Deutsch

Unternehmen geben zunehmend Geld für ihre IT-Sicherheit aus. Doch gleichzeitig nehmen die Anzahl an erfolgreichen Cyberangriffen oder die Varianten an Ransomware weiter zu. Da Firmen vermehrt technische Vorkehrungen in ihrer IT-Infrastruktur treffen, suchen die Angreifer nach anderen Schwachstellen. Eine Angriffsmethode, die den Mitarbeitenden ins Zentrum setzt, nennt sich Social Engineering. Was genau dahinter steckt und wie sich Unternehmen davor schützen können, erläutert Anne Roemer von der HTH GmbH in folgendem Gastbeitrag.

Was ist Social Engineering?

Social Engineering ist eine Art des Cyberangriffs. Hierbei sammeln die Täter im Vorfeld zahlreiche Informationen über mögliche Zielpersonen und das Zielunternehmen. Diese nutzen sie dann gezielt für einen Angriff. Dabei greifen die Kriminellen zum einen auf frei verfügbare Quellen wie Unternehmenswebseiten oder soziale Netzwerke zurück. Zum anderen hören sie gegebenenfalls auch Anrufe oder Gespräche mit. Sie tragen auf diese Weise eine Vielzahl sowohl beruflicher als auch privater Hintergrundinformationen zusammen. Eine Attacke auf ein Unternehmen können die Täter auf dieser Basis sehr gezielt planen und vorbereiten.

Die Erfolgsquote ist gut, denn Social Engineering nutzt gezielt die Schwächen der Menschen aus. Die Natur hat den Menschen mit Schwächen wie Angst, Neugier, Autoritätshörigkeit ausgestattet. Zudem haben wir Bedürfnisse wie den Drang nach sozialer Bestätigung oder den Wunsch anderen zu helfen. Und genau an diesen tiefen psychologischen Eigenschaften setzen die Cyberkriminellen an. Social Engineering gewinnt an Stärke durch die natürlichen menschlichen Schwächen.

Angriffsziele des Social Engineerings sind sowohl Konzerne, als auch kleine und mittelständische Unternehmen. Umso wichtiger ist es, dass alle Mitarbeiter um die Gefahr wissen. Für einen Angriff kommen verschiedene Kanäle in Frage. Häufig ist es die E-Mail, doch ebenso gibt es Varianten über SMS, Anrufe, persönliche Ansprache oder Videokonferenz-Tools. Die Kreativität ist da groß. Wir stellen hier drei Methoden vor, die jeder kennen sollte.

Drei Methoden des Social Engineering

1. CEO-Fraud

Bei einem CEO-Fraud gibt sich ein Krimineller als Geschäftsführer oder Chef aus. In dieser vermeintlichen Autoritätsfunktion gibt er dann Anweisungen wie beispielsweise bestimmte Überweisungen durchzuführen. Für diese Art des Betrugs greifen Täter auf verschiedene Kommunikationsmedien zurück. Sie nutzen oftmals E-Mails aber auch gerne Telefonanrufe. CEO Fraud wird auch als Chef-Betrug oder CEO-Betrug bezeichnet. Diese gängige Betrugsmethode kennen viele Mitarbeiter immer noch nicht, obwohl sie häufig vorkommt. Schon seit einigen Jahren warnen die Landeskriminalämter vor dieser Angriffstechnik.

2. Spear-Fishing

Die Methode des „normalen“ Phishings ist inzwischen sehr bekannt. Dabei werden massenhaft E-Mails versendet, die den Empfänger auffordern auf einen Link zu klicken. Dort werden dann vertrauliche Informationen wie Passwörter oder Bankverbindungen verlangt.

Spear-Phishing ist nun eine Weiterentwicklung. Das Prinzip ist das gleiche, doch die Angreifer setzen mehr auf Klasse statt Masse. Sie machen im Vorfeld eine umfangreiche Recherche, um viele persönliche Informationen über die Zielperson zu sammeln. Auf dieser Basis gestalten sie die E-Mail sehr individuell, sodass sie mehr Relevanz für den Empfänger hat. Dadurch steigt die Wahrscheinlichkeit, dass der Angriff erfolgreich ist. Denn der Gemüsehändler um die Ecke oder die örtliche Bücherei als Absender ist nicht so verdächtig. Da ist eine Person vermutlich eher geneigt, Informationen Preis zu geben, ohne Böses zu ahnen.

3. Deepfakes

Der Begriff “Deepfake” beschreibt manipuliertes Audio- oder Videomaterial, das täuschend echt anmutet. Es hat als Spielerei im Internet angefangen und zu Beginn vorzugsweise prominenten Personen falsche Worte in den Mund gelegt. Inzwischen hat sich dies aber zu einer realen Bedrohung für Unternehmen weiterentwickelt. Angreifer nutzen diese Methode, um sich vielleicht als Chef auszugeben und eine Überweisung in Auftrag zu geben. Diese Videos sind für eine Person in der Regel nicht als Fake erkennbar. Umso wichtiger, sich mit dieser Methode vertraut zu machen.

Schutz vor Social Engineering

Ein Schutz vor Social Engineering lässt sich leider nicht durch ausgeklügelte IT-Maßnahmen erreichen. Wie gesagt nutzt es eben nicht technische, sondern menschliche Schwachstellen aus. Die Angreifer sind dabei sehr kreativ und finden immer neue Wege, um an erforderliche Daten zu kommen. Jedem Unternehmen ist daher anzuraten, seine Mitarbeiter auf mögliche Angriffsszenarien zu sensibilisieren und vorzubereiten. Permanente Awareness-Trainings sind dabei eine gute Wahl, um die IT-Sicherheit im Unternehmen zu steigern. Ebenso können organisatorische Regeln wie das vieraugen-Prinzip bei Überweisungen einen Schutz vor den beschriebenen Cyberkriminellen bieten.

Cyberangriffe sind eine reale und existenzielle Bedrohung für Unternehmen jeder Größe. Ergreifen Sie daher entsprechende Maßnahmen, um sie abzuwehren.

Mehr Informationen zum IT-Systemhaus HTH GmbH finden Sie hier.

Gastautorin Anne Roemer

Anne Roemer ist für das Marketing im IT-Systemhaus HTH GmbH verantwortlich. Zu den Kunden des IT-Dienstleisters zählen kleine und mittlere Unternehmen sowie Notariate und Rechtsanwälte.

Zum IT-Systemhaus HTH GmbH

Die Themen IT-Sicherheit und Datenschutz gewinnen immer weiter an Bedeutung. Nicht alleine aufgrund der angespannten Lage der Weltpolitik rücken Schlagzeilen rund um Cyberangriffe auf kritische Infrastrukturen und Behörden immer mehr in den Fokus. Daher nehmen auch die Investitionen und Bemühungen zu, sich gegen diese Gefahr zu wappnen, um einen wirtschaftlichen Schaden sowie Reputationsverlust abzuwenden. Unter der Vision Securing Digital Freedom arbeitet die FTAPI Software GmbH deswegen weiterhin daran, Lösungen für den sicheren Datenaustausch und automatisierte Daten-Workflows zu entwickeln, um Daten, Systeme und digitale Identitäten durch den Einsatz von aktuellen Technologien umfassend zu schützen.

Um das Produkterlebnis für Nutzer:innen auf ein neues Niveau zu heben und dabei gleichzeitig die Sicherheit und Resilienz der Infrastruktur unserer Kund:innen gegenüber potenziellen Angriffen zu erhöhen, fokussieren wir uns in der Produktentwicklung 2023 auf drei große Themen: Sicherheit, Datenräume, Benutzerfreundlichkeit. Welche Änderungen im Jahr 2023 konkret anstehen, verrät Kornelius Brunner, CPO bei FTAPI im exklusiven Produktausblick 2023.

