Managed IT Service: Dienstleistung aus Experten-Hand

, , , ,

Lesedauer ‚Managed IT Service: Dienstleistung aus einer Hand‘: 8 Minuten

Eine zeitgemäße IT-Infrastruktur ist hyperskaliert, hyperdynamisch und … hyperkomplex. Kein Geheimnis also, dass Unternehmen im Bereich IT zunehmend auf Managed Service-Konzepte bauen, um die interne IT-Abteilung zu entlasten, technische Prozesse zu optimieren, freie Ressourcen zu schaffen sowie IT-Ausgaben zu mindern. Aber was sind Managed IT Services eigentlich und welche Faktoren sprechen für die Buchung solcher Services? Antworten erhalten Sie im folgenden Blogbeitrag.

Ob mittelständisches Unternehmen oder Großkonzern: Eine stabile IT-Infrastruktur ist der Grundstein eines jeden Unternehmens. Allerdings leiten die zunehmende digitale Vernetzung, die Einbeziehung einer großen Anzahl digitaler Technologien (mit immer kürzeren Produktlebenszyklen) sowie die hohen Gesetzesauflagen dazu, dass IT-Strukturen in Betrieben immer umfangreicher werden.

Auf der anderen Seite fehlt es heutzutage in Unternehmen nicht selten an Zeit, Kapital, Fachkräften und passendem Know-how. Deshalb werden immer mehr Teilbereiche der IT-Infrastruktur über Managed IT Services von einem externen IT-Dienstleister betreut.

Einer Datenerhebung des IT-Sicherheitsdienstleisters Eset entsprechend arbeiteten im Jahre 2021 bereits 62 Prozent der befragten Betriebe in der DACH-Region (Deutschland, Österreich, Schweiz) mit einem Managed Service Provider zusammen oder hatten vor, dies im Laufe des Jahres anzugehen.

Managed Service – IT-Administration mit Köpfchen

Zunächst einmal die Definition: Managed IT Services sind wiederkehrende IT-Dienstleistungen, welche im Arbeitsauftrag eines Unternehmens von außenstehenden IT-Dienstleistern (sog. Managed Service Provider oder kurz MSP) geleistet werden. Dazu zählen unter anderem die Zurverfügungstellung, Beaufsichtigung und Administration von Anwendungen, Netzleistungen, Speicherplatz, IT-Sicherheit, die Weiterentwicklung von Geschäftsabläufen sowie technischer IT Support für ArbeitnehmerInnen.

Kategorie und Umfang der entsprechenden IT-Dienstleistungen werden im Voraus im Detail festgelegt und zwischen den beiden Parteien durch sog. Managed Service Agreements (MSA) oder Service Level Agreements (SLA) vertraglich festgelegt.

Managed IT Services werden üblicherweise im monatlichen Turnus erbracht, weshalb die Rechnungstellung in der Regel ebenfalls monatlich und nach definierten Tarifmodellen erfolgt. So ist die Abrechnung 100% transparent und die Erbringung der IT-Dienstleistungen eindeutig messbar.

Welche IT-Dienstleistungen decken Managed IT Services ab?

Managed Service-Modelle bieten drei verschiedene Formen der Leistungserbringung:

  1. IT-Dienstleistung vor Ort – Bei dieser Art der Leistungserbringung laufen die IT-Systeme am Standort des Klienten. Die Verwaltung sowie die Beaufsichtigung finden über ein System für das Remote Monitoring + Management (RMM) statt.
  2. IT-Dienstleistungen via Fernzugriff – Die IT-Dienste werden auf der Infrastruktur des IT-Dienstleisters betrieben und über das Netz bereitgestellt. Einige Managed Service Provider unterhalten hierfür ein persönliches Rechenzentrum, andere wiederum arbeiten mit Colocation-Anbietern zusammen.
  3. IT-Dienstleistungen über die Cloud – Das dritte Modell besteht darin, Managed IT Services auf einer sog. Public Cloud-Plattform bereitzustellen.

Umfassten Managed IT Services zu Beginn vor allem die Beaufsichtigung der Server- sowie Netzwerkinfrastrukturen, decken sie mittlerweile einen enormen Teilbereich der IT ab:

Storage-Services – umfassen die Bereitstellung, Konfiguration und Wartung von Speicherplätzen

Cloud Computing – beinhalten IT-Dienstleistungen rund um Cloud Computing und die Verlagerung der IT in die Cloud

Backup- und Recovery Services – umfassen die Erstellung von Backups und eine Datenwiederherstellung im Katastrophenfall

IT-Sicherheit – beinhalten IT-Dienstleistungen rund um die IT-Sicherheit; zum Beispiel die Bereitstellung, Konfiguration sowie das Aktualisieren von Antivirenprogrammen, Antispam-Lösungen oder aber Firewall-Lösungen, um die Netzwerk-Absicherung und Desktop-Sicherheit zu garantieren

Remote Monitoring – umfasst die kontinuierliche Fernüberwachung und Fernsteuerung der Server, IT-Systeme sowie IT-Lösungen

Update- und Patch Management – umfasst das Aktualisieren sowie Patchen der eingesetzten IT-Systeme sowie IT-Lösungen

Application Services – umfassen die Bereitstellung, Anpassung und Wartung von wichtigen Server-Applikationen

Helpdesk Services – beinhalten alle Support-Dienste

Managed Services und IT Outsourcing – zwei Paar Schuhe

Während IT Outsourcing die Ausgliederung kompletter IT-Aufgaben sowie IT-Segmente an einen IT-Dienstleister bedeutet, werden beim Managed IT Service-Modell häufig nur bestimmte Teilbereiche der IT-Infrastruktur ausgelagert.

Des Weiteren geht IT Outsourcing in der Regel generell mit einem Arbeitsplatzabbau einher. Managed IT Services haben hingegen die Absicht, die IT-Teams zu entlasten, damit sie sich besser auf deren Kernaufgaben konzentrieren können.

Ein anderer essentieller Unterschied zwischen Managed IT Services und IT Outsourcing besteht darin, dass letzteres de facto einem Kontrollverlust über die unternehmerische IT gleichkommt. Im Gegensatz dazu verbleiben die Assets bei Managed Services im Unternehmen.

Welche Vorteile Managed IT Services haben

Managed Services erzeugen vielfältigen strategischen Nutzen. Dazu zählt unter anderem:

Wachstum – Unternehmen im ganzen verfügen über gesteigerte Kapazitäten zur Realisierung einer langfristigen strategischen Ausrichtung.

Kostenkontrolle – Mit Managed Services haben Betriebe ihre IT-Aufwendungen besser im Griff. Kosten sind vertragliche definiert und zusätzlich helfen die Rahmenbedingungen des Konzepts, künftige Anpassungen präzise zu kalkulieren. Unerwartete Ausgaben oder Budget-Engpässe im Bereich IT werden so vermieden.

Effizienz – Besonders für kleinere Unternehmen ist es eine Herausforderung, genügend Fachkräfte für die interne IT-Abteilung zu stellen. Dank Managed IT Services profitieren die Betriebe vom Know-how eines beachtlichen Expertenteams, das ihnen nicht bloß die nötige IT-Beratung bietet, sondern auch herausfordernde Angelegenheiten übernimmt.

Gesteigerte Sicherheit – Durch die stetig steigende Anzahl an Angriffen aus dem Internet erhöht sich der Stressfaktor für Unternehmen, sich in Bezug auf Daten-Compliance abzusichern. Die Sicherheitslösungen von Managed Services gestatten es, auf diese Bedrohung angemessen zu reagieren. Zudem verfügen Managed Service Provider meist über mehr Sicherheitsexpertise und leistungsfähigere Software, als ‚vor Ort‘ in kleinen und mittelständischen Betrieben vorhanden sind.

Digitalisierung – Die digitale Transformation ändert die Arbeitswelt drastisch. Kaum ein Unternehmensbereich ist davon stärker betroffen als die IT. Durch Managed IT Services können Betriebe in Kürze technische Innovationen der Industrie 4.0 (leistungsfähige Cloud-Lösungen o.ä.) realisieren. Dadurch werden Unternehmen agiler und skalierbar.

Hochverfügbarkeit – Da Managed Service Provider typischerweise mit mehrfach redundanten Systemen arbeiten, gewährleisten sie eine hohe Ausfallsicherheit der IT (je nach Leistungsumfang wird eine Verfügbarkeit von bis zu 99,95 Prozent garantiert).

