Downloads

Stille Post: Warum müssen Informationen korrekt sein? DSGVO relevant!

Datenintegrität bedeutet die verlässliche Korrektheit von Daten. Das ist wichtig und keineswegs selbstverständlich! Denn eine der Gefahren ist die ungewollte Veränderung der Information. Jeder kennt das lustige Spiel „Stille Post“; also das Weiterreichen und die damit manchmal verbundenen, falschen Informationen.  Im richtigen Leben ist das aber kein Spaß!

Zusätzlicher Aufwand oder Vertrauensverlust sind die häufigsten Schäden, wenn Daten zerstört oder ungewollt verändert werden.

Auch die DSGVO verlangt nach korrekten, personenbezogenen Informationen, denn dies sind Schutzrechte in der EU.

Für die DSGVO und IT-Sicherheit gehört Daten-Integrität zu einem wichtigen Schutzziel.

In Artikel 5 DSGVO steht: „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).“

Die DSGVO Art. 32 Abs. 1 Buchst. b verlangt „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“

Sicherheitsmaßnahmen müssen auch in den technisch-organisatorischen Maßnahmen (TOM) dokumentiert werden.

Ungewollt veränderte Informationen, in Dateien genau wie auf Papier, kommen im Alltag sehr häufig vor. Daher wundert es, dass viele Datenschutzkonzepte ihren Fokus auf Backups, Verschlüsselung und Verfügbarkeit legen. Veränderungen an den Daten führen aber dazu,   dass die Daten nicht mehr nutzbar sind. Das ist genauso schlimm wie verlorene Daten.

Personenbezogene Daten müssen also vor Manipulationen geschützt sein, so das Datenschutz-Gesetz. Alle anderen wertvollen Informationen sollten aber auch geschützt werden. Bei der Umsetzung der DSGVO nutzt Tulos oft Informationssicherheits-Standards, wie die ISO27001. Der Standard ist weltweit verbreitet und man erreicht dadurch die Schutzziele sowohl für die DSGVO als auch für die Informationssicherheit anderer unternehmenswertvoller Daten.

Maßnahmen für die Kontrolle und den Schutz der Integrität personenbezogener Daten dürfen also nicht fehlen, da Verantwortliche die Sicherheit der Verarbeitung auch in diesem Punkt gewährleisten müssen.

Empfehlungen und Checkliste des BayLDA zur Integrität

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nennt in seiner Checkliste zur „Good Practice bei technischen und organisatorischen Maßnahmen nach Artikel 32 DSGVO“ Maßnahmen, um den Grundsatz der Integrität personenbezogener Daten umzusetzen.

Die Datenschutz-Aufsichtsbehörde: „Verantwortliche müssen sowohl den Datenaustausch mit anderen Stellen über elektronische Kommunikationsnetze als auch den physikalischen Transport von mobilen Datenträgern und Dokumenten absichern. Vertraulichkeit und Integrität der personenbezogenen Daten sollen nicht beeinträchtigt werden.“

Tipp aus der Praxis:

Digitale Signaturen können bei der Datenweitergabe Sicherheit geben. Außerdem sind kryptographische Verfahrenund Hashwerte ebenfalls bei sehr vertraulichen Daten empfohlen.

Hash-Verfahren erkennen Manipulation an Daten, da sich dadurch Hash-Werte verändern. Hash-Werte sind für Daten digitale Fingerabdrücke. Wer also Hash-Werte von Daten zu einem bestimmten Zeitpunkt erzeugt und dies an einem späteren Zeitpunkt wiederholt, erkennt, ob die Daten verändert wurden oder gleich geblieben sind.

Quellen: Oliver Schonschek, Datenschutz-Praxis, DSGVO, BayLDA

By |12. Februar 2022|Categories: Tulos Blog|Tags: , , , , |Kommentare deaktiviert für Stille Post: Warum müssen Informationen korrekt sein? DSGVO relevant!

Datenschutz in der Immobilienwirtschaft

Die wichtigsten DSGVO-Erfordernisse die man als Makler und Vermieter einhalten sollte, um sein Unternehmen vor Datenschutz-Sanktionen zu schützen. Immobilien sind oft Opfer von Rechtsstreitigkeiten in denen mangelnder Datenschutz eine Schwachstelle darstellt.

Der Datenschutz ist für Makler und Vermieter besonders wichtig, denn in der Immobilienwirtschaft werden besonders sensible Informationen verarbeitet.

In der Immobilienwirtschaft werden besonders sensible Informationen verarbeitet. Trotzdem vernachlässigen Immobilienmakler und Hausverwalter meist unbewusst die gesetzlichen Anforderungen der DSGVO. Sogar die einfachsten Regeln, um hoch vertrauliche Daten zu schützen, werden ignoriert. Kein Wunder, dass diese Branche besonders unter Datenschutz-Sanktionen und Cyberschäden leidet.

