JOURNAL Wer zum Gipfel möchte, braucht zuverlässige Partner.

Transkript

1 JOURNAL Wer zum Gipfel möchte, braucht zuverlässige Partner. SECURITY Das individuelle Konzept als Strategie für die erfolgreiche Netzwerk-Kommunikation. AUSGABE Nr. 24 / Mai 2014 THEMEN IM JOURNAL EVENTS - VIP-ROUTING - SECURITY-GAU DES JAHRES - HACKERANGRIFE EFFEKTIV ABWEHREN

2 TERMINE 21. Mai 2014 datadirect World Cafe in der Rainhof Scheune in Kirchzarten Juli 2014 datadirect Mountain Challenge in Österreich Events 3. DATADIRECT WORLD CAFE IN DER RAINHOF SCHEUNE KIRCHZARTEN Auch in diesem Jahr lädt datadirect wieder herzlich ein zum World-Cafe am 21. Mai in der Rainhof Scheune Kirchzarten. Das Konzept des World Cafe s basiert auf einer Workshop-Methode, die von amerikanischen Beratern in den 90ern erfunden und weiterentwickelt wurde. Sinn und Zweck dieses Workshops ist es, in entspannter Atmosphäre, ähnlich wie in einem Cafe, einen kreativen Prozess in Gang zu setzen, indem man in lockeren Gesprächsrunden alle Beteiligten möglichst oft zu Wort kommen lässt, um durch gemeinsames Wissen, Denkweisen und Erfahrungsaustausch neue Perspektiven zu entwickeln. Das World Cafe greift auch dieses Jahr wieder spannende Themen auf. Diskutieren Sie mit und bringen Ihre eigenen Erfahrungen dabei ein, wie man effektiv die höchstmögliche Sicherheit beim Zugang der Systeme erlangt, was IT-Security made in Germany mit sich bringt oder wie Mitarbeiter zum Thema Social Media und Messenger sensibilisiert werden. An jedem der drei Thementische wird es einen Moderator sowie Co-Moderator geben, die die Gesprächs- und Diskussionsrunden anregen und mit unterschiedlichen Fragen leiten. Die Gruppen durchlaufen nacheinander verschiedene Thementische und die Moderatoren halten die Ideen und Gedankengänge jeweils fest, um der nächsten Gruppe jeweils die vorhergehenden Diskussionsgespräche zu erläutern und den Diskurs erneut in Gang zu bringen. Am Ende werden die gemeinsamen Ergebnisse im Plenum vorgestellt und vom Moderator kurz reflektiert. Ein weiteres Highlight des datadirect World Cafe s wird die Live Hacking-Demonstration des Referenten und IT Consultants der Firma SySS sein. Deren Geschäftsführer Sebastian Schreiber ist mittlerweile bundesweit bekannt durch diverse Auftritte in den Medien wie den Sendern RTL und ARD. Der Presse entnehmen wir täglich Informationen über neue Sicherheitslöcher und bekannt gewordene Hackereinbrüche. Doch live erlebt man sie in aller Regel nicht. Während dieser Live-Demo wird eine Vielzahl echter Hackertechniken demonstriert, erläutert und diskutiert. Insbesondere finden auch Angriffe auf Systeme im Internet statt. Schauen Sie einem Profi über die Schulter und erleben Sie, wie Sicherheitsbarrieren umgangen werden können. Der Vortrag von Rechtsanwalt Prof. Dr. Ernst zum Thema Gefahren und rechtliche Risiken der Social Media Nutzung durch Mitarbeiter, gibt allen Teilnehmern zum Abschluss des Tages sicherlich auch nochmals interessanten Gesprächsstoff, bevor alle Teilnehmer den Workshop in gemütlicher Runde ausklingen lassen werden. datadirect veranstaltet bereits zum 3. Mal das World Cafe und nicht nur die Teilnehmer, sondern auch das datadirect-team selbst, waren bislang immer sehr positiv von dieser Workshop-Methode überrascht und konnten davon profitieren, da jeder nach diesen Kontroversen und gemeinsamen Erkenntnissen etwas für sich mit nach Hause bzw. ins Unternehmen mitnehmen konnte. Wir sind gespannt welche neuen Perspektiven das World Cafe dieses Jahr bringen wird. Das Team der datadirect freut sich auf Ihre Anmeldung unter: anmeldung@datadirect.de Mitarbeiternews VERSTÄRKUNG FÜR DAS DATADIRECT-TEAM IN FREIBURG Anna Katharina Bitsch begann im Oktober 2012 als Studentin der Hochschule Offenburg mit dem Studiengang Unternehmens- und IT-Sicherheit ihr Praxissemester bei datadirect. Seit März 2014 ist die 23-jährige nun als Bachelorandin tätig und unterstützt das VoIP- Team im Bereich Lync. Ihre Bachelorarbeit umfasst das Thema: Konzept für Security-Analysen in mittelständischen Unternehmen. Für die Zukunft wünscht sie sich weiterhin ein spannendes und abwechslungsreiches Tätigkeitsfeld rund um die IT. In ihrer Freizeit beschäftigt sich die Studentin gerne mit Online-Medien sowie Bild-/ Video-Bearbeitung und kocht leidenschaftlich gerne. Bereits seit Dezember 2013 ist der 25-jährige Johannes Haberstroh als IT-Consultant bei datadirect tätig. Nach seinem Abitur absolvierte er eine Ausbildung zum IT-Systemelektroniker Fachrichtung Telekommunikation und Internet und betreut Telefonanlagen aller Art in den Bereichen VoIP, Analog, ISDN. Sein Tätigkeitsfeld umfasst von der Betreuung per remote und Vorort, auch die Planung und individuelle Konfigurationen sowie der kompetenten Beratung der Kunden, jeweils auf die verschiedensten Bedürfnisse angepasst. Er möchte künftig an allen Herausforderungen wachsen und sich somit weiterentwickeln. Seine Hobbies sind Computertechnik und Schlagzeugspielen im Musikverein. Seit Januar 2014 ergänzt der 30-jährige Sales Engineer Mammad Khoshdel den Vertriebs-Innendienst. Der ausgebildete Versicherungskaufmann arbeitete bereits früher bei einem bekannten IT-Unternehmen und lernte datadirect 2013 auf der i+e Messe in Freiburg kennen. Sein Aufgabenbereich umfasst von der Angebotserstellung