Der Einkauf von Managed IT Services lohnt sich

Managed IT Services sind im Kommen. Dies liegt hauptsächlich daran, dass sie die wachsende Komplexität von IT-Infrastrukturen mindern, für mehr Transparenz sorgen und freie IT-Ressourcen schaffen. Aufgrund dessen sind sich IT-Experten einig: Managed Service-Konzepte sind für jedes Unternehmen eine gute Entscheidung, wenn es um die IT geht.

Möchten Sie mehr über das Thema erfahren? Sind Sie an der Implementierung von Managed Services in Ihrem Unternehmen interessiert? Dann sind unsere Managed Service-Konzepte möglicherweise die passende Lösung für Sie. Unter der kostenfreien Rufnummer 0800 4883 338 beraten wir Sie gerne. Zudem erfahren Sie hier auf unserer Website mehr zu Managed Services von Schneider + Wulf.

Foto © George Morina @ Pexels

/von

HCI – Wissenswertes zum Thema Hyperkonvergente Infrastrukturen

, ,

Lesedauer ‚HCI – Wissenswertes zum Thema Hyperkonvergente Infrastrukturen‘: 5 Minuten

Das Rechenzentrum bildet das Herzstück vieler Unternehmen. Allerdings wird Ihr Betrieb mit zunehmender Digitalisierung von unternehmensinternen Vorgängen sowie dem Gebrauch einer Vielzahl unterschiedlichster Infrastrukturkomponenten diverser Hersteller ständig komplexer. Für viele stellt sich daher die Frage, wie man schnell und einfach für erweiterte Leistungsfähigkeit sorgen kann, ohne dabei IT-Kosten oder die besagte Komplexität weiter nach oben zu treiben. An dieser Stelle kommen hyperkonvergente Infrastrukturen ins Spiel. Um was es bei hyperkonvergenten Infrastrukturen geht, wo die Unterschiede zwischen hyperkonvergenten und konvergenten Infrastrukturlösungen liegen und welche Vorteile hyperkonvergente Infrastrukturen bieten, erfahren Sie in diesem Artikel.

Im Zeitalter von Industrie 4.0, Big Data, dem Internet der Dinge & Co. hängt der ökonomische Erfolg von Unternehmen in erster Linie von der Kompetenz ab, neue Anwendungen, Dienstleistungen und Waren in ständig knapperen Zeiträumen verlässlich sowie flexibel bereitzustellen. Allerdings setzt das eine IT-Systemlandschaft voraus, welche den ansteigenden Anforderungen unseres digitalen Zeitalters standhält und sich durch hohe Skalierbarkeit, Flexibilität sowie Ausfallsicherheit auszeichnet.

Da die konventionelle sowie mehrstufige Rechenzentrumsarchitektur mit ihrer vielschichtigen, heterogenen und steifen Systemlandschaft den modernen Ansprüchen immer weniger gerecht wird, gewinnen hyperkonvergente Infrastrukturen, kurz HCI (Hyper-Converged Infrastructure), immer mehr an Bedeutung – wie die Erkenntnisse einer aktuellen Analyse von techconsult zeigen.

Dieser Analyse zufolge denken bereits bereits zwei Drittel der Unternehmen in Deutschland über denUmstieg auf hyperkonvergente Infrastrukturlösungen nach – oder befinden sich bereits in der Planung.

Das ist auch nicht überraschend, denn einem Whitepaper der International Data Corporation, kurz IDC, entsprechend verzeichnen Unternehmen, welche auf eine solche hyperkonvergente Infrastrukturlösung wechseln, etliche Verbesserungen: Bis zu 50 % niedrigere Unterhaltskosten über fünf Jahre, 91 % geringere spontane Ausfallzeit, 50 % schnellere Entwicklungslebenszyklen für neue Features, 71 % bessere IT-Infrastruktur-Teams sowie 93 % weniger Personalzeit für die Bereitstellung neuer Server.

Was sind hyperkonvergente Infrastrukturen?

Bei hyperkonvergenten Infrastrukturen dreht es sich um den Architekturansatz, bei dem verschiedene Infrastrukturkomponenten des Rechenzentrums wie Server, Datenspeicher, Netzwerk, Virtualisierungsplattform und Managementsoftware in einem dezidierten System gebündelt werden. Dabei setzen hyperkonvergente Infrastrukturen entschlossen auf die Virtualisierung und eine software-zentrierte Gestaltung. Dies bedeutet, dass sämtliche Infrastrukturkomponenten sowie eingebettete Technologien von der Hardware entkoppelt und als flexible Komponenten auf die Schicht des ‚Hypervisors‘ übertragen werden. Die Hypervisor-Software bildet die gesamte IT-Infrastruktur in einer virtuellen Umgebung ab und verteilt die Rechen- sowie Speicherressourcen gleichmäßig auf die unterschiedlichen Infrastrukturkomponenten.

Hyperkonvergente Systeme funktionieren somit grundsätzlich wie Cloud-Dienste: Auf der abstrahierten Ebene werden Services bereitgestellt, welche auf virtuellen Servern funktionieren, wobei die Hardware-Lösung im Hintergrund für den Nutzer weder sichtbar noch von Bedeutung ist.

Inwiefern unterscheidet sich eine hyperkonvergente von einer konvergenten Infrastruktur?

Obgleich konvergente wie auch hyperkonvergente Infrastrukturlösungen die Komplexität heterogener Rechenzentren lösen, gibt es ebenso erhebliche Unterschiede hinsichtlich des Umgangs mit Ressourcen. Bei einer konvergenten Infrastruktur werden die jeweiligen Infrastrukturkomponenten aufeinander abgestimmt und in der sogenannten Appliance orchestriert. Dabei bleiben selbige grundsätzlich autonom, sodass diese abgekoppelt benutzt oder skaliert werden können – doch ebenso administriert sowie gewartet werden müssen. In einer hyperkonvergenten Infrastrukturlösung dagegen steht, wie bereits erörtert, die Software im Mittelpunkt und gestattet die Verwaltung, Steuerung sowie Beaufsichtigung sämtlicher Komponenten und zugehörigen Technologien von einem inneren System aus.

Über eine engere Einbeziehung der jeweiligen Softwarekomponenten schreiten hyperkonvergente Systeme über die reine Rechenkapazität, den Speicher, das Netzwerk sowie die Virtualisierung hinaus. Auf diese Weise beinhalten hyperkonvergente Systeme meist auch Technologien etwa Daten-Deduplizierung, Datenkomprimierung für einen Transport über das Computernetz oder aber WAN-Optimierung. Außerdem enthalten hyperkonvergente Infrastrukturlösungen Gateways für die Cloud-Anbindung oder lassen sich in ein Desaster-Recovery-Konzept einbinden, das mehrere Rechenzentren enthält. Die Verwaltung sowie Bedienung der ganzen IT erfolgt bei HCI über eine relevante Software-Plattform, häufig in Form eines Web-Frontends.

Mehr Performance und Flexibilität mit hyperkonvergenten Infrastrukturen

Hyperkonvergente Infrastrukturen haben sich in den vergangenen Jahren zu einer wahrhaft innovativen Option zur herkömmlichen Rechenzentrumsinfrastruktur entwickelt. Die Vorzüge von hyperkonvergenten Systemen sprechen für sich – hyperkonvergente Infrastrukturen sind beispielsweise

  • skalierbar, flexibel und variabel, weil innovative IT-Services und Server bei Bedarf rasch zur Verfügung gestellt sowie eingebunden werden können.
  • effizient und entlastend, weil sie die Komplexität mindern und einen deutlich kleineren administrativen Aufwand herbeiführen. Außerdem lassen sich Standard-Anwendungen automatisieren.
  • leistungsstark, weil sämtliche Systemkomponenten enger untereinander verzahnt sind, zudem werden erforderliche Ressourcen optimal verteilt.
  • kosteneffizient, weil Betriebe nur für Ressourcen zahlen, die sie de facto benötigen.
  • hochverfügbar und sicher, da zum einen Backup-Vorgänge und Wiederherstellungsfunktionen bereits vorinstalliert sowie automatisiert und zum anderen sämtliche Komponenten digital verfügbar sind. Sodass können Anwendungen und Services ohne Datenverlust oder Systemausfälle gewechselt werden.