Mehr Sicherheit durch regelmäßige Zertifizierungen

Sicherheit ist bei FTAPI Priorität Nummer 1. Die hohen Sicherheitsansprüche gelten dabei nicht nur für die Produkte der Plattform, sondern auch für das Unternehmen und die Menschen bei FTAPI. Die Zertifizierungen nach ISO 27001 und BSI C5 wurden bereits abgeschlossen, doch auch im Jahr 2023 spielt das Thema Zertifizierungen eine wichtige Rolle: Neben der Re-Zertifizierung nach ISO 27001 Standard werden weitere Zertifizierungen angestrebt. Als zusätzlichen Schutz vor Cyberkriminellen führen wir in regelmäßigen Abständen Penetrationstests für die FTAPI Secure Cloud durch, unter anderem durch die renommierte SySS GmbH.

Neuer Premium-Virenscanner für zusätzlichen Schutz

Im Bereich der Sicherheits-Features hat FTAPI den Premium Antiviren-Scanner von G DATA in das Portfolio aufgenommen. Betrieben wird der G Data Virenscanner in der FTAPI Cloud, um die Schutztechnologie bei Bedarf flexibel zu skalieren und damit auch große Dateien oder Archive auf Schadsoftware geprüft werden können.

Auf dem Weg in die Cloud: FTAPIs Cloud-First-Strategie

FTAPI hat bereits in den letzten Jahren den Weg einer Cloud-First-Strategie eingeschlagen und wird diesen 2023 fortsetzen. Der Cloud-Betrieb ist die Grundlage für einen effizienten und sicheren Betrieb von Kundensystemen. Die Produktentwicklung orientiert sich inzwischen vollständig an dem Betriebsmodell “Cloud”, wenn es um neue Produkte und Funktionalitäten geht.

Die Cloud-Infrastruktur wurde 2022 zusammen mit dem ISO 27001 zertifizierten Partner und Hosting-Betreiber SysEleven revolutioniert und entspricht den höchsten Sicherheitsstandards. Neben den administrativen Standardisierungen und dem vereinheitlichten Betrieb, liefert die FTAPI Secure Cloud noch weitere Vorteile. So ist ein extra Plus an Sicherheit durch regelmäßige Security-Audits, inklusive Penetrationstest, gewährleistet. Darüber hinaus werden als weitere Sicherheitsmaßnahme täglich Backups erstellt und die Speicherkapazität ist in der Cloud jederzeit flexibel erweiterbar, ohne Limit nach oben. Der Großteil der FTAPI-Kunden wird bereits in der hochperformanten Cloud-Umgebung betrieben. Ziel ist es, Ende 2023 alle bestehenden Kunden in die FTAPI-Cloud mit dem Serverstandort Frankfurt am Main umzuziehen.

Insgesamt fokussiert sich die FTAPI Produktentwicklung auf jene Technologien, die “Cloud-ready” sind. FTAPI wird seinen Kunden daher zukünftig Empfehlungen zu neuen Technologien aussprechen und bei der Migration begleiten. Für veraltete Technologien (z.B. LDAPS), die den Betrieb und die weitere Produktentwicklung erschweren, wird FTAPI den Support bei zukünftigen Versionen aufkündigen. FTAPI wird in einem solchen Fall vorab über die geänderten Systemvoraussetzungen informieren und bei der entsprechenden Umstellung beraten und unterstützen. In jedem Fall wird sich der OnPremise-Betrieb mehr und mehr an die Systemvoraussetzungen der Cloud annähern müssen. Das beste Nutzererlebnis und den vollen Produkt- und Funktionsumfang kann FTAPI jedoch nur im Cloud-Betrieb anbieten. Wir bieten Kunden mit Betriebsmodell OnPremise daher auch jederzeit die Möglichkeit und Hilfestellung, einfach und sicher in die Cloud zu wechseln.

Virtuelle Datenräume & Automatisierung

Potentiale der Automatisierung
Neue Funktionen: FTAPI SecuRooms
End-of-Life FTAPI Datenräume

Potentiale der Automatisierung nutzen

Die Digitalisierung ermöglicht es, Geschäftsprozesse automatisch und papierlos abzuwickeln. Durch die Verwendung von Software-Tools und -Systemen, die Daten erfassen, speichern, verarbeiten und teilen, kann die Effizienz gesteigert werden. Beispielsweise können automatisierte Prozesse, wie die digitale Lohnabrechnung, Zeit und Kosten sparen. FTAPI liefert mit den FTAPI SecuFlows einen Dienst, welcher die Automatisierung übernimmt. Bisher wurden bei Kundinnen und Kunden bereits mehr als 500 (einzelne) SecuFlows erfolgreich umgesetzt. Um die komplexe Thematik greifbarer zu machen und (potentiellen) Kunden die Möglichkeit zu bieten, das volle Potential ihrer digitalen Daten-Workflows auszuschöpfen, werden die FTAPI SecuFlows dieses Jahr innerhalb der Plattform durch Vorlagen, Dashboards und interaktive Prozesse sicht- und spürbar.

Neue Funktionen: FTAPI SecuRooms

Seit Sommer 2022 ist die neue Datenraum-Lösung, FTAPI SecuRooms, erhältlich und inzwischen bei über 25 Prozent der Kunden erfolgreich implementiert und im Einsatz. Um den Nutzen für unsere Kunden weiter zu erhöhen, wird dieses Jahr der Ausbau des Produktes ein Fokus in der Produktentwicklung sein. Die FTAPI SecuRooms erhalten im Laufe des Jahres weitere wichtige Funktionalitäten, die die gemeinsame Zusammenarbeit noch leichter gestalten. So werden für Transparenz und Nachvollziehbarkeit in den Datenräumen alle Aktionen rund um abgelegte Daten protokolliert und können von ausgewählten Benutzergruppen einfach und unkompliziert nachvollzogen werden. Zudem wird das Berechtigungskonzept ausgebaut und um häufig gewünschte Rechte und Möglichkeiten erweitert. Außerdem wird für den Austausch von höchst sensiblen Daten und Dokumenten eine Ende-zu-Ende-Verschlüsselung für Datenräume ermöglicht, die geplante Umsetzung erfolgt bis zum Sommer. Mit der Einführung der Ende-zu-Ende-Verschlüsselung für FTAPI SecuRooms, wird auch das Handling von großen Dateien im Browser ermöglicht. Der Desktop Client, der bisher für diesen Anwendungsfall unterstützend im Einsatz ist, kann somit im Laufe des vierten Quartals 2023 eingestellt werden.

End-of-Life der FTAPI Datenräume

Ein wichtiger Hinweis für alle Kunden, die noch das alte Datenraum Produkt von FTAPI verwenden: Ende Q3 2023 werden die alten Datenräume komplett durch die FTAPI SecuRooms abgelöst. FTAPI informiert die betroffenen Kunden zeitnah über den konkreten Zeitplan und wird die möglichen Migrationsschritte aufzeigen.

Kontinuierliche Verbesserung & Benutzerfreundlichkeit

FTAPI Updates und User Onboarding
Neue Version der SecuPass-Technologie
Facelift für FTAPI SecuMails Web-Oberfläche

FTAPI Updates und User Onboarding

Um den wachsenden Anforderungen an die IT-Sicherheit gerecht zu werden und gleichzeitig das Produkterlebnis für Nutzer:innen kontinuierlich zu verbessern, stellen wir regelmäßig unseren Kunden Neuerungen aus der Produktentwicklung zur Verfügung. Darüber hinaus setzt FTAPI voraus, dass Kunden bei sich nur aktuelle Technologien einsetzen. FTAPI selbst stellt nur Support für aktuelle Browser- und Outlook-Versionen zur Verfügung.

