Datensicherheit, Datenschutz (nDSG)

Die Bedeu­tung der Daten­sicher­heit und des Daten­schutzes nimmt eine immer wichtigere Rolle ein. Ein Cyber-Angriff oder eine Daten­panne haben  meist schw­er­wiegende Folgen.

Daher gilt es mehr als zuvor, Dat­en zu schützen, zu sich­ern und geschützt zu ver­wahren. Am 1. Sep­tem­ber 2023 trat das neue Schweiz­er Daten­schutzge­setz (nDSG) in Kraft, was eben­falls Anpas­sun­gen an der Daten­hal­tung zur Folge hat. Bro­ker­Star und Bro­ker­Web sind darauf vorbereitet.

Daten­sicher­heit befasst sich mit dem generellen Schutz von Dat­en und Doku­menten. So fällt die Sicherung in jeglich­er Form eben­so unter den Begriff der Daten­sicher­heit, wie per­so­n­en­be­zo­gene Dat­en. Der Daten­schutz hinge­gen bezieht sich – min­destens was die geset­zlichen Vorschriften bet­rifft, auss­chliesslich auf die Spe­icherung und Ver­wen­dung von Personendaten.

Daten­sicher­heit und Daten­schutz ver­fol­gen also das Ziel, Dat­en jeglich­er Art gegen Bedro­hun­gen, Manip­u­la­tion, unberechtigten Zugriff oder Ken­nt­nis­nahme abzu­sich­ern. Dafür kön­nen analoge und dig­i­tale Mass­nah­men getrof­fen wer­den. Zuerst geht es um tech­nisch-organ­isatorische Mass­nah­men, welche auch im Kon­text des Daten­schutzes ver­wen­det werden.

Im dig­i­tal­en Bere­ich trägt die Imple­men­tierung von IT Secu­ri­ty-Lösun­gen, in Form von Viren­scan­nern, Fire­walls o.ä. zur Sicher­heit von Dat­en bei. Mass­nah­men physis­ch­er Natur sind hinge­gen Zugangskon­trollen, feuer­feste Akten­schränke oder Safes für sen­si­ble und ver­trauliche Unter­la­gen.  Daten­sicherung wie etwa die Erstel­lung von Sicher­heit­skopi­en auf einem sep­a­rat­en Spe­icher­medi­um, sind eben­falls essen­ziell. Eine solide Net­zw­erk Infra­struk­tur und regelmäs­sige Updates sind die Grund­vo­raus­set­zung zur Erre­ichung der Daten­sicher­heit­sziele. Beim Daten­schutz hinge­gen geht es im wesentlichen darum, wie Per­so­n­en­dat­en ver­wen­det und gespe­ichert werden.

Daher gilt es, organ­isatorische und per­son­alpoli­tis­che Vorkehrun­gen zu tre­f­fen, um einen hohen Sicher­heits­stan­dard im Unternehmen zu gewährleis­ten. Mitar­beit­er­schu­lun­gen- und Weit­er­bil­dun­gen, aber auch der Ein­satz von Fachkräften, wie IT-Sicher­heits­beauf­tragten und Daten­schutzbeauf­tragten tra­gen zur Daten­sicher­heit bei und sind aus Com­pli­ance Grün­den teil­weise verpflich­t­end. IT-Sicher­heits- und Daten­schutzbeauf­tragte wid­men sich in Ihrem Unternehmen der Analyse um poten­tiellen Sicher­heit­slück­en aufzudeck­en und durch Erstel­lung von entsprechen­den Mass­nah­men zur Erre­ichung des Datensicherheitsziels.

Die Begriffe sind also nicht nur eng miteinan­der ver­bun­den, son­dern bee­in­flussen sich gegen­seit­ig. So kann ohne Daten­schutz­mass­nah­men keine voll­ständi­ge Daten­sicher­heit erre­icht wer­den, da son­st per­so­n­en­be­zo­gene Dat­en wom­öglich nicht aus­re­ichend geschützt wür­den. Im Gegen­zug sind umfassende Daten­sicher­heits­mass­nah­men die Voraus­set­zung für einen effek­tiv­en Daten­schutz nach Vor­gabe geset­zlich­er Grund­la­gen und Best Practice.

