Der Verstoß der Deutsche Wohnen

Die Berliner  Datenschutzbeauftragte Maja Smoltczyk verhängte das Rekord Bußgeld in Höhe von 14,5 Millionen EUR, weil teils persönliche Daten von Mietern und Mieterinnen wie Sozial- und Krankenversicherungsdaten, Arbeitsverträge oder Informationen über ihre finanziellen Verhältnissen unlöschbar im Archiv des Unternehmens aufbewahrt worden waren, wie es z.B. in Die Welt heißt.

Die Bestimmung der Höhe des Rekord Bußgeld

Für die Höhe eines Bußgeldes ist wohl der Umsatz des betreffenden Unternehmens die entscheidende Bezugsgröße – im Falle der Deutsche Wohnen wären das nach übereinstimmenden Medienberichten ca. 1,4 Milliarden. Damit hätte das maximale Bußgeld sogar bei 28 Millionen EUR liegen können. Gegen das Unternehmen – so die Pressestimmen – habe eine gewisse Vorsätzlichkeit gesprochen, zu seinen Gunsten wurde ausgelegt, dass es keine missbräuchlichen Zugriffe auf die Daten gab und bereits erste Maßnahmen zur Bereinigung des rechtswidrigen Zustandes ergriffen wurden. Dementsprechend hielt die Datenschutzbehörde offenbar ein Bußgeld im „mittleren“ Bereich für angemessen und verhängte die besagten 14,5 Millionen.

Ende der DSGVO Schonzeit?

Offensichtlich setzt die Datenschutzbehörde mit dem in dieser Höhe verhängten Bußgeld gegen die Deutsche Wohnen ein Zeichen, schließlich wird hier ein mittleres Vergehen in Millionenhöhe abgestraft: das Unternehmen wird nicht für Datenmissbrauch, sondern eine zu lange Lagerung belangt. Entsprechend heißt es aus Datenschutzkreisen, dass die „Zeit der Beratung“ in Sachen DSGVO vorbei sei – und nun gesetzeskonform gehandelt werden müsse – das betrifft auch Datenbestände, die vor Inkrafttreten der DSGVO angelegt wurden. Ein von Die Welt (s.o.) befragter „Topjurist“ geht davon aus, „dass dieses Vorgehen“ gegen die Deutsche Wohnen „erst der Anfang gewesen ist, bundesweit werden aus seiner Sicht weitere Fälle folgen.“

Nachholbedarf bei der Umsetzung der DSGVO

Fast anderthalb Jahre nach Inkrafttreten der DSGVO im Mai 2018 hat also (nicht nur) die deutsche Wirtschaft bei der DSGVO-Umsetzung noch Nachholbedarf, auch wenn zwei Drittel der Unternehmen angeben, die Verordnung wenigstens zu großen Teilen umgesetzt zu haben. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, wird mit folgenden Worten zitiert: „Nach wie vor bestehen große Unsicherheiten bei der Auslegung der neuen Regeln. Eine vollständige Umsetzung der DSGVO scheint vielen Unternehmen unmöglich.“

Als größte Herausforderung geben 68% der Unternehmen Rechtsunsicherheit und einen schwer abzuschätzenden Umsetzungsaufwand an. 37 Prozent beklagen fehlendes Fachpersonal.

Verhängte Bußgelder

Zum Unsicherheitsgefühl vieler Unternehmen in Hinblick auf die DSGVO-Umsetzung gehören auch die angedrohten Bußgelder bei Verstößen. Hatte die Zeitung Die Welt im Mai noch von mindestens 75 verhängten Bußgeldern im Gesamtwert von 485.000 EUR gesprochen, sind nach Markt und Mittelstand inzwischen 100 Fälle mit einer Gesamtsumme von rund 700.000 EUR bekannt. Zwar lagen die höchsten bisher in Deutschland geforderten Bußgelder zwischen 50.000 und 200.000 EUR, in Berlin werde allerdings bereits geprüft, ein Bußgeld im zweistelligen Millionenbereich gegen ein bisher nicht näher benanntes Unternehmen zu verhängen.

