Author: nautibyte

Posted on

PCI DSS4 – neue Anforderung in Payment Systemen

Compliance in Kreditkarten – Zahlungssysteme

PCI DSS 4.0 bringt im Vergleich zur vorherigen Version flexiblere Anforderungen, indem es eine anpassungsfähigere, risikobasierte Umsetzung erlaubt, anstatt ausschließlich feste technische Kontrollen vorzugeben. Zudem wird ein stärkerer Fokus auf kontinuierliches Sicherheitsmanagement und die Integration von Zero-Trust-Prinzipien gelegt, um sich besser gegen moderne Bedrohungen zu wappnen. Schließlich erhöht PCI DSS 4.0 die Verantwortung der Unternehmen, indem es erweiterte Anforderungen an regelmäßige Tests, Dokumentationen und individuell angepasste Sicherheitsmaßnahmen stellt.

Wenn Ihr Unternehmen Kreditkarten Zahlungssysteme betreibt ist PCI DSS verpflichtend. Gerade das Identity Mangement und das Access Management innerhalb von Abrechnungssystemen wie z. Bsp. Stripe basiert auf strikter Trennung der Verantwortlichkeiten (“Segregation of Duties” (SoD)). PCI DSS 4 erhöht die Integrität Ihrer Zahlungssysteme innerhalb Ihrer IT und stellt sicher das Zugriffsmanagement vor unbefugten Zugriffen schützt.

Wir unterstützen Sie gerne bei der Umsetzung.

Posted on

Sicherheitsrisiken…

…durch unsichere Passwörter

Wir verraten Ihnen hier wo wir bei forensischen Analysen die meisten Passwörter im Klartext abgreifen konnten. Den meisten Unternehmen ist nicht bewußt wie der leichtsinnige Umgang mit Zugangsdaten und Identitäten Ihre Datenintegrität gefährdet. Zeigen Sie die drei Punkte Ihren Mitarbeitern im nächsten Meeting:

  • MS Excel und ähnliche Dokumente mit Zugangsdaten im Klartext, gefunden auf Netzwerklaufwerken, Team Sharing Apps wie DropBox, OneDrive usw. In mehreren Fällen hätten wir alle Social Media Accounts und weitere Online Zugänge des Unternehmens in einem Schlag übernehmen können.
  • Chat Apps – Wir konnten aus Chatprotokollen diverser Apps Klartextpasswörter und Schlüssel für Apps, Webseiten, Rest API’s usw. auslesen. Es werden am häufigsten Zugangsdaten mit neuen Mitarbeitern in der Onboarding Phase und meist im Bereich Software Developement per Chat im Klartext geteilt, an zweiter Stelle die HR oder Personalabteilungen. Damit hätten wir eine Menge Unfug und einen Ausfall der Key Business Applikation starten können.
  • Veraltete GPO’s im Active Directory. Wir sahen einige AD’s die nichtmal die Security Baseline Protection per Policy angewendet hatten. Gerade in historisch gewachsenen Infrastrukturen kommt dies vor. Häufig ist noch NTML Auth erlaubt, weil alte Anwendungen nicht auf Kerberos umgestellt werden können. Das ist mehr als kritisch. Innerhalb von 24h konnten wir mehr als 2000 Benutzer- und Maschinenkonten kompromitieren.

Das sind drei Beispiele, bei denen den Beteiligten nicht bewußt ist, welches Risiko hier lauert. “Ach, hier passiert schon nichts” ist genau die Denkweise die vermieden werden muss. Hier muss Awareness geschaffen werden, die Rahmenbedingung für die “Nur-Ein-Passwort-Strategie sollte in Betracht gezogen werden. Ist das keine Alternative für Ihr Business Modell hilft nur der flächendeckende Einsatz eines geeigneten Passwort Managers auf allen Geräten. Diese lassen sich inzwischen auf allen Geräten und verteilt auf allen Plattformen einsetzen und gewährleisten eine gewisse Integrität aller Zugänge. Häufig müssen die Passwörter nicht mehr im Klartext angezeigt werden, der Passwortmanager übernimmt den Login automatisch. Theoretisch könnte man so alle Klartext Passwörter im Netzwerk eleminieren. Theoretisch…..

Posted on

Wer “besitzt” welche Daten und wer ist dafür verantwortlich?

Data Ownership – ein wichtiger Aspekt im Umgang mit Daten

Erst wenn Daten oder Dateien verloren gehen sucht man nach Verantwortlichen. In vielen Unternehmen herrscht der Irrglaube, die IT wäre für die Daten verantwortlich.
Wer ist also der Verantwortliche für welche Daten?

Sie! Als Führungskraft von Abteilungen oder Teams sind die von Ihnen verwendeten Daten in Ihrer Verantwortung – Sie sind der Data-Owner.

Ebenso die “Product-Owner”. Die Daten innerhalb der Applikation liegen in Ihrer Verantwortung. Teilt sich die Applikation in einzelne Abteilungen liegt die Data-Ownership wieder bei der Abteilungsleitung.

