Die Ausbildung zu Kaufleuten für Versicherungen und Finanzen, in den beiden Fachrichtungen Versicherung oder Finanzberatung, bietet einen hervorragenden Start ins Berufsleben. Durch die Vielfältigkeit der Themen in diesem Berufsbild werden umfassendes Wissen und Fertigkeiten erworben, mit denen man sich später auch in anderen Berufsfeldern gut zurechtfindet.
Weiterlesen

…kritisch.

Was ist passiert?

In den letzten Tagen wurde eine Schwachstelle in den von Microsoft zur Verfügung gestellten Exchange-Servern der breiteren Öffentlichkeit bekannt.

Die erstmals mit dem Namen „CVE-2021-26855“ bezeichnete Schwachstelle nutzt Lücken bei der Authentifizierung gegenüber den Microsoft-Exchange-Servern aus. Die Hacker-Gruppe „Hafnium“ wird von Microsoft in diesem Zusammenhang genannt.

Microsoft Exchange Server werden vor allem in Zusammenhang mit Microsoft Outlook benutzt. Microsoft Exchange bezeichnet die Server- und Softwarestruktur, die u. a. zur zentralen Ablage und Verwaltung von E-Mails, Terminen und Kontakten genutzt wird.

Viele Unternehmen weltweit sind von der Schwachstelle betroffen. Es ist deshalb wenig verwunderlich, dass das BSI (Bundesamt für Sicherheit in der Informationstechnik) bereits vor einigen Tagen die Bedrohungslage als kritisch bezeichnet hat und die Bedrohungsstufe als rot (sehr hoch) eingestuft hat. Es wird dringendst empfohlen, die mittlerweile von Microsoft bereit gestellten Sicherheitsupdates durchzuführen.

Entsprechende Stellen bei den Datenschutzbehörden haben ebenfalls erste Stellungnahmen veröffentlicht. Die Behörden haben sich in den einzelnen Bundesländern unterschiedlich darüber geäußert, ab wann ein tatsächlicher Datenschutzverstoß und eine Meldung nötig sind. Der Landesdatenschutzbeauftragte des Landes Baden-Württemberg (Dr. Stefan Brink) führte hierzu aus: „Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen. Nur in atypischen Konstellationen wird kein Risiko für die Rechte und Freiheiten von betroffenen Personen bestehen (vgl. Artikel 33 Absatz 1 DS-GVO). Ein Verzicht auf die Meldung sollte begründet und dokumentiert werden.“

Was sollten die Unternehmen nun beachten?

  1. Rasche Beseitigung der Schwachstelle.
  2. Überprüfung, ob das eigene System kompromittiert wurde. Falls das eigene System nachweislich nicht betroffen ist, sollte dies unbedingt dokumentiert werden.
  3. Falls eine nachweisliche Kompromittierung stattgefunden hat, sollten umgehend die weiteren Schritte eingeleitet werden. Diese sind u. a. Meldung bei der Datenschutzbehörde, Feststellung des Umfangs der Kompromittierung, Bereinigung des kompromittierten Systems, Dokumentation der gesamten Situation, Benachrichtigung an die entsprechenden Kunden, etc.

Was bedeutet dieser Fall in Bezug auf die Cybersicherheit von Unternehmen?

Eine 100%tige Sicherheit der IT-Systeme ist nicht möglich. Die Bedrohungen können aus unterschiedlichen Richtungen kommen und IT-Systeme beinhalten unterschiedliche Komponenten.

In Falle des „Exchange-Server-Hacks“ konnten Unternehmen und deren IT-Administration nur reagieren. Ein aktives Vorbeugen war nicht möglich. Die Schließung der Lücken konnte nur vom Anbieter (Microsoft) angestoßen werden. Vor dem 03.03.2021 war die Schließung der Lücken schlichtweg nicht möglich. Erst seit dem 09.03.2021 ermöglicht Microsoft die Einspielung der Patches für alle betroffenen Server-Systeme.

Viele der Server wurden vermutlich bereits vor diesem Zeitraum kompromittiert. Der Schaden und die finanziellen Auswirkungen, die sich aus den oben angeschnittenen Maßnahmen ergeben, sind nicht durch die eigene IT-Sicherheit zu verhindern gewesen.

Zusätzlich stellt sich nun für die Firmen die Frage, ob die Maßnahmen alleine in Angriff genommen werden sollen oder ob vielleicht auch entsprechende Experten aus diesem Bereichen mit ins Boot geholt werden sollen. Bei den Experten könnte es sich beispielsweise um IT-Forensiker, Fachanwälte, PR-Berater usw. handeln. Diese lassen sich Ihre Arbeit allerdings entsprechend bezahlen.

Die Cyberversicherung: der Airbag, falls doch etwas schief geht

Die guten „Cyber-Versicherungen“ am Markt beinhalten sowohl die Kosten, die auf ein betroffenes Unternehmen zukommen, als auch die Experten.

Das Zusammenspiel zwischen den Vorbeugemaßnahmen (eigene IT-Struktur) und der Absicherung des Restrisikos („Cyber-Versicherung“) lässt sich in etwa mit dem Zusammenspiel von Bremsen und Airbags in Fahrzeugen vergleichen. Die meisten Fahrzeuge haben, obwohl sie gut funktionierende Bremsen haben, auch Airbags. Die Bremsen sind eine Vorbeugemaßnahme und dienen der Unfallvermeidung. Für die Absicherung des Restrisikos der Personen existieren Airbags. Es gibt wohl kaum jemanden der auf einen Airbag verzichten würde, nur weil das Fahrzeug gut funktionierende Bremsen hat.