Lösungen zur DSGVO-Umsetzung von Mahr EDV

In diesem Zusammenhang erinnern wir gerne daran, dass die Mahr EDV Checkliste zur DSGVO einschließlich zahlreicher Vorlagen weiterhin zum kostenfreien Abruf bereit steht. Die Mahr EDV Checkliste zur DSGVO stellt zwar keine Rechtsberatung dar und erhebt auch keinen Anspruch auf Vollständigkeit, ist aber eine ziemlich umfangreiche Unterstützung für viele Unternehmen. Zudem bietet Mahr EDV zahlreiche Lösungen, die Unternehmen dabei unterstützen, die DSGVO-Herausforderungen zu meistern:

• Hosted Exchange
  Email Kommunikation für das gesamte Unternehmen mittels Mahr EDV Servern in deutschen Rechenzentren (Mahr EDV Hosted Exchange)
• Hosted Mailarchivierung
  Revisionssichere Archivierung von Emails nach Ihrer Compliance und Möglichkeit zur Festlegung von Aufbewahrungsrichtlinien und automatischer fristgemäßer Löschung von Emails (Mahr EDV Hosted Exchange und Email-Archivierung)
• Managed Backup
  Verschlüsselte regelmäßige automatische Backups Ihrer Server und PCs in deutsche Mahr EDV Rechenzentren, die höchsten Anforderungen genügen (Mahr EDV Cloud Backup)
• Monitoring
  Überwachung der Server und PCs auf bspw. Einhaltung Compliance und Verschlüsselung, Aktualität des Virenschutzes und Backups sowie Leistungsdaten und (drohende) Ausfälle (Mahr EDV Monitoring)
• Managed Updates
  Regelmäßige Installation von Updates und Patches für Server und PCs (Mahr EDV Monitoring inkl. Managed Updates)
• Managed Virenschutz
  Virenschutz auf höchstem Niveau für Unternehmen
• Webhosting
  Betrieb Ihrer Webseite auf Servern in Deutschland
• IT Service durch führungszeugnisgeprüfte und mehrfach zertifizierte Experten

„Klassische“ Cyber-Angriffe nehmen zu

Die Bedeutung von „klassischen“ Cyber-Attacken nimmt laut Studie deutlich zu. Opfer solcher Attacken wurden 85 % der mittleren und großen Unternehmen, 28 % davon sogar täglich. Bei Firmen mit mehr als 1000 Mitarbeitern ist ein Anstieg der Zahl auf 40 % zu konstatieren. In Summe habe auch 2019 die Menge an Cyber-Angriffen zugenommen.

Zu den am meisten befürchteten Gefahren innerhalb des Cybercrime gehören Datenbetrug im Internet (70 %), Diebstahl privater Daten bzw. Informationen durch Cyber-Angriffe (67 %) oder Computerviren und Schadsoftware (65 %).

Relevanz sozialer Medien

Auch zu ihrer Einschätzung der sozialen Medien in Bezug auf Firmenbelange wurden die Top-Entscheider befragt. 55% sehen in sozialen Medien eher Chancen als Risiken für ihre Unternehmen. Immerhin 25% der Firmen seien allerdings schon einmal von versuchten Rufschädigungen mittels gezielter Falschinformationen betroffen gewesen. 46% sehen darin das Potential großer wirtschaftlicher Schädigungen. Nichtsdestotrotz würden 48% der Befragten keine systematische Verfolgung von Äußerungen in sozialen Netzwerken vornehmen.

Zum Stand der Cyber Security

79% der Unternehmen geben laut Studie an, ihr Know-how in Sachen Cyber-Security von externen Dienstleistern zu beziehen. Nur 20% stellen eigene Fachkräfte an. 35% hätten Schwierigkeiten, geeignetes Personal zu finden. Insgesamt darf es als allarmierend betrachtet werden, dass nur 53 % der Befragten ihr Unternehmen für ausreichend vorbereitet halten, wenn Cyber-Angreifer die interne IT-Infrastruktur infiltrieren sollten.

Eine detaillierte Auswertung der Studie im Download wird in Kürze auf der Website von Deloitte zu finden sein.