1. Vermietung von Immobilien

Ein klassischer Bereich intensiver Datenverarbeitung ist die Vermietung. Vermieter erhalten oft extrem sensible Daten wie Schufa Auskunft und Einkommensnachweise, um die Bonität potenzieller neuer Mieter zu überprüfen. Wer hier die Datenschutz-Anforderungen nicht korrekt einhält, riskiert empfindliche Strafen.

Für Makler und Vermieter ist hier das Risiko besonders groß, weil erstens oft die Unschuldsnachweispflicht beim eigenen Unternehmen liegt und zweitens Mieter in der Regel bei Gericht wohlwollend behandelt werden.

Im Datenschutzrecht gilt der Grundsatz der „Datenminimierung“, wonach Daten nur insoweit verarbeitet werden dürfen, wie dies für einen konkreten Zweck erforderlich und angemessen ist. Vor dem Hintergrund dieses Grundsatzes ist eine vollständige Erfassung aller Daten „auf Vorrat“ zu Beginn des Vermietungsprozesses unzulässig. Die Aufsichtsbehörden teilen den Vermietungsprozess in drei Abschnitte:

  1. vor/bei der Besichtigung
  2. Mietinteressent äußert konkretes Interesse an der Immobilie
  3. kurz vor/bei Vertragsschluss

Dabei dürfen in jedem Abschnitt nur bestimmte Informationen von den Mietinteressenten abgefragt werden. Nach Auffassung der Aufsichtsbehörden dürfen Einkommensnachweise erst verlangt werden, wenn bereits ein konkreter Mietinteressent ausgewählt wurde.

Hier die Regel:
1. vor/bei der Besichtigung

  • Kontaktdaten
  • Daten zu Suchkriterien
  • Vorlegen des Wohnberechtigungsscheines

2. Mietinteressent äußert konkretes Interesse an der Immobilie

  • Höhe des Nettoeinkommens
  • Anzahl der einziehenden Personen
  • Beruf, Arbeitgeber
  • Eröffnetes Verbraucherinsolvenzverfahren
  • Name und Höhe des Nettoeinkommens eines Bürgen

 3. kurz vor/bei Vertragsschluss

  • Einkommensnachweise
  • Bonitätsauskünfte

2. Umgang mit Auskunfteien

Um die Bonität eines Mietinteressenten zu überprüfen, werden häufig Auskunfteien wie die Schufa angefragt. Dies ist jedoch nur eingeschränkt zulässig und sollte – soweit zur Beurteilung der Bonität noch erforderlich – erst kurz vor Vertragsschluss mit einem Mietinteressenten erfolgen. Gängige Praxis der Vermieter ist es auch, von Mietinteressenten die Vorlage einer Selbstauskunft zu verlangen, obwohl diese Informationen enthält, die für das Mietverhältnis irrelevant sind.

Regelmäßig gibt es derzeit neue Urteile zum Schadenersatz nach DSGVO. Und sie fallen immer häufiger zugunsten der betroffenen Person aus.

Informationspflichten des Vermieters

Der Vermieter muss Mietinteressenten bzw. Mieter vor der ersten Datenerhebung über die Datenverarbeitung im Vermietungsprozess und im anschließenden Mietverhältnis informieren. Die Zwecke und Rechtsgrundlagen der Datenverarbeitung, die Dauer der Speicherung und potentielle Empfänger der Daten müssen erläutert werden.

 Tipp:

Vermieter können entsprechende Datenschutzhinweise als Anlage zum Mietinteressentenfragebogen/Mietvertrag beilegen.

 Löschung der Daten

Die Löschung der Daten wird von Vermietern und Maklern oft versehentlich vergessen oder absichtlich vermieden. Das ist immer wieder eine Schwachstelle, wenn diese Unternehmen juristisch angegriffen werden. Die DSGVO wird allzu oft als Druckmittel verwendet, um Recht zu bekommen.

Vermieter sollten wissen, wann personenbezogene Daten von Mietinteressenten und Mietern zu löschen sind. Makler und Vermieter sind zur Löschung verpflichtet, wenn der ursprüngliche Verarbeitungszweck entfällt und keine (bspw. steuer- und handelsrechtlichen) Aufbewahrungspflichten bestehen. Das gilt z.B. wenn der Mieter ausgezogen ist und ein neuer Mieter die Wohnung bewohnt. Nach dem Ende der Mieterauswahl, also nach Vertragsabschluss, darf ein Vermieter grundsätzlich nur die Daten weiterhin speichern, die zur Durchführung des Mietverhältnisses oder zur Erfüllung gesetzlicher Pflichten notwendig sind. Also keine Auskünfte betreffend seiner oder ihrer Bonität.

Datenweitergaben an Dritte

Die Weitergabe von Informationen von Betroffenen, also oft Mieter oder Mietinteressenten ist selbstverständlich ich in der DSGVO geregelt. Vermieter und Makler sollten prüfen, inwieweit Mieterdaten an Dritte, z.B. Hausverwaltungen, Makler und sonstige Dienstleistungsunternehmen, weitergegeben werden dürfen. Gelegentlich müssen Datenschutzverträge mit entsprechenden Dienstleistern abgeschlossen werden.