Um mit der kontinuierlichen Verbesserungen Schritt zu halten, werden wir auch IT-Admins zukünftig noch mehr entlasten, indem der Support-Aufwand für Benutzer:innen auf ein Minimum reduziert wird. Dazu wird innerhalb der FTAPI Plattform der User mehr und mehr an die Hand genommen. So soll die Software beim Onboarding unterstützen und aktiv über Neuerungen und nützliche Funktionalitäten informieren.

Neue Version der SecuPass-Technologie

Die führende FTAPI SecuPass-Verschlüsselungstechnologie ist vielfach im Einsatz beim sicheren Datentransfer. Das hilfreiche Nutzer-Feedback wird im Jahr 2023 genutzt und die Ende-zu-Ende-Verschlüsselung noch einfacher gestaltet. Daher wird die SecuPass-Technologie noch benutzerfreundlicher und damit insgesamt die Nutzerakzeptanz für die Ende-zu-Ende-Verschlüsselung weiter erhöht. Im selben Zug wird, mit Hinblick auf die zukünftige Entwicklung in der Quanten-Technologie, die angewandte Verschlüsselungs-Technologie ausgebaut.

Facelift: Web-Oberfläche der FTAPI SecuMails im neuen Design

Ein weiteres Produkt-Highlight, das 2023 umgesetzt wird, ist die verbesserte Nutzererfahrung entlang der FTAPI Plattform und Produkte. So wird vor allem die Web-Oberfläche für FTAPI SecuMails an das neue, ansprechende Design angepasst. Mit der Neuausrichtung der Weboberfläche wird sichergestellt, dass Nutzer:innen sich noch besser auf der Plattform zurechtfinden und das volle Potential ausschöpfen können.

Haben Sie Fragen und Anregungen zu den geplanten Themen in der Produktentwicklung? Hier finden Sie eine Übersicht über alle Neuigkeiten aus der FTAPI Produktwelt.

Natürlich steht Ihnen auch das gesamte Team von FTAPI bei Fragen jederzeit zur Verfügung. Buchen Sie sich dafür einfach einen Beratungstermin bei unseren Expert:innen oder kontaktieren Sie Ihre bestehende Ansprechperson bei FTAPI.

Hybride Arbeitsmodelle sind aus der modernen Arbeitswelt nicht mehr wegzudenken. Während es im März 2020 durch den Beginn der Pandemie schnell gehen musste mit dem Umzug ins Home Office, können Unternehmen sich jetzt Zeit nehmen, um Systemlandschaften zu modernisieren und die perfekte Umgebung für ein sicheres, ortsunabhängiges Arbeiten zu schaffen. Grundlage bilden innovative Lösungen wie virtuelle Datenräume, die eine sichere Kommunikation und einen vertrauenswürdigen Datenaustausch ermöglichen – sowohl intern, als auch über Unternehmensgrenzen hinweg.

Kommunikationsmittel Nummer Eins

Die E-Mail ist und bleibt die unangefochtene Nummer Eins unter den Kommunikationsmedien: Täglich werden Informationen, Daten und Termine digital von A nach B geschickt, schnell, unkompliziert und quasi umsonst. Gerade aus dem Home Office tauschen Kolleg:innen Informationen lieber schnell per E-Mail aus, als zum Hörer zu greifen und dem Kollegen zu erklären, wo das besagte Dokument auf dem Server zu finden ist. Das kann unter Umständen riskant sein, denn was das Schutzniveau betrifft, ist eine unverschlüsselte E-Mail nicht viel sicherer als eine digitale Postkarte, die von unbefugten Dritten ohne viel Aufwand mitgelesen werden kann.

Aus diesem Grund sollte der E-Mail-Versand von sensiblen, personenbezogenen Daten nur verschlüsselt erfolgen, um einerseits den Anforderungen der EU-DSGVO gerecht zu werden und andererseits ein ungewolltes Abfließen von Informationen zu verhindern.

Große Herausforderung: Der Austausch von Big Data

Beim Versand großer Dateien stoßen E-Mail-Postfächer schnell an ihre Grenzen. Stehen Mitarbeitenden dann keine geeigneten, sicheren Lösungen für den Austausch großer Daten zur Verfügung, greifen sie häufig auf kostenfreie Online-Tools zurück, die sie aus dem privaten Gebrauch kennen.

Und das ist aus verschiedenen Gründen problematisch:

IT-Abteilungen haben keinen Überblick darüber, welche Programme genutzt werden oder welche Dateien ausgetauscht wurden. Eine sogenannte Schatten-IT entsteht.
Die Sicherheit der ausgetauschten Daten ist gefährdet. Gerade bei Lösungen, die nicht in Deutschland oder Europa gehostet werden, sind die Datenschutzrichtlinien häufig nur schwer zu durchschauen.
Zahlreiche Ablageorte führen nicht nur zu einem unüberblickbaren Datenberg, sondern auch zu ineffizienten Abläufen, die Unternehmen wertvolle Zeit und Geld kosten.

Unternehmen, Behörden und Organisationen benötigen eine sichere und gleichzeitig benutzerfreundliche Lösung für ein risikofreies Filesharing über die eigenen Organisationsgrenzen hinweg. Zudem sollte die Lösung den kostenfreien Online-Tools in puncto Usability in nichts nachstehen und trotzdem dem wachsenden Sicherheitsbewusstsein gerecht sein.

Mit virtuellen Datenräumen zu mehr Transparenz und Nachvollziehbarkeit

Ein virtueller Datenraum ist ein digitaler Speicherplatz für jede Art von Daten. Die Informationen, die hier abgelegt werden, können jederzeit und von überall eingesehen und bearbeitet werden.

Anders als beim Versand via E-Mail können Daten und Informationen hier strukturiert abgelegt und zur gemeinsamen Bearbeitung geteilt werden – ob intern mit Kolleginnen und Kollegen oder extern über Unternehmensgrenzen hinweg mit Dienstleistern, Partnern oder Lieferanten. Für Unternehmen, die eine hybride und gleichzeitig sichere Arbeitsumgebung schaffen wollen, sind virtuelle Datenräume daher eigentlich ein Must Have.

Über ein entsprechendes Rechtemanagement können Zugriffs- und Leserechte ganz genau eingestellt werden. So behalten Unternehmen, Abteilungen oder auch einzelne Mitarbeitenden immer die Kontrolle darüber, wer Zugriff auf die Daten hat – und wer eben nicht.

Ein weiterer Vorteil gegenüber der klassischen E-Mail liegt in der strukturierten Dokumentenablage. Wer kennt sie nicht, die unzähligen Dokumente mit den Endungen _V1, _final, _final1 … kein Wunder, wenn man hier den Überblick verliert. In virtuellen Datenräumen werden nur die aktuellsten Versionen abgelegt, um sicherzustellen, dass alle Beteiligten immer auf die neueste Version eines Dokuments oder den aktuellen Projektstatus zugreifen können. Word-Files mit Endungen wie _finalfinal2 gehören damit endlich der Vergangenheit an.

Fazit: Virtuelle Datenräume als Basis einer modernen Systemlandschaft

Unternehmen, die eine zukunftssichere, moderne Systemlandschaft für ihre Mitarbeitenden schaffen wollen, brauchen ein Tool, das über die Unternehmensgrenzen hinweg nutzbar ist und bei voller Transparenz und Nachvollziehbarkeit einen sicheren und geschützten Zugriff auf Daten ermöglicht – und zwar jederzeit und von überall. Sichere, virtuelle Datenräume sind ein geeignetes Tool, das Unternehmen bei der Gestaltung von hybriden Arbeitsmodelle unterstützt. Das Arbeiten aus dem Home Office gelingt mit Datenraum-Lösungen sicher und effizient, ohne, dass die IT-Infrastruktur vor großen Herausforderungen steht. Somit schaffen Unternehmen den nächste innovative Sprung in der Arbeitswelt, ohne IT-Ressourcen zu erschöpfen.

