu schützen

Für Fragen stehen wir gerne zur Verfügung

Kontaktieren Sie uns – info (a) marim . de !

passwörter

Ihre Herausforderung

Sicherheitsvorfälle lassen sich durch zu leichte Passwörter oder den falschen Umgang mit Sicherheitszugängen erklären. Erste Untersuchungen zeigen, dass in der Unternehmung wenig Wissen zum richtigen Umgang mit Passwörtern vorhanden ist

Ihr Ziel

Schnell, nachhaltig und auf die Bedürfnisse der eigenen Unternehmung angepasste Trainings und weitergehende Coachings lokal im Unternehmen oder per Video-Training anbieten

Unser Lösungsansatz

Grundlagen schaffen

  • Klassifizieren Sie Ihre zu schützenden Daten. Je wichtiger diese Daten sind, umso komplexer sollte das Passwort sein
  • Vorsicht vor Social Engineering Attacken – Geben Sie niemals Ihr Passort bekannt – auch nicht telefonisch 
  • Nehmen sie unterschiedliche Passwörter für verschiedene Anwendungen und ändern Sie diese in Abhängigkeit besonderer Klassifizierung regelmässig
  • Kein „Masterpasswort“ für alle firmenbezogenen Zugänge nutzen und verwenden Sie kein Passwort, dass Sie auch privat nutzen. Dies ist eine der größten Fehler bei potentielle Bedrohungen am Home Office-Arbeitsplatz

Aufbau guter Passwörter erklären

  • Bei der Wahl eines Passwortes sind Ihrer Kreativität keine Grenzen gesetzt. Wichtig ist, dass Sie sich das Passwort gut merken können. Hierfür gibt es unterschiedliche Hilfsstrategien: Der eine merkt sich einen Satz und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man unter Umständen noch bestimmte Buchstaben in Zahlen oder Sonderzeichen. Die andere nutzt einen ganzen Satz als Passwort oder reiht unterschiedliche Wörter, verbunden durch Sonderzeichen, aneinander. Eine weitere Möglichkeit besteht darin, zufällig 5-6 Worte aus dem Wörterbuch zu wählen und diese mit einem Leerzeichen zu trennen. Dies resultiert in einem leicht zu merkenden, leicht zu tippenden und für Angreifer schwer zu brechenden Passwort
  • Je länger, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein
  • Bei Verschlüsselungsverfahren für WLAN wie zum Beispiel WPA und WPA2 sollte das Passwort beispielsweise mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren
  • Für ein Passwort können in der Regel alle verfügbaren Zeichen genutzt werden, beispielsweise Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…). Manche Anbieter von Onlinediensten machen technische Vorgaben für die verwendbaren bzw. zu verwendenden Zeichen. Wenn Ihr System Umlaute zulässt, bedenken Sie bei Reisen ins Ausland, dass auf landestypischen Tastaturen diese eventuell nicht eingegeben werden können
  • Nicht als Passwörter geeignet sind Namen von Familienmitgliedern, des Haustiers, des besten Freundes, des Lieblingsstars, Geburtsdaten und so weiter. Das vollständige Passwort sollte möglichst nicht in Wörterbüchern vorkommen. Es sollte zudem nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern wie „asdfgh“ oder „1234abcd“ bestehen. Manche Anbieter gleichen Passwörter gegen eine sogenannte „black list“ ab, in der genau solche nicht geeigneten Passwörter hinterlegt sind. Möchte man sie nutzen, erhält man einen Hinweis, dass das Passwort in dieser Form nicht zugelassen wird bzw. nicht sicher ist
  • Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist nicht empfehlenswert
  • Nutzen Sie einen Passwortmanager, um Ihre unterschiedlichen Passwörter gut verwalten zu können. – und ihr starkes Passwort, um diesen abzusichern. So müssen Sie sich nur ein gutes Passwort merken und können trotzdem sehr starke, überall unterschiedliche Passworte verwenden. Aber hier gelten spezifische Regeln für ein sehr starkes Passwort

Ein starkes Passwort kann „kürzer und komplex“ oder „lang und einfach“ sein. Doch wie lang und wie komplex sollte es mindestens sein? 

