Finden personenbezogener EU-Personendaten mit regulären Ausdrücken (RegEx)

DSGVO RegEx

Wenn es einen überaus wichtigen, aber unterschätzten Punkt zur Einhaltung strenger Datensicherheitsrichtlinien wie der Datenschutz-Grundverordnung (DSGVO) gibt, dann ist es die Bedeutung des Findens und Klassifizierens personenbezogenen Daten. Herauszufinden, wo sich personenbezogene Daten in Dateisystemen befinden und welche Berechtigungen zum Schutz dieser Daten verwendet werden, sollte der erste Schritt in jedem Aktionsplan sein. Dies ist […]

Weiterlesen →

Was kosten eigentlich Datenschutzverletzungen? (Teil I)

Datenschutzverletzungen

Datenschutzverletzungen sind überaus kostspielig. Nein, Moment mal, sind sie doch nicht. Aber mehr als 60 Prozent der Unternehmen gehen nach einer Datenschutzverletzung in Konkurs! Oder etwa nicht? Wie sieht es mit der Rufschädigung eines Unternehmens aus? Dieser Aspekt könnte durchaus übertrieben sein, aber nach Equifax könnte er ebenso gut große Bedeutung haben. Und sind die Kosten […]

Weiterlesen →

Arbeiten mit lokalen Administratorkonten unter Windows, Teil III

Administratorkonto

Erinnern wir uns: Der zentrale Punkt dieser Serie ist, die Befugnisse, die in den Administrator-Konten enthalten sind, zu begrenzen. Kurz gesagt: Verwenden Sie die Macht sparsam. Im letzten Post haben wir gezeigt, dass es möglich ist, das lokale Administratorkonto zu entfernen und zentral mit GPOs zu verwalten. Jetzt sehen wir uns ein paar Dinge an, […]

Weiterlesen →

Ein paar Gedanken über Datensicherheitsstandards

Datensicherheitsstandards

Wussten Sie, dass der 462 Seiten starke NIST 800-53-Datensicherheitsstandard über 206 Steuerungen mit über 400 Teilsteuerungen1 verfügt? Übrigens können Sie sich hier die komfortable XML-Version anzeigen lassen. PCI DSS steht dem mit hunderten Teilsteuerungen in seinen Spezifikationen in nichts nach. Und dann gibt es noch den weit verbreiteten IS0 27001-Datenstandard! Nicht zu vergessen die Sicherheitsframeworks, wie etwa COBIT […]

Weiterlesen →

Arbeiten mit lokalen Administratorkonten unter Windows, Teil II

Working With Windows Local Administrator Accounts, Part II

Bevor wir uns eingehender mit eingeschränkten Gruppen befassen, dachte ich, es könnte vielleicht nicht schaden, einen genaueren Blick darauf zu werfen, wie Hacker Administratorkennwörter ausnutzen. Pass-the-Hash-Fans werden hier erfahren, inwieweit Hashes sogar mit lokalen Konten verwendet werden können. Außerdem hatte ich die Möglichkeit, LAPS (Windows Local Administrator Passwords Solution) zu testen. Wichtiger Hinweis: LAPS macht […]

Weiterlesen →

Arbeiten mit lokalen Administratorkonten unter Windows, Teil I

Working With Windows Local Administrator Accounts, Part I

In Abfassungen über Hacker und ihre Methoden ist oft vom Problem mit lokalen Administratorkonten unter Windows die Rede. Vor Windows 7 wurde das Administratorkonto standardmäßig ohne Kennwort erstellt. Das war keine gute Sicherheitspraxis und Hacker nutzen das seither zu ihrem Vorteil. Seit Windows 7 waren lokale Administratorkonten standardmäßig deaktiviert. Und Sie sollten sie in Ihrer Domäne deaktivieren, […]

Weiterlesen →

[Podcast] Dr. Zinaida Benenson und der menschliche Drang zu klicken

Phishing Bedrohungen

Dieser Artikel ist Teil der Reihe „[Podcast] Dr. Zinaida Benenson und Phishing-Bedrohungen“. Sehen Sie sich den Rest an: [Podcast] Dr. Zinaida Benenson und der menschliche Drang zu klicken (Sie sind hier) [Podcast] Dr. Zinaida Benenson und Sekundärverteidigungen Dr. Zinaida Benenson ist Forscherin an der Universität Erlangen-Nürnberg, wo sie die Gruppe „Menschliche Faktoren in Sicherheit und Datenschutz“ […]

Weiterlesen →

[Podcast] Dr. Zinaida Benenson und sekundäre Verteidigungen

Phishing Bedrohungen

Dieser Artikel ist Teil der Reihe „[Podcast] Dr. Zinaida Benenson und Phishing-Bedrohungen“. Sehen Sie sich den Rest an: [Podcast] Dr. Zinaida Benenson und der menschliche Drang zu klicken  [Podcast] Dr. Zinaida Benenson und Sekundärverteidigungen (Sie sind hier) Im zweiten Teil unseres Interviews sagt Prof. Benenson, dass Phishing in Unternehmen fast unvermeidlich ist – und das schließt […]

Weiterlesen →

Ich klicke, also bin ich: verstörende Forschungsergebnisse zum Phishing

Der Homo sapiens klickt auf Links in unbeholfenen, nicht personalisierten Phishing-E-Mails. Er tut das einfach. Es gibt Forschungsergebnisse, die nahelegen, dass ein kleiner Prozentsatz der Bevölkerung einfach so verdrahtet ist, dass er bei seinen Aktivitäten im Internet automatisch klickt. Bis vor Kurzem war das „Warum“ hinter dem Klick-Verhalten von Menschen ein Rätsel. Jetzt haben wir […]

Weiterlesen →

Datenschutz-Compliance und DatAdvantage, Teil I: Wichtige Berichte für die Risikobewertung

Über die letzten Jahre veröffentlichte ich verschiedenste Artikel zu unterschiedlichen Datensicherheitsstandards, Datenschutzgesetzen und Datenschutzbestimmungen. Daher kann ich mit gutem Gewissen behaupten, dass es einige Ähnlichkeiten zwischen der Datenschutz-Grundverordnungder EU, den HIPAA-Vorschriftender USA, dem PCI DSS, den NIST 800 Kontrollen und weiteren Standards gibt. Als Ausgangspunkt für die Auswertung dieser Ähnlichkeiten stehe ich im wahrsten Sinne des Wortes auf […]

Weiterlesen →