Kommunikation mit Mietern

Ein gutes Verhältnis zwischen Vermieter und Mieter ist immer hilfreich. Selbstverständlich werden zwangsläufig personenbezogene Daten der Mieter verarbeitet. Wenn es um Dinge rund um den Vertrag oder die Nebenkosten geht, ist der Austausch von personenbezogenen Daten unvermeidbar und erlaubt.

Etwas Anderes kann in Fällen gelten, in denen die Datenverarbeitung nur am Rande Berührungspunkte mit dem Mietvertrag aufweist (z.B. Veranstaltung eines Mieterfestes, Newsletter-Versand). In diesen Fällen bedarf die Datenverarbeitung einer gesonderten Prüfung, insbesondere ist zu prüfen, ob eine Einwilligung der Mieter erforderlich ist.

Daneben können datenschutzrechtliche Vorgaben beim Einsatz bestimmter Kommunikationsmittel (z.B. Messenger-Dienste) nötig sein. Neben der Frage der Rechtmäßigkeit der Datenverarbeitung stellen sich in diesen Fällen immer wieder Probleme bezüglich der Weitergabe der Kommunikationsdaten an die Betreiber der Dienste, so die Erfahrung der Kanzlei Taylor Wessing in Wien.

3. Immobilien- bzw. Unternehmenskauf

Was für die Vermietung gilt, gilt selbstverständlich auch für den Verkauf von Immobilien oder Unternehmen mit Immobilien. Auch hier sind vertrauliche und weniger vertrauliche, personenbezogene Daten, Bestandteil der Dokumente oder Information, die im Verkaufsprozess verarbeitet werden.

Rechtmäßigkeit der Weitergabe von Mieterdaten im Verkaufsprozess

Bei Immobilientransaktionen stellt der Verkäufer dem Käufer in den einzelnen Phasen des Verkaufs Informationen zur Verfügung, um eine Prüfung wertbildender Faktoren des Zielobjekts zu ermöglichen. Bei der Weitergabe oder beim Empfang personenbezogener Daten müssen die Parteien die datenschutzrechtlichen Anforderungen berücksichtigen. Der Verkauf einer vermieteten Immobilie enthält vertrauliche Daten von Unbeteiligten, die einen Einfluss auf den Wert der Immobilie haben können. In den meisten Fällen müssen personenbezogene Daten anonymisiert werden. Grundsätzlich gilt aber, je näher eine Vertragseinigung rückt, desto mehr Informationen dürfen ausgetauscht werden.

Informationspflichten

Selbstverständlich sind auch bei Transaktionen Informationspflichten zu beachten. So muss jedenfalls das Unternehmen, das personenbezogene Daten im Rahmen einer Transaktion offenlegt, die betroffenen Mieter darüber meistens informieren.

Tipp:

Informationen über eine mögliche Datenweitergabe an Dritte können bereits in abstrakter Form in die allgemeinen Datenschutzhinweise aufgenommen werden, um die Notwendigkeit eines späteren Tätigwerdens zu vermeiden.

4. Videoüberwachung von Immobilien

Die Videoüberwachung von Häusern ist eines der häufigsten Stolpersteine der Immobilienwirtschaft. Sie ist auch eines der beschwerdeträchtigsten Bereiche.

Zulässigkeit der Videoüberwachung/Datenschutz-Folgenabschätzung

Wer bei Häusern eine Videoüberwachung durchführt oder durchführen lässt, sollte sorgfältig prüfen, ob der Zweck und die Wahrung der Interessen rechtmäßig sind. Meistens ist eine Datenschutzfolgenabschätzung durchzuführen. Selbstverständlich sind die Dauer der Speicherung, Zugriff auf die Informationen und Kameratyp sorgfältig zu prüfen. Die Abläufe müssen dokumentiert sein.

Informationspflichten

Zudem muss die Videoüberwachung durch ein Piktogramm kenntlich gemacht werden. Die betroffenen Personen müssen über den Zweck der Videoüberwachung, ihre Rechtsgrundlage und die Dauer der Datenspeicherung informiert werden.

Datenlöschung 

Videoaufnahmen sollten grundsätzlich spätestens nach 48 Stunden gelöscht werden. In Ausnahmefällen und guter Begründung ist auch eine längere Speicherung möglich.

Sicherheit

Die Filme der Videoüberwachung müssen ausreichend vor Missbrauch geschützt werden. Dies kann z.B. durch eine Verschlüsselung der Aufnahmen und eine kontrollierte Zugriffsberechtigung geschehen.

5. „Smart Home, Smart Building“

Die Welt von Internet of Things (IOT) verbreitet sich auch in der Immobilienwirtschaft. „Smart Meter“ für Energiemessungen oder intelligente Licht- und Alarmsysteme in Wohnimmobilien verbessern mittels vernetzter Geräte und automatisierter Abläufe die Wohnqualität und Sicherheit.