Digitale Datenräume ermöglichen:

verschlüsselten Datentransfer
eine strukturierte Ablage von Daten
ein Rechtemanagement für volle Kontrolle über den Zugriff auf Daten
Prävention von Schatten-IT

Sie möchten sicheren und strukturierten Datenaustausch auch in Ihrer Firma ermöglichen? Vereinbaren Sie noch heute einen Termin für eine Produktdemo mit einem unserer Experten!

Dass Datendiebstahl durch Cyberangriffe in unserer immer digitaler werdenden Welt eine reale Bedrohung ist, ist sicherlich keine neue Erkenntnis. Für viele Unternehmen und Behörden ist es aber Alltag und essentiell für ihr Tagesgeschäft, dass sensible Daten ausgetauscht werden. Umso wichtiger ist es in diesem Fall zu wissen, dass ein sicherer Datenaustausch möglich ist.

Sicherheit nicht nur im Doppelpack

FTAPI hat es sich zur Aufgabe gemacht, Datenaustausch und Automatisierung so sicher wie möglich für unsere Kunden zur Verfügung zu stellen. Nach dem Motto “Doppelt hält besser” haben wir bereits seit einiger Zeit die beiden Zertifizierungen nach ISO 27001 und BSI C5, die Anforderungen an die Unternehmenssicherheit stellen. Für eine erfolgreiche Zertifizierung müssen höchste Sicherheitsanforderungen erfüllt und IT-Sicherheitsvorschriften eingehalten werden.

Aber schnell war klar: da geht noch mehr. Und so haben wir uns im Herbst 2022 einem Pentest der renommierten SySS GmbH unterzogen und diesen erfolgreich bestanden. 15 Tage lang wurde die WebApplikation auf Herz und Nieren getestet. Nach ein paar kleineren Verbesserungen haben wir nun Anfang 2023 die Auszeichnung erhalten. Der Pentest bestätigt, dass

die FTAPI Plattform ein überdurchschnittliches Maß an IT-Sicherheit bietet
sowohl SecuMails, SecuRooms, SecuForms, als auch SecuFlows keinerlei Sicherheitslücken aufweisen
FTAPI alle erforderlichen Maßnahmen ergriffen hat, um Daten unserer Kunden zu schützen

Kornelius Brunner, unser CPO, zeigt sich erfreut über das Ergebnis: “Der erfolgreiche Pentest ist nicht nur für uns ein wichtiger Meilenstein. Auch für unsere Kunden ist es ein erneuter Beweis dafür, dass ihre vertraulichen, sensiblen Daten bei uns optimal geschützt sind.”

Was passiert bei einem Pentest?

Ein Pentest (kurz für Penetrationstest) ist ein simulierter Angriff auf ein Computersystem, Netzwerk oder eine Anwendung. Er wird genutzt, um Sicherheitslücken aufzudecken. Schwachstellen lassen sich somit lokalisieren, bevor sie von böswilligen Angreifern ausgenutzt werden können.

Im Allgemeinen besteht ein Pentest aus mehreren Schritten, die genau dokumentiert werden. So sind die Ergebnisse am Ende nachvollziehbar und helfen dabei, Rückschlüsse zu ziehen, wie und wo man Sicherheitslücken schließen kann oder muss. Bei FTAPI haben wir bislang intern und mit unseren Kunden solche Pentest erfolgreich durchgeführt.

Nun von einem unabhängigen Dienstleister wie der SySS GmbH die Bestätigung zu erhalten, dass unsere Produkte höchsten Sicherheitsstandards entsprechen, ist nicht nur für uns, sondern auch für unsere Kunden eine großartige Nachricht. “Die Überprüfung durch einen unabhängigen Pentest ist für uns von großer Bedeutung”, sagt unser CTO Michael Krinniger. “Bei SySS waren wir uns sicher, dass die Überprüfung von Experten durchgeführt wird, die über die erforderliche Erfahrung und das Wissen verfügen, um mögliche Schwachstellen zu identifizieren.”

Fazit: Cyber-Kriminellen einen Schritt voraus

Der erfolgreiche Pentest ist ein wichtiger Meilenstein. Zusammen mit den Zertifizierungen nach ISO 27001 und BSI C5 haben wir einen weiteren Schritt unternommen, um sicherzustellen, dass die Daten unserer Kunden geschützt sind und in Zukunft auch bleiben. Deshalb wurde nun auch ein Prozess etabliert, der vorsieht, den Pentest jährlich zu wiederholen. Nur so können wir unseren hohen Sicherheitsansprüchen genügen. Denn eins ist sicher: Nur durch kontinuierliche Weiterentwicklung und kritische Überprüfung von Sicherheitsvorkehrungen gelingt es, Cyber-Kriminellen einen Schritt voraus zu sein.

Sie wollen mehr zum Thema sicheren Datenaustausch und Zertifizierungen erfahren? Vereinbaren Sie noch heute einen Termin für eine Poduktdemo mit einem unserer Experten!

Die zunehmende Vernetzung und Digitalisierung unserer (Arbeits-) Welt erfordern es, IT-Sicherheit neu zu denken. Die Zahl der Cyberangriffe steigt stetig und die Angriffe selbst werden immer raffinierter. Neben Angriffen von außen lohnt sich beim Thema IT-Sicherheit auch immer ein Blick auf die internen Prozesse. Hier lauern häufig Schwachstellen, die durch eine ausgeprägte Security Awareness und die sichere, zu Ende gedachte Automatisierung von Prozessen weitestgehend geschlossen werden können.

Cyberangriffe gehören inzwischen für Unternehmen jeder Größe zu den größten Risiken. Das verwundert kaum, wenn man auf die unglaubliche Summe von 116,6 Millionen Schadprogrammen blickt, die sich laut aktuellem Bericht zur Lage der IT-Sicherheit des BSI aktuell im Umlauf befinden. Schadprogramme, die häufig über Phishing-Mails in die Systeme von Unternehmen gelangen. Ein Einfallstor, das oft von Mitarbeitenden geöffnet wird, denn: durch das Öffnen von infizierten Anhängen, die an einer getäuschten E-Mail hängen, können Schadprogramme leicht in die Unternehmens-Infrastruktur geschleust werden und Systeme im schlimmsten Fall komplett lahmlegen.

Das ist auch der Grund, warum der sogenannte „Faktor Mensch“ häufig als größtes Sicherheitsrisiko für die Unternehmens-IT genannt wird. Doch den Mitarbeitenden den Schwarzen Peter der IT-Sicherheit zuzustecken, ist in vielen Fällen zu einfach gedacht. Sicher, jeder Mensch macht Fehler. Unternehmen jedoch sind in der Verantwortung, Fehlerquellen bestmöglich zu minimieren, beispielsweise, indem Prozesse klar definiert werden oder Lösungen für eine optimale und sichere Arbeitsumgebung angeschafft werden. Denn schon durch sauber strukturierte interne Prozesse lassen sich fehlerbedingte Gefahren für Daten und Abläufe minimieren und die Unternehmensinfrastruktur von innen heraus proaktiv sicher aufbauen.

Sicherheitsbewusstsein bei Mitarbeitenden schaffen

Die Einführung von Sicherheitsmaßnahmen kann nur dann erfolgreich sein, wenn Mitarbeitende im Unternehmen in puncto Security Awareness geschult und über die Risiken von Cyber-Angriffen und die möglichen Konsequenzen für das Unternehmen informiert werden. Auf diese Weise können sie Sicherheitsrisiken genauer einschätzen und bei einem Sicherheitsvorfall die Gefahr durch geeignete Gegenmaßnahmen abwehren oder zumindest minimieren.