  • 8 bis 12 Zeichen lang ist und drei Zeichenarten genutzt werden
  • 20 bis 25 Zeichen lang ist und zwei Zeichenarten genutzt werden (beispielsweise eine Folge von Wörtern)
  • 8 Zeichen lang ist, zwei Zeichenarten genutzt werden und es zusätzlich durch eine Mehr-Faktor-Authentisierung abgesichert ist (beispielsweise durch einen Fingerabdruck, eine Bestätigung per App oder eine PIN). Dies ist generell empfehlenswert

Diese Gefahren bestehen natürlich auch immer auf Ihrem privaten Equipment!

Weitergehende Informationen finden Sie auch im Bereich Business Security

Gerne stellen wir Ihnen in einem persönlichen Gespräch Ansätze und Erfahrungen vor.

Kontaktieren Sie uns – info (a) marim . de !

 

Quelle: bsi.de

 

home office

Ihre Herausforderung

Mitarbeiter müssen spontan aus dem Home Office arbeiten. Dies kann zur Aufrechterhaltung des Geschäftsbetriebes notwendig werden, beispielsweise durch einen Schaden im Unternehmen, oder durch externe Ursachen veranlasst werden, beispielsweise die CORONA-Pandemie

Ihr Ziel

Schnell, nachhaltig und auf die Bedürfnisse der eigenen Unternehmung angepasste Trainings und weitergehende Coachings lokal im Unternehmen oder per Video-Training anbieten

Unser Lösungsansatz

Grundlagen schaffen

  • Denken Sie an den Datenschutz der Unterlagen im Home Office. Am Besten Sie arbeiten im einem eigenen Raum und lassen keine Unterlagen offen liegen
  • Direkter Datenverkehr über Virtuell Private Network (VPN) in das Firmennetzwerk muss durch Fachpersonal eingerichtet werden. Nutzen Sie keine unsicheren privaten Systeme im direkten Datenaustausch mit dem Firmennetzwerk über VPN
  • Versenden Sie keine Informationen über Soziale Netzwerke wie WhatsApp, Facebook oder andere Kanäle – erst recht nicht wenn diese personenbezogen oder vertraulich sind
  • Installieren Sie Anwendungen nur nach Prüfung und aus den Originalquellen, also beispielsweise den Appstores. Sollten Sie beruflich zu einer Installation aufgefordert werden, prüfen Sie an entsprechender Stelle die Richtigkeit der Angabe mit einem Anruf

Sichere Nutzung von E-Mails erklären

  • Seien Sie vorsichtig bei E-Mails von fremden Adressen, die Links zu angeblichen Programmen für die Arbeit im Home Office oder zur Videotelefonie enthalten
  • Sehen Sie sich bei jeder E-Mail die Absenderadresse genau an. Zwar ist es möglich, original erscheinende Adressen zu fälschen, oft handelt es sich jedoch um fehlerhaft erstellte Adressen, die Ihnen eine eindeutige Warnung sein können
  • Gefahr besteht auch bei E-Mails, die Ihnen nahelegen, persönliche Daten wie Passwörter oder Zahlungsinformationen zu übermitteln
  • Achten Sie genau auf die Schreibweise von Webadressen. Tippen Sie URLs wenn möglich selbst ein oder wählen Sie eine Internetseite über ein bereits angelegtes Lesezeichen an. Links aus E-Mails sollte grundsätzlich zunächst Misstrauen entgegengebracht werden
  • Dazu sollten Sie keine der Telefonnummern aus der E-Mail verwenden, sondern stets über firmeninterne Telefonbücher oder Angaben im firmeneigenen Intranet recherchieren
  • Keine seriöse Organisation, egal ob Finanzinstitut, Behörde oder Unternehmen befragt Sie nach persönlichen Daten per E-Mail oder Telefon – seien Sie immer skeptisch, wenn Sie auf diesen Wegen zu einer Eingabe aufgefordert werden
  • Löschen Sie im Verdachtsfall die betreffenden E-Mails und klicken Sie keinesfalls auf enthaltene Links
  • Ausweiskopien oder personenbezogene Daten sollten Sie niemals per E-Mail übermitteln