zur Auftragsbearbeitung auch die Beratung und Betreuung der Bestandsund Neukunden sowie Unterstützung des Projektvertriebs. Seine beruflichen Wünsche sind in Zukunft verstärkt im Projektvertrieb mitzuwirken. In seiner Freizeit macht er gerne Ausdauersport sowie Krafttraining und unternimmt viel mit der Familie. Oliver Pelka, 38 Jahre aus Bleibach, ist seit Mitte Februar als IT-Consultant im Security Team der datadirect tätig. Der gelernte Kommunikationselektroniker war nach seiner Ausbildung knapp neun Jahre bei der Bundeswehr und absolvierte anschließend den Techniker in Elektrotechnik, Fachrichtung Netzwerktechnik. Sein Aufgabenbereich umfasst derzeit Security- Support und Projektbetreuung im Firewall- Bereich. Für die Zukunft möchte er mehr Erfahrung im Bereich Netzwerk-Security sammeln und sich mehr in Projekte einbringen. Seine Hobbies sind Trachtentanz und das Biken. Performante Anbindung DATADIRECT VIP-ROUTING VON CHINA NACH DEUTSCHLAND Laut offizieller Statistik der AHK Greater China, welche als offizielle Delegation der deutschen Wirtschaft in China, Hong Kong und Taiwan fungiert, zählt zu den unternehmerischen Herausforderungen in China, nach wie vor neben bürokratischen und administrativen Hürden und diversen Personalthematiken, auch eine langsame Internetverbindung von China nach Deutschland. datadirect bietet hierfür die effektive Lösung mit dem datadirect VIP-Routing! Jede Außenstelle und jedes Werk in China sollten dauerhaft eine zuverlässige Anbindung an die Zentrale in Deutschland haben, ohne Leitungsabbrüche oder hohen Laufzeiten. Falls dies nicht gewährleistet wird, ist oft falsches Routing um den Erdball die Ursache. Für die Datenpakete von China nach Deutschland gibt es unterschiedliche Wege um den Globus. Zuständig hierfür sind die Internetprovider, die sich über Peering-Abkommen gegenseitig den Weitertransport der Daten zusichern, mal besser, mal schlechter, je nach Bezahlung und politischer Lage. Eine regulär-käufliche Internetanbindung in China hat Laufzeiten von annähernd 400ms nach Deutschland bei einem Paketverlust von ca. 10% - Von der angemieteten Bandbreite kommt mit diesen Eckdaten kaum mehr etwas an, von Realtime-Anwendungen wie Videokonferenz oder Telefonie gar nicht erst zu sprechen. Hierfür hat datadirect die ideale und schnelle Lösung für Kunden geschaffen: Anhand der zuverlässigen Partnerschaften mit diversen lokalen und weltweiten Providern und der eigenen Außenstelle datadirect Taicang in China bietet datadirect seinen Kunden ein hoch performantes Routing von China nach Deutschland an. Die Datenpakete werden über datadirect geroutet und jeder Kunde profitiert hierbei von einer zuverlässigen und schnellen Anbindung, die selbstverständlich verschlüsselt und sicher für den Kunden transparent zur Verfügung gestellt wird. Die Laufzeiten dieser Anbindung betragen 260ms mit weniger als 1 Prozent Paketverlust und bieten gleichzeitig beste Werte für virtuelle Desktopumgebungen, Voice-over-IP oder Videokonferenz. Nach dem erst kürzlich bekannten Backbone-Problem eines bekannten Providers, dessen Ursache ein kaputtes Unterseekabel in Asien war, hatten einige Unternehmen enorme Einbußen zu verzeichnen, die datadirect kurzerhand mit der Einrichtung des VIP-Routings behoben hat. Sichern auch Sie Ihre Außenstellen-Anbindung von China nach Deutschland mit einem professionellen datadirect VIP-Routing. Unser Vertriebsteam steht Ihnen gerne für nähere Informationen persönlich unter oder per vertrieb@datadirect.de zur Verfügung. Seite 2

3 TERMINE 23. Juli 2014 datadirect Juniper-Live-Cafe in der Brauerei Ganter Freiburg 24. September 2014 datadirect IT-Security-Forum im Europapark Rust Software WINDOWS XP ENDE DES SUPPORTS UND DANN? Der Support für das Betriebssystem Windows XP wurde von Microsoft zum 8. April 2014 abgekündigt. Dies betrifft vor allem auch die Verfügbarkeit von Sicherheitsupdates. Trotzdem gibt es eine Reihe von Gründen, aus denen viele Organisationen auch nach diesem Zeitpunkt an Systemen Windows XP festhalten müssen. Symantec kann dabei unterstützen, diese Systeme bestmöglich zu schützen. Einige Gründe wieso Systeme mit Windows XP nicht ausgetauscht werden sind z.b.: Verzögerungen bei der Migration auf neue Betriebssystemplattformen aus zeitlichen oder finanziellen Gründen. Absehbares Ende der Nutzung, z.b. aufgrund auslaufender Projekte, wodurch eine Migration kaufmännisch nicht sinnvoll ist. Bindung an bestimmte Hard- oder Software, welche durch neuere Betriebssystem-Versionen nicht unterstützt wird. Fest verbaute oder eingebettete Systeme im Rahmen von Industrieautomation oder anderer Verwendungen außerhalb der Bürokommunikation, welche aufgrund wartungstechnischer Gründe nicht ausgetauscht werden können. In vielen Umgebungen sind auch kurz vor Ende der Unterstützung durch den Hersteller noch viele Computer mit dem Betriebssystem Windows XP im Einsatz. Für solche Systeme, welche derzeit im Internet beobachtet werden können, geht NetApplications für Januar 2014 von einem Anteil knapp unter 30% aus. Die Gründe hierfür sind vielfältig. Viele Unternehmen stehen nun vor der Herausforderung, das mit dem Weiterbetrieb dieser Systeme verbundene Risiko zu ermitteln und mögliche Handlungsoptionen abzuwägen. In diese Bewertung muss einerseits die Gefährdung