Bei regelmäßigen internen Schulungen und Trainings sollten Unternehmen ihren Angestellten alles Wissenswerte rund um das Thema IT-Sicherheit vermitteln und Antworten auf dringende Fragen liefern. „Wen muss ich informieren, wenn ich einen verdächtigen Anhang geöffnet habe?“ oder „Wie verhalte ich mich nach einem Incident richtig?“ Auf diese Weise sind die Mitarbeitenden in der Lage, bei einem Sicherheitsvorfall schnell und korrekt zu reagieren und Gefahren richtig einzuschätzen.

IT-Sicherheit hängt jedoch nicht allein von den Mitarbeitenden ab. Eine umfassende Sicherheit ist nur möglich, wenn verantwortungsvolle Mitarbeitende und intelligente Technologien reibungslos zusammenarbeiten.

Sicherheitslücke Datenaustausch

Die ideale Sicherheitslösung lässt sich nahtlos in den Alltag der Mitarbeitenden integrieren und sorgt im besten Fall sogar noch dafür, dass Prozesse effizienter gestaltet werden. Das einfachste Beispiel ist das Thema E-Mail-Kommunikation: Viele Mitarbeiter verschicken interne und externe Informationen regelmäßig über ungesicherte Kanäle, wo Cyberkriminelle die Daten ohne großen Aufwand abfangen können. Angreifer verwenden die erlangten Informationen dann als Basis für gezielte Spear-Phishing-Angriffe und nutzen die abgefangene Kommunikation, um möglichst authentisch wirkende E-Mails und Nachrichten zu verfassen. Durch das Öffnen von manipulierten Anhängen oder Links gelangt die Schadsoftware direkt auf den verwendeten Rechner und wird von dort in das Gesamtsystem gespeist.

Unternehmen und Behörden sollten deswegen zum Senden von E-Mails und zum Übertragen von Dateien Kommunikationskanäle nutzen, die über eine sichere Ende-zu-Ende-Verschlüsselung verfügen: Diese beginnt auf dem Endgerät des Versenders und erstreckt sich über den gesamten Übertragungsweg bis hin zum Empfänger, wo sie verschlüsselt abgelegt und gespeichert werden. Die Daten und Anhänge sind also jederzeit geschützt. Automatisierte Einstellungen bei einer sicheren E-Mail-Kommunikation sorgen zudem dafür, dass Anhänge beim Versenden grundsätzlich verschlüsselt werden oder nur bestimmte Dateiformate übertragen werden dürfen. Das schützt auch vor einer nachträglichen Manipulation der Daten.

Allerdings stößt die Speicherkapazität von E-Mail-Postfächern insbesondere beim Versand großer Dateien schnell an ihre Grenzen. Dennoch stellen viele Unternehmen keine DSGVO-konformen Plattformen zum sicheren Datenaustausch bereit. Die Konsequenz: Mitarbeitende nutzen kostenlose Cloud-Lösungen, die sie aus dem privaten Umfeld kennen. Den meisten Nutzern ist dabei nicht bewusst, dass diese Systeme Daten und Informationen nur unzureichend schützen und gegen die DSGVO verstoßen. Unternehmen sollten ihren Mitarbeitenden daher auch ein sicheres Tool für Filesharing zur Verfügung stellen – sichere Datenräume haben sich dabei besonders etabliert.

Mehr Sicherheit durch Input Management

Ein weiteres Einfallstor, das Cyberkriminelle gerne angreifen, ist das sogenannte Input Management. Darunter versteht man im umfassenden Sinn die Art und Weise, in der Daten im Unternehmen aufgenommen, verarbeitet und intern verteilt werden. Dabei werden alle Arten von Daten verarbeitet, von geschäftsrelevanten Daten wie Rechnungen oder Mahnungen über personenbezogenen damit besonders schützenswerten Dokumente wie Bewerbungen oder Krankmeldungen. Ein besonders leichtes Spiel haben Angreifende, wenn die Daten unstrukturiert eingehen. Auch Funktionspostfächer mit unüberblickbar vielen Empfängeradressen können hier ein Risiko darstellen: Je größer der Empfängerkreis ist, desto höher ist die Wahrscheinlichkeit, verdächtige Anhänge nicht erkannt oder mögliche Risiken falsch eingeschätzt werden.

Aus diesem Grund ist es entscheidend, den Empfängerkreis möglichst klein zu halten und Zuständigkeiten genau zu definieren. Eine Möglichkeit für den strukturierten Dateneingang ist der Einsatz von digitalen Formularen mit klar definierten Zuständigkeitsbereichen und Ansprechpartnern. So ist sichergestellt, dass nur ein sorgfältig ausgewählter Personenkreis die entsprechenden Dokumente erhält und im Zweifelsfall verdächtige Anhänge schnell identifizieren kann.

Zusätzliche Sicherheit durch Sicherheitsfeatures

Um die Sicherheit zusätzlich zu erhöhen, setzen zahlreiche Unternehmen auf ergänzende Maßnahmen. Eine Zwei-Faktor-Authentifizierung beispielsweise kann dabei unterstützen, Nutzende einwandfrei zu identifizieren, um sicherzustellen, dass gerade sensible Informationen nur die Nutzergruppen erreichen, die über die entsprechenden Berechtigungen verfügen.

Darüber hinaus empfiehlt sich auch immer der Einsatz eines entsprechenden Virenscanners – denn auch der geschulteste Mensch ist “nur” ein Mensch. Virenscanner prüfen Anhänge auf Schadsoftware. So können Viren oder andere Malware noch vor dem Eindringen in das Unternehmensnetzwerk identifiziert, isoliert und entsprechend beseitigt werden.

Sicherheit durch Automatisierung

Ein weiteres, weit verbreitetes Sicherheitsrisiko in Unternehmen und Behörden sind manuell ausgeführte Prozesse, bei denen Fehler häufig durch Unachtsamkeit oder Unwissenheit der Mitarbeitenden entstehen. Durch das Automatisieren von Arbeitsprozessen lassen sich diese vom Faktor Mensch verursachten Schwachstellen minimieren und die Effizienz der Abläufe gleichzeitig erhöhen. Die Automatisierungs-Software übersetzt dabei repetitive Prozessschritte in Code. Daten werden so automatisch erfasst und passgenau an das weiterverarbeitende System übertragen.

Um ihre innere Sicherheit zu stärken, können Unternehmen also verschiedene Maßnahmen ergreifen. Denn festzuhalten bleibt: Fehler passieren – sowohl dem Menschen als auch Maschinen. Doch durch den Einsatz entsprechender Technologien und eine gelebte Security Awareness ist es möglich, interne Schwachstellen zu minimieren und damit die Sicherheit von Systemen signifikant zu erhöhen.

Bild: https://www.shutterstock.com/de/g/BiancoBlue85

Pünktlich zum Jahresende spricht unser Co-CEO Ari Albertini über die IT-Trends 2023 und gibt einen Einblick in die Themen, die Unternehmen, Organisationen und Behörden auch im neuen Jahr begleiten werden. Von digitalen Prozessen über automatisierte Daten-Workflows bis hin zur Nachhaltigkeit in Unternehmen und der Cloud – lesen Sie im Interview, welche Themen nächstes Jahr wichtig sind und wie FTAPI Sie auf dem Weg in eine sichere, digitale Zukunft begleiten kann.

1. Welche Themen werden 2023 wichtig?

Die drei großen IT-Trends sind zum einen die Themen Digitalisierung und Automatisierung in Unternehmen, das Thema Nachhaltigkeit und das dritte Thema, das sehr eng mit dem Nachhaltigkeit zusammenhängt, ist der Weg weg von On Premise betriebenen Systemen hin zu einer sicheren, europäischen Cloud.