Die IT ist nur der “Service Owner”, d. h. sie stellt die Technik und Ressourcen bereit um diese Daten im Unternehmensnetzwerk zur Verfügung zu stellen. Inhalt oder Art der Daten sind nur für die Datenklassifizierung und Compliance relevant. Die IT ist außerdem für die Datensicherung verantwortlich. Sie als Data-Owner haben aber die Pflicht sicher zu stellen, das die Datensicherungsmassnahmen funktionieren und einer möglichen Regulierung durch Compliance entsprechen. Den Backup macht die IT für Sie, das “was” und “wie oft” muss sollte vom Data-Owner definiert werden. Ebenso ist der Data-Owner dafür verantwortlich das Daten und Verarbeitung den Compliance Regulierungen entsprechen.

Wir helfen Ihnen zu verstehen wie Sie sinnvolle Ownerships definieren und Missverständnisse unterhalb der Abteilungen vermeiden können.

Posted on

Sind Sie genervt von sinnlosen Passwörtern?

Ein Passwort für alle Dienste

In vielen Unternehmen kämpfen Mitarbeitende mit einer wachsenden Anzahl an Passwörtern für verschiedene Anwendungen und Systeme. Dies führt nicht nur zu Sicherheitsrisiken durch unsichere Passwörter und „Passwortmüdigkeit“, sondern auch zu einem erhöhten Verwaltungsaufwand für die IT-Abteilung.

Es ist kein großer Aufwand ihren Benutzern eine einfache und denoch sichere Anmeldung zu Geräten und Applikationen zu ermöglichen. Sie können z. Bsp. in M365 Ihre Unternehmensapplikation registrieren und über ein Portal einfach zur Verfügung stellen.

Ihre Mitarbeiter benötigen nur ein Passwort für Alles! Wir zeigen Ihnen wie auch Ihr Unternehmen davon profitiert.

Posted on

Microsoft 365 – die all-in-one Lösung für KMU

Microsoft 365 bietet kleinen und mittelständischen Unternehmen sowie Start-ups eine leistungsstarke, sichere und skalierbare IT-Plattform, die den modernen Anforderungen an Produktivität, Compliance und Flexibilität gerecht wird. Besonders für wachsende Unternehmen ist eine stabile, anpassbare IT-Infrastruktur essenziell. M365 ermöglicht es, von Anfang an eine professionelle und regelkonforme Umgebung zu schaffen – mit integrierten Lösungen für Identity & Access Management, Security und Datenklassifizierung. Die plattformunabhängige Nutzung sorgt dafür, dass Teams jederzeit und von überall effizient zusammenarbeiten können.

Gerade Start-ups und wachsende Unternehmen müssen sich nicht nur auf ihre Geschäftsentwicklung konzentrieren, sondern auch rechtliche und sicherheitsrelevante Vorgaben einhalten. M365 unterstützt hierbei mit Compliance- und Datenschutz-Tools, die Unternehmen helfen, regulatorische Anforderungen zu erfüllen. Gleichzeitig sorgt die zentrale Verwaltung für eine einfache IT-Steuerung, während Automatisierung und KI-gestützte Prozesse den administrativen Aufwand reduzieren und die Effizienz steigern.

Mit jahrelanger Erfahrung im Microsoft Umfeld ist nautibyte der richtige Partner für die Umsetzung von M365-Projekten. Von der strategischen Beratung über die Implementierung, digitale Transformation bis hin zur Lizenzierung in großen Unternehmen bieten wir maßgeschneiderte Lösungen, die Sicherheit, Skalierbarkeit und Kosteneffizienz vereinen – für eine moderne und zukunftssichere IT.

Fragen Sie uns unverbindlich, wie beraten Sie gerne!

Posted on

IT Governance

IT Governance – der Knigge der IT

IT Governance ist für Unternehmen essenziell, um die IT-Strategie mit den Geschäftszielen in Einklang zu bringen und eine effiziente, sichere Nutzung von IT-Ressourcen zu gewährleisten. Sie stellt sicher, dass technologische Investitionen einen messbaren Mehrwert schaffen, Risiken wie Cyberangriffe und Systemausfälle minimiert werden und regulatorische Anforderungen eingehalten werden. Durch klare Verantwortlichkeiten, standardisierte Prozesse und eine gezielte Steuerung der IT können Unternehmen ihre Effizienz steigern, Kosten senken und Innovationen gezielt vorantreiben.

Eine starke IT Governance verbessert die Entscheidungsfindung und stärkt die Wettbewerbsfähigkeit, indem sie eine transparente, sichere und nachhaltige IT-Nutzung ermöglicht. Sie sorgt für eine bessere Kontrolle über technologische Entwicklungen und hilft, die IT-Landschaft an dynamische Marktbedingungen anzupassen. Unternehmen, die IT Governance konsequent umsetzen, können Risiken frühzeitig erkennen, Ressourcen optimal nutzen und ihre digitale Transformation strategisch steuern.