des jeweiligen Systems für Angriffe einbezogen werden, andererseits auch der durch einen Angriff hervorrufbare Schaden. Dieser Schaden muss dabei nicht unmittelbar auf dem angegriffenen Computer entstehen, sondern kann sich in der Folge auch auf weitere Systeme erstrecken. Die Wahrscheinlichkeit ist hoch, dass sich bevorstehende Angriffe nicht auf bereits bekannte Schwachstellen beschränken, sondern dass in signifikantem Maß noch nicht öffentlich bekannte Lücken zu diesem Zweck ausgenutzt werden (Zero-Day-Exploits). Auch wenn alle renommierten Hersteller von Anti-Viren-Software angekündigt haben, für absehbare Zeiträume auch weiterhin Updates für Windows XP bereitzustellen, kann hierdurch alleine kein vollständiger Schutz gewährleistet werden. Abbildung 1 zeigt die wesentlichen Systemkomponenten, gegen welche sich typischerweise Angriffe richten. Der wirkungsvolle Schutz des Gesamtsystems erfordert die Einbeziehung aller dieser Bausteine. Symantec Critical System Protection, ursprünglich entwickelt für den Schutz hochkritischer Systeme, ist genau für diesen Zweck ausgelegt und hilft dabei, das existierende Risiko im Griff zu behalten. Symantec Critical System Protection arbeitet nach dem in der Informationssicherheit häufig geforderten Prinzip der minimalen Berechtigungen (Principle of least privileges). Dieses basiert auf dem Ansatz, jeglichen Prozessen nur die für die Verrichtung ihrer Aufgaben notwendigen Rechte einzuräumen und deren Ausweitung zu unterbinden. Auf diese Weise kann unerwünschtes Verhalten unterbunden werden, bevor ein Schaden eintritt und ein wirkungsvoller Schutz auch gegen die Ausnutzung von Zero-Day-Schwachstellen aufgebaut werden. Wenn Sie mehr Informationen wünschen, wenden Sie sich vertrauensvoll an das Vertriebsteam der datadirect, das Ihnen jederzeit kompetent unter: vertrieb@datadirect.de oder telefonisch gerne zur Verfügung steht. Security FLEXIBLE UND LEISTUNGSSTARKE MANAGEMENTLÖSUNG Mit dem SonicWALL Global Management System (GMS) verfügen Unternehmen mit verteilten Standorten über eine leistungsstarke und intuitive Lösung, mit der sie SonicWALL-Lösungen aus den Bereichen Firewall, Anti-Spam, Backup & Recovery und Secure Remote Access zentral verwalten und umgehend implementieren können. SonicWALL GMS kann flexibel als Software, Hardware oder virtuelle Appliance implementiert werden und beinhaltet Funktionen zur zentralen Echtzeit-Überwachung und ein umfassendes Richtlinien- und Compliance-Reporting. Unternehmenskunden profitieren von SonicWALL GMS durch eine optimierte Sicherheitsrichtlinienverwaltung und Appliance-Implementierung bei gleichzeitiger Minimierung des Verwaltungsaufwands. Zentrale Sicherheits- und Netzwerkverwaltung Mit den integrierten Tools von SonicWALL GMS können Administratoren alle Sicherheitsrichtlinien und -dienste in großen Unternehmen mit unterschiedlichen Regeln vollständig implementieren, verwalten und überwachen. Einfache Firewall-Richtlinienverwaltung Administratoren können von einer zentralen Stelle aus Richtlinien für einen Großteil von SonicWALL-Lösungen aus den Bereichen Firewall, Anti-Spam, Continuous Data Protection, Backup and Recovery und Secure Remote Access festlegen. Außerdem können sie mit GMS die Aktivierung der VPN-Konnektivität vereinfachen und Sicherheitsrichtlinien konsolidieren. Universelle Übersichtsanzeige Die universelle Übersichtsanzeige verfügt über anpassbare Widgets, geografische Karten und benutzerbasiertes Reporting. Echtzeitwarnungen Aktive Geräteüberwachung und Alarmfunktionen bieten Administratoren die Möglichkeit, im Rahmen der Fehlersuche Präventivmaßnahmen zu ergreifen und Probleme umgehend zu behandeln. Zentrale Protokollierung Eine zentrale Stelle für die Protokollierung ermöglicht die Konsolidierung von Sicherheitsereignissen und -protokollen für Tausende von Appliances. So können von einem zentralen Punkt aus Netzwerkanalysen durchgeführt werden. Offline-Verwaltung Konfigurationsänderungen und/oder Firmware-Updates für verwaltete SonicWALL-Appliances können ohne großen Aufwand zeitlich eingeplant und implementiert werden, um Dienstausfallzeiten zu minimieren. Optimierte Lizenzverwaltung Die Verwaltung von SonicWALL-Lizenzabonnements wird durch eine einheitliche Konsole erheblich vereinfacht. SNMP-Support Die Problembehebung wird wesentlich erleichtert, da kritische Netzwerkereignisse mithilfe der leistungsstarken Echtzeit-Traps SonicWALL-Geräte direkt erkannt und entsprechende Gegenmaßnahmen ergriffen werden können. Umfassende Integrationsoptionen Nutzen Sie die Vorteile einer Anwendungsprogrammierschnittstelle (Application Programming Interface, API) für Web-Services, der CLI-Unterstützung für die meisten Funktionen und der SNMP-Trap-Unterstützung für Unternehmen. Reporting in Echtzeit und im historischen Verlauf Eine revolutionäre Erweiterung zur Unterstützung des hochmodernen Syslog-Reportings optimiert den zeitaufwändigen Prozess der Übersichtserstellung eingehende Syslog- Nachrichten können nahezu in Echtzeit übermittelt werden, und es können ausführliche Informationen zu den Daten abgerufen sowie angepasste Berichte erstellt werden. Plattformübergreifende Überwachungs-, Analyse- und Reporting-Funktionen für die Netzwerksicherheit Das umfassende Leistungsspektrum des plattformübergreifenden