Zum neuen Daten­schutzge­setz sind fol­gende Aspek­te sind wichtig:

  • Behal­ten Sie den Überblick, welche Dat­en genau und für welchen Zweck ver­ar­beit­et wer­den. Sie kön­nen jed­erzeit darüber Auskun­ft geben und erleben keine unan­genehmen Überraschungen.
  • Über­prüfen Sie die Erfas­sung per­sön­lich­er Dat­en kri­tisch. Was ist für Sie effek­tiv notwendig?
  • Reduzieren Sie Abfragekri­te­rien an Ihre Kun­den auf ein Mindestmass.
  • Schränken Sie den inter­nen Daten­zu­griff im Unternehmen auf möglichst wenige Per­so­n­en ein.
  • Über­prüfen Sie Ihre Daten­schutzerk­lärung detail­liert und passen Sie diese wenn notwendig an.
  • Kon­trol­lieren und verbessern Sie die tech­nis­chen Vor­e­in­stel­lun­gen und die Benutzerfreundlichkeit.
  • Schulen Sie Ihre Mitar­beit­er, um sie für die Wichtigkeit des The­mas zu sensibilisieren.

Details zum neuen Daten­schutzge­set­zt find­en sich here  und auf der offiziellen Seite des Bun­des

Quellen, Profi Engi­neer­ing, 2021, KMU Dig­i­tal­isierung 2022, Daten­schutz­part­ner 2022, www.admin.ch

Vor­la­gen und Doku­mente   (Quellen: SIBA, IG B2B, WMC)

Datenbearbeitung 

Portalnutzung 

Secure Mail 

IG B2B nDSG 

3CX Firstclass Telefonie zum KMU Preis

Die Tele­fonie-Kom­plet­tlö­sung
Sie benöti­gen Sie eine neue Tele­fo­nan­lage? WMC bietet die gesamte Lösung aus ein­er Hand an. Neb­st dem Kom­fort und ein­er grossen Zuver­läs­sigkeit prof­i­tieren Sie von erhe­blich reduzierten Tele­fonkosten. Die Zusam­me­nar­beit mit sip­call und WMC beste­ht schon rund 20 Jahren. Als erfahren­er Part­ner von 3CX ist WMC Ansprech­partner für alle The­men rund um die virtuelle Tele­fo­nan­lage (PBX).

Die drei Kom­po­nen­ten der Lösung

1. Voice over IP (VoIP)

Die heutige Tele­fonie in der Schweiz läuft seit 2019 immer über das Inter­net. Neue Meth­o­d­en erken­nen, ob es sich um Gespräche oder Dat­en han­delt. In den meis­ten Fällen wird die gesamte Kom­mu­nika­tion über den gle­ichen Anschluss übermittelt.

2. Com­put­er Inte­grat­ed Telephony

So wie Com­pu­t­er­dat­en eine Link zu ein­er Web­seite oder zu ein­er E‑Mail-Adresse enthal­ten kön­nen, sind auch direk­te Links zu ein­er Tele­fon­num­mer ver­füg­bar. Das Anklick­en schafft eine Verbindung direkt ins VoIP-basierte Tele­fon­netz oder über eine Tele­fo­nan­lage. Diese kann irgend­wo im Inter­net stehen.

3. Die CTI-Softwarelösung 

Bei Pro­gramme von WMC wie Bro­ker­Star oder iOf­fice haben die Tele­fonie einge­bun­den. Als Bindeglied benötigt es nur eine kom­pat­i­ble Tele­fo­nan­lage. Stan­dard­mäs­sig ist die Anbindung an eine 3CX ver­füg­bar. Auch für die Teams-Tele­fonie wird diese Anschlussmöglichkeit emp­fohlen. Schnittstellen zu anderen Anla­gen kön­nen bei Bedarf erstellt werden.

      Ser­vice inklusive.

  • Auf­nahme der Anforderun­gen des Kunden.
  • Ausar­beitung eines Gesamtvorschlags
  • Kündi­gung bish­eriger Provider
  • Abschluss Abon­nement Provider
  • Portierung von Telefonnummern
  • Lizen­zierung 3CX
  • Ein­richt­en Hosting
  • Liefern von Tele­fo­nen und Headsets *
  • Umstel­lung zum Stich­tag ohne Unterbruch
  • Pro­fes­sionelle Telefonansagen *
  • Gün­stiger Inter­ne­tan­schluss *                   *option­al auf Wunsch

Telefonieren mit BrokerStar / iOffice

Die Kom­plet­tlö­sung
Neb­st der Soft­ware von WMC benöti­gen Sie als Kunde einen Tele­fo­nan­schluss und eine 3CX Tele­fo­nan­lage. Diese kann beim Ihnen oder bei einem Tele­fon-Provider ste­hen. WMC bietet die gesamte Lösung aus ein­er Hand an. Neb­st dem Kom­fort und ein­er grossen Zuver­läs­sigkeit prof­i­tieren Sie von erhe­blich reduzierten Tele­fonkosten. Die Zusam­me­nar­beit mit sip­call und WMC beste­ht schon rund 20 Jahre.