Auch aus Vermietersicht werten IOT-Systeme Häuser auf. So kann man zum Beispiel automatisch Nebenkosten ermitteln und in ein ERP System überführen. Dass dabei personenbezogene Daten übermittelt und verarbeitet werden, ist klar. Also gilt auch hier die DSGVO.

Vermieter müssen prüfen, ob die Datenverarbeitung von einer entsprechenden Rechtsgrundlage gedeckt ist. In Betracht kommt z.B. die Einwilligung der betroffenen Person (z.B. eines Mieters). Damit eine Einwilligung wirksam ist, muss diese über die Datenverarbeitung informieren.

Auch wenn eine Rechtgrundlage zur Datenverarbeitung und die Einwilligung vorliegen, sollten Unternehmen den Grundsatz der Datenminimierung beachten. Danach dürfen (auch) bei „Smart Home“-Anwendungen personenbezogene Daten nur insoweit verarbeitet werden, wie dies für den verfolgten Zweck erforderlich und angemessen ist.

Sicherheit

Die Daten aus IOT-Systemen müssen ausreichend vor Missbrauch geschützt werden. Dies kann, z.B. durch eine Verschlüsselung der Aufnahmen, eine kontrollierte Zugriffsberechtigung geschehen.

6. Allgemeine datenschutzrechtliche Anforderungen

Wie alle Unternehmen, die personenbezogene Daten in größerem Umfang verarbeiten, müssen Vermieter und Makler die allgemeinen datenschutzrechtlichen Anforderungen entsprechen:

  • Verarbeitungsverzeichnis: Ein Verzeichnis, das Informationen zu den Datenverarbeitungstätigkeiten enthält (z.B. zu den Verarbeitungszwecken, den verarbeiteten Daten und den Fristen für eine Löschung der Daten).
  • Datenschutzbeauftragter: Ein Datenschutzbeauftragter lohnt sich immer. Er oder sie kennt die Grenzen zwischen legaler und illegaler Datenverarbeitung.
  • Betroffenenrechte: Unternehmen müssen sicherstellen, dass die Rechte der betroffenen Personen (z.B. auf Auskunft, Löschung und Widerspruch) erfüllt werden.
  • Meldepflichten: Im Fall einer Verletzung des Schutzes personenbezogener Daten sind – unter bestimmten Voraussetzungen – innerhalb von 72 Stunden nach Kenntniserlangung die Aufsichtsbehörden und ggf. auch die betroffenen Personen zu informieren.
  • Datenschutz-Management-System: Zur Bewältigung der zahlreichen datenschutzrechtlichen Anforderungen empfiehlt es sich häufig, ein Datenschutz-Management-System einzuführen. Im Rahmen dieses Systems sollten v.a. Rollen und Verantwortlichkeiten festgelegt und Konzepte, Richtlinien und Standardvorgehensweisen zu bestimmten Vorgängen entwickelt werden (z.B. zur beschriebenen Erfüllung der Betroffenenrechte und Meldepflichten).

Quellen:

DSGVO, Anwaltskanzlei Taylor Wessing, Dr. Paul Voigt, Partner, Wiebke Reuter, LL.M.

By |2. Dezember 2021|Categories: Tulos Blog|Tags: , , , , |Kommentare deaktiviert für Datenschutz in der Immobilienwirtschaft

Künstliche Intelligenz und der Datenschutz

Wer im Vertrieb tätig ist kennt natürlich die Vorteile von künstlicher Intelligenz, will heißen, weniger Aufwand und mehr Leads.

Ja, aber was ist mit dem Datenschutz?

Drei Fragen um zu klären, wo sich die Fußangeln befinden.

Tulos Consulting GmbH sind Experten für den Datenschutz und IT-Sicherheit. Wir haben langjährige Erfahrung aus der Praxis mit CRM-Systemen, wie Hubspot, Salesforce und andere.

Was sind denn die größten Risiken, wenn man künstliche Intelligenz im Vertrieb einsetzt?

Zuallererst der Vertrauensverlust der Kunden, denn das ist bei Umfragen die häufigst genannte Befürchtung.

Wir alle wissen, dass wirklich gute Kundenbeziehungen auf Vertrauen basieren.

Kunden wollen zwar möglichst individuell betreut werden, und das geht mit KI besonders effizient. Sie erwarten aber, einen vertrauenswürdigen und datenschutzkonformen Umgang mit ihren Daten.

Jetzt zu Risiko-Punkt 2. Das sind die Haftungs-Schäden und Sanktionen.

Unternehmen machen sich juristisch angreifbar, wenn sie die massenhafte Verarbeitung von Daten mit KI nicht beherrschen.

z.B. da wird die DSGVO gerne hergenommen um Rechtstreite, auch für völlig andere Themen, durchzusetzen.

Typische Forderungen sind Abfindungen der Mitarbeiter, Abmahnungen von Wettbewerbern oder Haftungsforderungen von Kunden.