Reportings beinhaltet die Unterstützung zahlreicher SonicWALL-Produkte, einschließlich Firewalls, Anti-Spam, Backup and Recovery und Secure Remote Access-Plattformen. Intelligentes Reporting und Visualisierung von Aktivitäten Verschaffen Sie sich durch umfassende Verwaltung und grafische Berichte einen besseren Überblick über Nutzungstrends und Sicherheitsereignisse. Flexible Implementierungsoptionen SonicWALL GMS kann flexibel als Softwareanwendung auf Windows -Servern von Drittanbietern (Nutzung der vorhandenen Infrastruktur), als SonicWALL E-Class Universal Management Appliance EM5000 (Nutzung einer optimierten leistungsstarken Appliance) oder als SonicWALL GMS Virtual Appliance in einer VMware -Umgebung (erweiterte Nutzung verteilter Computing-Ressourcen für eine optimierte Serverauslastung und einfache Migration bei reduzierten Investitionskosten) implementiert werden. GMS Mobile Mit GMS Mobile, einer Anwendung für die Apple iphone-plattform, können sich Administratoren unterwegs per Remotezugriff am GMS-System anmelden und alle verwalteten Geräte anzeigen, den Gerätestatus prüfen und eingehende GMS-Warnungen lesen. Für weitere Informationen steht Ihnen unser Vertriebsteam gerne unter oder per vertrieb@datadirect.de zur Verfügung! Seite 3

4 Rechtsbeitrag NUTZEN VON DISCLAIMERN (HAFTUNGSAUSSCHLÜSSEN) AUF WEBSEITEN Nachdem im Security-Magazin der (Un-)Sinn von Disclaimern im -Footer diskutiert wurde, hier ein paar Anmerkungen zu Haftungsausschlüssen im Impressum der Website. Keine Haftung für Hyperlinks? Allzu häufig findet sich auf Websites unter Verweis auf ein Urteil des LG Hamburg aus dem Jahre 1998 der Hinweis, dass für verlinkte Inhalte nicht gehaftet werde. Dort wurde (unter Berufung auf ein BGH-Urteil) festgestellt, dass das Verbreiten einer von einem Dritten aufgestellten Tatsachenbehauptung dann keine Persönlichkeitsverletzung sei, wenn der Verbreiter sich von ihr ausreichend distanziere. Dies führt nun viel zu häufig zu dem Irrglauben, man müsse nur auf dieses Urteil verweisen und habe sich so von jeglicher Haftung für die Hyperlinks auf der eigenen Website freigezeichnet. Dies ist nicht richtig. Eine Haftung von Medien (also z.b. einer Tageszeitung) etwa ist ausgeschlossen, wenn diese Meldungen verbreiten, von denen sie sich distanzieren, die sich aber gleichwohl - als Wiedergabe der Behauptungen Dritter - als Nachrichten verbreiten lassen ( Herr XY behauptet, dass... ). Damit wird aber ohnehin nur ein Zu-Eigen-Machen verhindert, also der Eindruck, der schreibende Journalist behaupte dies nunmehr selbst. Eine allgemeine Verbreiterhaftung bleibt bestehen, wenn es sich bei der wiedergegebenen Aussage, insbesondere um eine offensichtlich falsche Behauptung handelt. Im genannten Urteil wurde ohnehin bereits darauf verwiesen, dass es nicht ausreicht, auf die eigene Verantwortung des jeweiligen Autors zu verweisen, da dies keine Distanzierung, sondern eine verantwortete Weitergabe und zugleich eine eigene Verbreitung ist. So wäre ein Link mit dem Hinweis Hier findet man Raubkopien einer bestimmten Software in den meisten Fällen wohl justiziabel, selbst wenn die Plagiate selbst auf fremden Websites stehen. Immerhin wurde auch im Hamburger Fall der Beklagte, der ausweislich seines Disclaimers keine Verantwortung übernehmen wollte, gleichwohl verurteilt, als er eine Linkliste mit (durchweg negativen und durch den Beitrag die Grenze von der Meinungsfreiheit zum Ehrschutz überschreitenden) Berichten über den Kläger aufstellte. Der bloße Hinweis neben einem Link, man distanziere sich von diesem Inhalt, kann die Qualifizierung als verantwortete Weitergabe für sich also nicht in jedem Fall beseitigen. Ergibt sich etwa aus dem Inhalt der Site, dass der Verlinkende den Inhalt kennt, wird die Verantwortlichkeit nach den allgemeinen Grundsätzen nicht ausschließen. Dass zur Beruhigung der Websitebetreiber gleichwohl des Öfteren derartige Texte formuliert werden, steht auf einem anderen Blatt. In den meisten Fällen dienen sie jedoch wohl nur als Baldrian und sollen einen Placebo-Effekt erzielen. Werberecht und Jugendschutz Etwas anderes gilt für nicht rechts-, sondern tatsachenbezogene Disclaimer, z.b. Dieses Produkt wird nach Deutschland nicht verkauft. Hierbei handelt es sich freilich auch nicht um einen echten Haftungsausschluss. Er wird jedoch in der Regel zumindest ausreichen, um etwa die universale Anwendbarkeit des deutschen Wettbewerbsrechts auszuhebeln, wenn er eindeutig gestaltet ist und nach seiner Aufmachung ernst gemeint wirkt (und auch beachtet wird). Diese Einschränkung gilt freilich nur im Werberecht, nicht aber bei allgemein deliktischen (insbesondere strafrechtlich relevanten) Handlungen, da der Täter hier keinen Einfluss auf die Marktrelevanz besitzt. Der bloße Disclaimer Für meine Homepage gilt das Recht der Cayman-Islands ist daher rechtlich irrelevant. Ein Hinweis, der Zugriff über einen Link sei nur Personen über 18 Jahre gestattet, wird ebenfalls nicht ausreichen, um hier eine Einschränkung zu schaffen. Dadurch wird ein wegen der Zugriffsmöglichkeit für Jugendliche unzulässiger Link nicht rechtmäßig. Dies gilt insbesondere dann, wenn dies überhaupt nicht oder nur durch einen Button Ich bin über 18 zu bestätigen ist. Ein Disclaimer allein genügt dem Anbieter nicht, um sich wirksam zu schützen. Keine Abmahnung ohne vorherigen Kontakt? Auf vielen Websites, ja selbst in manchen Onlineshops findet sich im Impressum ein Hinweis, mit dem sinngemäß darum gebeten wird, bei aufgefallenen Rechtsverstößen zunächst mit dem Inhaber der Website bzw. dem Betreiber des Webshops Kontakt aufzunehmen, ohne mittels eines Anwalts kostenpflichtig abzumahnen. Zuweilen wird dies auch etwas fordernder formuliert, wenn eine Abmahnung ohne einen solchen vorherigen Kontakt als angeblicher Verstoß gegen eine Kostenminderungspflicht o.