Tele­fonieren mit Bro­ker­Star und iOf­fice ist jet­zt ver­füg­bar.
Nicht nur das Anwählen ein­er Tele­fon­num­mer im Pro­gramm erstellt automa­tisch die Verbindung. Bei einge­hen­den Anrufen erken­nt das Sys­tem auch eine gespe­icherte Num­mer und öffnet automa­tisch das entasprechende  Kun­den­fen­ster. Die Lösung funk­tion­iert derzeit auss­chliesslich mit der ver­bre­it­eten 3CX-Tele­fo­nan­lage. Die gerin­gen Kosten machen diese nüt­zliche Option zu einem Highlight.

 

Die drei Kom­po­nen­ten der Lösung

1. Voice over IP (VoIP)

Die heutige Tele­fonie in der Schweiz läuft seit 2019 auss­chliesslich über das Inter­net. Neue Meth­o­d­en erken­nen, ob es sich um Gespräche oder Dat­en han­delt. In den meis­ten Fällen wird die gesamte Kom­mu­nika­tion über den gle­ichen Anschluss übermittelt.

2. Com­put­er Inte­grat­ed Telephony

So wie Com­pu­t­er­dat­en eine Link zu ein­er Web­seite oder zu ein­er E‑Mail-Adresse enthal­ten kön­nen, sind auch direk­te Links zu ein­er Tele­fon­num­mer ver­füg­bar. Das Anklick­en schafft eine Verbindung direkt ins VoIP-basierte Tele­fon­netz oder über eine Tele­fo­nan­lage. Diese kann irgend­wo im Inter­net stehen.

3. Die CTI-Softwarelösung 

Pro­gramme von WMC wie Bro­ker­Star oder iOf­fice haben die Tele­fonie einge­bun­den. Als Bindeglied benötigt es nur eine kom­pat­i­ble Tele­fo­nan­lage. Stan­dard­mäs­sig ist die Anbindung an eine 3CX ver­füg­bar. Auch für die Teams-Tele­fonie wird diese Anschlussmöglichkeit emp­fohlen. Schnittstellen zu anderen Anla­gen kön­nen bei Bedarf erstellt werden.

Was bedeutet eigentlich Digitalisierung

Dig­i­tal­isierung ist der Ober­be­griff für den dig­i­tal­en Wan­del von Gesellschaft und Wirtschaft. Er beze­ich­net den Über­gang des von analo­gen Tech­nolo­gien geprägten 20. Jahun­derts zum Zeital­ter von Wis­sen und Kreativ­ität, das durch dig­i­tale Tech­nolo­gien und dig­i­tale Inno­va­tio­nen geprägt wird.

Die Dig­i­tal­isierung ist die wichtig­ste gesellschaftliche und wirtschaftliche Entwick­lung unser­er Zeit. Doch was bedeuten Begrif­f­en wie: Dig­i­taler Wan­del, Dig­i­tale Trans­for­ma­tion, Dig­i­tale Disruption?


Welche dig­i­tal­en Kom­pe­ten­zen brauchen wir in Zukun­ft? Was sind dig­i­tale Geschäftsmodelle?

Bei der dig­i­tal­en Trans­for­ma­tion kom­men Unternehmen und Organ­i­sa­tio­nen unter­schiedlich schnell voran. Während sich die einen darauf beschränken, beste­hende Geschäft­sprozesse zu dig­i­tal­isieren, entwick­eln die anderen proak­tiv dig­i­tale Konzepte und Geschäftsmod­elle. Entschei­dend für den Erfolg bei der Dig­i­tal­isierung ist der soge­nan­nte „dig­i­tale Reife­grad“. Dieser ist ein wis­senschaftlich basiertes 360-Grad-Instru­ment, mit dem alle zur Verän­derung wichti­gen Fak­toren abge­fragt werden.