Der Umstieg auf HCI lohnt sich

Für agile Unternehmen sind Flexibilität sowie Skalierbarkeit relevante Aspekte für die Wettbewerbsfähigkeit – und somit letztlich für den Geschäftserfolg. Hyperkonvergente Infrastrukturen formen hierzu als schlanke ‚All-in-One-Lösung‘ eine solide Grundlage. Dank der guten Skalierbarkeit gepaart mit der vereinfachten Verfügbarmachung von IT-Ressourcen und einem einfachen Monitoring und Organisieren sind hyperkonvergente Infrastrukturen für sämtliche Betriebe, welche das Rechenzentrum zukunftssicher sowie flexibel positionieren möchten, sinnvoll.

Wollen auch Sie Ihre Rechenzentren mit der hyperkonvergenten Infrastrukturlösung bündeln und so langfristig IT-Kosten senken? Haben Sie weiterführende Fragen zum Thema? Kontaktieren Sie uns unter 0800 4883 338 (kostenfrei innerdeutsch)!

Foto © Digital Buggu @ Pexels

/von

Was steckt in der Cloud-Storage-Lösung OneDrive? Eine Analyse

, ,

Lesedauer: 6 Minuten

Dropbox, Google Drive, iCloud … Cloud-Dienste gibt es mittlerweile viele. Die Lösung aus dem Hause Microsoft auf dem Cloud-Storage-Markt nennt sich OneDrive. Was kann OneDrive? Beeindruckt die Cloud-Lösung in Sachen Datenschutz? Bewährt sich der Service tendenziell für private oder für geschäftliche Anlässe? Wir haben OneDrive genau unter die Lupe genommen.

Mit Unterstützung des von Microsoft bereitgestellten Cloud-Dienstes OneDrive kann man beliebige Daten in der Cloud speichern, damit diese ortsunabhängig auf Abruf verfügbar sind – per Browser, Client-Anwendung oder OneDrive-App (erhältlich für WindowsPhone, iOS und Android).

Cloud-Storage dient aber nicht nur dem reinen Datenzugriff von überall. Vor allem im Falle eines Endgeräteverlusts oder -defekts ist es enorm wertvoll, wenn wichtige Daten an einem anderen Ort, beispielsweise eben in OneDrive, gespeichert sind. Eine Funktion, welche privat, vor allem aber geschäftlich extrem nützlich ist (Vorsicht: Ein Backup wird damit dennoch nicht ersetzt!).

Damit sämtliche Daten immer und überall synchron sind, kann man ganz einfach einen als ‚OneDrive-Ordner‘ bezeichneten Ordner auf dem Computer anlegen. Alle Dateien, die in diesen Ordner bewegt werden, landen dann automatisch in der OneDrive-Cloud. In dem Moment, wo Daten auf irgendeinem Endgerät hinzugefügt, verändert oder beseitigt werden, erfolgt eine automatische Synchronisierung auf allen anderen Geräten bzw. Speicherorten. Einzige Anforderung dafür: Eine Verbindung mit dem Internet.

Für den Dateiaustausch mit Anderen lassen sich Dokumente oder Fotos aus OneDrive problemlos teilen – sei es das Geburtstagsfoto des Enkels für die Oma oder der Geschäftsbericht, den man dem Chef zur Durchsicht zukommen lassen möchte. Statt eine Datei via E-Mail zu verschicken oder sie auf einen USB-Stick zu ziehen (und so für eine Kopie der Datei zu sorgen), verschickt man einen personalisierten Direktlink zur Datei in OneDrive.

Tipp: Wenn Sie Windows 10 als Betriebssystem nutzen, ist OneDrive bereits auf Ihrem PC installiert. Bei einer anderen Windows-Version müssen Sie erst die OneDrive-App installieren.

OneDrive for Business – die Microsoft-Cloud für Unternehmen

Wie erwähnt lässt sich die OneDrive Standard-Lösung auch geschäftlich nutzen – mit ‚OneDrive for Business‘ bietet Microsoft jedoch ein Produkt an, welches dediziert für den Einsatz in Unternehmen konzipiert und somit optimal auf die Zusammenarbeit in Teams individualisiert wurde. Hier beruht die Cloud-Option im Schwerpunkt auf der Technologie von Microsoft SharePoint und kann deshalb weit mehr als ein ’normaler‘ Cloud-Speicherdienst: Per OneDrive for Business können mehrere Personen zeitgleich gemeinsam an einem Dokument arbeiten. ‚Co-Authoring‘ nennt man diese leistungsfähige Arbeitsweise, die effizientes Teamwork möglich macht.

OneDrive ist ein echter Teamplayer und arbeitet Hand in Hand mit anderen Microsoft-Applikationen – insbesondere mit Microsoft 365. Beispielsweise kann eine PowerPoint-Präsentation, die Person A in OneDrive abgelegt hat, von Nutzer B via Browser angesehen und überarbeitet werden, ohne dass Nutzer B PowerPoint auf seinem Endgerät installiert haben muss. Und Person C kann von einem anderen Teil der Welt hierbei zusehen und die Veränderungen beurteilen. Diese Möglichkeiten erleichtern die kollaborative Arbeit enorm, vor allem in den Teams, die mit Betriebssystemen von Microsoft und Apple arbeiten. Dank der automatischen Daten-Synchronisation von OneDrive können zudem alle Mitarbeiter immerzu die aktuelle Version abrufen – ganz ohne ‚Handarbeit‘.

In diesem Zusammenhang steht ein weiterer Vorteil von OneDrive for Business: Die Dokumentenversionierung. So können Benutzer ältere Versionen der in OneDrive gespeicherten Dokumente rekonstruieren (üblicherweise werden die letzten 500 (!) Versionen eines Dokuments gespeichert).

Erfüllt OneDrive auch strenge Sicherheitsstandards?

Eines ist klar: Für eine Lösung wie OneDrive, in der sensible Daten gespeichert sind, spielt das Thema Datenschutz eine zentrale Rolle. Zudem muss nachvollziehbar sein, wer (zumindest theoretisch) Einblick in die dort abgelegten Daten hat.

Wie ist hier der Status Quo? Nun, OneDrive verfügt über eine Standard-SSL-Verschlüsselung bei der Übertragung von Dokumenten – einmal auf dem Server gespeichert, kommt eine 256bit-AES Verschlüsselung zum Einsatz, um die Daten zu schützen. Wer seine Daten innerhalb von OneDrive extra verschlüsseln will, dem können Tools wie Boxcryptor oder Microsoft BitLocker als Erweiterung für den geschützten Einsatz von OneDrive im Unternehmen behilflich sein. OneDrive for Business offeriert ebenso eine Zwei-Faktor-Authentifizierung, die dafür sorgt, dass bloß autorisierte Nutzer Zugriff auf die Dateien erlangen können (eine weitere simple, aber effektive Maßnahme zur Absicherung vor Hackern: Nutzen Sie gut funktionierende Passwörter und ändern Sie diese periodisch).

Wo werden die Daten gelagert?

Dies ist eine zentrale Frage. Denn wenn die Datenspeicherung in OneDrive auf amerikanischen Servern stattfindet, ist das – besonders im Hinblick auf die strikten Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO) – als bedenklich zu betrachten. Tatsächlich wäre der Einsatz für europäische Firmen damit gar nicht möglich, ohne geltende Datenschutzverordnungen zu verletzen. Microsoft weiß natürlich um diesen Zustand. Daher werden die Daten sämtlicher Unternehmen, welche OneDrive for Business verwenden, und den Firmensitz innerhalb Europas haben, auf Servern in Rechenzentren in der Europäischen Union gespeichert. Wer genaue Auskünfte sucht, an welchem Ort Microsoft die Daten speichert, wird auf dieser Seite fündig. Dort sind alle Standorte der von Microsoft verwendeten Rechenzentren pro genutztem Microsoft-Dienst nachvollziehbar aufgeführt.

Cloud-Speicherdienste im Allgemeinen werden oft wegen angeblicher Datenschutzbedenken angeprangert. Mangelnde Undurchsichtigkeit oder eine nicht saubere Ausführung des Themas IT-Sicherheit kann man Microsoft bei ihrem Dienst OneDrive for Business allerdings nicht vorwerfen – selbst wenn das Unternehmen seinen Firmensitz in den USA hat. Nichtsdestotrotz sei an selbiger Stelle erwähnt, dass Microsoft sich durch Bestätigung der OneDrive-Nutzungsbedingungen das Recht einholt, die Daten der Kunden automatisiert zu durchforsten. Diese Handlung eignet sich dazu, Dateien zu finden, welche unangemessene Inhalte zeigen. Sieht der Microsoft-Crawler Daten, die gegen die Richtlinien verstoßen, droht eine Kontosperrung.