ä. zurückgewiesen wird. Die Hoffnung des Websitebetreibers, der eine solche Klausel einsetzt, geht dahin, dass sie ihn in irgendeiner Weise vor der Kostenpflicht schützen mag, die eine berechtigte anwaltlich durchgeführte Abmahnung mit sich bringen kann. Jedoch sind derartige grundsätzlich bedeutungslos, wie auch bereits mehrere Gerichte entschieden haben. Gleich welchem Rechtsgebiet (insb. Wettbewerbs-, Markenoder Urheberrecht) der abgemahnte Verstoß entstammt, kann eine solche Klausel, gleich wie sie im Impressum des Rechtsverletzers aufgemacht oder formuliert ist, die gesetzlichen Ansprüche auf Ersatz von Anwaltskosten nicht aushebeln. Der Verletzte kann also ungeachtet einer solchen Klausel einen Rechtsanwalt einschalten, um seine Rechte zu verfolgen. Interessanter ist die Frage, ob diese Verwendung einer solchen Klausel möglicherweise Bedeutung für eine eigene Rechtsverfolgung seitens des Verwenders haben kann. Kurz: Kann der Verwender eines solchen Disclaimers selbst noch kostenpflichtig abmahnen? Immerhin haben dazu zwei Obergerichte mittlerweile wenn auch unterschiedlich entschieden. So meint das OLG Hamm, dass derjenige, der (wenn auch unwirksam) für sich in Anspruch nehmen möchte, nicht kostenpflichtig abgemahnt zu werden, dies umgekehrt nach Treu und Glauben auch jedem anderen zugestehen müsse. Auch wenn dieser vergleichsweise gewagte These vom OLG Celle offen widersprochen wurde, hat somit zumindest ein Obergericht dieser Abwehrklausel eine Wirkung zugesprochen wenn auch nur nach hinten losgehend. Ein weiteres rechtliches Risiko zeigte sich, als die Wettbewerbszentrale München im Frühjahr 2009 einen Onlinehändler abmahnte, der folgenden Text verwendete: Sollte der Inhalt oder die Aufmachung dieser Seiten fremde Rechte Dritter oder gesetzliche Bestimmungen verletzen, so bitten wir um eine entsprechende Nachricht ohne Kostennote. Die Beseitigung einer möglicherweise von diesen Seiten ausgehenden Schutzrecht-Verletzung durch Schutzrecht-Inhaber/innen selbst darf nicht ohne unsere Zustimmung stattfinden. Wir garantieren, dass die zu Recht beanstandeten Passagen unverzüglich entfernt werden, ohne dass von Ihrer Seite die Einschaltung eines Rechtsbeistandes erforderlich ist. Dennoch von Ihnen ohne vorherige Kontaktaufnahme ausgelöste Kosten werden wir vollumfänglich zurückweisen und gegebenenfalls Gegenklage wegen Verletzung vorgenannter Bestimmungen einreichen. Die Wettbewerbszentrale beanstandete diese Klausel als wettbewerbswidrig und bedrohte den Verwender ihrerseits mit einer Klage. Zu einer gerichtlichen Klärung ist es allerdings, soweit ersichtlich, nicht gekommen. Es erscheint auch sehr fraglich, ob die Wettbewerbszentrale obsiegt hätte, denn auch wenn der Inhalt der Klausel unwirksam und ihre Behauptungen rechtlich falsch sind, bedeutet dies noch nicht, dass der Verwender allein deswegen abgemahnt werden kann. Denn nicht jede Darstellung einer falschen Rechtslage ist eine abmahnbare Irreführung. Im Ergebnis zeigt sich, dass die Verwendung derartiger Klauseln keinen Nutzen, möglicherweise aber viel Ärger mit sich bringen kann. Rechtsanwalt Prof. Dr. Stefan Ernst, Freiburg/Br. Events DATADIRECT MOUNTAIN CHALLENGE 2014 Auch in diesem Jahr organisiert datadirect wieder in Kooperation mit Jasper & Heller Summit-Project GmbH die datadirect Mountain Challenge vom 07. bis 10. Juli, getreu dem Motto: Gemeinsam nach Oben! Als Ziel und Highlight der datadirect- Bergtour erklimmt das Challange-Team dieses Mal den höchsten Berg Tirols, die 3768m hohe Wildspitze. Die Pitztaler Gletscherberge bieten jede Menge weitere tolle Hochtourenziele, wie z.b. der 3628m hohe Brochkogel, nördliche (3350m) und südliche Sexegertenspitze (3429m), Petersenspitze (3484m), und weitere attraktive Tourenziele, wonach von relativ einfach bis anspruchsvoll für Jeden und Jede etwas geboten ist. Auch das Trainings- / Übungsgelände auf dem nah gelegenen Taschachgletscher ist phantastisch und liegt lediglich 30 Minuten von der Hütte entfernt. Wie auch in den vergangenen Jahren können die Teilnehmer wieder verschiedene Neigungsgruppen bilden. So besteht z.b. auch wieder die Möglichkeit, unter professioneller Anleitung die Grundtechniken des Steigeisengehens zu erlernen, Techniken der Spaltenbergung aufzufrischen aber auch - sofern es die Verhältnisse zulassen - kleinere Eiswände wie die Petersenspitze Nordwand zu erklettern. Bei dieser Mountain-Challenge werden nicht nur die Bergsteigerprofis auf Ihre Kosten kommen, sondern auch begeisterte Neulinge werden sich nach erfolgreichem Einführungskurs schnell sicher fühlen und sich den größeren Herausforderungen und dem gemeinsamen Bergabenteuer erfolgreich stellen! Aufgrund der hohen Nachfrage in diesem Jahr wurde sogar noch ein vierter Bergführer organisiert, damit die maximale Teilnehmerzahl von 18 auf 24 erhöht werden konnte. Ausführlichen Erfahrungsbericht der Tour wird selbstverständlich nach der Challenge auf der Webseite von datadirect veröffentlicht. Kurz notiert datadirect ist technisch immer einen Schritt voraus: Wir fahren 100% CO 2 neutral! Bild der Übergabe des neuen BMW i3 im Autohaus Märtin Seite 4