Dig­i­tal­isierung ein­fach erklärt

In den ver­gan­genen etwa 20 Jahren wur­den unter­schiedliche dig­i­tale Tech­nolo­gien (mobiles Inter­net, kün­stliche Intel­li­genz, Inter­net der Dinge etc.) drastisch weit­er­en­twick­elt und haben den Sprung von der Exper­te­nan­wen­dung hin in den All­t­ag geschafft.  Ähn­lich wie die Inno­va­tion der Dampf­mas­chine die Gesellschaft verän­dert hat, wirkt auch der dig­i­tale Wandel.

Dig­i­tal­isierung ist tech­nolo­giegetrieben. Auf Basis der entwick­el­ten dig­i­tal­en Tech­nolo­gien entste­hen dig­i­tale Inno­va­tio­nen: Neue Anwen­dungs­fälle, die durch beste­hende Unternehmen und Start-ups mit Risikokap­i­tal getrieben wer­den. Dies führt zu unter­schiedlichen Geschwindigkeit­en. Während zB. die öffentliche Ver­wal­tung vielfach nur Papier­belege akzep­tiert und mit Akten arbeit­et, verän­dern sich Märk­te deut­lich schneller. Inzwis­chen sind alle Branchen durch die Dig­i­tal­isierung betrof­fen. Die Dig­i­tal­isierung bee­in­flusst auch die Zukun­ft der Finanz- und Ver­sicherungs­branche. Neue For­men sind erst durch die Tech­nolo­gien der Dig­i­tal­isierung möglich, die sich in Zukun­ft weit­er aus­bre­it­en werden.

Dig­i­tal­isierung verän­dert die Zukun­ft tra­di­tioneller Berufe. Ärzte wer­den kün­ftig vor allem in der Diag­nos­tik durch E‑Health Anwen­dun­gen mehr und mehr unter­stützt. Dien­stleis­tun­gen im juris­tis­chen Bere­ich (heute primär von Anwäl­ten vorgenom­men) wer­den durch dig­i­tale Ser­vices aus dem Bere­ich Legal Tech ergänzt oder erset­zt wer­den. Und der Begriff Insuretech ist bere­its etabliert.

In Zukun­ft wird die Dig­i­tal­isierung neue Anforderun­gen an Schule, Aus und Weit­er­bil­dung, in allen Bere­ichen erforder­lich machen. Es ist Auf­gabe von Wirtschaft, Ver­bän­den und der Poli­tik, die Gesellschaft auf die kom­menden Verän­derun­gen vorzubereiten.

Dig­i­tal­isierung und Unternehmen

Die Dig­i­tal­isierung hat für Unternehmen jed­er Grösse Auswirkun­gen. Zum einen nutzen Unternehmen dig­i­tale Tech­nolo­gien für die Dig­i­tal­isierung ihrer Geschäft­sprozesse, also zur Prozes­sop­ti­mierung und Prozessin­no­va­tion. Dies wird auch durch die dig­i­tale Trans­for­ma­tion vor­angetrieben und zum Teil durch Start-ups real­isiert. Bei der Dig­i­tal­isierung beste­ht die Her­aus­forderung für Unternehmen darin, neue Kun­denbedürfnisse zu iden­ti­fizieren, die sich auf­grund der wach­senden Ver­bre­itung dig­i­taler Dien­stleis­tun­gen und Apps ergeben.

Mit den so genan­nten „Dig­i­tal Natives“ sind zudem neue Ziel­grup­pen ent­standen. Zur Steigerung der Kun­de­nori­en­tierung auf diese Ziel­grup­pen, benöti­gen Unternehmen häu­fig andere Mar­ket­ing- und Ver­trieb­sstrate­gien. Das Han­deln ist anzu­passen, um im dig­i­tal­en Wan­del erfol­gre­ich zu sein Unternehmen müssen sich mit der Frage auseinan­der­set­zen: Wie wollen wir mor­gen Kun­den/-innen erre­ichen? Welche Rolle spie­len neue Trends? Wie gehen wir mit den immer indi­vidu­eller wer­den­den Bedürfnis­sen unser­er Kun­den/-innen um?

Entwick­lung dig­i­taler Abläufe und Prozesse: Abschied von Papier­ak­ten durch die Ein­führung von Prozessen und Abläufe im Unternehmen, die durch die Dig­i­tal­isierung zum Teil radikal neu gedacht wer­den müssen wie der Umgang mit Dat­en, die inner­halb des Unternehmens, im Zusam­men­hang mit den Tätigkeit­en eines Unternehmens und bei Kun­den/-innen anfall­en. Aus Dat­en lassen sich neue Ser­vices und Geschäftsmod­elle entwick­eln. Die Dig­i­tal­isierung uns alle vor die Her­aus­forderung, sich dauer­haft zu verän­dern und anzu­passen. Wet­tbe­werb­svorteile aus ver­gan­genen Zeit­en beste­hen nur noch bed­ingt. Dazu müssen Unternehmen die dig­i­tale Trans­for­ma­tion im Unternehmen vorantreiben und ihre Dig­i­tal Readi­ness steigern.