Posted on

SMARTes Datenmanagement

Smartes Datenmanagement
Warum eine Exit-Strategie für Ihre Daten entscheidend ist

Das Datenvolumen, das Unternehmen heute verwalten, wächst stetig. Die Verfügbarkeit günstiger Speicherlösungen hat dazu geführt, dass sich über die Jahre enorme Mengen an Daten ansammeln.

Allerdings verbrauchen veraltete und irrelevante Daten wertvolle Ressourcen, verstecken sich in komplexen Ordnerstrukturen und beeinträchtigen sowohl die Systemleistung als auch die Produktivität der Mitarbeiter. Ihre Daten- und Dokumentenstrukturen sollten daher übersichtlich, transparent und für alle Abteilungen zugänglich sein.

Es ist herausfordernd, alte Gewohnheiten und gewachsene Prozesse zu durchbrechen – doch historisch entstandene Datenstrukturen bergen oft erhebliche Risiken für IT-Governance und Compliance. Haben Sie eine Exit-Strategie für Ihre Daten?

Datenmanagement optimieren – Ressourcen sparen
Halten Sie Ihre Daten schlank und effizient! Jede unnötige Datei verursacht reale Kosten. Bevor Veränderungen vorgenommen werden, helfen wir Ihnen zu verstehen, warum eine gezielte Bereinigung essenziell ist.

Aus unserer Erfahrung hätten viele Datenmigrationen deutlich schneller und kosteneffizienter abgeschlossen werden können – wenn im Vorfeld eine durchdachte Exit-Strategie existiert hätte. Ein wenig mehr Vorbereitung kann Ihr Projekt erheblich beschleunigen und hohe Kosten einsparen.

Posted on

Business Continuity Management

(BCM) – Der Notfallplan für Ihr Unternehmen

BCM ist darauf ausgelegt, Worst-Case-Szenarien zu bewältigen, und dient als strukturiertes Dokumentations- und Steuerungssystem für das Notfallmanagement innerhalb Ihres Unternehmens. Ähnlich wie das Notfallhandbuch eines Flugzeugs bietet ein gut implementiertes BCM klare, schrittweise Anleitungen, um sicherzustellen, dass Ihr Unternehmen auch in Krisensituationen nicht „abstürzt“.

„Wenn Systeme ausfallen, lautet die erste Frage von Mitarbeitern und Management immer: ‚Wann kann ich wieder arbeiten? Wie lange dauert es, bis wir wieder voll einsatzfähig sind?‘“

Die Antwort auf diese Fragen muss in einem Disaster Recovery Plan (DRP) klar definiert sein – einer maßgeschneiderten Strategie, die speziell für solche Szenarien entwickelt wurde. Doch wenn ein solcher Plan nicht existiert oder veraltet ist, verliert er seine Wirksamkeit. Deshalb ist ein erfolgreiches BCM auf umfassende Vorbereitung, detaillierte Planung sowie die Implementierung strukturierter, wiederkehrender Prozesse und Tools angewiesen.

Ein robustes BCM ist insbesondere dann unerlässlich, wenn Ihr Unternehmen branchenspezifischen Standards und regulatorischen Anforderungen unterliegt, beispielsweise ISO 22301. Die erfolgreiche Implementierung erfordert eine bereichsübergreifende Zusammenarbeit, die aktive Unterstützung des Managements sowie eine präzise und koordinierte Umsetzung.

In der Praxis beobachten wir häufig, dass mangelnde Zeit und unzureichende Abstimmung die größten Hindernisse für ein effektives BCM sind. Dies führt dazu, dass gesetzte Ziele nicht erreicht werden und wertvolle Ressourcen ohne spürbaren Nutzen aufgebraucht werden.

Wir unterstützen Sie dabei, ein belastbares und wirkungsvolles BCM aufzubauen – basierend auf den Best Practices von ISO 22301, den BSI-Richtlinien, der neuen NIS2 Regulierung, sowie weiteren relevanten Branchenstandards, individuell zugeschnitten auf Ihr Geschäftsmodell. Lassen Sie uns gemeinsam sicherstellen, dass Ihr Unternehmen auf jede Störung vorbereitet ist – damit Ihre Betriebsabläufe auch dann gesichert sind, wenn es darauf ankommt.

Mit der neuen NIS2 Regulierung hat sich Ende 2025 einiges geändert, lesen Sie hier: NIS2-2UmsuCG

Unverbindliche Beratung

Jetzt Termin buchen

Posted on

Book: The Geeks Guide to World Domination

“The Geek’s Guide to World Domination is a comprehensive knowledge base for nerds, covering essential skills from cryptography and hacking to mathematical tricks. It serves as an “admin manual” for geek life, helping to master technical, cultural, and scientific challenges with confidence.”

Unser  Buchtipp wenn Sie Ihren IT Admins mal wieder ein Buch schenken wollen. 

Recommendation level: 9/10