5 Software UMFASSENDE KONTROLLE - ABSOLUTE FREIHEIT Security Audits HACKERANGRIFFE EFFEKTIV ABWEHREN! Citrix XenMobile ist der revolutionäre neue Weg zur Unternehmensmobilität. Das Produkt bietet der IT Sicherheit und Compliance und den Anwendern Freiheit im Hinblick auf mobile Endgeräte, Apps und Daten. Über einen einzigen Klick erhalten Anwender Zugriff auf alle ihre mobilen, SaaS- und Windows-Apps von einem einheitlichen unternehmenseigenen App-Store, einschließlich nahtlos integrierter Apps für , Browser, Datenaustausch und Support. Die IT behält die Kontrolle über mobile Endgeräte mit umfassender Konfiguration, Sicherheit, Bereitstellung und Support-Funktionen. Zudem nutzt XenMobile das Worx App SDK, ein einfaches und leistungsstarkes SDK, das beliebige mobile Apps Worx-fähig macht, sodass die IT die erforderlichen Richtlinien-, Verhaltens- und Sicherheitskontrollen hinzufügen kann. XenMobile ermöglicht es der IT, ihre Compliance- und Kontrollanforderungen einzuhalten, und bietet den Anwendern mobile Freiheit, dank der sie ihr Berufs- und Privatleben auf ihre ganz individuelle Weise erleben können. So unterstützt XenMobile Ihr Unternehmen Bisher standen für die Erfüllung der Mobilitätsanforderungen der Anwender zwei Optionen zur Verfügung. Die IT konnte die unternehmenseigenen oder privaten Endgeräte der Mitarbeiter, Apps und Daten entweder mithilfe von vielen Einzellösungen aufwändig sichern und managen, was zu Managementproblemen und Sicherheitssilos führte. Oder sie konnte von den Anwendern verlangen, verschiedene Endgeräte für verschiedene Aktivitäten zu nutzen, was zu Unzufriedenheit seitens der Anwender führte. Mobilität wird für Unternehmen zunehmend wichtiger, da immer mehr Mitarbeiter auf Apps und Daten zugreifen möchten, mit denen sie auch unterwegs arbeiten können. Dies ist jedoch nicht mehr so einfach wie früher. Heutzutage möchten Mitarbeiter in der Lage sein, von jedem mobilen Endgerät aus auf diese Apps und Daten zuzugreifen, einschließlich ihrer eigenen persönlichen Geräte. Zudem haben sich die Apps, die für die Ausführung von Arbeitsaufgaben erforderlich sind, über mobile s hinaus weiterentwickelt und umfassen heutzutage Windows-, Rechenzentrums-, Web- und native mobile Apps. Die neuen Funktionen von XenMobile erleichtern nicht nur die Nutzung, sondern machen es auch für IT-Administratoren einfacher, ihre mobile Arbeitskraft zu verwalten. Vereinfachtes Anwendungserlebnis für den Benutzer Ein neuer Client für mobile Endgeräte bietet ein nahtloses Benutzererlebnis für den Zugriff auf Apps und Daten sowie Helpdesk-Support: Citrix Worx Home ist eine App, mit der IT-Mitarbeiter Mobileinstellungen und die Sicherheit mobiler Endgeräte durchsetzen können. Mitarbeiter verwenden diese App, um auf den einheitlichen unternehmenseigenen App-Store sowie auf Echtzeit-Support-Services zuzugreifen. XenMobile kommuniziert mit Worx Home zur Bereitstellung MDM- und Worx-fähiger Apps und Richtlinien. Zudem erweitert XenMobile den einheitlichen unternehmenseigenen App-Store um Apps, die für den Anwender am meisten relevant sind. Worx Home und XenMobile nutzen ShareFile als gemeinsame Datenplattform in allen Worx-fähigen mobilen Apps. Dadurch können Anwendungen, die auf ShareFile-Daten zugreifen, auf intelligente Weise interagieren und Daten austauschen. Weltweit sind mehr und mehr Unternehmen von den sogenannten Datendiebstählen betroffen und nachweislich bemerken die meisten diesen Abfluss Ihrer Firmendaten noch nicht einmal. Die Schäden betragen jedes Jahr mehr als 400 Milliarden Dollar. Die meisten Unternehmen sind der Meinung, dass es bei Ihnen keine Probleme geben kann, was sich üblicherweise so nicht bestätigen lässt. Selbst wenn die Firewall alles von außen abschirmt, ist es immer noch möglich, dass ein Angreifer z.b. über ein Kundensystem, einen unachtsamen Mitarbeiter oder gar eine simple Netzwerkdose, Zugriff auf das Netzwerk und die Systeme darin erlangt. mationen wie möglich zu ergattern. Es wird vor Projektbeginn zwischen dem Kunden und datadirect ein umfassender Regelkatalog für einen solchen Penetration-Test festgelegt: Welche Systeme sollen in den Angriff einbezogen werden, wie weit soll der Angriff gehen oder haben die Mitarbeiter der datadirect gar freie Hand, um auch komplexe Social-Engineering Angriffe, beispielsweise via mail versendete Schadsoftware durchzuführen nichts bleibt hier dem Zufall überlassen. Mit den gewonnenen Erkenntnissen ist es möglich, die IT Landschaft des Unternehmens zu optimieren und abzusichern, wodurch ein möglicher Datendiebstahl vermieden werden kann. Die datadirect GmbH versteht sich hierbei als Partner sowie Ergänzung der IT des Kunden und empfiehlt den Unternehmen Ihre Umgebungen professionell überprüfen zu lassen. Eine Prüfung auf gegebene Angriffsvektoren, die alle möglichen Formen des Angriffs, ob von außen oder aus dem Firmengebäude selbst testet, kann mit Aufdeckung der