Benötigt meine Organisation einen Informationssicherheitsbeauftragten?

Immer wie­der ein Thema bei Veranstaltungen oder auch Webinaren zur Informationssicherheit ist die Frage “Muss ich einen Informationssicherheitsbeauftragten bestel­len?” oder auch “Ist denn ein Informationssicherheitsbeauftragter in mei­ner Organisation not­wen­dig?”.

Wieso Sie an der Bestellung eines Informationssicherheitsbeauftragten (oder wie auch immer Sie die­se Funktion in Ihrer Organisation benen­nen) nicht vor­bei­kom­men und wie die­ser Ihre Investitionen (Zeit und Geld) in Informationssicherheit absi­chert, zei­gen wir Ihnen in unse­rem aktu­el­len Webvideo zum Thema

Der Informationssicherheitsbeauftragte

oder

Einer muss es ja am Laufen hal­ten

auf unse­rem Youtube-Channel.

Dabei beleuch­ten wir die Notwendigkeiten einer sol­chen Funktion z.B. auf Basis des BayEGovG für baye­ri­sche Kommunen aber auch für Unternehmen abge­lei­tet aus der EU-Datenschutzgrundverordnung (EU-DSGVO).

 

Handlungsbedarf für Owncloud- und Nextcloud-Betreiber — kritische Sicherheitslücke

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) warnt in einer aktu­el­len Pressemeldung die Administratoren und Nutzer von Owncloud und Nextcloud (einem Fork von Owncloud) vor einer kri­ti­schen Sicherheitslücke. Über 20.000 Installationen in Deutschland sind poten­ti­ell ver­wund­bar. Betroffen sind u.a. gro­ße und mit­tel­stän­di­sche Unternehmen, öffent­li­che und kom­mu­na­le Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte und pri­va­te Nutzer.

Bereits im Februar hat das BSI die Betreiber auf das Sicherheitsrisiko hin­ge­wie­sen. Sehr viel ist seit­her nicht pas­siert, wie man der aktu­el­len Meldung ent­neh­men kann. Lediglich ein Fünftel der infor­mie­ren Einrichtungen hat reagiert und die Schwachstelle geschlos­sen.

Ob die eige­ne Cloud-Installation betrof­fen ist, kann mit dem Security-Scanner von Nextcloud online geprüft wer­den. Der BSI-Präsident redet nicht um den hei­ßen Brei her­um:

Der Betrieb von Clouds mit ver­al­te­ten Software-Versionen, für die bereits seit lan­ger Zeit Updates der Hersteller bereit­ste­hen, ist fahr­läs­sig und macht es Kriminellen viel zu leicht, sen­si­ble Daten zu steh­len oder Geschäftsprozesse zu beein­flus­sen.”

Sollten Sie in Ihrer Organisation oder pri­vat eine Instanz von Owncloud oder Nextcloud betrei­ben, so prü­fen Sie bit­te zeit­nah unter dem og. Link oder mit­tels des Owncloud Vulnerability Scanners, ob Ihre Installation betrof­fen ist. Generell soll­te eine regel­mä­ßi­ge Prüfung auf Updates und deren Installation selbst­ver­ständ­lich und ein fester wie­der­keh­ren­der Termin im Kalender sein.