Der Fall Wempe zeigt: Ransomware-Angriffe sind lukratives Geschäft

Der „Fall Wempe“ ereignete sich bereits Ende Juni und wirkte wie eine prompte Bestätigung der grundsätzlichen Problemlage, auf die ein NZZ-Artikel kurz zuvor aufmerksam machte (Mahr EDV berichtete: hier): Von Cyber-Kriminellen erpresste Unternehmen neigen zur Kooperation mit den Erpressern, weil sie, um noch größeren wirtschaftlichen Schaden abzuwenden, möglichst schnell wieder Zugriff auf ihre Daten benötigen. Die Erpresser wiederum machen solche ökonomische Abwägung leicht, weil sie zum einen die jeweilige Höhe der Lösegeldforderung ans betroffene Unternehmen anpassen, also „bezahlbar“ gestalten (siehe auch Abendblatt), und sich zum anderen bei der versprochenen Wiederherstellung von Dateien in der Vergangenheit als vergleichsweise verlässlich erwiesen haben. Empfehlungen, nicht mit Cyber-Erpressern zusammen zu arbeiten, weil man diese so nur zum Weitermachen motiviere, bleiben angesichts dieser Praxis wirkungslose Appelle.

Besondere Bedrohungslage für KMUs?

Unter der Überschrift „Kleine Unternehmen sind besonders gefährdet“ zitiert das Handelsblatt entsprechende Warnungen des BSI und von Linus Neumann, Sprecher des Chaos Computer Clubs (CCC). Während es bei Konzernen zwar zu hohen Schadenssummen kommen könne, meint etwa das BSI, sei bei kleineren Unternehmen schnell die wirtschaftliche Existenz gefährdet, wenn entscheidende Daten nicht wiederhergestellt würden. Linus Neumann ergänzt laut Handelsblatt, „dass sich Lösungen für fortgeschrittene IT-Sicherheit bislang vor allem an Konzerne richteten […] Für kleine und mittelständische Unternehmen gebe es ‚allerlei windige Anbieter und Schlangenöl-Produkte‘, die also unwirksam sind. Zudem fehle es gerade kleinen Organisationen oft an Expertise.“

Effektiver Schutz vor Ransomware

Der IT-Dienstleister Mahr EDV vertritt jedoch die empirisch bestätigte Auffassung, dass sich auch KMUs unter der Maßgabe wirtschaftlicher Rentabilität effektiv gegen Ransomware aufstellen können. Daher im folgenden eine Checkliste, die hilfreich sein möge, zu überprüfen, ob die eigenen Unternehmens-IT-Struktur gegen Ransomware ausreichnet gewappnet ist:

[*]Ein wirklich sicheres tägliches Backup
(siehe: Checkliste für eine Sichere Datensicherung).
– Das Kopieren von Daten auf eine USB-Festplatte oder NAS reicht für Unternehmen bei weitem nicht mehr aus, und muss daher als fahrlässig bezeichnet werden.
[*]Schulung der Mitarbeiter zur Erkennung von Spam und Onlinegefahren
(siehe: Woran erkenne ich Spam?)
– Die meisten Viren gelangen durch die Unkenntnis von Nutzern in die Computer: mal sind es Anhänge in Emails, die vermeintlich vom Chef stammen, oder Webseiten, die wie bei Bad Rabbit dazu auffordern, irgendetwas zu installieren. Ihr Team kann diese Fallstricke erkennen, wenn eine entsprechende Schulung erfolgte.
[*]Sicherstellung von regelmäßigen möglichst täglichen automatischen Updates für alle PCs und Server
(siehe bspw.: Option zum Monitoring)
– Sie erwerben einen neuen PC, ein Betriebssystem oder eine Anwendung und glauben, für 2-3 Jahre up to date zu sein? Jede Software hat zahlreiche Sicherheitslücken, die fast wöchentlich ans Licht kommen. Der Hersteller stellt Updates zur Verfügung, die diese schließen, wenn eine umgehende Installation erfolgt. Die schnelle Installation auf allen PCs und Servern in einem Unternehmen während und außerhalb der Arbeitszeit sicher zu stellen, schafft kein Mensch, sondern nur ein ausgefeiltes Update Management.
[*]Prüfung des Virenschutzes, der Firewall und Durchführung von externen Audits
(siehe: Schutz vor Petya Ransomware)
– Viele Prüfungen, wie die Aktualität des Virenschutzes, kann ein Monitoring automatisiert 24/7 und zu geringen Kosten vornehmen. Dann hat die IT Abteilung auch mehr Zeit für das Wesentliche. Andere Prüfungen sollten durch externe Audits erfolgen. Es kann schlichtweg nicht erwartet werden, dass die interne IT Abteilung ihre eigenen Fehler ohne ein externes Audit aufdeckt.