Und schließlich die Wiederbeschaffungskosten für verlorene unternehmenswichtiger Daten.

Cyberangriffe, durch Hacker, die mit KI aufwändig aufbereitete oder gekaufte Kundeninformationen, verfälschen oder stehlen oder Zugänge kapern, um Lösegelder zu verlangen.

Die Nachrichten berichten fast täglich News über Cyberangriffe.

CRM-Systeme stehen als Opfer auf Platz eins.

Kein Wunder, denn die Beute ist lukrativ und leicht am Markt zu Geld zu machen.

Von den drei größten Risiken, jetzt die größten Fehler, die KI-Systeme für den Vertrieb verursachen können?

 Mit KI-Systemen können Vorhersagen getroffen oder Empfehlungen und Entscheidungen generiert werden – ganz ohne im Vorhinein festgelegte Regeln oder Berechnungsvorschriften.

Die Ergebnisse können unvorhersehbar und falsch sein

Betroffene, also auch potenzielle Kunden, können schnell verärgert werden, wenn falsche Annahmen aus KI-Systemen getroffen werden oder ihnen gar schaden.

Stichwort, das eben erwähnte Kundenvertrauen

Menschen haben das Recht auf korrekte Datenverarbeitung ihrer Person, alles andere ist strafbar und

verantwortlich hierfür ist immer das Unternehmen.

Und wieder ein Einfallstor für die sprichwörtlichen Abmahnvereine.

Wie bekommt man die Risiken in den Griff?

Wie ein Flugzeugpilot vor dem Start, sollte man einen Check machen, was geplant ist.

  • Welche Daten werden gefüttert?
  • Welche Ergebnisse sollen erzielt werden?

Nur so bekommt man seine Datenverarbeitung in den Griff.

Weil KI in so vielen Bereichen innerhalb des Vertriebs Daten auswerten kann, gibt es hier keine pauschale Lösung.

Ich empfehle immer einen Datenschutzbeauftragten begleitend einzusetzen. Er oder sie kennt die Linien zwischen legaler und illegaler Datenverarbeitung und kann von Fall zu Fall die Risiken einschätzen.

Das hat auch noch den sympathischen Vorteil, dass im Schadensfall ein Datenschutzbeauftragter fast immer gegenüber Betroffenen oder Behörden schneller zur Schlichtung beiträgt.

By |17. Oktober 2021|Categories: Office 365 Datenschutz, Tulos Blog|Tags: , , |Kommentare deaktiviert für Künstliche Intelligenz und der Datenschutz

Die Blockchain funktioniert wie ein Notizbuch. Hier eine einfache Erklärung

Blockchain, was ist das und was man damit machen kann

Blockchain: hier eine einfache Erklärung.
Die Blockchain funktioniert wie ein Notizbuch.

Jede Seite des Notizbuches entspricht einem Block der Datenkette. In jede Seite schreiben wir Zeile für Zeile eine Liste mit Informationen und Transaktionen. Das kann alles sein, was in 40 Byte passt (Byte ist eine Maßeinheit für die Datenmenge).

Informationen können Überweisungen von A nach B, Verträge, ein Testament, Aktien oder Kaufverträge sein. Wenn ich eine Transaktion in mein Notizbuch schreibe, erscheint sie auch in allen anderen Notizbüchern. Es existieren also tausende Kopien auf tausenden Servern der unverfälschten, ursprünglichen Blockchains. Abweichungen können also so, durch einen Vergleich der anderen Kopien, aufgedeckt werden. Das nennt sich DLT (Distributed , Ladger Technology).

Soweit also zur Dezentralität der Blockchain. Nun die kryptographische Verschlüsselung:

Wenn eine Seite vollgeschrieben ist, bildet das Notizbuch eine Quersumme aus den Transaktionen dieser einen Seite. Diese Prüfsumme wird Hashwert genannt und steht dann am Ende der Seite.

Jede neue Seite im Notizbuch beginnt wieder mit der Prüfsumme, also mit dem Hashwert der vorhergehenden Seite und damit hat man das kryptographische Verfahren. Somit hat jeder Block genau einen chronologischen Vorgänger und einen chronologischen Nachfolger.

Diese Prüfsumme sorgt also dafür, dass die Reihenfolge der einzelnen Blöcke der Blockchain nicht vertauscht und der Inhalt nicht manipuliert werden kann, denn sonst würde sich auch der Hashwert verändern.

Es ist also extrem schwierig, den Hashwert der Blockchain zu verfälschen.

Noch einmal etwas technischer zusammengefasst:

Eine Blockchain ist eine dezentrale Datenbank. Die Daten sind also nicht nur auf einem Server im Rechenzentrum, sondern auf mehreren Servern in mehreren Ländern.

In einer Blockchain werden dieselben Daten synchron abgespeichert. Alle Teilnehmer der dezentralen Server haben eine Kopie des letzten Standes der Daten.

Eine Blockchain ist also eine dezentrale Datenstruktur, die über Kryptografie abgesichert ist, sodass Transaktionen und Datenveränderungen nicht oder sehr schwierig verändert werden können.