Schwachstelle die Attacken eines böswilligen Black-Hats vorab vereiteln. XenMobile bietet einen integrierten Ansatz, der es Menschen erlaubt, ihre Produktivität auszuschöpfen und gleichzeitig die sicherheits- und verwaltungsrelevanten Aspekte der IT zu berücksichtigen. Die IT kann mobile Endgeräte, Apps und Daten zentral sichern, managen und unterstützen sowie Richtlinien zu Apps und Daten auf Basis von Geräteeigentum, Status und/oder Standort festlegen. Anwender profitieren von einem sicheren Zugriff durch einen einzigen Klick auf , Web, Dokumente und Echtzeit-Support sowie von der Möglichkeit, die übrigen Apps, die sie benötigen, aus einem einheitlichen unternehmenseigenen App-Store selbst auszuwählen. Dabei wird ihnen auf jedem Endgerät ein hoher Benutzerkomfort geboten. Neue Funktionen von XenMobile: XenMobile Enterprise ist noch einfacher zu nutzen und ermöglicht es mehr Unternehmen, von der Mobilität zu profitierten Vereinfachte IT Ein neues Anwendungs-Ökosystem, die Unterstützung von Cloud- s und die Integration von NetScaler erlaubt es IT-Mitarbeitern, noch mehr Anwendern mobile Lösungen bereitzustellen. Citrix führte das Citrix Ready Worx Verified-Programm ein, um es für ISVs, Systemintegratoren und unternehmenseigene Entwickler einfacher zu machen, das Management und die Sicherheit auf jede bestehende mobile Anwendung auf Unternehmensebene auszuweiten. Folglich können Kunden ihre Wertschöpfung maximieren, indem sie in der Worx App Gallery die in Kürze eingeführt wird Worx-fähige Apps aussuchen und für Anwender schnell und sicher bereitstellen. Kunden, die Unterstützung für Cloud-basierte -Systeme benötigen, können jetzt ihre nativen -Clients mit Microsoft Office 365 verwenden, das verbesserte Sicherheit für die Kontrolle von nicht konformen Endgeräten bietet. Für hohe Skalierbarkeitsanforderungen wurde XenMobile in NetScaler integriert und ActiveSync-Filterung wird jetzt unterstützt. Ein Penetration-Test, bzw. die aus ihm folgenden Maßnahmen, kann dieses Gefährdungspotential ausschalten und ist die Grundlage eines vollständigen Schutzes der Firmen IT. Die datadirect GmbH bietet ihren Kunden umfassende und individualisierte Sicherheitstests der IT Umgebungen in unterschiedlichen Abstufungen. Im sogenannten Security Audit wird gezielt nach Schwachstellen gesucht, die auch für einen Angreifer sichtbar sind, um diese im Nachgang zu schließen. Es ist mit verhältnismäßig geringem Aufwand möglich, externe oder auch interne Problematiken zu erfassen und schnellstmöglich zu beheben. Gegenstand eines solchen Audits können unter anderem Firewall-Regelwerke, aber auch erreichbare Serverdienste sein. Ein weiterführendes Szenario bietet der ausführliche Penetration-Test. In diesem werden Teile der Kundenumgebung oder auch die gesamte Infrastruktur zunächst auf Schwachstellen untersucht, welche gezielt ausgenutzt werden. Im weiteren Verlauf wird z.b. durch den Einbruch in die DMZ, über eine anfällige Webapplikation oder das kompromittieren eines Mitarbeiterlaptops - versucht weiter ins Firmennetz vorzudringen um so viele Infor- Das datadirect Security-Team berät Sie kompetent und zeigt Ihnen wie Sie eventuelle Sicherheitslücken professionell schließen können. Wir erstellen Ihnen gerne ein unverbindliches Angebot für einen Security-Check, ganz individuell Ihren Bedürfnissen angepasst. Wenden Sie sich vertrauensvoll an unser Vertriebsteam unter oder per vertrieb@datadirect.de Ich bin immer für Sie da. Und betreue Sie kompetent in allen Versicherungs- und Finanzfragen. Geschäftsstelle Klaus Hildenbrand Basler Str. 65, Freiburg Tel klaus.hildenbrand@ergo.de _highResRip_haz_visitev_51_1_2_16.indd :36:34 Seite 5

6 Interview HEARTBLEED BUG - DER SECURITY-GAU DES JAHRES Heartbleed Bug: Ein schwerwiegender Programmierfehler gefährdet weltweit verschlüsselte Verbindungen im Netz. datadirect Security Consultant Felix Büdenhölzer erläutert die Problematik nochmals im Interview. Anfang April wurden die Mitarbeiter der datadirect auf ein offensichtlich größeres Problem im Zusammenhang mit der weit verbreiteten OpenSSL Bibliothek aufmerksam, welches sich schon kurz darauf als wahrer Security-GAU entpuppte. Offenbar war es möglich, aus Versionen von OpenSSL zwischen bis 1.0.1f, wertvolle Informationen aus dem Inhalt des Gerätehauptspeichers zu extrahieren. Die Security-Abteilung von datadirect leitete sofort entsprechende Maßnahmen zur Information der Kunden und zur Prüfung der Systeme ein. Felix Büdenhölzer: Zunächst mussten wir die Kunden generell über das Problem aufklären. Erschwerend kam hinzu, dass wir nicht alle Systeme beim Kunden, welche ihre Encryption auf OpenSSL aufbauen, betreuen wie z.b. den einen oder anderen Webserver und diese Systeme somit auch nicht in unserer Gerätedatenbank führen. Die von uns betreuten Geräte wurden dann schnellstmöglich auf die Existenz der Heartbleed Schwachstelle überprüft. Bei den Nachforschungen der kurzfristig gebildeten Heartbleed Taskforce der datadirect wurde schnell klar, dass es sich nicht um eine alltägliche Sicherheitslücke handeln würde der Einfluss auf Kundensysteme schien gewaltig: Felix Büdenhölzer: Wir haben schnell bemerkt, dass hinter der Theorie des Bugs erschreckend viel Wahrheit steckt. Die Theorie besagte, dass dem Server innerhalb einer verschlüsselten