Betroffene und Cyber Kriminelle: Motive der Zusammenarbeit

Jeder weiß, dass es Erpresser nur zum Weitermachen motiviert, wenn man auf ihre Forderungen eingeht, weshalb allerorten von jedweder Kooperation mit den Verbrechern abgeraten wird. Warum es in der Praxis dennoch zu zahlreichen Kooperationen kommt – dieser Frage widmet sich der besagte NZZ-Artikel, indem er via Befragung entsprechender Unternehmen und mit Verweis auf „Insider“ rationale und pragmatische Gründe zusammenträgt, die eine einzelne Firma aus Eigeninteresse mit den Cyber Kriminellen „zusammenarbeiten“ lässt.

Folgende Erfahrungswerte scheinen sich herumgesprochen zu haben. Die Lösegeldsumme bleibt unter dem wirtschaftlichen Schaden, der bei alternativen Lösungswegen entsteht. Hier spielt natürlich vor allem der Zeitfaktor eine Rolle. Damit zusammenhängend haben Cyber Kriminelle in den allermeisten Fällen nämlich tatsächlich nach Eingang des Lösegeldes die entsprechenden Entschlüsselungstools zur Verfügung gestellt. Darüber hinaus macht die NZZ die pikante Mitteilung, dass größere IT-Unternehmen, welche ihren Kunden Entschlüsselungen angeboten haben, anstelle der Kunden bloß selbst das Lösegeld zahlten, um die Entschlüsselungstools zu erhalten und für diese Dienstleistung einen über dem verlangten Lösegeld liegenden Betrag in Rechnung stellten.

Bitterer Beigeschmack

Glücklich sind die Unternehmen, die vergleichsweise „erfolgreich“ mit den Erpressern verhandelten, freilich auch nicht. Denn besser als ein geringerer wirtschaftlicher Schaden wäre gar kein Schaden gewesen. Und auch die Dateien wurden in den seltensten Fällen zu 100% wiederhergestellt, u.a. da die Erfolgsquote der Tools mit den eingesetzten Trojanern variiert. Insgesamt kommt daher auch die NZZ zum naheliegenden Schluss: „Wer Erpressung und Betrug nicht belohnen will, investiert also am besten in IT-Sicherheit und Back-up-Lösungen.“ Dem kann sich Mahr EDV nur anschließen, weshalb im Folgenden noch einmal die wichtigsten Schutzmaßnahmen gegen Ransomware aufgelistet seien.

Effektiver Schutz vor Ransomware

[*]Ein wirklich sicheres tägliches Backup
(siehe: Checkliste für eine Sichere Datensicherung).
– Das Kopieren von Daten auf eine USB-Festplatte oder NAS reicht für Unternehmen bei weitem nicht mehr aus, und muss daher als fahrlässig bezeichnet werden.
[*]Schulung der Mitarbeiter zur Erkennung von Spam und Onlinegefahren
(siehe: Woran erkenne ich Spam?)
– Die meisten Viren gelangen durch die Unkenntnis von Nutzern in die Computer: mal sind es Anhänge in Emails, die vermeintlich vom Chef stammen, oder Webseiten, die wie bei Bad Rabbit dazu auffordern, irgendetwas zu installieren. Ihr Team kann diese Fallstricke erkennen, wenn eine entsprechende Schulung erfolgte.
[*]Sicherstellung von regelmäßigen möglichst täglichen automatischen Updates für alle PCs und Server
(siehe bspw.: Option zum Monitoring)
– Sie erwerben einen neuen PC, ein Betriebssystem oder eine Anwendung und glauben, für 2-3 Jahre up to date zu sein? Jede Software hat zahlreiche Sicherheitslücken, die fast wöchentlich ans Licht kommen. Der Hersteller stellt Updates zur Verfügung, die diese schließen, wenn eine umgehende Installation erfolgt. Die schnelle Installation auf allen PCs und Servern in einem Unternehmen während und außerhalb der Arbeitszeit sicher zu stellen, schafft kein Mensch, sondern nur ein ausgefeiltes Update Management.
[*]Prüfung des Virenschutzes, der Firewall und Durchführung von externen Audits
(siehe: Schutz vor Petya Ransomware)
– Viele Prüfungen, wie die Aktualität des Virenschutzes, kann ein Monitoring automatisiert 24/7 und zu geringen Kosten vornehmen. Dann hat die IT Abteilung auch mehr Zeit für das Wesentliche. Andere Prüfungen sollten durch externe Audits erfolgen. Es kann schlichtweg nicht erwartet werden, dass die interne IT Abteilung ihre eigenen Fehler ohne ein externes Audit aufdeckt.