Legt man in der persönlichen OneDrive-Cloud als frisch gebackene Eltern beispielsweise das allererste Foto des neugeborenen Babys ab, auf welchem das Kind möglicherweise unbekleidet ist, könnte das unter Umständen tatsächlich zu einer Kontosperrung führen – über einen automatischen Datenscan per PhotoDNA-Technik könnte das jeweilige Foto entdeckt und als unangemessen eingestuft werden. Die Diskussion darüber, inwiefern jene verdachtsunabhängigen Scans sinnvoll und laut Gesetz überhaupt zulässig sind, wird bereits seit längerer Zeit geführt – bis jetzt mit variierenden Ergebnissen. Doch Fakt ist: Wer OneDrive nutzt, der stimmt dem Einsatz dieser Technik und dem automatischen Scan seiner Daten zu. Das muss man wissen, wenn man das Programm nutzt oder plant, es einzusetzen.

Wenn Sie Interesse haben, OneDrive in Ihrem Betrieb zu nutzen, sprechen Sie uns unter der kostenfreien Rufnummer 0800 4883 338 gerne an. Wir können Sie im Umgang mit OneDrive schulen, helfen bei der Konfiguration des Zugriffsmanagements und sorgen dafür, dass Sie OneDrive for Business zuverlässig einsetzen. Außerdem unterstützen wir auf Wunsch beim Datenumzug und dem Anlegen einer Ablagestruktur – um was es auch geht: Wir sind Ihr Experte rund um Microsoft OneDrive!

Foto © Ruvim @ Pexels

/von

Aber sicher! Microsoft 365 Security Management

, ,

Lesedauer: 1 Minute

Schon in diesem, gestern veröffentlichten Artikel ging es um Ransomware. In Folge möchten wir das Thema aus anderer Sicht beleuchten und Ihnen ganz konkret zeigen, welche Hilfe in diesem (und anderem) Zusammenhang sinnvolles Microsoft 365 Security Management bietet.

Fakt ist: Alle 11 Sekunden wird ein Angriffsversuch mit Ransomware auf Unternehmen durchgeführt. Zieht man nun in Betracht, wie weitverbreitet Produkte und Lösungen von Microsoft sind wird schnell klar, dass gerade darauf basierende Infrastrukturen beliebte Angriffsziele sind.

Der weltweit entstandene finanzielle Schaden durch Ransomware im Jahr 2021 wird auf rund 20 Milliarden Dollar geschätzt – Analysen zufolge fällt das Gros davon unter Angriffe im Zusammenhang mit geschäftlicher Mail-Kommunikation. Und auch hier gilt: Durch die hohe Verbreitung von Microsoft Office sind Ransomware-Attacken (fast) an der Tagesordnung. Mit gravierenden finanziellen Folgen und möglichem Imageschaden.

Prävention, aber wie?

Auf Microsoft 365 abgestimmte Sicherheitslösungen bieten mehrere Hersteller. Primär sollten diese die integrierten Sicherheitsinstrumente unterstützen und so das Sicherheitsniveau soweit erhöhen, dass Angriffe weitgehend ausgeschlossen werden können. Wichtige Faktoren für die Leistungsfähigkeit solcher Produkte sind:

Spam-Erkennungsrate – Qualitativ hochwertige Security-Produkte weisen eine Rate nahezu 100% auf.

‚Zero Day Attacks‘ – Neuartige Viren werden von Standardsystemen oft nicht erkannt und entsprechend auch nicht gefiltert. Aufgrund spezieller Technik können gute Sicherheitslösungen neuartige Bedrohungen bereits vor Bekanntwerden stoppen.

Schutz vor verschlüsselten Angriffen – Microsoft Office bietet hier standardmäßig keinerlei Schutz.

Gateaway für Mail-Encryption – Ebenfalls im Standard der Microsoft Mail-Office Protection nicht vorhanden. Geeignete Security Tools sollten in Sachen Mail-Archivierung und -Verschlüsselung fit sowie DSGVO-/GOBD-konform sein.

Reporting – Detaillierte Reports sind im Microsoft-Standard nicht vorgesehen.

Neben diesen Punkten sollten Sie über eine Lösung zur Datensicherung und -wiederherstellung (im Bedarfsfall) nachdenken. Denn leider ist es auch hier so, dass Microsoft keine Optionen ‚out of the box‘ bietet.

Im Rahmen unserer Microsoft-Projekte berücksichtigen wir dieses Thema vom Start weg. Falls Sie losgelöst davon Fragen zum Thema ‚Microsoft 365 Security Management‘ haben, stehen wir Ihnen unter der kostenfreien Rufnummer 0800 4883 338 zur Verfügung. Oder vereinbaren Sie einen Online-Gesprächstermin.

Foto © Life Of Pix von Pexels

/von

Zwei-Faktor-Authentifizierung durch Hacker ausgehebelt

,

Lesedauer: ca. 2 Minuten

Die Zwei-Faktor-Authentifizierung dient eigentlich dazu, die Anmeldung an Portalen oder Diensten noch sicherer zu machen. Mit einem bereits bekannten Trick ist es der (vom Ursprung her mutmaßlich brasilianischen) Hackergruppe Lapsus$ nun jedoch gelungen, 2FA bei Microsoft und weiteren Unternehmen zu umgehen. In diesem Zusammenhang zeigt sich, dass es erhebliche Qualitätsunterschiede im Sicherheitsniveau der verwendeten 2FA- und MFA-Systeme (Multi-Faktor-Authentifizierung) gibt.

Branchenexperten äußerten sich dazu wie folgt:

„Viele 2FA-Anbieter ermöglichen es Benutzern, Push-Benachrichtigungen einer Smartphone-App zu akzeptieren oder einen Anruf zu erhalten und eine Taste als zweiten Faktor zu drücken. Bedrohungsakteure nutzen dies aus und stellen mehrere MFA-Anfragen an das legitime Gerät des Endbenutzers, bis der Benutzer die Authentifizierung akzeptiert… so wird schließlich der Zugriff auf das Konto möglich.“

Wie das Onlinemagazin Ars Technica berichtet, ging Lapsus$ auf die gleiche Weise vor und schaffte es so, auf Netzwerke von Microsoft zuzugreifen.

Erfolgreicher Angriff mit ‚MFA Bombing‘

In der Lapsus$-Telegram-Gruppe war zu lesen:

„Es gibt kein Limit für die Anzahl der Anrufe, die getätigt werden können. Rufe den Angestellten 100-mal um 1 Uhr nachts an, während er versucht zu schlafen, und er wird ihn höchstwahrscheinlich irgendwann annehmen. Sobald der Mitarbeiter einen Anruf annimmt , kann auf das MFA-Registrierungsportal zugegriffen und ein weiteres Gerät registriert werden.

Ich konnte mich von Deutschland und den USA aus gleichzeitig in das Microsoft-VPN eines Mitarbeiters einloggen, offenbar ohne dass es bemerkt wurde. Außerdem konnte ich die MFA zweimal neu registrieren.“

Unter Zuhilfenahme von bestimmten, in Hacker-Kreisen gängigen Werkzeugen ist es ohne großen Aufwand möglich, Phishing Websites zu generieren. Diese gaukeln dem Anwender dann die Loginseite ‚ihres‘ Services o.ä. vor. Bei Eingabe der Zugangsdaten werden diese dann aufgezeichnet.

Alternative 2FA

Im Gegensatz zu 2FA-Systemen, die auf per SMS oder Mail zugeschickten oder per App generierte Codes (TOTP) basieren, ist mit der Methode der Public-Key-Kryptografie (genutzt von Fido beziehungsweise Webauthn) Sicherheit gegen Phishing-Attacken in hohem Maße garantiert.

Hier wird zwar zusätzliche bzw. spezielle Hardware benötigt, im Gegenzug ist passwortloses Anmelden per Knopfdruck möglich.

Konzerne im Visier

Durch die Attacke auf Microsoft gelangte eine große Datenmenge (ca. 37 GByte von 250 Softwareprojekten) an die Öffentlichkeit, unter anderem Quellcode der Anwendungen Cortana, Bing und Bing Maps.