Die Blockchain ist eine Datenbank, in die nur neue Einträge hinzugeführt werden können. Alte Einträge können weder gelöscht noch geändert werden.

Was einmal in der Blockchain gespeichert wird, bleibt auch dort.

Vorteile der Blockchain

Geschwindigkeit und Sicherheit:

Alle Daten, die in einer Blockchain gespeichert werden, werden unmittelbar verschlüsselt an das gesamte Netzwerk verteilt. Durch diesen Ansatz lassen sich große Datenmengen in kürzester Zeit an die Nutzer verteilen. Zudem sind die gespeicherten Daten durch die dezentrale Verteilung vor Manipulation geschützt.

Datenintegrität:

Die Integrität der vorliegenden Daten spielt bei einer Blockchain eine tragende Rolle.

Zuverlässigkeit des Netzwerks:

Eine Blockchain ist dezentral organisiert, sodass ein Totalausfall des gesamten Netzwerks nahezu ausgeschlossen werden kann.

Transparenz:

Jede Transaktion des Blockchain-Netzwerks wird in einem der Blöcke gespeichert, sodass eine nachträgliche Analyse stets möglich ist. Hierdurch lassen sich Vertragspartner identifizieren und die Auswirkungen von Transaktionen reproduzieren.

Einsatzgebiete der Blockchain in der Praxis

 Internationale Finanz-Transaktionen

Die hohe Datenkonsistenz und ein besonders hohes Maß an Transparenz sind wichtige Eigenschaften für Banktransaktionen. Durch eine Verschlüsselung – dies erfolgt durch den Einsatz einer Hash-Funktion – werden die Daten abgesichert und vor Manipulation geschützt.

Da die Verifikation innerhalb des Netzwerks stattfindet, können Intermediäre ausgeschlossen und die Transaktionskosten reduziert werden. Das Fehlen von Intermediären sorgt zusätzlich für eine höhere Transaktionsgeschwindigkeit.

Vermeidung von Geldwäsche

Bis heute ist Geldwäsche ein großes Problem in der Wirtschaft. Um dieses Problem zu beseitigen, kann die Blockchain herangezogen werden, indem alle abgeschlossenen Verträge transparent auf einer Blockchain gespeichert werden. Durch Aufzeichnungen lassen sich die einzelnen Transaktionen auch den jeweiligen Beteiligten zuordnen und so Geldwäsche vermeiden.

Der Einsatz einer Blockchain im Gesundheitswesen

Eine Blockchain kann so konfiguriert werden, dass diese nur ausgewählten Nutzern Zugriff auf die abgelegten Daten gewährt. Dennoch können die Daten im verteilten Netz abgelegt werden, sodass hier die Speicherung der sensiblen Daten erfolgen kann. Vor allem persönliche Unterlagen wie die Patientenakte, medizinische Befunde und Krankheitsverläufe können auf einer Blockchain gespeichert werden. Zugriff auf diese Daten erhalten dabei nur ausgewählte Nutzer, die zuvor vom Eigentümer der Daten freigeschaltet wurden.

Blockchain für das Identitätsmanagement

Die Verifizierung der Identität einer Person, z.B. für Ausweisdokumente – Führerscheine, Reisepässe und Personalausweise. Mithilfe der Blockchain-Technologie lassen sich die Identitäten von Personen sicherer und schneller identifizieren als bisher.

Abwicklung von Versicherungen über die Blockchain

Insbesondere moderne Blockchains bieten die Möglichkeit Smart Contracts zu entwickeln. Hierbei handelt es sich um intelligente Skripte, die automatisch Transaktionen auf der Blockchain veranlassen. Für Versicherungen bietet diese Möglichkeit einen großen Mehrwert, denn vor allem die Abwicklung von Schadensfällen oder Versicherungsleistungen lässt sich somit automatisiert und gesichert darstellen. So kann z. B. erkannt werden, dass ein einzelner Kunde mehrere Anliegen für einen identischen Schadensersatzanspruch geltend machen will.

By |16. Oktober 2021|Categories: Tulos Blog|Tags: , , , , |Kommentare deaktiviert für Die Blockchain funktioniert wie ein Notizbuch. Hier eine einfache Erklärung

IT-Sicherheit für Microsoft Office 365

Wirksamer Schutz für MS Office 365

Leitfaden wie man Microsoft Clouddienste sicher betreibt und  Cyber-Schäden vermeidet

Risiken bei Microsoft Office 365 und wie man Microsoft Clouddienste mit wenigen Schritten sicherer macht

MS Office 365 ist bei Unternehmen und Behörden die mit Abstand meistgenutze Cloud-Anwendung. Daher werden die Microsoft Büroanwendungen auch häufig angegriffen.