Wie man sich sichere Passwörter ausdenken und merken kann

Möglichst schwer zu knackende Passwörter sind ein wichtiger Bestandteil der IT-Sicherheit.

Eine gängige Empfehlung lautet, Passwörter mit Merksätzen zu erzeugen. Zwei Beispiele:

[*]Die Verwendung der Anfangsbuchstaben, Zahlen und Sonderzeichen aus dem Merksatz „Mein Hund heißt Otto. Er frisst für 15$ am Tag!“ ergibt das sehr sichere 14-stellige Passwort „MHhO.Eff15$aT!“.
[*]Die Verwendung der Anfangsbuchstaben, Zahlen und Sonderzeichen aus dem Merksatz „Ich laufe 12* täglich die 3 Treppen & nutze keinen Fahrstuhl.“ Ergibt das sehr sichere 14-stellige Passwort „Il12*td3T&nkF.“.

Es empfiehlt sich selbstverständlich, nicht die oben als Beispiel genannten Passwörter zu verwenden, da diese jetzt veröffentlicht und kein Geheimnis mehr sind.

Unbedingt zu beachtende Passwortregeln

Zu beachten sind die folgenden Regeln, um ein wirklich sicheres Passwort zu erzeugen:

• Mindestlänge ab 14 Zeichen für wichtige Anwendungen und mindestens 8 Zeichen für weniger wichtige Anwendungen
• Verwendung von mindestens zwei Groß- und mindestens zwei Kleinbuchstaben sowie mindestens zwei Ziffern und Sonderzeichen (bspw.: !“#$%&'()*+,-./:;?@[]^_`{|}~)
• Keine Verwendung von vier oder mehr Zeichen, die in dieser Reihenfolge in einem zumindest deutschen oder englischen Wörterbuch vorkommen
• Die Verwendung von „Leetspeek“ (Ersetzen von Buchstaben durch ähnlich aussehende Ziffern oder Sonderzeichen) erhöht die Sicherheit von Passwörtern nicht
• Keine Verwendung von drei oder mehr Zeichen, die in dieser Reihenfolge in ihrem Namen, Firmen-, Marken-, oder Produktnamen, ihrer Anschrift, Geburts-, Gründungsdaten, Namen von Kindern, Freunden, Partnern, Lieblingsmannschaften oder Berühmtheiten vorkommen
• Keine Verwendung von zwei oder mehr gleichen Zeichen hintereinander
• Keine Verwendung von drei oder mehr gleichen Zeichen pro Passwort
• Keine Verwendung von Mustern oder Tastaturmustern (bspw. „asdf“ oder „1234“)
• Keine Verwendung von gleichen Passwörtern bei verschiedenen Anwendungen oder Mandanten
• Regelmäßige Änderung von Passwörtern, allermindestens jährlich für sehr aufwändige Passwortwechsel, wenngleich ein monatlicher oder quartalsweiser Wechsel bspw. bei Benutzerkennwörtern zu empfehlen ist
• Verwendung von Bildschirmschoner-Passwörtern
• Passwörter nicht an fremden Computern eingeben oder danach schnell wechseln
• Passwörter nicht weitergeben, sondern geheim halten und sichere Passwortmanager verwenden
• Bei Verwendung von Umlauten oder Sonderzeichen sollte bedacht werden, dass diese bei Verwendung ausländischer Tastaturen ggf. schwerer einzugeben sind.