Reporting im BrokerStar

Der Begriff Report­ing umfasst sämtliche Arten von Auswer­tun­gen egal ob als Liste oder Grafik und egal in welchem For­mat.
Im nach­fol­gen­den Artikel erk­lären wir, wie das Report­ing-Sys­tem in Bro­ker­Star aufge­baut ist. Wir betra­cht­en tech­nis­che und lizen­zrel­e­vante Aspek­te und zeigen die ver­schiede­nen Möglichkeit­en auf.

1. Das Report­ing-Sys­tem von Bro­ker­Star
2. Standard‑, Individual‑, Ad Hoc-Reports
3. Dateifor­mate
4. Dien­stleis­tun­gen

 

1. Das Report­ing-Sys­tem von BrokerStar

Bro­ker­Star ver­wen­det ein sog. Busi­ness Intel­li­gence (BI) Tool, TIBCO Jasper­soft. Diese weitver­bre­it­ete Tech­nolo­gie erlaubt, sämtliche Infor­ma­tio­nen aus der Daten­bank zu selek­tieren und auszugeben. Dabei kön­nen Dat­en beliebig neu zusam­mengestellt und in Rela­tion geset­zt wer­den. Zudem lassen sich die Dat­en auch mit Infor­ma­tio­nen aus anderen exter­nen Daten­quellen kombinieren.
 
2. Standard‑, Individual‑, Ad Hoc-Reports
Bro­ker­Star unter­schei­det aus lizen­ztech­nis­ch­er Sicht ver­schiedene Kategorien:
Stan­dard­reports sind sta­tis­che Auswer­tun­gen, also unter­schiedliche Lis­ten, die im Rah­men des Liefer­um­fangs stan­dard­mäs­sig im Bro­ker­Star an alle Kun­den aus­geliefert wer­den. Diese Auswer­tun­gen lassen sich ab 2022 für den Bro­ker grafisch individualisieren.
Indi­vid­u­al­re­ports sind indi­vidu­elle Auswer­tun­gen, die speziell auf Kun­den­wun­sch für den Bro­ker ange­fer­tigt wer­den. Sie wer­den nicht als Stan­dard an andere Bro­ker aus­geliefert und sind kostenpflichtig.
Ad Hoc-Reports sind Auswer­tun­gen, die in der Regel durch den Bro­ker selb­st erstellt wer­den. Dies bed­ingt ein gewiss­es Know How ver­gle­ich­bar mit dem Erstellen kom­plex­er­er Excel-Tabellen. Selb­stver­ständlich kön­nen auch Ad Hoc-Reports durch WMC erstellt wer­den. Eine weit­ere Dien­stleis­tung beste­ht in der Wis­sensver­mit­tlung zB in Form von Schu­lung. Da es sich bei TIBCO Jasper­soft um ein Stan­dard­pro­dukt han­delt, gibt es auch im Inter­net oder durch Drit­tan­bi­eter ver­schiedene Schulungsmöglichkeiten.
 
3. Dateifor­mate

Reports aus Bro­ker­Star kön­nen grund­sät­zlich in sämtlich ver­füg­baren Dateifor­mat­en aus­gegeben wer­den. Zu den wichtig­sten zählen PDF/A (rechtlich archivier­bare, unverän­der­bare PDF), Excel, Word, Pow­er­point oder HTML. Die Stan­dard­reports wer­den in der Regel als PDF aus­gegeben. Es gibt aber auch gener­ische Excel-Exporte zur eige­nen Weit­er­bear­beitung. Für die Aus­gabe als Word wird option­al der Umweg über eine automa­tis­che Kon­vertierung des PDF in eine Word­datei angeboten.