2. Warum spielen Digitalisierung und Automatisierung weiter eine große Rolle?

FTAPI betreut einen großen Kundenstamm aus dem Gesundheitssektor und der öffentlichen Verwaltung. Insbesondere dort gibt es noch einen großen Nachholbedarf bei der Digitalisierung und Automatisierung von Prozessen. Gerade die Kommunikation in Richtung der Bürger:innen, Patienten:innen oder Lieferanten ist häufig noch papiergebunden und umfasst umständliche, manuelle Prozesse. Die Idee ist es, diese analogen Abläufe in digitale Lösungen zu überführen. Diese digitalen Lösungen führen dann zu einer großen Zeitersparnis bei den Mitarbeitenden – und damit auch zu mehr Zufriedenheit.

Mehr Produktivität mit automatisierten Workflows

3. Was riskieren öffentliche Verwaltungen und Krankenhäuser, wenn sie Prozesse nicht digitalisieren?

Das größte Risiko liegt darin, dass die wenigen Fachkräfte, die in diesem Sektor aktuell vorhanden sind, abwandern, weil sie ihre Kompetenzen nicht gewinnbringend einsetzen können, sondern durch repetitive, monotone Aufgaben gebunden sind. Gleichzeitig steigen auch die Erwartungen der Bürger:innen bzw. der Patient:innen. Deutlich wird das auch durch die Digitalisierungsbestrebungen von Regierung und Politik, wodurch sich der Druck auf Unternehmen und Organisationen zusätzlich erhöht.

Meiner Einschätzung nach gibt es zwei große Vorteile, die durch die Automatisierung und Digitalisierung von Prozessen entstehen: Einerseits kann man in der Regel sehr schnell sehr viele Kosten einsparen – im besten Fall hat man bereits innerhalb weniger Tage erhebliche Kosten gesenkt. Auf der anderen Seite werden bei Mitarbeitenden wertvolle Ressourcen freigesetzt, die dafür genutzt werden können, um bestehende Prozesse zu optimieren und effizienter zu gestalten. Das führt langfristig nicht nur zu glücklicheren Mitarbeiter:innen, sondern im Umkehrschluss auch wieder zur Einsparung von Kosten, da Prozesse und tägliche Aufgaben besser abgebildet werden können.

4. Wie lassen sich die Themen Digitalisierung und Nachhaltigkeit miteinander verbinden?

Das deutlichste Beispiel, wenn man über Digitalisierung und Nachhaltigkeit spricht, ist das Sparen von Papier, Druckertinte und Briefumschlägen – eben alles, was durch digitale Medien ersetzt werden kann. Das Thema Nachhaltigkeit ist mehr als ein Trend. Vielmehr ist es für die gesamte Gesellschaft zum elementaren Thema geworden – auch abseits der IT.

Ich persönlich betrachte das Thema Nachhaltigkeit aber noch aus einer anderen Perspektive: Für mich geht es darum, die vorhandenen Ressourcen viel besser zu nutzen. Das bedeutet auch, dass nicht jedes Unternehmen ein eigenes Rechenzentrum aufbaut, sondern vorhandene Kompetenzen zu zentralisieren. So können bestehende Ressourcen maximal ausgenutzt werden – beispielsweise in einer sicheren Cloud-Umgebung.

Wichtig ist, dass wir beim Thema Cloud nicht über eine Public Cloud sprechen, die bei irgendeinem internationalen Hyperscaler liegt, sondern in einer europäischen – oder im Fall von FTAPI sogar deutschen – Cloud, die in einem europäischen Rechenzentrum liegt. Unternehmen haben so immer die volle Kontrolle, wo die Daten liegen und was mit ihnen passiert. Darüber hinaus bietet die Cloud dann die Möglichkeit, viele Prozesse zu verschlanken und Themen wie Skalierbarkeit und Ressourcennutzung effizient umzusetzen. Auch in Sachen Geschwindigkeit – in der heutigen Zeit im Bereich der Cybersicherheit einer der wichtigsten Faktoren überhaupt – liegt die Cloud weit vorne: wenn morgen wieder eine Zero Day Lücke auf dem Markt erscheint, ist es elementar, dass Systeme innerhalb kürzester Zeit aktualisiert und auf den neuesten Stand gebracht werden – da ist die Cloud aus meiner Sicht unverzichtbar.

Dazu kommt, dass FTAPI mit unserem zertifizierten Rechenzentrumsanbieter viele Ressourcen in das Thema IT-Security investieren – viel mehr, als es ein durchschnittliches Unternehmen, speziell im öffentlichen Bereich oder im Gesundheitssektor, machen könnte.

5. Trotzdem zögern viele Unternehmen und Organisationen beim Umzug in die Cloud. Wie kann man diesen Bedenken begegnen?

Aus meiner Sicht herrscht noch viel Unsicherheit und Unklarheit über die Cloud an sich. Unseren Kund:innen ist es wichtig, zu wissen, wo die Daten liegen, wer Zugriff hat und so weiter. Es ist extrem wichtig, transparent und nachvollziehbar darzustellen, was mit den Daten passiert.

Wenn es um die Sicherheit der Daten in der Cloud geht, verwenden wir intern häufig die Bank als Metapher: Die meisten Menschen geben ihr Geld direkt an die Bank und haben dort ein gutes Gefühl, weil sie wissen, dass ihr Geld dort sicherer verwahrt ist als zu Hause unter der Matratze. Und genau das ist das Gefühl, das wir mit unserer Cloud weitergeben wollen: Wir passen auf Ihre Daten auf, denn für uns ist es elementar, dass Ihre Daten maximal geschützt sind, denn Datenschutz und Datensicherheit haben für uns oberste Priorität. Ich glaube, wenn man sich mit uns über das Thema Cloud unterhält, wird schnell klar, dass die Sicherheit in der FTAPI Cloud in der Regel höher ist, als in den eigenen Systemen, die vor Ort betrieben werden.

Wir freuen uns darauf, Unternehmen, Behörden und Organisationen auch im nächsten Jahr in spannenden Projekten bei der Digitalisierung und Automatisierung von nachhaltigen und effizienten Prozessen zu unterstützen und auf dem Weg in eine sichere Cloud zu begleiten.

Sie wollen mehr über FTAPI erfahren?

Vereinbaren Sie direkt ein persönliches Gespräch mit unseren Expert:innen und erfahren Sie, wie Sie mit FTAPI sicher ins neue Jahr starten.

Beratungstermin vereinbaren

Aktualisiert am 26.10.2022 – 09:15 Uhr

Mittlerweile hat sich der Name Text4Shell für die Apache Sicherheitslücke durchgesetzt (vorher Text2Shell). Wir haben unseren Blogartikel dahingehend angepasst.

Da die Sicherheitslücke mehr und mehr ausgenutzt wird, empfehlen wir unseren OnPremise Kunden dringend, den Patch 4.17.2 umgehend einzuspielen, falls noch nicht geschehen. Dieser schließt die Sicherheitslücke. Eine ausführliche Update-Anleitung finden Sie hier. Bitte berücksichtigen Sie alle beschriebenen Schritte, da es sonst zu Problemen während des Updates kommen kann. Zudem empfehlen wir Ihnen, sowohl den Server als auch die Desktop App zu aktualisieren. Sollte ein Update nicht möglich sein oder sollten Sie Fragen haben, melden Sie sich gerne unter support@ftapi.com.

Aktualisiert am 19.10.2022 – 10:30 Uhr

Für die Sicherheitslücke Text4Shell haben wir mit dem Patch-Release 4.17.2 bereits gestern ein entsprechendes Sicherheitsupdate für Server und Clients bereit gestellt. Heute folgt das Sicherheitsupdate für den FTAPI Process Client: Download Version 2.9.0. Wir empfehlen Ihnen dringend, Ihren FTAPI Process Client unabhängig von der aktuellen Version zu aktualisieren.

18.10.2022 – 10:30 Uhr

Im Projektcode von Apache Commons Text hat die Apache Foundation eine Sicherheitslücke namens Text4Shell (CVE-2022-42889) entdeckt. Die Sicherheitslücke ermöglicht es Angreifern, eigenen Code auf den betroffenen Servern und Clients auszuführen.