Auch bei Samsung waren Hacker der Lapsus$-Gruppe erfolgreich, wie im Zuge von Ermittlungen und Festnahmen der Londoner Polizei festgestellt wurde – dort sollen um die 190 GByte sensibler Daten gestohlen und über mehrere Kanäle verbreitet worden sein.

Weitere Konzerne waren und sind betroffen, darunter auch der Chiphersteller Nvidia.

Phishing-Attacken sind eine ernstzunehmende Bedrohung – auch für mittelständische Unternehmen. Unsere Erfahrung und die Arbeit unserer Experten für Sicherheitsanalysen von CRISEC zeigt immer wieder die Defizite auf, die diesbezüglich bestehen.

Falls Sie Fragen zum Thema haben oder sich zu wirkungsvollen Gegenmaßnahmen informieren möchten, stehen wir Ihnen gerne unter der kostenfreien Rufnummer 0800 4883 338 zur Verfügung.

Quelle: https://www.golem.de/news/lapsus-hackergruppe-umgeht-2fa-mit-einfachem-trick-2203-164236.html

Foto © Markus Spiske von Pexels

/von

Ransomware – BSI veröffentlicht Empfehlungen zu Krypto-Trojanern

,

Lesedauer: ca. 4 Minuten

Das Bundesamt für Sicherheit in der Informationstechnik hat am 23. Februar 2022 mit dem ‚Maßnahmenkatalog Ransomware‘ Ratschläge zum Schutz vor Ransomware herausgegeben. Bei diesem 21-seitigen Schriftstück mit dem Untertitel ‚Präventive Maßnahmen zur Absicherung vor Krypto-Trojanern‘ handelt es sich um eine frei zugängliche Veröffentlichung zur allgemeinen Cyber-Absicherung.

Welche Bedeutung hat das Dokument? Und was steht eigentlich drin? An wen richtet es sich? Was es mit den Empfehlungen des BSI auf sich hat, erfahren Sie in diesem Artikel.

Laut BSI dient das Dokument zur Vorbereitung auf einen Ransomware-Angriff und stellt die notwendigen präventiven Grundlagen vor. Es wurde auf Basis der Erfahrungen, die bei der Ransomware-Fallbearbeitung gewonnen wurden, erstellt. Es richtet sich an Unternehmen und Behörden, die sich mit dem Thema noch nicht oder nur ansatzweise auseinandergesetzt haben und eine Übersicht über mögliche Schutzmaßnahmen vor Ransomware suchen.

Um das Schreiben, welches auf der Internetseite des BSI zum Download bereitsteht, verstehen und einordnen zu können, ist erstmal wichtig zu wissen, was Ransomware überhaupt ist.

Der Begriff Ransomware ist eine Zusammensetzung des englischen Begriffs ‚ransom‘ (Lösegeld) und der Endung ‚ware‘ von Software. Dabei dreht es sich um Schadprogramme, die man auch als Erpressungstrojaner bezeichnen kann. Solche Viren können, im Falle, dass diese einmal ins unternehmerische Datennetz eingedrungen sind, den Zugang auf Informationen wie auch komplette Systeme einschränken oder komplett lahmlegen. Verbunden sind solche Angriffe generell mit einer Lösegeld-Forderung – wird dieser nachgekommen, werden die Daten wieder freigegeben (so zumindest die Aussage der Erpresser). Die Bezahlung wird meist in Krypto-Währungen wie Bitcoin gefordert. Absicht eines Ransomware-Angriffs ist es also, Daten zu chiffrieren und Lösegeld für ihre Entschlüsselung zu fordern.

Aber Achtung: Die Zeit hat gezeigt, dass die Bezahlung der geforderten Gesamtsumme keine Gewährleistung für die Freigabe der Daten ist. Statt deshalb im Schadensfall solchen Forderungen nachzukommen, empfiehlt das BSI klar, sich an die Behörden zu wenden und Anzeige zu erstatten (weitere Empfehlungen, was Unternehmen tun sollten, wenn sie von einem Ransomware-Angriff betroffen sind, hat das BSI auf dieser Seite gelistet).

Ransomware-Angriffe nehmen bereits seit 2006 kontinuierlich zu – weltweit. Während dieser Zeit wurden schon unterschiedlichste Institutionen Opfer solcher Erpressungsversuche: Von öffentlichen Einrichtungen über große Firmen und mittelständische Betriebe bis hin zu kleinen Betrieben, Schulen oder Krankenhäusern.

Wie kann man sich gegen Cyber-Erpressung absichern?

Wie erwähnt bietet der Leitfaden präventive Tipps zum Schutz vor Ransomware-Angriffen. Darüber hinaus enthält das Dokument Strategien für den Ernstfall, also konkrete Empfehlungen fürden Umgang mit einer Lösegelderpressung infolge eines Verschlüsselungstrojaners.

Der wichtigste Ratschlag zur Risikoreduzierung: Zyklische Backups aller wichtiger Daten!

Wer (idealerweise vollautomatisiert) in einem fix festgesetzten Takt Sicherheitskopien sämtlicher wichtiger Daten erstellt, ist gegen einen Ransomware-Angriff geschützt, denn: Backups nehmen Lösegeldforderungen den Wind aus den Segeln.

Neben Datensicherungen sind die Nutzung von Virenschutzprogrammen auf allen im Unternehmen eingesetzten Geräten plus regelmäßige Aktualisierungen der eingesetzten Softwarelösungen und des Betriebssystems grundsätzliche Empfehlungen vom BSI. Zu guter Letzt weißt das BSI auf die Bedeutsamkeit hin, Mails von unseriösen Absendern nicht zu öffnen.

Zusätzlich zu diesen Tipps (die für jedermann sofort nachvollziehbar sind), hält das BSI-Papier einige Empfehlungen bereit, die sich konkret an IT-Administratoren richten, beispielsweise:

Nur erforderliche Ports freigeben
Remote-Fernzugänge schützen
Sensibler Umgang mit Administrator-Accounts
Zentrales Logging

Tipp: Mit dem kostenfreien Mailverteiler Sicher – Informiert weist das BSI alle zwei Wochen auf aktuelle Sicherheitslücken und wichtige Ereignissen rund um die IT-Sicherheit hin.

Fazit zum BSI-Leitfaden

Das Gute am aktuellen Handbuch zu Ransomware: Es ist in beachtlichen Teilen auch für Nicht-IT-Experten nachvollziehbar.

Das Schlechte am aktuellen Handbuch zu Ransomware: Es ist in beachtlichen Teilen auch für Nicht-IT-Experten nachvollziehbar.

Soll heißen: Seine Ratschläge sind relevant und kommen im richtigen Moment, sind aber an vielen Bereichen eher seicht und enthalten Informationen, die Unternehmen ohnehin schon umgesetzt haben sollten. Uns ist natürlich bewusst, dass viele Betriebe keinesfalls bestmöglich positioniert sind in Puncto IT-Grundschutz, weshalb der Leitfaden vom BSI wie gerufen kommt – mit dem Ziel sich die Frage zu fragen, welche von den empfohlenen Methoden bereits realisiert wurden und welche nicht.

Die Aktion des BSI, für das Thema Ransomware zu sensibilisieren und Unternehmen die relevanten Fakten an die Hand zu geben, begrüßen und unterstützen wir voll und ganz. Man sollte allerdings bewertend bemerken, dass es sich bei dem Arbeitspapier lediglich um eine Sammlung von ‚Best Practices‘ dreht, die gegen unterschiedliche Angriffe absichern sollen.

Ohne Frage – ein Verfahren nach diesem Gießkannenprinzip ist auf jeden Fall besser, als keinerlei Sicherheitsmaßnahmen zu realisieren. Allerdings benötigen Unternehmen mit dem Ziel, umfassend vor jedem Ransomware-Angriff geschützt zu sein, eine individuelle IT-Sicherheitsarchitektur, da jedes Unternehmen über eine individuelle IT-Landschaft verfügt. Empfehlenswert ist ein geeignetes Gesamt-Konzept, welches alle Einzelteile einbezieht und bei welchem Themen wie Firewall, Cloud-Sicherheit, Handy-Schutz und vieles mehr perfekt aufeinander abgestimmt sind.

Insbesondere aufgrund der aktuellen geopolitischen Lage sollten die Ratschläge des BSI in jedem Fall ernstgenommen und bei Defiziten zeitnah im persönlichen Betrieb implementiert werden. Wenn Sie den Wunsch haben, Ihre IT-Sicherheit begutachten zu lassen oder auch Unterstützung benötigen, um sich gezielt sowie gründlich vor Ransomware abzusichern, dann sind wir Ihr qualifizierter Ansprechpartner.

