Aug 21, 2018 | Unkategorisiert
Letztlich bin ich auf dem Unternehmensblog der Firma
QNAP gelandet.
QNAP ist eine Chinesische Firma, welche
NAS Systeme (Network Attached Storage) produziert und verkauft.
Das Problem bei diesen Produkten ist die Tatsache, dass Sie um sehr wenig Geld, viel Sicherheit vorspielen. Aber dazu später mehr.
Solche NAS Produkte, wie diese von QNAP sind sehr beliebt und werden von vielen IT Betreuern empfohlen und auch installiert.
Das Problem hier ist nur, dass der Schein leider trügt. Diese Produkte sind meist nicht für den professionellen Einsatz geeignet. Vor allem das, was man in Media Markt und Co. so zu kaufen bekommt ist schlicht ungeeignet Firmendaten oder sogar Applikationen ständig auszuführen.
Ein weiteres Problem sind die Festplatten. Eine Enterprise Storage hat meist SAS Festplatten installiert. Der Gund ist klar. Diese sind wesentlich schneller als die herkömmlichen SATA Festplatten sowie robuster gebaut. Auch können SAS Festplatten gleichzeitig lesen und schreiben, was im Bereich NAS doch sehr wichtig ist. Wie auch immer, diese Produkte unterstützen unr SATA Festplatten. Also, werden Sie auch nur mit solchen bestückt. Meist einfache Desktop Drives.
Das Thema Festplatten könnte man noch weiterführen. Aber mehr in einem anderen Beitrag.
Nun jedoch zum QNAP Blog. In disem Blogeintrag mit dem Titel “Never say never to Data loss” geht es in Erster Linie darum dem Kunden zu erklären, dass auch ein QNAP System nicht davor schützt. Das wiederum ist für viele Firmen und Kunden eine durchaus ernüchternde Erkenntnis, da man genau das mit dem Erwerb eines solchen Gerätes erreichen wollte.
Der Verfasser des Eintrages geht explizit auf die Probleme der Syteme von QNAP ein. Beispielsweise, dass das Rebuilt bei RAID Level 1 nur bedingt funktioniert. Oder dass bei den Consumerprodukten mit Software RAID (also so gut wie jedes dieser Teile) der Controller nur einfach ausgeführt ist und … wenn er den Hitzetod stirbt.. die Daten eben weg sind (Man kann die Festplatten nicht einfach in ein baugleiches Gerät stecken… das geht leider nicht).
Am Ende des Blogeintrages findet sich noch der nette und wohl auch ehrlich gemeinte Ratschlag, dass man das NAS dann doch wieder in die Cloud sichern soll. Denn… man weiss ja nie.
Ich finde diese ehrliche Vorgehensweise, den Kunden gleich mal zu sagen dass man eben nicht für Datensicherheit steht löblich. Dennoch werden diese Teile immer noch zu haufe an Kunden als vermeidliches Allheilmittel verkauft. Das ist in Ermangelung besserer Kenntnis vieler IT-Dienstleister leider ein grober Fail.
Fazit: Wenn Sie Daten wirklich sicher haben möchten, kommen Sie um eine Enterprise Storage nicht herum. Diese können Sie ab rund 10K EUR erwerben. Alles andere ist Müll. Oder, Sie gehen gleich zum Cloudprovider Ihres Vertrauens und speichern Ihre Daten dort. Das ist in jedem Fall die sicherste Wahl.
Jul 6, 2018 | Unkategorisiert
Die Nachricht schlug ein wie eine Bombe..
Golem hat heute berichtet, dass es wieder mal “Irritationen” zwoschen dem Europaparlament und den USA gibt.
Hintergrund ist das sogenannte “Privacy shield”, welches ein pendant zum europäischen Datenschutz sein soll.
Das Problem ist, dass es die USA eben nicht so genau nimmt mit dem Datenschutz. Und so gehen die Wogen wieder einmal sehr hoch zwischen den beiden Administrationen. Die EU will den (zugegeben) überbordenden Datenschutz durchsetzen und die USA wollen Ihren Nachrichtendiensten weiter erlauben auf exakt diese Daten zuzugreifen.