Derzeit ist noch nicht bekannt, ob auch FTAPI von der Sicherheitslücke betroffen ist. Da FTAPI dies jedoch nicht ausschließen kann, haben wir bereits gestern umgehend reagiert und mit Version 4.17.2 einen Patch bereitgestellt, der die Sicherheitslücke schließt.

Über aktuelle Entwicklungen halten wir halten Sie über unsere Newsletter und diesen Blog-Beitrag auf dem Laufenden.

Kein Handlungsbedarf für unsere OnDemand Kunden

Als FTAPI OnDemand Kunde müssen Sie sich keine Sorgen machen. Unsere Entwicklung hat gestern bereits mit Hochdruck an einem Sicherheitsupdate gearbeitet und den Patch 4.17.2, der die Sicherheitslücke schließt, auf den ersten OnDemand Systemen eingespielt. Alle weiteren OnDemand Systeme folgen heute Abend gegen 17.00 Uhr. Die notwendigen Informationen dazu erhalten Sie als Administrator Ihres FTAPI im Laufe des Tages per E-Mail.

Handlungsempfehlungen für OnPremise-Kunden

Um die Sicherheitslücke schnellstmöglich zu schließen, empfehlen wir unseren OnPremise Kunden dringend, den Patch 4.17.2 umgehend einzuspielen.

Das Sicherheitsupdate finden Sie hier. Zusätzlich haben wir hier eine ausführliche Update-Anleitung für Sie zusammengestellt. Bitte berücksichtigen Sie alle beschriebenen Schritte, da es sonst zu Problemen während des Updates kommen kann. Zudem empfehlen wir Ihnen, sowohl den Server als auch die Desktop App zu aktualisieren. Sollte ein Update nicht möglich sein oder sollten Sie Fragen haben, melden Sie sich gerne unter support@ftapi.com

Weitere Informationen zu Text4Shell finden Sie hier: https://nvd.nist.gov/vuln/detail/CVE-2022-42889

Die Digitalisierung in Behörden schreitet immer weiter voran. Mit unserem Experten Sebastian Borchi, Head of Sales bei der FTAPI Software GmbH, haben wir über aktuelle Herausforderungen im Behördenumfeld, das Onlinezugangsgesetz (OZG) und die Rolle der IT-Sicherheit bei der Digitalisierung von Verwaltungsleistungen gesprochen.

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube immer entsperren

1. Was bedeutet das OZG für Behörden in Deutschland?

Das Onlinezugangsgesetz bedeutet, dass Behörden Verwaltungsdienstleistungen digitalisieren und diese Dienstleistungen damit online für Bürgerinnen und Bürger zugänglich sind. Konkret heißt das: bis Ende 2022 müssen Behörden ihre Bürgerservices online anbieten.

2. Mit welchen Herausforderungen sind Behörden dabei konfrontiert?

Eine der zentralen Herausforderungen ist einerseits die Knappheit der IT-Ressourcen. Häufig gibt es zu wenige IT-Fachkräfte für zu viele Verwaltungsmitarbeitende oder für zu viele Tools, die verwaltet werden müssen. Eine weitere Herausforderung ist, Bürgerinnen und Bürger auch tatsächlich zur Nutzung zu bringen, also die Usability mit der OZG-Konformität zu vereinen, was nicht immer leicht ist. Darüber hinaus stehen Behörden vor der Hürde, dass es zwar schon Lösungen gibt, diese aber die oftmals nicht flexibel genug sind, um für Kommunen auch wirklich eine Hilfe zu sein.

3. Welche Rolle spielt das Thema Sicherheit bei der Digitalisierung von Behörden?

Das Thema Sicherheit kommt bei der Digitalisierung meistens leider ein bisschen zu kurz. Da es oftmals schnell gehen muss, verzichten Behörden darauf, Lösungen von einem Datenschutz- oder Informationssicherheitsbeauftragten erneut prüfen zu lassen. Unserer Erfahrung nach haben diese leider oft nur wenig Mitspracherecht oder sitzen extern, was die Koordination zusätzlich erschwert.

4. Spielt das Thema Sicherheit in Behörden und öffentlichen Verwaltungen eine Rolle?

Auf jeden Fall! Das Thema Sicherheit ist gerade in den öffentlichen Einrichtungen sehr relevant, weil personenbezogene Daten wie Sozial- oder Gesundheitsdaten verarbeitet werden – gerade jetzt in Pandemiezeiten. Das heißt, der Sicherheitsanspruch sollte insbesondere in Behörden sehr hoch sein – und das nicht erst seit gestern.

5. Sind Behörden und öffentliche Verwaltungen Ziele für Cyberangriffe?

Behörden werden sehr oft von Cyberkriminellen angegriffen. Nach Einschätzung des BSI steigt die Zahl der Angriffe jährlich um ca. 20 bis 30 Prozent. Meist nutzen Angreifende dafür Malware-Angriffe, bei denen jemand in einer E-Mail, die täuschend echt aussieht, vorgibt, jemand anderes zu sein und so versucht, Mitarbeitende hinters Licht zu führen – gerade bei Gesundheitsdaten, Sozialdaten oder Kinderdaten kann das natürlich einen sehr großen Schaden hervorrufen. Oder die IT einer Behörde auch tatsächlich für mehrere Wochen komplett lahmlegen.

Verschlüsselte E-Mail-Kommunikation mit FTAPI SecuMails

6. Wie können sich Behörden vor Angriffen von außen schützen?

Vor dem Hintergrund des OZG können sich Behörden beispielsweise mit der Implementierung eines sicheren Rückkanals für die Bürgerkommunikation schützen. Bieten Behörden einen sicheren, verschlüsselten Rückkanal an, ist jederzeit sichergestellt, dass Bürgerinnen und Bürger Daten aus der Behörde sicher und verschlüsselt empfangen. Über die angebotenen Bürgerservices ist gleichzeitig eine verschlüsselte Annahme der Anträge möglich.

7. Wie sollte ein sicherer Rückkanal für die Bürgerkommunikation aussehen?

Ein Rückkanal, der sicher ist, sollte einerseits verschlüsselt, auf der anderen Seite auch weitestgehend automatisiert sein. Das kann man sich so vorstellen: Wird ein Antrag an die Behörde gestellt, wird durch eine entsprechende Automatisierung automatisch ein Account für den Antragstellenden eingestellt. Dieser Account ist entweder ausschließlich für diesen konkreten Antrag gültig oder aber, und das ist meine Empfehlung an Behörden, man erstellt einen Account, der längerfristig gültig ist und eine sichere, vertrauenswürdige Konversation mit dem Bürger ermöglicht.

8. Wie lässt sich ein sicherer Rückkanal in einer Behörde implementieren?

Ein solcher Kanal sollte seitens der Usability für den Sachbearbeitenden und für den Bürger ohne Vorkenntnisse oder ohne Wissensvorsprung nutzbar sein. Und auch der administrative Aufwand für die IT sollte möglichst gering sein – schon allein wegen des bereits angesprochenen IT-Fachkräftemangels und der Ressourcenknappheit. Die Implementierung eines sicheren Rückkanals für die Bürgerkommunikation sollte in ein bis zwei Wochen abgeschlossen sein.

Sie wollen mehr über sichere Bürgerkommunikation erfahren?

Vereinbaren Sie direkt ein persönliches Gespräch mit unseren Expertinnen und Experten und erfahren Sie, wie Sie mit FTAPI die Datensicherheit in Ihrer Behörde signifikant erhöhen können.