Tech­nisch gese­hen bietet TIBCO Jasper­soft fünf ver­schiedene Ebe­nen (Lev­els) an:
– Lev­el 1: Sta­tis­che Berichte unter Ver­wen­dung ein­er einge­bet­teten Berichtsbibliothek
– Lev­el 2: Geführte Berichte mit ein­fach­er Inter­ak­tiv­ität, Pla­nung, Sicher­heit und autom. Verteilung.
– Lev­el 3: Hoch inter­ak­tive Berichte und Dash­boards unter Ver­wen­dung des Berichtsservers
– Lev­el 4: Ad-hoc-Berichte zur Selb­st­be­di­enung über einen BI-Server
– Lev­el 5: Self-Ser­vice-Daten­ex­plo­ration gegen einen Data Mart unter Ver­wen­dung eines BI-Servers
 

4. Dien­stleis­tun­gen
In der Sub­scrip­tion enthal­ten:
– Alle Standardreports

Kostenpflichtige Zusat­zleis­tun­gen
– Indi­vidu­elle Anpas­sun­gen an Stan­dard­reports -> Indi­vid­u­al­re­ports
– Indi­vid­u­al­re­ports. Dash­boards, Cock­pits, Ad Hoc-Reports
– Schu­lung

Lizen­zen
– Alle Reports ab Lev­el 2 erfordern die Lizen­zierung des MIS-Moduls

Jaspersoft 

Analysis with BI 

Five Levels 

Standardreports 2022 

Sicheres Login

Die Mehr-Fak­tor-Authen­tifizierung ist eine Sicher­heit­sproze­dur, bei der ein Anwen­der zwei unter­schiedliche Merk­male bere­it­stellt, um sich zu iden­ti­fizieren. Eines der Merk­male ist meist ein physis­ch­er Token, wie ein Sicher­heitscode oder eine SMS.
Man spricht gerne von etwas, das „man hat“ und etwas, das „man weiss”. Ein typ­is­ches Beispiel für eine Zwei-Fak­tor-Authen­tifizierung sind ein QR-Code, während die PIN (per­sön­liche Iden­ti­fizierungsnum­mer) die dazuge­hörige Infor­ma­tion bildet. Die Kom­bi­na­tion bei­der macht es ein­er frem­den Per­son schwieriger, auf Dat­en des Nutzers zuzugreifen.

Mul­ti-Fak­tor-Authen­tifizierung für sicherere Verbindungen

Die Mul­ti-Fak­tor Authen­tifizierung entspricht der Zwei Fak­tor-Authen­tifizierung, wobei ver­schiedene Tokens zur Anwen­dung kom­men kön­nen. Damit kann der User wählen, welche Meth­ode ihm am Besten zusagt.  Mod­erne Sicher­heit­sprozesse beste­hen oft aus einem Pass­wort und bio­metrischen Dat­en wie Fin­ger­ab­druck oder ein­er Stimmerkennung.

Einem Angreifer kann es etwa gelin­gen, einen einzel­nen Authen­tifizierungs-Fak­tor zu knack­en. So kann eine gründliche Suche im Umfeld des Opfers beispiel­sweise zum Fund eines Mitar­beit­er­ausweis­es oder ein­er Benutzerken­nung samt zuge­hörigem Pass­wort führen, die im Müll gelandet sind. Oder eine unacht­sam entsorgte Fest­plat­te enthält eine Pass­wort­daten­bank. Wenn jedoch weit­ere Fak­toren zur Authen­tifizierung erforder­lich sind, ste­ht der Angreifer vor min­destens ein­er weit­eren Hürde, die er umschif­f­en muss.

Der Grossteil der heuti­gen Angriffe erfol­gt über Inter­netverbindun­gen. Mehr-Fak­tor-Authen­tifizierung kann diese Dis­tan­zat­tack­en weit weniger gefährlich machen, weil das reine Knack­en des Pass­worts nicht mehr aus­re­icht, um Zugriff zu erhal­ten. Denn es ist sehr unwahrschein­lich, dass der Angreifer auch in den Besitz des physis­chen Geräts oder Codes gelangt, das mit dem Benutzer-Account verknüpft ist. Jed­er zusät­zliche Authen­tifizierungs-Fak­tor macht ein Sys­tem also sicher­er. Das liegt daran, dass die einzel­nen Fak­toren unab­hängig voneinan­der sind. Sollte ein­er der Fak­toren kom­pro­mit­tiert wer­den, bet­rifft das die anderen nicht.

Bro­ker­Star und iOf­fice by WMC ver­wen­den ab der Ver­sion 2.4 eine Mul­ti-Fak­tor Authentifizierung.