Monokulturen sind von Natur aus weniger sicher, daher zielen Angreifer bewusst auf die Microsoft 365 Sicherheitsvorkehrungen! Im Jahr 2019 verursachten alleine Phishing Angriffe über 1 Milliarde EUR Kosten. (Quelle: IDC Report 2020)

Der Schaden kann groß sein, wenn es Cyberkriminellen gelingt in die Cloud einzudringen.

Risiken bei Microsoft 365 kennen und deren Ursachen verstehen.

In einer Welt, in der Remote-Arbeit die Norm ist, müssen Menschen in der Lage sein, überall, jederzeit und auf jedem Gerät auf ihre E-Mails zuzugreifen. Anwender profitieren von zahlreichen zusätzlichen Vorteilen wie z. B. dem Zugriff auf aktuelle Tools, einem geringeren Wartungsaufwand und kürzeren Zeitfenstern, in denen Anwender neue Funktionen nutzen können.

 Doch während Cloud-E-Mail-Dienste dem Unternehmen in vielerlei Hinsicht Vorteile bringen, machen sie sich auch ungeschützt und anfällig für Angriffe.

Microsoft Office 365 gehört zu den am häufigsten angegriffenen Public-Cloud-E-Mail-Diensten.

Laut ESG Trend 2019 werden weltweit 73 % aller E-Mails über Google und Microsoft versendet. Hiervon nutzen 62 % aller Unternehmen und staatliche Einrichtungen Microsoft Office 365.

Die gefährlichsten E-Mail-Angriffe:

  • Malware: Im Jahr 2019 gab es 10,52 Milliarden Viren-Angriffe. Aktuelle Faustregel: 2 von 5 schädliche Schadprogramme, z.B. Viren verbreiten sich in Microsoft Office-Dokumenten.
  • Phishing: Im Jahr 2020 kamen über 27 % aller Angriffe über gefälschte Webseiten, E-Mails oder Kurznachrichten. Die Folge, Diebstahl von Anmeldedaten von zahlreichen Anwendungen und Dateiverzeichnissen.
  • Ransomware: Für 2021 werden 19 Milliarden EUR Erpressungsgelder über Verschlüsselungstrojaner prognostiziert.
  • Betrügerische Geschäfts-E-Mails (BEC): Zwischen 2016 und 2020 verursachten Cyberkriminelle über 24 Milliarden EUR Verluste, in dem sie sich Zugang zu E-Mails in Unternehmen verschafften, um dann in betrügerischer Absicht mit der Identität des eigentlichen E-Mail-Kontoinhabers ihre Opfer zu täuschen. Geschädigte waren das Unternehmen, Kunden oder Lieferanten.
  • Domain-Kompromittierung: 54 % der legitimen Domains werden in Phishing-Kampagnen verwendet. Schäden sind hier auch Nichtverfügbarkeit eines Internetdienstes , z.B. eines Onlineshops.

Quelle: OpenPhish

Der einfachste Weg, sich vor komplexen Bedrohungen der Microsoft Clouddienste zu schützen

  1. Einrichten von Cloud Mailbox Defense. Das Sicherheitsmodul ist vollständig in Office 365 integriert.
  2. CESS einführen. Für besondere E-Mail Sicherheit empfiehlt sich der Einsatz eines Cloud E-Mail Security Supplement (CESS). Dieser Begriff wurde 2019 von Gartner geprägt. CESS ist eine Lösung, für schwer erkennbare und raffinierte Angriffe. Es schützt vor Eindringlingen, also z.B. Phishing oder Malware, innerhalb von Microsoft 365, die von Standard-Abwehrsystemen in Microsoft 365 nicht mehr erkannt werden.

Kontoübernahmen oder die beliebten E-Mailangriffe werden so wirksamer abgewehrt. CESS ist ein Muss für jedes Unternehmen, das sein Geschäft ernsthaft schützen möchte.

Ein dringender Appell:

  • Beenden Sie Ihre unbewusste Geisterfahrt! Schließen Sie Ihre Einfallstore! Indem Sie mehr Sichtbarkeit für eingehende, ausgehende und interne Nachrichten schaffen.
  • Behalten Sie die Herrschaft über Ihre unternehmensdigitales Geschäftskapital und bekämpfen Sie auch versteckte Bedrohungen, indem Sie die Bedrohungen zunächst erkennen. Sicherheits Produkte, wie AMP und Threat Grid.
  • Bieten Sie Raubrittern ohne Hexenwerk die Stirn! Nur wenige Schritte bis zum Ziel.
  • Nutzten Sie API-gesteuerte Beseitigung von Nachrichten mit bösartigem Inhalt in allen Mailboxen
  • Verwenden Sie integrierte Dashboards für Suche, Reporting und Tracking.

Das Ergebnis

  1. Kontrolle über Ihre Mailbox
  2. Keine Änderungen am E-Mail-Fluss oder DNS
  3. Verfolgung aller Nachrichten
By |4. Juni 2021|Categories: Office 365 Datenschutz, Tulos Blog|Tags: , , , , , |Kommentare deaktiviert für IT-Sicherheit für Microsoft Office 365

Drucker sind oft unterschätzte Risikofaktoren in Unternehmen und Behörden

Achtung, Drucker gehören zu den größten Risikofaktoren im Unternehmen!