Jetzt Beratungsgespräch vereinbaren

Kein Handlungsbedarf für FTAPI-Kunden

Am Wochenende wurde eine Zero-Day-Schwachstelle (CVE-2022-26134) in der Atlassian Confluence Software und ihren OnPremise-Versionen entdeckt. Ein Patch ist derzeit vom Anbieter in Arbeit und soll innerhalb der nächsten 24 Stunden bereitgestellt werden.

Von der Sicherheitslücke sind keine FTAPI-Produkte betroffen. Aktuell hat FTAPI allerdings die Online-Version des Produkt-Handbuchs offline genommen, bis der Patch ausgerollt ist.

Hinweis: Für FTAPI-Kunden besteht momentan kein Handlungsbedarf. Bei weiteren Fragen zum Handbuch wenden Sie sich gerne an support@ftapi.com.

Hintergrundinformationen

Aufgefallen ist die Lücke dem Sicherheitsunternehmen Volexity, die eine Incident-Response-Untersuchung bei zwei mit dem Internet verbundene Webserver eines seiner Kunden durchzuführen. Auf beiden Webservern lief die Atlassian Confluence Server-Software. Auslöser für die Untersuchung waren verdächtige Aktivitäten auf den Hosts, so wurde aus JSP-Webshells auf die Festplatte geschrieben.

Bei einer ersten Überprüfung eines der Confluence Server-Systeme wurde festgestellt, dass eine JSP-Datei in ein öffentlich zugängliches Webverzeichnis geschrieben worden war. Bei der Datei handelte es sich um eine bekannte Kopie der JSP-Variante der China Chopper Webshell. Eine Überprüfung der Webprotokolle ergab jedoch, dass auf die Datei kaum zugegriffen worden war. Die Webshell scheint als Mittel für einen sekundären Zugriff geschrieben worden zu sein.

Nach einer gründlichen Überprüfung der gesammelten Daten konnte festgestellt werden, dass die Kompromittierung des Servers von einem Angreifer ausging. Dieser verwendete einen Exploit, um eine Remotecodeausführung zu erreichen. Volexity war anschließend in der Lage, diesen Exploit nachzustellen und eine Zero-Day-Schwachstelle zu identifizieren, die sich auf aktuelle Versionen von Confluence Server auswirkt.

Eine tiefere technische Erläuterung der Problematik finden Sie im nachfolgenden nützlichen Link zur Zero-Day-Lücke:

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

https://www.borncity.com/blog/2022/06/03/0-day-schwachstelle-cve-2022-26134-in-atlassian-confluence-software/

https://www.youtube.com/watch?v=-ggo7FB45pA

Noch bis Ende des Jahres 2022 haben Behörden in Deutschland Zeit, ihre Verwaltungsleistungen zu digitalisieren. Denn das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen – kurz Onlinezugangsgesetz, oder OZG – verpflichtet öffentliche Verwaltungen in Bund, Länder und Kommunen, bestimmte Verwaltungsleistungen zukünftig über entsprechende Verwaltungsportale digital anzubieten. Ziel ist es, eine moderne Verwaltung zu schaffen, die sich an den Anforderungen der Bürger*innen orientiert und diese wieder in den Mittelpunkt stellt.

Wenn Sie sich jetzt denken “Zeit wird’s!”, dann können wir bei FTAPI hier nur sehr vehement nickend zustimmen. Und obwohl das OZG Vieles richtig macht, hat es nach Einschätzung von FTAPI eine wichtige Sache vergessen: die sichere Rückkommunikation zwischen Bürger*innen und Behörden.

Whitepaper: Datensicherheit in Behörden

Digitale Angebote für Behörden

Insgesamt definiert das OZG rund 600 Leistungen, die seit Verabschiedung des Gesetzes im August 2017 nach und nach digitalisiert werden. Dabei steckt der Teufel wie so oft im Detail. Denn während die Digitalisierung der OZG-Leistungen, die im “Digitalisierungsprogramm Bund” zusammengefasst wurden, vollumfänglich in der Verantwortung des Bundes liegt, sind für die Umsetzung der Leistungen im Paket “Digitalisierungsprogramm Föderal” die Bundesländer und Kommunen selbst zuständig.

Aus diesem Grund haben verschiedene Dienstleister die letzten fünf Jahre genutzt, um ein buntes Portfolio an digitalen Leistungen zu entwickeln, die genau den Bedürfnissen des “Digitalisierungsprogramm Föderal” entsprechen. Darunter zählen beispielsweise sichere Formulare, die die Antragsstellung zwischen Bürger*innen und Behörden erleichtern sollen. Über eine zentrale Stelle werden alle Informationen in ein sicheres Online-Formular eingetragen und an die zuständige Behörde geschickt. Im besten Fall werden Bürger*innen sogar noch darüber informiert, dass der Antrag eingegangen ist – viel weiter geht es häufig nicht.

Was passiert beispielsweise, wenn der zuständige Sachbearbeitende eine Rückfrage zum Antrag hat? Oder wenn wichtige Unterlagen unvollständig oder veraltet sind? An dieser Stelle fehlt ein sicherer Rückkanal, der die Kommunikation zwischen Bürger*innen und Behörden absichert und eine verschlüsselte Übertragung von personenbezogenen Daten, Dokumenten und Details ermöglicht.

Mehr Sicherheit durch temporäre Kommunikationskanäle

Basis eines solchen sicheren Rückkanals sollte in diesem Fall immer die Kommunikation über eine sichere E-Mail-Verschlüsselung sein. Auf diese Weise müssen die Sachbearbeitenden, die die Anträge prüfen und weiterverarbeiten, keine umständlichen Programme öffnen, sondern nutzen für die Bürgerkommunikation ganz einfach und wie gewohnt ihr E-Mail-Programm. Damit erhöht sich nicht nur die Akzeptanz der Mitarbeitenden, die neue, sichere Technologie auch einzusetzen, gleichzeitig wird auch ein unnötiger Medienbruch vermieden.

Eine mögliche und dabei besonders praktikable Lösung ist an dieser Stelle die automatisierte Erstellung eines temporären Kommunikationskanals zwischen Bürger*in und Behörde: Nach der Antragstellung wird automatisch ein sicherer Kanal erstellt, der eine durchgängig verschlüsselte Kommunikation ermöglicht. Sachbearbeitende und Bürger*innen können diesen, dem Antrag zugeordneten Kanal nutzen, um eventuelle Rückfragen zu stellen, fehlende Informationen einzuholen oder sogar, um notwendige Dokumente auch noch nachträglich sicher und verschlüsselt an die entsprechende Behörde zu leiten. Nach einer erfolgreichen Bearbeitung und der Fertigstellung des Antrags kann der Kanal genutzt werden, um das erstellte Dokument sicher und einfach zu übermitteln. Anschließend kann der Kanal für eine zukünftige Kommunikation offen gehalten oder aber nach erfolgreichem Abschluss des Antrags geschlossen werden, um auch nachträglich ein ungewolltes Abfließen oder Ausspionieren der übermittelten Daten zu verhindern.

(Fast) digitale Bürgerkommunikation

Das OZG war ein wichtiger Schritt auf dem Weg zu einer digitalen, agileren öffentlichen Verwaltung. Unnötige Amtsgänge gehören bald ebenso der Vergangenheit an wie umständliche Papierformulare und Rücksendeumschläge. Doch um wirklich digital, und vor allem sicher, zu kommunizieren, ist es noch ein weiter Weg für Behörden – und wir sind gespannt, welches Bundesland die Ziellinie als erstes überschreitet. Oder ob alle zusammen ein bisschen zu spät durch’ s Ziel laufen.

_{Bild: https://www.shutterstock.com/de/g/Kantver}

Sichere Behördenkommunikation

Sie wollen die Sicherheit in Ihrer Behörde erhöhen? Vereinbaren Sie direkt einen persönlichen Beratungstermin, um mehr über das FTAPI Produktportfolio speziell für Behörden zu erfahren.