Warum geht man dieses Risiko als Unternehmen jedoch im Bereich der digitalen Gefahren ein?

 

Gerne hilft Ihnen Ihr Finanz- und Versicherungsmakler confin aus dem Raum Stuttgart dabei den passenden Versicherungsschutz zu finden und den Überblick zu behalten.

 

 

 

 

 

Autor: Tom Pöschmann

 

Quellen:

Der Landesdatenschutzbeauftragte Dr. Stefan Brink zu „Hafnium“: Pressemitteilung vom 10.03.2021: „Aktive Ausnutzung der Microsoft Exchange Schwachstelle“
https://www.tagesschau.de/inland/bsi-hacker-sicherheitsluecke-101.html
https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html
https://www.heise.de/news/Exchange-Hack-Uneinheitliche-Position-der-Datenschutzbehoerden-zur-Meldepflicht-5078453.html

https://www.heise.de/news/Exchange-Luecken-BSI-ruft-IT-Bedrohungslage-rot-aus-5075457.html?utm_source=pocket-newtab-global-de-DE

Mal wieder werden Berater verarscht.

Bei  ZDF-Magazin wiso heißt das natürlich „Testkauf“.

Eine Journalistin und ein Jurist, der bei der Verbraucherschutzzentrale arbeitet, spielen ein Ehepaar mit zwei Kindern, auf der Suche nach der richtigen Altersversorgung. Weiterlesen

15 Stunden Weiterbildung sind inzwischen gesetzlich gefordert.

Aus unserer Sicht reicht das im komplexen Bereich des Finanz- und Versicherungsmaklers, dem Geschäftsfeld der Confin GmbH nicht aus.
Confin GmbH
Finanz- und Versicherungsmakler Stuttgart
Steinbeissstr. 14

70736 Fellbach
Telefon : 0711-5208909-0

Als Genossenschaftsmitglied der VEMA eG sind wir nicht nur Teil einer starken Gemeinschaft, sondern auch überzeugt, dass lebenslanges Lernen in unserer schnelllebigen Welt unverzichtbar ist.

Diese Anforderung stellen wir nicht nur an Auszubildende und Fachkräfte im Unternehmen, sondern auch an die Geschäftsleitung. Trotz der über 30-jährigen Erfahrung ist es immer wieder spannend, sich Weiterbildungen incl. Prüfungen zu unterziehen um zu testen, ob das Fachwissen auf dem aktuellsten Stand ist. Aber sehen Sie selbst:

Weiterlesen

…besser zu werden… Sie kennen diesen Spruch!

 

Wenn man länger Zeit nichts hört, dann kann das ein gutes oder ein schlechtes Zeichen sein.

 

Also klären wir auf:

Bei uns ist es ein gutes, ja sogar ein sehr gutes Zeichen.

Seit dem letzten Blogbeitrag sind 7 Monate vergangen. Weiterlesen

Mehr oder weniger unbemerkt hat der Gesetzgeber dem Umstand Rechnung getragen, dass Drohnen immer beliebter werden. Damit steigt naturgemäß auch die Zahl der Zwischenfälle durch Abstürze, Kollisionen und Unfälle. Die neue Drohnenverordnung gilt bereits seit April diesen Jahres (2017). Ab 01.10.2017 ist nun auch der Kenntnisnachweis zwingend erforderlich: Weiterlesen

Wir Deutschen neigen zur Übertreibung. Ganz besonders, wenn es um gesetzliche Regelungen geht.

Bei bekannter Humorlosigkeit, sollten Sie jetzt weglesen…
Weiterlesen

Laut Stau-Statistiken verbringen Autofahrer in und um Stuttgart die meisten Stunden im Stau.

Was liegt da näher, als sich ein Dienstfahrrad anzuschaffen. Aber – man möchte nicht völlig verschwitzt und mit hochrotem Kopf bei seinen Terminen im Stadtgebiet ankommen.  Und Stuttgart ist, bedingt durch seine Kessellage, ein echtes Fitnessprogramm für Fahrradfahrer. Also: ein E-Bike! Los gehts mit Fakten checken. Dabei stolpert man dann über folgende Information: Weiterlesen

Das Bundeswirtschaftsministerium legte dieser Tage einen 45 Seiten starken Referenten-Entwurf zur Umsetzung der europäischen Vermittlerrichtlinie (IDD) in deutsches Recht vor. Eigentlich, so war der Plan, hätte die Umsetzung eins zu eins erfolgen sollen. Die Erfahrungen aus der Vergangenheit zeigen allerdings, dass Deutschland europäische Vorgaben  in aller Regel spät, dafür aber verschärft umsetzt. Nützt das dem Verbraucher, um dessen Schutz es eigentlich gehen soll? Weiterlesen

…oder: das Ende ist noch nicht erreicht.

Über die dpa in alle Medienkanäle gestreut fand sich heute die Meldung, dass die Stufenweise Anhebung des Renteneintrittslaters unvermeidbar sei.

Eine wichtige Nachricht für all diejenigen, die in der gesetzlichen Rentenversicherung (GRV) noch immer die, wichtigste, Alterversorgung der Zukunft sehen. Die Zeichen stehen, nicht nur bei der GRV, sondern auch bei den privaten Versicherern auf Sturm. Demographische Faktoren und steigende Lebenserwartung plagen beide, sinkende Zinsen speziell die Versicherer.

Aber was ist zu tun? Weiterlesen