Web-Browser richtig einsetzen

  • Einige Webseiten täuschen vor, von einem seriösen Unternehmen betrieben zu werden und verlangen, Daten zu hinterlegen, um über Neuigkeiten im Zusammenhang mit Corona informiert zu bleiben
  • Zukünftig könnten auch Anrufe getätigt werden, in denen angeblich öffentliche Stellen Daten über die Ausbreitung der Epidemie erfassen wollen und dazu personenbezogene Informationen zu Anmeldedaten oder Bankzugängen abfragen
  • Machen Sie telefonisch niemals Angaben zu sensiblen Informationen. Behörden, Banken und anderen Institutionen fragen diese niemals auf diese Weise ab
  • Zudem werden betrügerische Webportale versprechen, Lösungen für Corona-bezogene Probleme bereitzustellen und dafür Produkte oder Dienstleistungen anbieten. Lassen Sie sich nicht von dieser Verlockung täuschen. Sollten wirksame Medizinprodukte auf den Markt gelangen, wird das Bundesministerium für Gesundheit darüber informieren
  • Werbe- und Popup-Fenster können plötzlich erscheinen, um Ihnen entweder Heilmittel, Impfungen, und Behandlungen anzupreisen oder vorgeben, ein sicherheitsrelevantes Programm Ihres Arbeitgebers installieren zu wollen. Sie sollten grundsätzlich darauf verzichten, derartige Werbefenster anzuklicken. Solche Banner oder Popups können Schadsoftware enthalten, unabhängig von den Produkten, für die sie werben

Ist es trotz allem dazu gekommen, dass Sie sensible Informationen eventuell an Betrüger versendet haben, ändern Sie sofort Ihr Passwort. Ging es bei diesen Informationen um dienstliche Angelegenheiten, müssen Sie den Vorgang Ihrer IT-Abteilung melden. Haben Sie zudem Passwörter übermittelt, die Sie für mehrere Accounts verwenden, ist es unbedingt notwendig, bei all diesen Zugängen die Passwörter zu ändern. In solchen Fällen ist es empfehlenswert, auch das Passwort bei Ihrem E-Mail-Anbieter zu verändern

Diese Gefahren bestehen natürlich auch immer auf Ihrem privaten Equipment!

Weitergehende Informationen finden Sie auch im Bereich Business Security

Gerne stellen wir Ihnen in einem persönlichen Gespräch Ansätze und Erfahrungen vor.

Kontaktieren Sie uns – info (a) marim . de !

 

Quelle: bsi-fuer-buerger.de

 

Cyberkriminelle nutzen Corona aus

Die Corona-Krise nimmt Einfluss auf die Methoden von Cyber-Kriminellen. Der Versuch die aktuell schnell ausgelagerten Home Office-Arbeitsplätze gezielt anzugreifen nimmt zu.

Viele Mitarbeiterinnen und Mitarbeiter arbeiten im Rahmen der Corona-Krise in Heimarbeitsplätzen. Die grundsätzlich gute Idee um den Geschäftsbetrieb aufrecht zu erhalten, hat aber oftmals keine Zeit für die Erarbeitung und Schulung dieser Personen für die einfachsten sicherheitsspezifische Regeln für das Home Office oder Passwörter gelassen. 

Holen Sie dies dringend nach!

Schulungen, Links und Hinweise finden Sie auch hier Business Security

Auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) bietet gute und fundierte Grundlagen zur Verteilung an die Mitarbeiter. Einfach aufbereitet und leicht verständlich auf den Seiten bsi-fuer-buerger.de

Nutzen Sie diese Angebote und bleiben Sie gesund!

Gerne stellen wir Ihnen in einem persönlichen Gespräch Ansätze und Erfahrungen vor.

Kontaktieren Sie uns – info (a) marim . de !

it security

IT Security, Sicherheit, Governance, Risk, Datenschutz – was ist was und was ist für kleine und mittlere Unternehmen (KMU) und das Handwerk wichtig?