Sprechen Sie uns unter der Nummer 0800 4883 338 gerne persönlich an. Unsere Experten kümmern sich professionell um eine optimale Absicherung Ihrer IT-Landschaft.

Foto © cottonbro von Pexels

/von

Kritische Infrastrukturen – wirtschaftliches Rückgrat moderner Gesellschaften

, ,

Lesedauer: ca. 8 Minuten

Zeitgenössische Gesellschaften mit hochentwickelter Dienstleistungs- und Industriewirtschaft zeichnen sich durch ein hohes Maß an Digitalisierung, Wendigkeit, Konkurrenzfähigkeit und intensiver Teilnahme an der Globalisierung aus. In Anbetracht dessen sind moderne Unternehmen immer stärker von einer hochleistungsfähigen, funktionstüchtigen und ausfallsicheren IT-Infrastruktur abhängig – das gilt insbesondere für systemrelevante Unternehmen der kritischen Infrastruktur.

Diese als KRITIS bezeichneten Infrastrukturen werden so zu einem der bedeutendsten wirtschaftlichen Stützpfeiler. Deshalb muss deren reibungsloser Betrieb zu jeder Zeit gewährleistet sein – fallen sie infolge von Internetangriffen, Havarien oder technischem Versagen aus, hat das gravierende Auswirkungen auf die Sicherheit und Versorgungslage des Landes.

Aus diesem Grund hat die Politik rechtliche Vorgaben und Regelungen festgelegt, um solchen gefährlichen Szenarien vorzubeugen. Welche dies sind, wann eine Infrastruktur als ‚kritisch‘ bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Unternehmen der kritischen Infrastruktur begegnen, lesen Sie in unserem folgenden Blogartikel.

Wie sich eine kritische Infrastruktur definiert

Laut der öffentlichen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie (BSI) wie auch des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe (BBK) handelt es sich bei kritischen Infrastrukturen um die ‚Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.‘

Merkmale kritischer Infrastrukturen

Demzufolge sind private und staatliche Betriebe der kritischen Infrastruktur für die Instandhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheitssituation, der Sicherheit und des ökonomischen oder sozialen Wohlseins der Bevölkerung elementar – und somit äußerst schützenswert.

Die Nationale Strategie zur Sicherheit kritischer Infrastrukturen, die am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat (BMI) verabschiedet wurde, definiert 9 Bereiche der kritischen Infrastrukturen:

1. Staat und Verwaltung
2. Stromerzeugung
3. Informationstechnik und Telekommunikation
4. Transport und Verkehr
5. Gesundheitszustand
6. Wasser
7. Ernährung
8. Finanz- und Versicherungswesen
9. Medien plus Kultur

Mit der Novellierung des BSIG im Jahr 2021 kam mit der Siedlungsabfallentsorgung ein zehnter Bereich hinzu (der jedoch auf Bundesebene noch nicht allgemeingültig ist).

Inwiefern ein Unternehmen als kritische Infrastruktur eingestuft wird, kann nur eine individuelle Prüfung mit Sicherheit beantworten. Es existieren jedoch bekannte Anhaltspunkte, anhand derer eine erste Einstufung möglich ist:

Schwellenwert – Das BSI hat in der KRITIS-Verordnung 2021 für jeden Bereich spezielle Schwellenwerte festgelegt. Diese bestimmen, ab wann ein Unternehmen der kritischen Infrastruktur zuzuschreiben ist. Eine übersichtliche Aufzählung finden Sie hier.

IT-Netzwerk – Die sog. IT-Independenz von Unternehmen ist ein weiterer aussagekräftiger Faktor. Hier geht es darum, ob ein Betrieb mit mehreren Standorten diese IT-seitig zentral oder dezentral verwaltet. Verständlicherweise unterstützt eine zentrale Verwaltung die Einstufung als kritische Infrastruktur.

Verschärfte Bedrohungslage erfordert verschärfte Maßnahmen

Grundsätzlich sind kritische Infrastrukturen vorteilhaft beschützt. Nichtsdestotrotz stellen sie aufgrund deren Bedeutsamkeit sowie Sensibilität für Wirtschaft und Gesellschaft und Staat ein lukratives Geschäft für Internetkriminelle, Terroristen und verfeindete Staaten dar.

Deshalb überrascht es absolut nicht, dass in der Presse immer wieder von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu lesen ist. So sorgte zum Beispiel im Mai 2021 ein Ransomware-Zugriff auf eines der größten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA temporär für Treibstoffengpässe an der gesamten Ostküste.

Dies ist kein Einzelfall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Sektoren Informationstechnik sowie Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den vergangenen Jahren merklich zugenommen. Zeitgleich zeigen die Ergebnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der EDV, dass in den erwähnten Branchen insgesamt 1.805 Sicherheitsmängel festgestellt wurden, die insbesondere auf Problematiken im Fachbereich Netztrennung, Notfallmanagement und physische Sicherheit zu begründen sind.

Nebst Internetangriffen gehen auch Naturgewalten, Havarien, menschliches Scheitern oder technische Fehler mit teilweise schwerwiegenden Folgen für die Sicherheit und das Wohlergehen der Menschen einher, wie der 31-stündige Stromausfall in Berlin-Köpenick Ende Februar 2019 mit Nachdruck verdeutlichte.

Gesetze zum Schutz kritischer Infrastrukturen

Mit dem Ziel, derartige Worst-Case-Szenarien zu verhindern, gilt es für Betriebe der kritischen Infrastruktur Gefahren und Bedrohungen frühzeitig zu ermitteln und abzuwehren. Die gesetzlichen Bedingungen sowie Regelungen sind dazu im IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz (BSIG), sowie der BSI-KRITIS-Verordnung (BSI-KritisV) festgelegt. Demnach sind Betriebe der kritischen Infrastruktur dazu verordnet,

eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen.

die IT-Sicherheit auf den ‚Stand der Technik‘ umzusetzen und passende organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Prävention, Ausmachung und Bewältigung von IT-Sicherheitsvorfällen oder IT-Störungen zu implementieren (vor allem ein ISO 27001-konformes Informationssicherheitsmanagementsystem) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse sicherzustellen.

IT-Sicherheitsvorfälle und erhebliche IT-Störungen, welche zu einem IT-Störfall führen, zu melden.

die getroffenen IT-Sicherheitsvorkehrungen gemäß § 8a Absatz 3 BSIG mittels eines Gutachtens gegenüber dem Bundesamt für Sicherheit in der Informationstechnik zu belegen.

Stabile Netzwerke – ein Muss

Das Bundesamt für Sicherheit in der Informationstechnik hat bereits im März 2020 die ‚Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen‚ veröffentlicht. Mit diesem Anforderungskatalog stellt das BSI allen Betrieben der kritischen Infrastruktur und ihren Gutachtern einen konkreten Bereich zur Wahl, Umsetzung und Prüfung aller IT-Sicherheitsmaßnahmen, welche im Rahmen der IT-Sicherheit umzusetzen sind. Hierbei deckt der Anforderungskatalog alle aufgeführten Bereiche ab:

Informationsmanagementsystem
Asset Management
Risikoanalysemethode
Continuity Management
Technische Informationssicherheit
Personelle sowie organisatorische Sicherheit
Bauliche / physische Absicherung
Vorfallserkennung und Bearbeitung
Begutachtung im laufenden Betrieb
Externe Informationsversorgung sowie Unterstützung
Lieferanten, Dienstleistungsunternehmen und Dritte
Meldewesen

Sind Sie ein Unternehmen der kritischen Infrastruktur und auf der Recherche nach effektiven und innovativen IT-Sicherheitslösungen? Ihr Ziel ist es, ihre IT-Infrastruktur intelligent vor potenziellen Bedrohungen zu beschützen? Sie haben weitere Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-KRITIS-Verordnung oder kritische Infrastrukturen? Sprechen Sie uns unter der 0800 4883 338 gerne an!

Foto © Elijah O’Donnell von Pexels

/von

Die elektronische Mail-Signatur – Wozu sie dient, wer sie braucht

, ,

Lesedauer: ca. 7 Minuten

Die Aufforderung zur Kontobestätigung der Sparkasse, die Aktualisierung persönlicher Zugangsdaten bei PayPal – sogenannte Phishing Mails, gefälschte Nachrichten mit dem Ziel des Datenklaus, werden immer raffinierter. Mittlerweile sind diese selbst von Experten nur noch schwerlich von echten Nachrichten zu unterscheiden.