Siehe auch: Empfehlungen für Passwörter des Bundesamt für Sicherheit in der Informationstechnik

Nötige Servereinstellungen auf dem Schirm behalten

Auch serverseitig sind einige Einstellungen wichtig, die den Schutz der IT erhöhen:

• Sperrung eines Zugangs für einige Minuten bei mehrfacher Falscheingabe
• Zwang zur Verwendung von Kennwortkomplexitätsrichtlinien für alle Benutzer
• Forcierung des regelmäßigen Kennwortwechsels

Digitale Transformation und Hannover Messe

Die HANNOVER MESSE versteht sich als „Wegweiser hin zu einer vernetzten, automatisierten und global ausgerichteten Industrie“, wie es auf der Website heißt. Mit 6.000 Ausstellern und mehr als 200.000 Besuchern gehört sie zu den weltweit wichtigsten Industriemessen. Die digitale Transformation ist dabei nicht nur Thema der HANNOVER MESSE, sondern steht auch für die Weiterentwicklung der Messe selbst, die in dieser Hinsicht strategische Anpassungen vornimmt, „die sowohl die Markenführung, das Themen-Setting als auch das Geländelayout betreffen.“

Mit dem Grad der Vernetzung nehmen die Cyber-Attacken zu

Bei aller Euphorie in Sachen Digitalisierung gibt es jedoch auch neue Risiken: Mit der zunehmenden Vernetzung setzen sich Unternehmen zugleich der wachsenden Gefahr von Cyberangriffen aus, wodurch die IT-Sicherheit immer wichtiger wird. Hatten in der Vergangenheit ausschließlich Mitarbeiter Zugriff auf die Computersysteme, sind diese theoretisch von beliebigen Standorten aus erreichbar, seit die Anlagen vernetzt sind, um beispielsweise günstigere Fernwartungen vornehmen zu können oder Daten mit künstlicher Intelligenz auszuwerten.

„Trotz besseren Wissens“, konstatiert das Handelsblatt, sei der Schutz der hauseigenen IT bei vielen Firmen mangelhaft. Entsprechend war auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) in Hannover mit einem Stand vertreten, um dafür zu sensibilisieren, wie einfach und in den Auswirkungen katastrophal Cyberangriffe auf Produktionsanlagen sein können.

Digitalisierung als Herausforderung der IT-Sicherheit

Dass die IT-Sicherheit im Zuge der Digitalisierung enorm an Bedeutung gewinnen wird, belegt auch eine aktuelle Studie, auf welche die COMPUTERWELT kürzlich aufmerksam machte. Laut der „IT-Sicherheitsstudie 2019“ – herausgegeben von der Hamburger Datensicherheitsfirma TeamDrive und der Nationalen Initiative für Informations- und Internetsicherheit (NIFIS) – gehen 54 Prozent der befragten 100 (vorwiegend mittelständischen) Unternehmen davon aus, dass sich deren Ausgaben für die IT-Sicherheit bis 2030 verdoppeln werden.

Studienleiter und TeamDrive-Geschäftsführer Detlef Schmuck wird von COMPUTERWELT mit den Worten zitiert: „Die deutsche Wirtschaft hat endlich erkannt, wie wichtig die IT- und Datensicherheit in einer von Digitalisierung durchzogenen Geschäftswelt ist.“

Mahr EDV setzt auf Human Firewall

Das BSI gibt denn auch ein IT-Grundschutzhandbuch heraus. Dieses sieht auf technischer Ebene moderne Firewallsysteme, AntiVirus-Systeme, hochverfügbare redundante Infrastrukturlösungen sowie eine funktionierende Datensicherung vor. Organisatorisch geht es um Themen wie Zugriffs-, Zugangs- und Zutrittsberechtigungen.

Mahr EDV orientiert sich bei seinen Sicherheitskonzepten – fürs eigene Unternehmen sowie in Hinblick auf Kunden – an diesem Katalog, ergänzt den IT-Grundschutz aber um eine wesentliche Komponente. So investiert Mahr EDV in das, was man inzwischen „Human Firewall“ nennt. Denn das größte Risiko für die IT-Sicherheit ist immer noch menschliches Fehlverhalten; der beste technische Schutz ist wirkungslos, wenn Mitarbeiter beispielsweise infizierte Mails nicht erkennen und durch das Klicken auf problematische Links Schadsoftware wie Erpressungstrojanern Tür und Tor in die IT-Infrastruktur des Unternehmens öffnen. Mahr EDV setzt daher auf die Schulung und Weiterbildung mit Schwerpunkt Sicherheit bzw. Schadensabwehr, um Mitarbeiter – die eigenen sowie die der Kunden – für die Risiken zu sensibilisieren.