Ihre Herausforderung

Viele KMUs sind mit diesen Themen vollkommen überfordert. Es gibt oft keine eigene IT-Abteilung oder andere Bereiche, die sich mit diesen Themen auseinandersetzen können. Bei jeder Form der Digitalisierung treten zusätzliche unbekannte Risiken auf. Deshalb ist es wichtig die IT Security und ihre Aspekte zunächst zu verstehen

Ihr Ziel

  • Was ist IT Security“ grundlegend? Es gibt keine dummen Fragen!
  • Welche Chancen und Risiken sind zu erwarten – gerade bei der Digitalisierung des Unternehmens?
  • Welche Punkte sind in der IT Security relevant?
  • Welche finanziellen Aufwende sind zu erwarten?

Unser Lösungsansatz

In gezielt auf die Geschäftsleitung abgestimmten Workshops werden diese wichtige Aspekte Schritt für Schritt aufbereitet

  • Individuelle Grundlagen der Teilnehmenden erarbeiten und zukünftige Wissensquellen aufzeigen
  • Individuelle Aufnahme der aktuellen Stand der IT Security im Unternehmens – Cyber Security Check nach BSI/ISACA
  • Definition sinnvoller Schritte zur Verbesserung der IT Security – Bestimmung der Schutzziele
  • Finanziell Förderungen nutzen in der Umsetzung der Digitalisierung durch verschiedene öffentliche Institutionen

Gerne stellen wir Ihnen in einem persönlichen Gespräch Ansätze und Erfahrungen vor.

Kontaktieren Sie uns – info (a) marim . de !

 

awareness campaign

Ihre Herausforderung

Das allgemeine Verhalten und der Umgang mit Herausforderungen der IT Security und an den Datenschutz werden im Unternehmen nur spärlich oder gar nicht beachtet 

Eine Awareness Kampagne muss Teil einer unternehmensweiten IT Sicherheitsstrategie sein. Auftraggeber einer Awareness Kampagne ist immer die Unternehmensführung. Das zeigt, dass in Ihrem Unternehmen Informationen zu den kritischsten Werten gehören und jeder Mitarbeiter für deren effektiven Schutz verantwortlich ist

Ihr Ziel

  • Reduzierte Haftungsrisiken im Bereich des Datenschutzes und der Informationssicherheit stärken das Kundenvertrauen
  • Identifizierte Risiken werden gezielt verringert, gesteuert und abgesichert
  • Ein Informationssicherheits-Reporting schafft die notwendige Transparenz aktueller Bedrohungen, Risiken und der allgemeinen Sicherheitslage
  • Wettbewerbsvorteil durch Schutz Ihrer „Kronjuwelen“ von Patenten, Entwicklungen und anderen Innovationen
  • Aktiver Schutz der Reputation bei Ihren Kunden und Partnern
  • Einbindung von Sicherheit in allen Prozessen Ihres Unternehmens
  • Breite und nachhaltige Sensibilisierung der Mitarbeiter für IT-Sicherheit und Datenschutz
  • Einzigartiges Preis-Leistungsverhältnis durch den breiten und nachhaltigen Wissensaufbau der Mitarbeiter

Unser Lösungsansatz

Startpunkt ist immer die unternehmenseigene und höchst individuelle Sicherheitssituation des Unternehmens. Diese lässt sich durch einen Cyber Sicherheits Check sehr schnell feststellen

Eine Kampagne zur Sensibilisierung umfasst weit mehr als die reine Schulung der Mitarbeiter und Partner. Ein Workshop Kampagne zur Sensibilisierung gleicht die Aufgaben aller Beteiligten ab, legt das gemeinsame Vorgehen detailliert fest – und alles individuell auf das Unternehmen abgestimmt. Eine Sensibilisierung der Mitarbeiter muss eng mit den Verantwortlichen für Datenschutz und weiteren Stellen im Unternehmen abgestimmt werden

Regelmässige Kampagnen zur Sensibilisierung der IT Sicherheit sind Teil einer ISO 27000 Zertifizierung

Gerne stehen wir mit unseren Erfahrungen zur Verfügung

Kontaktieren Sie uns – info (a) marim . de !