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+MOTION+B8-2018–0305+0+DOC+XML+V0//DE
Nach den EU-Datenschützern verliert nun auch das Europaparlament die Geduld: Die Datenvereinbarung mit den USA soll bald ausgesetzt werden, wenn es keinen besseren Datenschutz gibt.
https://www.golem.de/news/privacy-shield-europaparlament-will-datenaustausch-mit-den-usa-stoppen-1807–135345.html
Nachdem der Europäische Gerichtshof (EuGH) im Oktober 2015 das Safe-Harbor-Abkommen für ungültig erklärt hatte, war eine Neureglung notwendig geworden. Der neue Schild zum Schutz der Privatsphäre ist ebenso wie sein Vorgänger kein rechtsverbindliches Abkommen, sondern ein Rechtsrahmen, der in diesem Fall auf dem Austausch verschiedener Briefe basiert.
Die neue Datenschutzgrundverordnung (DSGVO) erlaubt die Datenübertragung in Länder mit einem “angemessenen Schutzniveau” (Artikel 45) oder auf Basis von Standarddatenschutzklauseln (Artikel 46). Hinzu kommen noch “genehmigte Verhaltensregeln” und ein “genehmigter Zertifizierungsmechanismus”.
Nach dem Skandal um die Datenweitergabe von Facebook an die Analysefirma Cambridge Analytica fordern die Abgeordneten eine bessere Überwachung der Datenschutzvereinbarung.
Sowohl Facebook als auch Cambridge Analytica hätten den Privacy Shield genutzt, um den Datenaustausch zwischen der EU und den USA zu ermöglichen. Beide hätten sich verpflichtet, die darin festgehaltenen Datenschutz-Auflagen zu erfüllen.
Man wird also sehen, ob es Facebook, Dropbox und Co. auch in Zukunft so wie heute oder in geänderter Form am Europäischen Markt geben wird. Die Zeichen dafür stehen, vor allem auch wegen dem amtierenden US Präsidenten aber eher schlecht
Jun 26, 2018 | Unkategorisiert
Wir haben von einem unserer Kunden heute ein Schreiben von einer sehr großen Österreichischen Versicherung mit folgendem Inhalt erhalten:
Sehr geehrte Geschäftspartner,
mit 25. Mai 2018 ist die Datenschutz Grundverordnung (DSGVO) in Kraft getreten. Wir bieten all unseren Geschäftspartnern die Möglichkeit der TLS Verschlüsselung für EMails. Wenn Sie diese auch bei Ihnen aktiviert haben, können wir auch Informationen mit besonderen Kategorien von Daten (z.B. Gesundheitsdaten) per EMailaustauschen. Ebenso sind alle EMails die Sie von uns erhalten TLS verschlüsselt.
Diese Nachricht ist leider nicht nur technisch, sondern auch rechtlich falsch.
Aufgrund dessen möchten wir hier nochmals die Unterschiede und Probleme mit der Nutzung von TLS oder S/MIME aufzeigen:
TLS
Technisch unterscheidet man bei der E‑Mail-Verschlüsselung die sogenannte Transportverschlüsselung und die Inhaltsverschlüsselung. Bei der Transportverschlüsselung werden Nachrichten durch einen verschlüsselten Tunnel geschickt. Beim Absender und Empfänger, und gegebenenfalls auch auf den dazwischenliegenden Knoten, liegen sie jedoch im Klartext vor und können mitgelesen werden.
TLS ist ein nicht zwingendes Protokoll. Es ist etwas was zwischen Servern vereinbart wird. Kann es der jeweilige Server, dann wird es verwendet. Kann er es nicht, wird das Mail eben herkömmlich verschickt. TLS bietet auf alle Fälle nicht die von der DSGVO geforderte End-End Verschlüsselung und folglich ist diese Art der e‑Mail kommunikation als Data breach zu betrachten und somit meldepflichtig.
Fazit: TLS ist vollkommen ungeeignet um e‑Mails sicher zu versenden. Es funktioniert schlicht und einfach nicht.
S/MIME
Anders verhält es sich bei S/MIME.