Session mittels der Heartbeat Funktion eine Nachricht von, sagen wir mal einem Byte geschickt werden kann, welche aber behauptet 16 KiloByte groß zu sein. Der Server prüft diese Eingabe aufgrund eines Programmierfehlers nicht auf Ihre reale Länge und schickt dem Client Inhalte seines Hauptspeichers mit denen er die fehlenden Bytes bis zur Größe der behaupteten Nachrichtengröße auffüllt. Es war uns möglich, zum Zweck der Verifikation, sensible Daten aus etlichen durch uns betreuten Systemen zu extrahieren, da die durch den Server gesendeten Daten stets aus dem Kontext von OpenSSL kamen und somit Passwörter, Benutzernamen, Keys etc. enthielten. Uns war klar: Wir haben hier ein großes Problem und müssen schnellstens handeln. Im Folgenden Identifizierte die Heartbleed Taskforce alle betroffenen Kundensysteme und leitete in Absprache mit dem Kunden die erforderlichen Updates ein. Innerhalb kürzester Zeit konnten so alle betroffenen Systeme gepatcht werden. Doch auch die schnell eingespielten Updates waren nicht wie sonst oft üblich die endgültige Lösung des Problems: Felix Büdenhölzer: Das Problem war, dass wir ja für einen gewissen Zeitraum eine Sicherheitslücke hatten, die obwohl noch nicht öffentlich gemacht, einem Angreifer das Stehlen von Passwörtern, privaten Encryption Keys und Zertifikaten ermöglichte. Alle Sicherheitsrelevanten Daten im Zusammenhang mit den betroffenen Geräten mussten also als kompromittiert gelten. Die Kunden wurden nach dem erfolgten Update nun also auch darüber informiert, dass sowohl Passwörter als auch Zertifikate und deren zugehörige Keys erneuert werden sollten, wobei datadirect ihren Kunden dabei tatkräftig zu Seite stand. Letztlich wurde durch die Heartbleed-Lücke einmal mehr ein Problem der heutigen hoch komplexen Security-Systeme aufgedeckt: Felix Büdenhölzer: Durch den teils gewaltigen Funktionsumfang können auch Schwachstellen, die eigentlich nur eine einzige, nicht mal wirklich sicherheitsrelevante Funktion betreffen, einen katastrophalen Einfluss auf die Sicherheit des Kunden haben. Im aktuellen Fall ist sowohl dem Programmierer als auch dem Maintainer von OpenSSL das Problem nicht aufgefallen und erst 2 Jahre später die Lücke aufgedeckt. Wenn auf solche Problematiken schnell reagiert werden soll, braucht es einen leistungsstarken Dienstleister wie datadirect, der schnell und sicher die nötigen Gegenmaßnahmen ergreifen kann. Vorstellung CONSULTANT RAY-JAN SINGRIN AUS DEM WINDOWS-TEAM Der 24-jährige Ray-Jan Singrin ist bereits seit 2010 bei datadirect beschäftigt. Nachdem er letztes Jahr mit Bravur seine Ausbildung dort zum Fachinformatiker für Systemintegration abgeschlossen hat, ergänzt er erfolgreich das Windowsteam als IT-Consultant. Ray-Jan Singrin hatte schon immer ein Fable für die neuesten Errungenschaften der Technik und bereits als Kind war es das Größte für ihn an Papas Rechner herum zu experimentieren bis er schließlich seinen ersten eigenen Rechner zusammenbaute. In Zeiten von ipads/tablet-pcs, in der die Technik physisch immer kleiner, aber die Speicherkapazität immer großer wurde, begeisterte ihn die Welt der IT mehr und mehr, so dass er sich letztendlich dazu entschloss, seinen beruflichen Werdegang in diese Richtung einzuschlagen. Nach seinem Schulabschluss absolvierte er seinen Zivildienst in einem Altenheim für pflegebedürftige Menschen in der Haustechnik, wobei er damals bereits sehr viel Freude daran hatte, die technischen Anliegen der Bewohner zufriedenstellend zu erfüllen, und mit seiner Arbeit den Menschen einfach ein Lächeln ins Gesicht zu zaubern. Ein Schwerpunkt seiner Tätigkeit ist die intensive Vor-Ort-Betreuung der datadirect Bestandskunden sowie regelmäßiger Einsatz in verschiedensten Projekten, nachdem er sich im Unternehmen stets weitergebildet sowie im Windowsbereich erfolgreich weiterentwickelt hat und mittlerweile auch sehr komplexe Windows Serverumgebungen verwaltet. Er betreut erfolgreich als Projektleiter die kirchlichen Projekte von datadirect. Seine beruflichen Ziele beinhalten weiterhin seine Fachkenntnisse im Windowsbereich zu erweitern sowie diverse Zertifizierungen zu absolvieren und mit allen neuen Herausforderungen zu wachsen. Seine ruhige und dementsprechend beruhigende Art wird von Kunden und Mitarbeitern sehr geschätzt und stellt in vielen Situationen, besonders in der oft erscheinenden Hektik der IT-Welt, eine wertvolle Ressource, nicht nur für ihn, sondern auch für Kunden und Kollegen, dar. Der IT Consultant schätzt bei datadirect vor allem den hilfsbereiten Umgang der Mitarbeiter untereinander, da es von großem Vorteil ist, sich als Team bei den heutigen Herausforderungen oder komplexen Themen gegenseitig zu unterstützen. Dieser Zusammenhalt stärkt ein gutes Team und verbreitet noch mehr Spaß an der gemeinsamen Arbeit. Impressum Herausgeber: datadirect GmbH Bötzinger Str. 48, D Freiburg Fon: , Fax: Web: info@datadirect.de datadirect GmbH, Bötzinger Str. 48, D Freiburg datadirect Taicang Ltd., No. 309 Middle Zhenghe Road Room 1406, Developing Building, CN Taicang/ Jiangsu Redaktion: V.i.S.d.P.: Thomas Nieberle, Nicole Bratinic, datadirect GmbH, Satz und Layout: werbeagenturnieberle.de Fotos: Alle Rechte bei datadirect GmbH, wenn nicht gekennzeichnet. Druck: Druckerei Herbstritt GmbH datadirect GmbH, 05/2014