Symptome der Probleme mit Office365-Diensten

Die Fehler äußern sich in verschiedenen Symptomen.  Unter anderem scheitert trotz korrekter Zugangsdaten der Anmeldevorgang oder man kann in E-Mails keine Links mehr direkt öffnen (siehe: hier). Was ursprünglich als Sicherheitsfeature gedacht war, sogenannte Safe-Links, die gefährliche Inhalte überprüfen und gegebenenfalls blockieren, tritt scheinbar nun sporadisch auch bei normalen Links auf, so dass Benutzer diese Links aus ihren E-Mails heraus nicht mehr aufrufen können.

Neben diesem E-Mail-Problem gab es jedoch auch weitere Berichte über Störungen bei Microsoft-Diensten wie Azure, Outlook, OneDrive, Exchange Online und Skype. Ob es sich dabei um die gleiche Fehlerursache handelt, ist derzeit unbekannt. Microsoft bestätigte die Ausfälle per Twitter sowie auf den internen Status-Webseiten und führt die Störungen u.a. als MO172572 und MO172692. (Vgl. hier) 

Individuelle Bestandsaufnahme

Microsoft kommentiert hierbei aktuell: „Current status: We’re continuing to work on correcting the configuration issue as well as restore the data pipeline to resolve the problem.“

Obwohl Mahr EDV den Status des „Microsoft Gold Partner“ trägt und somit den höchsten Partnerstatus im Partnerprogramm von Microsoft führt, empfiehlt der IT-Dienstleister, jede Kundensituation individuell zu betrachten.

„Die Produkte aus dem Office-365-Cloud-Angebot sind sicherlich für einige Kundensituationen die richtigen“, so Pascal Kube von Mahr EDV.  „Gleichzeitig haben wir jedoch seit nunmehr über 5 Jahren eine stabile Office-365-Alternative etabliert.“

So biete Mahr EDV mit den eigenen Cloud-Produkten „Hosted Exchange“ und „v-Server“ die passenden Alternativen zu den Cloud-Produkten von Microsoft „Office 365“ und „Azure“.

Dabei setzt Mahr EDV im Kern genauso auf Microsoft-Technologien und bietet die passenden Lizenzen im sogenannten Microsoft-SPLA-Lizenzmodell. Jedoch arbeitet der IT Dienstleister mit eigener Hardware-Infrastruktur und eigenen redundanten Rechenzentren.

Warum Mahr EDV auf die eigene Cloud Umgebung setzt

Es liegt in der Natur der Sache, dass der Weltkonzern Microsoft für Kunden aus dem KMU-Umfeld nicht richtig greifbar ist. Gleichzeitig ist die E-Mail inzwischen bei vielen Unternehmen einer der wichtigsten IT-Dienste. Wenn der E-Mail-Dienst nun, wie zuletzt nicht selten hier und da vorgekommen, über Stunden/Tage/Wochen nicht funktioniert, hat das fatale Folgen (siehe: hier). 

Nun kann man aber bei Problemen nicht einfach zu Microsoft Office 365 fahren, um beispielsweise mit der Geschäftsführung im Rahmen einer Eskalation zu sprechen und Lösungen zu finden. Der Support für Office 365 ist größtenteils automatisiert und nicht individuell. Es fehlen schlichtweg persönliche Ansprechpartner mit Entscheidungskompetenzen. Anders bei Mahr EDV, hier kennt der Kunde seinen IT-Systemadministrator und die verantwortlichen Ansprechpartner. Fehlerlösungen sind schnell etabliert und umgesetzt, die hauseigene Cloud-Umgebung wird 24/7 überwacht und gepflegt.