Hier werden nun in großem Stil von Unternehen Zertifikate gekauft. In der Praxis bedeutet dies, dass faktisch jedes Postfach ein eigenes Zertifikat instaliert bekommen muss. Und das jedes Jahr, da diese Zertifikate nach einem Jahr erneuert werden müssen.
Auch die Kommunikationspartner müssen bevor man Kommuniziert dieses Zertifikat installieren.
Die Folge ist ein unmanagebarer Zertifikatedschungel, der dann noch vom IT Verantwortlichen gemanagt werden muss.
Nach Erneuerung des Zertifikats, also nach einem Jahr wird die Situation noch schwieriger, da ohne das alte Zertifikat alle alten E‑Mails nicht mehr lesbar sind. Eine e‑Mail Archivierung ist somit fast unmöglich oder nur wenn dann auch das Zertifikat archiviert wird. Und dies darf nun wieder nich gemeinsam geschehen, da man ja bekanntlich nicht Schlüssel und Tresor nebeneinanderstellen sollte…
Interessant wird die Angelegenheit, wenn ein Mitarbeiter oder auch Kunde / Partner, welcher dieses Zertifikat installiert hat ein Endgerät verliert oder es gestohlen wird. Das wäre dann der Super-Gau für das betreffende e‑Mail Postfach, da es wiederum einen Data Breach gäbe.
Fazit: Der Einsatz von Zertifikaten kann eine DSGVO konformität herstellen, ist aber extrem schwer zu managen und deshalb nur bedingt zu empfehlen. Unternehmen mit mehr als 30 Postfächern sollten generell die Finger davon lassen, da sich das benötigte Zertifikatemanagement dann nicht mehr lohnt.
Die momentan konfortabelste Art und Weise, Daten sicher zu übertragen ist über einen File Sharing Provider oder ein File Sharing Tool wie CloudFiles.
Bei solchen Diensten wird eine sichere Verbindung (SHA-256) zum Datencenter des Providers aufgebaut. Das Datencenter ist wiederum entsprechend laut DSGVO abgesichert. Beide Seiten, Unternehmen und Kunde/Lieferant sind zum Datencenter zu abgesichert. Es ist folglich End-End verschlüsselt.
Dies ist aktuell die einzige Möglichkeit Daten komfortabel, sicher und vor allem DSGVO konform zu übertragen.
Rufen Sie uns an! Wir wissen was zu tun ist.
Jun 1, 2018 | Unkategorisiert
Immer mehr Kunden fragen genau was denn hinter CloudFiles steckt und welche Software zur Anwendung kommt.
Das ist kein Geheimnis. Wir nutzen Nextcloud, ein deutsches Softwareprodukt welches in der kleisten Ausführung als Open Source verfügbar ist.
Jeder kann sich das eigentlich einfach auf einem PC oder Server mal schnell runterladen, installieren und nützen.
Der große Unterschied zwischen unserem Produkt und solchen Do-It-Yourself ansätzen ist einfach erklärt.
Es ist die Kombination zwischen Hard und Software und das Design der Lösung als Ganzes.
Unser CTO hat sich mal die Hauptargumente zusammengeschrieben, welche allesamt gegen etwas selbstgebasteltes sprechen… Hier nun die Aufzählung…
Sicherheit:
- Gefilterte Kommunikation durch Checkpoint Enterprise Application-Aware Firewall
- Geo-redundante Datenspeicherung durch NetApp FAS Enterprise Storage
- Stündliches Datenbackup durch NetApp FAS Enterprise Storage, 30 Tage Aufbewahrung
Verfügbarkeit:
- Ausfallsicherheit durch Fault-Tolerant Virtual Machines
- Jede System-Komponente ist mind. doppelt ausgeführt und Active/Active oder Hot-Spare
- Eigenes multi-homed Internet AS
Leistung:
- 1 Gbit/s symmetrische Internetverbindung
- Mehrere Gbit/s Storage lese und schreib Geschwindigkeit
- Ausschließlich 10 Gbit/s Fiber Ports im internen Netzwerk
Support:
- 8x5 Telefonsupport inkl.