Mul­ti-Fak­tor Authentifizierung
Mul­ti-Fak­tor Authentifizierung
 

Die neue QR-Rechnung

Die QR-Rech­nung erset­zt nicht bloss den Ein­zahlungss­chein. Im QR-Code kön­nen zusät­zliche Infor­ma­tio­nen in struk­turi­ert­er Form gespe­ichert wer­den, welche die automa­tis­che Ver­ar­beitung beim Rech­nungsempfänger erhe­blich vereinfachen.

Wer küm­mert sich in Ihrem Unternehmen um den Postein­gang und wer bezahlt die Rech­nun­gen frist­gerecht? Gut, wenn diese Prozesse dig­i­tal­isiert sind und immer zuver­läs­sig ablaufen. Die elek­tro­n­is­che Rech­nung und der dig­i­tale Kred­i­toren­prozess sind mehr denn je unverzicht­bare Werkzeuge für alle Unternehmen. Wichtig ist dabei, die indi­vidu­ell passende Lösung zu finden.

Auf den ersten Blick erscheint die QR Rech­nung wenig inter­es­sant. Doch  eröffnet sie neue Möglichkeit­en für die automa­tis­che Rech­nungsver­ar­beitung beim Empfänger. Da alle rel­e­van­ten Infor­ma­tio­nen für die Zahlungsab­wick­lung im QR-Code in struk­turi­ert­er Form enthal­ten sind, ist ein automa­tis­ch­er Abgle­ich mit den vorhan­de­nen Kred­i­toren­dat­en ein­fach­er zu real­isieren. Ausle­se­fehler gehören der Ver­gan­gen­heit an und manuelle Eingaben sind nicht mehr notwendig.

Die QR-Rech­nung bietet auch ein Fre­i­t­extfeld, das für zusät­zliche Infor­ma­tio­nen an den Rech­nungsempfänger genutzt wer­den kann. Dort lassen sich Dat­en, welche die automa­tis­che Ver­ar­beitung der Rech­nung weit­er unter­stützen, hin­ter­legen. Ide­al­er­weise geschieht dies in stan­dar­d­isiert­er Form, sodass die Dat­en in ein­heitlich­er Form vor­liegen, egal von welchem Rech­nungssteller. Darum hat ein Experten­gremi­um ver­schieden­er Ver­bände einen Stan­dard definiert, welch­er für die Zuord­nung und Ver­ar­beitung der Rech­nung rel­e­van­ten Dat­en enthält  So kön­nen Kun­den­ref­erenz, Zahlungskon­di­tio­nen, Mehrw­ert­s­teuerde­tails in der vordefinierten Struk­tur abge­bildet wer­den. Einen vorge­druck­ten Ein­zahlungss­chein braucht es nicht mehr und die struk­turi­erten Rech­nungs­dat­en, lassen sich auch in eine PDF-Datei inte­gri­eren unkom­pliziert per E‑Mail versenden.

Quelle, Top­soft, 2021

 

So perfide gehen die Cybererpresser vor

Schad­soft­ware als Bewer­bung getarnt.
Angriffe über das Inter­net häufen sich. Gisela Kipfer vom Nationalen Zen­trum für Cyber­sicher­heit ken­nt die Maschen der Täter.

Frau Kipfer, wer kann Opfer eines Cyberan­griffs werden?

Im Fokus der Angreifer ste­hen alle ver­wund­baren Sys­teme, unab­hängig ob es sich um Unternehmen, Behör­den oder Pri­vat­per­so­n­en han­delt. Ziel der Angreifer ist stets, mit möglichst wenig Aufwand möglichst hohen Gewinn zu erzie­len. Bei Ran­somware ist ausser­dem zu beacht­en, dass es aus Angreifer­sicht keine Rolle spielt, welche Dat­en ver­schlüs­selt wer­den: Han­delt es sich um Dat­en, die für das Opfer einen wirtschaftlichen oder per­sön­lichen Wert haben, wird das Opfer ver­mut­lich bere­it sein, auf die Lösegeld­forderung einzugehen.

Die E‑Mails mit Schad­soft­ware kom­men immer per­son­al­isiert­er daher, etwa als Bewer­bun­gen oder Offer­ten. Wie bere­it­en die Täter einen Angriff vor?

Oft suchen die Angreifer auf der Web­site der poten­ziellen Opfer nach hil­fre­ichen Infor­ma­tio­nen wie Jahres­bericht­en der Unternehmen oder Infor­ma­tio­nen zu Mitar­bei­t­en­den.  

Wie kann sich ein Unternehmen vor Cyberan­grif­f­en schützen?