Für die persönliche Greifbarkeit von Lösungskompetenz

Das Verhältnis kleiner Kunde zu Microsoft gleicht ein bisschen der Legende „David gegen Goliath“, nur dass hier – im Gegensatz zur Legende – nichts auf ein schönes Ende für den jungen David gegen den riesigen und mächtigen Goliath hindeutet. Das kommt vor allem dann zum Tragen, wenn mal etwas nicht funktioniert oder wenn Vereinbarungen nicht eingehalten werden.

Man stelle sich dazu nur die übliche Praxis von Kunden gegenüber einem Dienstleister, mit dem sie unzufrieden sind, übertragen auf Microsoft vor. Stellt der Kunde etwa aufgrund der Nicht-Einhaltung von Zusagen beispielsweise seine Zahlungen ein, kann das zum Ergebnis haben, dass irgendein Automatismus bei Microsoft die Postfächer des Kunden erstmal abschaltet.

Als mittelständisches Unternehmen pflegt Mahr EDV dagegen echte Kundenbeziehungen – Dienstleistungen werden zwischen Unternehmen erbracht.

„Für unsere Cloud-Umgebung sichern wir unseren Kunden garantierte Verfügbarkeiten und stehen dafür ein. Außerdem vertreten wir die Philosophie, dass der Klein- und Mittelstand auch den regionalen Mittelstand wirtschaftlich unterstützen sollte“, resümiert Pascal Kube.

Gewisse Unabhängigkeiten vom Microsoft-Support, stellen also da, wo sie sinnvoll und machbar sind, eine win-win-Situation für den Mittelstand her.

Verheerende Angriffe durch NotPetya

Der Krypto-Trojaner NotPetya hatte im Sommer 2017 in aller Welt Unternehmen in Mitleidenschaft gezogen. Darunter etliche US-Großkonzerne wie Mondelēz, den der Cyberangriff etwa 100 Millionen US-Dollar kostete.

Zurich nun will die entsprechende Summe mit dem Argument nicht zahlen, dass die von NotPetya verursachten Ransomwareschäden auf einen „staatlichen Angriff“ (seitens Russland) zurückgehen und derartige „feindliche und kriegsähnliche“ Attacken von der Versicherung nicht gedeckte Ausnahmen darstellen.

Klage gegen Versicherung

Mit der ursächlichen Verantwortung Russlands für NotPetya schloss sich der Versicherungskonzern den Einschätzungen zunächst der Ukraine, später auch der britischen und US-Regierung an.    

Mondelēz hat daher im US-Bundesstaat Illinois Klage gegen Zurich eingereicht. Der Versicherungskonzern muss damit vor Gericht den keineswegs einfachen Nachweis führen, dass tatsächlich Russland für die Cyberattacke und die entstandenen Ransomwareschäden verantwortlich zeichnet. Der Ausgang des Verfahrens ist ungewiss.

Effektiver Schutz vor Ransomwareschäden

So oder so belegt der Fall noch einmal eindringlich, wie wichtig der bestmögliche Schutz der Unternehmens-IT vor Cyberangriffen ist.

Mahr EDV ruft daher an dieser Stelle die wichtigsten Maßnahmen in Erinnerung, die jedes Unternehmen als Checkliste für die Überprüfung der eigenen IT-Sicherheit nutzen könnte:

[*]Ein wirklich sicheres tägliches Backup
(siehe: Checkliste für eine Sichere Datensicherung)
[*]Schulung der Mitarbeiter zur Erkennung von Spam und Onlinegefahren
(siehe: Woran erkenne ich Spam?)
[*]Sicherstellung von regelmäßigen möglichst täglichen automatischen Updates für alle PCs und Server (siehe bspw.: Option zum Monitoring)
[*]Prüfung des Virenschutzes, der Firewall und Durchführung von externen Audits
(siehe: Schutz vor Petya Ransomware)

Viele Prüfungen, wie die Aktualität des Virenschutzes, kann ein Monitoring automatisiert 24/7 und zu geringen Kosten vornehmen. Dann hat die IT Abteilung auch mehr Zeit für das Wesentliche. Andere Prüfungen sollten durch externe Audits erfolgen. Es kann schlichtweg nicht erwartet werden, dass die interne IT Abteilung ihre eigenen Fehler ohne ein externes Audit aufdeckt.