Gleichzeitig werden im Geschäftsalltag tagtäglich vertrauliche Informationen per Mail versendet – oft ohne Gedanken daran, dass diese Informationen nach dem Versand ebenfalls in falsche Hände gelangen können. Denn neben Phishing gibt es noch etliche weitere Techniken von Hackern, um an vertrauliche Daten wie Passwörter, Kreditkarteninformationen etc. zu gelangen.

Mit anderen Worten: Elektronische Nachrichten sind nicht (mehr) sicher.

Sicherheit mit Brief und Siegel

Eine Möglichkeit zur Beseitigung dieses Problems ist die elektronische Mail-Signatur. Nicht zu verwechseln mit der Auflistung der Kontaktinformationen am Ende des schriftlichen Inhaltes einer Nachricht, handelt es sich hierbei um eine Art Briefsiegel: Die elektronische Signatur sorgt dafür, dass der Empfänger klar feststellen kann, wer der Absender der Mail ist und ob der Inhalt auch genauso ankommt, wie er verschickt wurde.

Ist der Absender tatsächlich der, der er vorgibt zu sein? Kann ausgeschlossen werden, dass die Inhalte der Mail auf dem Weg vom Absender zu mir als Empfänger aufgehalten und manipuliert wurden? Mithilfe einer elektronischen Unterschrift landen mehr Mails im Posteingang, bei denen die Antwort auf diese Fragen ‚Ja‘ lautet.

Technisch betrachtet handelt es sich bei der elektronischen Signatur, die auch als digitale Unterschrift bezeichnet wird, um ein Zertifikat, welches zusammen mit der normalen Mail versendet wird.

Von Ämtern zu Wirtschaftsunternehmen

Anfangs wurde die elektronische Signatur vor allem in der öffentlichen Verwaltung eingesetzt. Die immer größere Verbreitung von E-Commerce-Konzepten förderte dann den Einsatz in der Privatwirtschaft. Immer mehr Unternehmen verwenden die elektronische Unterschrift zudem für ganz spezielle Anwendungsfälle, beispielsweise wenn für elektronisch zu unterzeichnende und verschickende Policen.

Ausgangspunkt für den gegenwärtigen Stand der Technik bei der digitalen Unterschrift ist im Übrigen die sog. ‚Signaturrichtlinie‘ der Europäischen Union. Jene regelt, welche Bedingungen erfüllt sein müssen, damit eine digitale Signatur vor Gericht als rechtswirksam anerkannt wird. Diese Bedingungen wurden im vorangegangenen Absatz beschrieben: Der eindeutig bestimmbare Absender sowie der garantiert unveränderte Inhalt.

So erstellt man eine digitale Unterschrift

Will man eine Mail elektronisch unterzeichnen, gibt es zwei Standards, welche sich bewährt haben: S/MIME und OpenPGP. Die Verfahrensweisen agieren beide nach dem gleichen Prinzip (auf der Grundlage von Hashwerten gepaart mit einem Public-Private-Key-Verfahren, siehe unten), verwenden aber verschiedene Datenformate. Bedeutsam für die Auswahl einer Methode ist die Unterstützung durch den zutreffenden Mail Client, denn etliche Softwarelösungen fördern entweder das eine oder das andere Verfahren, aber nicht alle beide gleichzeitig.

Technisch betrachtet ist eine digitale Unterschrift eine Form der asymmetrischen Verschlüsselung. Das bedeutet: Im Zuge des Mailversandes werden zwei Schlüssel mit verschickt – ein privater und ein öffentlicher. Wichtig dabei: Das Schlüsselpaar muss von einer offiziellen Zertifizierungsstelle verifiziert werden. Wird nun eine Mail verschickt, passiert Folgendes: Durch Hashfunktion wird der Text mit einer Prüfsumme ausgestattet, welche nochmals mit dem nicht-öffentlichen Schlüssel verschlüsselt und der Mail-Nachricht ebenfalls angehängt wird. Trifft die Mail nun beim Empfänger ein, wird anhand des Schlüssels die Prüfsumme entschlüsselt und obendrein nochmals errechnet. Entspricht die frisch errechnete Prüfsumme der verschlüsselt mitgesendeten Prüfsumme, ist sichergestellt, dass der Inhalt unberührt geblieben ist. Und der öffentliche Schlüssel? Der kann beispielsweise auch mit der Mail mitgesendet oder alternativ vom Empfänger über ein öffentlich zugängliches Register eingeholt werden.

Geschäftskommunikation sicherer machen

Einige Mail Clients bieten entsprechende Konfigurationen für elektronische Signaturen an, um die oben erwähnte Vorgehensweise zu automatisieren. Wer allerdings über den unternehmensweiten Gebrauch einer digitalen Signatur nachdenkt, sollte die Signierung mittels Gateway in Erwägung ziehen, welches alle abgehenden Mails zentral signiert. Ansonsten ist der Aufwand äußerst hoch, da man für jeden einzelnen Angestellten ein dediziertes Zertifikat benötigt und im Mail-Programm hinterlegen muss. Außer der vereinfachten Anpassung und zentralen Verwaltung ist der Nutzen eines Gateway zudem, dass die Signaturprüfung eingehender Mails erfolgt, bevor diese auf dem Mail Server landen (und hier womöglich Schaden verursachen).

Aber Achtung: Zwar sind Gateway-Zertifikate, die meist für alle Mailadressen unter einer Domain gelten, international standardisiert. Dennoch können manche Mail Clients diese (noch) nicht korrekt verarbeiten und lösen entsprechend Fehlermeldungen auf Empfängerseite aus. Deshalb kann es durchaus ratsam sein, lediglich einzelne Team-Postfächer wie buchhaltung@… oder bewerbung@… zu zertifizieren – besonders eben die Postfächer, die mit sensiblen Daten arbeiten.

Mails verschlüsseln und signieren – für sicheren Mailverkehr

Mailverschlüsselung und digitale Unterschrift sind zwei verschiedene Paar Schuhe – und beide sind wichtig.

Die Unterschrift kommt wie erwähnt einem Briefsiegel gleich. Zum einen wird sichergestellt, dass der Inhalt unverändert bleibt und zum anderen ist die Identität des Versenders eindeutig gewährleistet.

Dennoch: Besagter Inhalt kann auf dem Versandweg eingesehen werden. Um beim Beispiel zu bleiben, kann man einen versiegelten Brief beispielsweise gegen das (virtuelle) Licht halten, um an inhaltliche Informationen zu gelangen. Deshalb ist eine zusätzliche Verschlüsselung grundsätzlich sinnvoll – sie macht den digitalen Briefumschlag quasi blickdicht.

Für allerhöchste Sicherheitsansprüche: Die qualifizierte digitale Signatur

Zuletzt sei noch erwähnt, dass es nicht nur eine, sondern gleich drei Varianten der elektronischen Signatur gibt: 1. Die allgemeine (AES), 2. die fortgeschrittene (FES) und 3. die qualifizierte elektronische Signatur (QES).

Am hochwertigsten ist die letztgenannte. Diese ist dann nötig und sinnvoll, wenn allerhöchste Sicherheitsstandards gefordert sind – ist sie dem Gesetz (§ 2 Nr. 3 SigG) zufolge doch ebenbürtig mit einer handschriftlich getätigten Unterschrift auf Papier. Entsprechend wird wird sie zur Unterzeichnung von sensibelsten Dokumenten und Verträgen genutzt. Für den alltäglichen Mail-Austausch hingegen ist diese Art der Unterschrift tatsächlich zu viel des Guten, da sie zusätzlich den Gebrauch spezieller Hardware (Chipkarten und dazugehörige Lesegeräte) voraussetzt.

Sie haben Fragen oder Interesse an eletronischer Mail-Signatur? Möchten Sie wissen, welche Art und welcher Grad der digitalen Unterschrift für Ihre geschäftliche Korrespondenz erforderlich ist? Kontaktieren Sie uns unter 0800 4883 338.

Foto © cottonbro von Pexels

/von

Krieg heute bedeutet (auch) Cyberwar

, ,

Lesedauer: 2 Min

In Zusammenhang mit den aktuellen, schrecklichen Ereignissen in Europa wurde jüngst durch das Bundesamt für Informationssicherheit die zweithöchste Warnstufe bezüglich der IT-Bedrohungslage ausgerufen.