Wenn die wichtig­sten Grun­dregeln befol­gt wer­den, lässt sich die Gefahr von Ran­somware-Angrif­f­en oder generell Cyberan­grif­f­en aber den­noch senken. Dazu gehört die Umset­zung des Grund­schutzes, zum Beispiel regelmäs­siges Dat­en-Back-up, Updates, Fire­walls, Viren­schutz und mehr. Darüber hin­aus müssen organ­isatorische Mass­nah­men getrof­fen wer­den, beispiel­sweise im Bere­ich Krisen­man­age­ment und Krisenkom­mu­nika­tion. Die stete Sen­si­bil­isierung der Mitar­bei­t­en­den spielt aber eine eben­so grosse Rolle. Organ­isatorische und tech­nis­che Mass­nah­men greifen nur dann im gewün­scht­en Rah­men, wenn die Mitar­bei­t­en­den ver­ste­hen, warum sie gewisse Dinge berück­sichti­gen müssen. 

«Sollte keine Alter­na­tive zu ein­er Lösegeld­bezahlung beste­hen, unter­stützen die Strafver­fol­gungs­be­hör­den bei den Ver­hand­lun­gen mit den Kriminellen.»

Was kann man tun, wenn trotz allem ein Angriff passiert ist?

Die infizierten Sys­teme soll­ten umge­hend vom Netz getren­nt wer­den. Back-ups soll­ten schnell­st­möglich gesichert wer­den, sofern diese noch vorhan­den sind beziehungsweise noch nicht ver­schlüs­selt wur­den. Und diese müssen raschest­möglich physisch vom infizierten Net­zw­erk getren­nt wer­den. Sicherungskopi­en soll­ten ohne­hin nach jedem Back-up-Vor­gang vom Computer/Netzwerk getren­nt wer­den. Wur­den die Dat­en ver­schlüs­selt und ist kein Back-up vorhan­den, bietet die Web­site https://www.nomoreransom.org/ hil­fre­iche Tipps, um die Schad­soft­ware zu iden­ti­fizieren, und die Möglichkeit, bere­its bekan­nte Schlüs­sel herunterzuladen. 

Wie hoch sind die geforderten Lösegeldsummen?

Eine Schätzung betr­e­f­fend Lösegeld­sum­men ist sehr schwierig, da dem NCSC in den wenig­sten Fällen mit­geteilt wird, ob Lösegeld bezahlt wurde. Die Erfahrung zeigt, dass die Höhe der geforderten Sum­men oft­mals an die finanziellen Möglichkeit­en der Opfer angepasst werden.

Was bringt mehr: die Polizei ein­schal­ten oder ein­fach bezahlen?

Das Nationale Zen­trum für Cyber­sicher­heit rät von der Zahlung eines Lösegeldes ab. In jedem Fall sollte aber eine Strafanzeige bei der zuständi­gen Polizeibehörde ein­gere­icht wer­den. Diese berät die Opfer bezüglich des weit­eren Vorge­hens ins­beson­dere in Bezug auf die Kom­mu­nika­tion mit der Täter­schaft und das Ver­hal­ten gegenüber dieser. Sollte ausser­dem keine Alter­na­tive zu ein­er Lösegeld­bezahlung beste­hen, unter­stützen die Strafver­fol­gungs­be­hör­den bei den Ver­hand­lun­gen mit den Krim­inellen mit dem Ziel, dass möglichst wenig Lösegeld bezahlt wird.

Quelle: Basler Zeitung, 06.01.2022

 
 
 

Secu­ri­ty bei WMC

Die Bedro­hun­gen aus dem Inter­net nehmen gemäss dem Nationale Zen­trum für Cyber­sicher­heit (NCSC) des Bun­des ständig zu .

WMC ist seit Jahren auf IT-Secu­ri­ty fokussiert und unter­stützt Kun­den mit Sicher­heit­slö­sun­gen. Das gilt auch für den Schutz von Bro­ker­Star-Dat­en, die durch WMC gehostet wer­den. Erneut wur­den die Mass­nah­men  mas­siv aus­ge­baut. Zudem wird die gesamte IT-Infra­struk­tur  durch eine zuge­lassene Audit-Fir­ma laufend geprüft.

Ab 2021 wird allen Kun­den ein indi­vidu­elles Audit Zer­ti­fikat aus­ge­händigt. Dieses dient  als Ausweis  für Com­pli­ance im Rah­men des inter­nen Kon­troll­sys­tems (IKS).