In diesem Beitrag geht es um IT-Sicherheit und Kosteneinsparungen im Druckerbetrieb.

Drucker im Unternehmen. Teure und gefährliche Begleiter

Drucker gehören, trotz der zunehmender Digitalisierung, zu unserem Büroalltag.

Die meisten professionellen Drucker können zusätzlich scannen oder Kopien anfertigen.

Jeder soll sie leicht bedienen können, vom PC am Arbeitsplatz oder am Drucker selbst. Papier nachlegen – und kleinere Störungen sind zwar lästig, können aber meist von den Mitarbeitern erledigt werden. Gute Drucker sollen „einfach nur funktionieren“. Die Druckerwartung übernimmt in der Regel ein Dienstleister.

Drucker gehören zu den Kosten-Posten, die vom Management selten besondere Beachtung bekommen, definitiv zählen sie nicht zur strategischen Infrastruktur.

Drucker und deren Betrieb nehmen aber einen bemerkenswerten Anteil am Budget für die Technik. In vielen Fällen können die Kosten für Drucker jedoch erheblich reduziert werden.

Drucker sind oft ein Risiko und sie werden daher auch auf die erforderliche DSGVO Konformität geprüft.

Die drei häufigsten Schwachstellen bei Drucker, wie man diese Risiken minimiert und dabei gleichzeitig die Kosten messbar reduziert:

  1. Die Schnittstellen.
  • Cyber-Angriffe über das Netzwerk: Drucker Schnittstellen für den Netzwerkanschluß sind oft nicht so geschützt wie Clients, also PC´s und Laptop. Hacker suchen gezielt den Weg über Drucker, um von dort an die Server und Clients der Unternehmen zu gelangen.
  • Über Bluetooth oder USB-Schnittstellen gelangt man zur Drucker-Software und dann oft auch zur Druckerfestplatte und somit an die restliche Unternehmens-IT
  1. Die Festplatte in den Druckern speichert alle gedruckten oder gescannten Dokumente. Je nach Größe der Festplatte sind dies tausende Seiten. Man muss sich nur vorstellen, welche vertraulichen Informationen in den letzten Monaten gedruckt, kopiert oder gescannt wurden. Dann realisiert man wie wichtig es ist, dass diese Informationen nicht in falsche Hände gelangen. (Immerhin haben wir alle schon gelernt keine vertraulichen Kopien am Drucker liegen zu lassen)
  1. Drucker-Software: Jeder Drucker hat natürlich auch eine eigene Software, über die das Druckermanagement alle Funktionen möglichst reibungslos auf Befehl umsetzt.

Wie fast alle Systeme im Netzwerk wird diese Software regelmäßig aktualisiert. Dummerweise berücksichtigt jeder Hersteller im System nur seine eigenen Produkte. Server und Clients werden hoffentlich gut vom Systemadministrator gewartet, Updates erfolgen koordiniert. Die Drucker aber haben hierbei Ihren eigenen Takt. Abgestimmt sind sie weder mit der übrigen IT noch innerhalb der Drucker selbst. Vor allem, wenn Unternehmen verschiedene Drucker von unterschiedlichen Herstellern und unterschiedlichen Wartungsunternehmen betreiben.

Druckerausfälle sind hier nicht selten. Wir alle kennen diese und erinnern uns an Situationen, wo Druckerausfälle uns um Stunden länger im Büro verhaftet haben.

Hacker kennen sie auch. Hacker lieben diese Lücken, um in Unternehmensnetzte einzudringen.

Druckerkosten

Druckkosten sind ein erheblicher Anteil der Infrastrukturbetriebskosten. Sie werden aber als sehr gering im Verhältnis zu den Betriebskosten (TCO) anderer technischen Hilfsmittel, wie Laptop, Server Applikationen-Lizenzen etc. erachtet.
Das ist falsch, wie folgendes reales Beispiel zeigt:

Ein internationaler Konzern betreibt in Deutschland 2.000 Drucker und druckt pro Jahr 100 Mio. Din A 4 Blätter. 40% hiervon in Farbe.
Bei ineffizientem Druckermanagement entstehen hier leicht Kosten von 7,6 Millionen € / Jahr, welche mit effizientem Druckmanagement auf die Hälfte reduziert werden können – also auf 3,8 Millionen € / Jahr. Nicht unerheblich ist auch die Menge an Papier welche so eingespart werden kann.

Es bleibt ausgesprochen sinnvoll, sich mit diesem Thema im eigenen Betrieb auseinander zu setzen. Auch ist es keine Schande, sich für diesen umfänglichen Aufgabenbereich Unterstützung zu gönnen.

By |6. Mai 2021|Categories: Risikofaktoren Drucker, Tulos Blog|Tags: , , , , |Kommentare deaktiviert für Drucker sind oft unterschätzte Risikofaktoren in Unternehmen und Behörden
Go to Top