awareness training

Ihre Herausforderung

Die Motivation und Umsetzung der bisherigen Massnahmen zur Erhöhung der Cyber Sicherheit und der Einhaltung des Datenschutzes sind nicht nachhaltig und werden bald nach den Schulungen wieder vernachlässigt 

Ihr Ziel

  • Aufmerksamkeit gegenüber IT Sicherheit und Datenschutz im Unternehmen erhöhen
  • Nachweisliche Erfolge dokumentieren
  • Individualisierte Schulungen nach Bereichen sollen die Mitarbeiter und Manager motivieren

Unser Lösungsansatz

Das äußerst abwechslungsreiche und spannende Spiel erlaubt es keinem Teilnehmer nebenher auf dem Smartphone zu spielen. Ständig wechselnde Teams und Interessen erfordern die volle Aufmerksamkeit auf die vermittelte Inhalte. Dies lässt sich auch nach Monaten noch nachweisen

Das Spielkonzept vermittelt sowohl allgemeine als auch individuelleAnforderungen an die Informationssicherheit. So hat z.B. ein Außendienstmitarbeiter eines Unternehmens andere Aspekte zu beachten als die Personalabteilung oder Forschung und Entwicklung. Es liegen damit unterschiedliche Anforderungen an die Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Verbindlichkeit) vor. FIREWALL sieht vor, individuellen Inhalte des Unternehmens abzustimmen und einzubeziehen

Awareness TrainingFlyer FIREWALL Business

Ziel des Trainings ist die Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit um Schwachstellen an der Quelle zu minimieren und Angriffe zu erschweren. Spielerische und praxisnahe Vermittlung von Wissen und Schärfen des Bewusstseins bzgl. des richtigen Verhaltens im Alltag. Zielgruppe sind alle Mitarbeiter in einem Unternehmen

Awareness Training – Flyer FIREWALL Schulen

Sensibilisierung der Schülerschaft über die Sicherheit von Daten. Spielerisch und praxisnah wird Wissen vermittelt und das Bewusstsein geschärft. Einfache Regeln für den Alltag werden aufgezeigt. Beispielsweise der richtige Aufbau von Passwörtern, eine gesunde Haltung zur Informationstechnologie oder die Verschleierung der persönlichen Daten u.v.m

Kontaktieren Sie uns – info (a) marim . de !

 

social engineering

Ihre Herausforderung

Advanced Persistant Threats (APTs) sind langlaufenden und versteckten Angriffe auf Unternehmen. Dabei sind die eigenen Mitarbeiter das größte und meist unterschätzte Potential in der Verteidigung

Durch die Kombination verschiedener Angriffstechniken und -verfahren solcher APTs entstehen heute völlig neue Angriffsvektoren, siehe Cyber Sicherheits Check. Gezieltes Ausspionieren und Angriff auf einzelne Personen sind der erste entscheidende Ansatzpunkt der Angreifer. Ziele dieser Social-Engineering-Attacken sind die eigenen Mitarbeiter, Partner, Kunden und nicht zu vergessen auch die externen Servicekräfte

Ihr Ziel

Klären der wichtigsten Fragen zu APTs und Schulung der Unternehmung

  • Was ist „Social Engineering„?
  • Wie lässt sich das Bewusstsein zu Social-Engineering-Angriffen aufbauen?
  • Gibt es Schwerpunkte und wie sind zu beachten?

Unsere Lösungsansatz

Am einfachsten durch aktive Beteiligung der Mitarbeiter in einem gezielten Awareness Training oder speziellen Workshops zum Thema Social Engineering

In kurzen Workshops werden die grundlegenden Verfahren in Social-Engineering-Attacken diskutiert und dokumentiert. Im Weiteren werden dann individuelle Schwerpunkte solcher Attacken im Bereich Personalwesen, Einkauf, Finanzbereich, Vertrieb. Services usw. vertieft

Gerne stellen wir Ihnen in einem persönlichen Gespräch Ansätze und Erfahrungen vor

Kontaktieren Sie uns – info (a) marim . de !