- techn. Eskalation zu 3rd Level Administratoren
- Nextcloud Supportvertrag
Kann das Ihre selbst aufgesetzte Nextcloud auch?
Wenn ja, bitte melden Sie sich! Wir suchen händeringend nach guten IT-Technikern.
Mai 27, 2018 | Unkategorisiert
Steuerberater, Notare und Anwaltskanzleien stehen vor einem Problem. Sie können Steuerbescheide, Lohnzettel, Verträge etc. aufgrund der DSGVO nicht mehr einfach per e‑Mail verschicken. Die DSGVO untersagt einen unverschlüsselten Versand von personenbezogenen Daten. e‑Mails auch wenn Sie sicher zum Server übermittelt werden sind unsicher.
Alternativ gibt es die Möglichkeit einer e‑Mail Verschlüsselung über s/mine. Dies wird aktuell von einigen IT-Dienstleistern angeboten und entspräche der DSGVO. Dennoch hat diese Lösung ein Problem. Sicherheitszertifikate laufen ab. Sie werden für nur maximal 2 Jahre vergeben. Sobald das Zertifikat abgelaufen ist, sind e‑Mails nicht mehr lesbar. Folglich kann man keinerlei e‑Mail Archivierung mehr machen, da die Daten nach Ablauf des Zertifikates für immer verschlüsselt und unlesbar bleiben.
CloudFiles ist der Ideale Weg um Daten zwischen Steuerberater / Anwalt / Notar und Klienten zu übermitteln.
Jeder Klient bekommt seine eigene Databox wo er mittels https Webinterface Daten per Drag&Drop einfach und simpel hoch und runterladen kann. In der Kanzlei ist CloudFiles als Netzlaufwerk (z.B. X:, Y:, N: etc.) mit direkter VPN Verbindung ins CloudNow Datencenter in die EDV eingebunden. Die zu übermittelnden Daten werden dann einfach im Kundenordner gespeichert und sind sofort vom Kunden sicher und DSGVO konform abrufbar.
Alternativ kann auch ein sicherer “Link” vergeben werden. Mit Einmalpasswort und Ablaufdatum.
Einfach, schnell und komfortabel.
Mai 8, 2018 | Unkategorisiert
Momentan herrscht viel Verwirrung um Dropbox, Box und Co. Manche dieser Dienste sind tatsächlich DSGVO compliant. Andere nicht und wieder andere arbeiten daran compliant zu werden.
Leider wird von einigen DSGVO Beratern so gut wie allen File Sharing Diensten ein “Persilschein” ausgestellt, was so leider falsch ist.
Viele unserer Kunden verwenden nach wie vor Dropbox oder ähnliche File Sharing Dienste. Diese Dienste sind günstig und gut. Aber, wie man am beispiel Dropbox sehen kann, aktuell NICHT DSGVO compliant.
Dropbox selbst hat dies eingeräumt. (https://www.dropbox.com/de/help/security/general-data-protection-regulation) und versichert Kunden, dass Sie die Regeln “versuchen” einzuhalten.
Leider ist bei Dropbox als auch anderen File Sharing Diensten ein sehr wichtiges Merkmal nicht vorhanden. Die Datenspeicherung in der EU. Aktuell haben nur die wirklich großen Anbieter (Microsoft One Drive, Apple iCloud, Amazon S3) Ihr Equipment innerhalb der EU. Die meisten mittleren und kleinen File Sharing Anbieter haben das nicht. Dazu gehört auch Dropbox.
Viele dieser Firmen verweisen auf das “US Privacy Shield”. Dieses ist allerdings nicht ausreichend um die gesetzlichen Vorgaben zu erfüllen.
Fazit: Es ist JETZT die Zeit gekommen um Ihre Daten zu einem 100% DSGVO zertifizierten Anbieter zu wechseln.
CloudNow mit CloudFiles, ist so ein Anbieter. Unser Dienst ist 100% DSGVO konform, sicher und vor allem bleiben Ihre Daten in Österreich. Das Preismodell ist dem einer DropBox oder ähnlichen Anbietern angepasst. Die Performance meist besser.
Informieren Sie sich heute noch und wecheln Sie zu uns! Datensicherheit ist unser Geschäft.