Es wurde ein erheblicher Anstieg von Phishing-Mails, offensiven Netzwerkscans und Social Engineering-Aktivitäten festgestellt. So werden beispielsweise gezielt Mitarbeiter kontaktiert, um durch Manipulation sensible Daten abzugreifen. Die Angriffe sind nicht zielgerichtet und verfolgen nicht zwingend wirtschaftliche Zwecke, sondern gleichen momentan eher Vandalismus.

Sensibilisieren Sie Ihre Mitarbeiter daher zwingend bezüglich dieser Gefahren und zeigen Sie ihnen Mittel und Wege, derartige Vorgehensweisen frühzeitig erkennen zu können. Der Faktor ‚Mensch‘ nimmt eine zentrale Rolle ein, wenn es um die Unternehmenssicherheit geht!

Ferner sollten Sie prüfen, inwieweit Systeme, die aus dem Internet erreichbar wären, in Ihrem Hause abgesichert sind – hier besteht meist ein erhöhtes Angriffspotenzial. Insbesondere ein funktionierendes Patch-, Antivirenschutz- und Datensicherungs-Management sollte umgesetzt worden sein. Gerade der Backup-Prozess ist die elementarste Versicherung für die akute Bedrohung durch Ransomware. Prüfen Sie daher, ob eine Datensicherung existiert, die nicht aus dem Netzwerk erreichbar ist, um ein Ausbreiten von Ransomware auf das Backup zu verhindern.

All diese Schutzmaßnahmen sind keine einmaligen Handlungen, die eine Sicherheit per Knopfdruck herstellen, sondern müssen kontinuierlich gepflegt und überwacht werden.

Soweit Sie unsicher bezüglich der Sicherheit Ihres Unternehmens sind, zögern Sie nicht, uns zu kontaktieren. Mit Ihnen gemeinsam gehen wir die einzelnen Themen an – ganz gleich, ob es rein technische Schutzmaßnahmen sind oder solche aus dem organisatorischen Bereich. Sie erreichen uns über die kostenfreie Nummer

0800 4883 338

Mit freundlichem Gruß,
Ihr Team von Schneider + Wulf

Foto © cottonbro von Pexels

/von

E-Mails richtig archivieren – revisionssicher und GoBD-konform

, ,

Lesedauer: ca. 8 Min

Die E-Mail ist weiterhin das populärste sowie meistgenutzte Kommunikationsmedium in der Geschäftswelt. Aber nur wenige Unternehmen machen sich Gedanken darüber, dass geschäftliche E-Mails steuer- sowie handelsrechtlich wichtige Daten enthalten können und daher revisionssicher archiviert werden müssen.

Welche E-Mails von der Archivierungspflicht berührt sind, worin sich E-Mail-Archive und E-Mail-Backups differenzieren und warum eine E-Mail-Archivierung ein bedeutender Baustein einer IT-Sicherheitsstrategie sein sollte, lesen Sie in dem nachfolgenden Blogbeitrag.

Der Kommunikationsweg E-Mail ist aus dem heutigen Arbeitsalltag nicht mehr fortzudenken. Mittlerweile werden komplette Firmenprozesse wie die Angebotserstellung, der Versand von Verträgen, Abrechnungen und Zahlungsbelege oder etwa das Reklamationsmanagement mittels E-Mails bewerkstelligt.

Allein in Deutschland erhält heutzutage jeder Büroangestellte im Durchschnitt 26 geschäftliche E-Mails am Tag – das sind 26 steuerrechtlich und handelsrechtlich wichtige Firmendokumente!

Angesichts dessen ist völlig offensichtlich, dass die Archivierung der elektronischen Geschäftskorrespondenz zunehmend an Bedeutung gewinnt.

Gesetzliche Vorgaben zur revisionssicheren E-Mail-Archivierung

Im Prinzip ist jede Firma in Deutschland dazu verpflichtet, nicht nur die analoge, sondern auch ihre digitale Geschäftskorrespondenz mehrere Jahre lang komplett, originalgetreu und manipulationssicher aufzubewahren. Ein zentrales E-Mail-Archivierungsgesetz existiert dafür jedoch nicht!

Im Detail bildet sich die juristische Grundlage zur Aufbewahrung von E-Mails aus unzähligen Vorschriften sowie Gesetzen. Dazu zählen u.a.:

  • die Grundsätze zur ordnungsgemäßen Führung sowie Verwahrung von Büchern, Aufzeichnungen und Dokumenten in elektronischer Form sowie zum Datenzugriff, kurz GoBD
  • das Handelsgesetzbuch, kurz HGB
  • die Abgabenordnung, kurz AO
  • die Grundsätze ordnungsgemäßer Buchführung, kurz GBO
  • das Aktiengesetz, kurz AktG
  • das Gesetz betreffend die Gesellschaft mit beschränkter Haftung, kurz GmbHG
  • das Umsatzsteuergesetz, kurz UStG
  • das Bundesdatenschutzgesetz, kurz BDSG
  • das Telekommunikationsgesetz, kurz TKG
  • das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG

Die rechtlichen Archivierungspflichten sind dabei unter anderem im § 257 des Handelsgesetzbuchs festgelegt. Demnach müssen Unternehmen sämtliche E-Mails, die nach diesem Paragraph und §147 der Abgabenordnung als Handelsbrief oder Geschäftsbrief gelten und für die Besteuerung relevant sind, für einen Zeitraum von sechs bis zehn Jahren aufbewahren.

Von der Aufbewahrung ausgeschlossen sind dagegen private E-Mails von Arbeitnehmern, solange diese der Archivierung im E-Mail-Archiv nicht ausdrücklich beigestimmt haben, und E-Mails mit Bewerberdaten. Gleiches gilt für interne E-Mails, über welche kein Geschäft zustande gekommen ist, Spammails sowie Marketingtools wie zum Beispiel Newsletter.

Revisionssichere Archivierung schützt vor Geldbußen und Freiheitsstrafen

Die Anforderungen an eine revisionssichere E-Mail-Archivierung sind in den Grundsätzen zur ordnungsgemäßen Verwaltung und Archivierung von Büchern, Aufzeichnungen und Dokumente in elektronischer Form sowie zum Datenzugriff geregelt.

Demzufolge müssen Unternehmen ihre digitale Geschäftskorrespondenz einschließlich ihrer Anhänge erklärlich, auffindbar, unveränderbar und verfälschungssicher archivieren.

Das heißt aber, dass gewöhnliche E-Mail-Programme diesen Anforderungen nicht zur Genüge leisten – besonders in Bezug auf die Unveränderbarkeit von E-Mails. Deshalb ist der Gebrauch einer kompetenten und leistungsfähigen E-Mail-Archivierungslösung unerlässlich.

Zum einen bietet sie Firmen die Revisionssicherheit und damit die geforderte Rechtssicherheit der digitalen Geschäftskorrespondenz. Zum anderen betreut Sie die Unternehmen unter anderem darin, Arbeitsabläufe zu verbessern, E-Mail- und Speicherinfrastrukturen zu entlasten wie auch den Verwaltungsaufwand und dadurch die IT-Ausgaben zu minimieren.

Kommen Firmen den gesetzlichen Archivierungspflichten von E-Mails jedoch nicht nach, drohen ihnen nicht nur hohe Bußgelder, sondern auch Freiheitsstrafen.

Ein E-Mail-Backup ist kein E-Mail-Archiv

Entgegen der oft vertretenen Meinung können E-Mail-Backups keine E-Mail-Archive ablösen. Das Backup eines E-Mail-Servers ist für die kurzzeitige und auch mittelfristige Speicherung von Nachrichten gedacht, um diese im Falle eines Datenverlustes schleunigst wiederherzustellen. Die E-Mail-Archivierung unter Einsatz von einer leistungsfähigen und kompetenten E-Mail-Archivierungslösung dagegen ermöglicht eine dauerhafte und insbesondere revisionssichere Speicherung des E-Mail-Verkehrs – die das Gesetz für die Archivierung der digitalen Geschäftskorrespondenz verlangt.

Ergänzend kommt die Tatsache, dass E-Mails bei einem Backup manipuliert oder gar gelöscht werden können. Bei einer E-Mail-Archivierung werden Gegebenheiten dieser Art verhindert.

Der Datenschutz und die E-Mail-Archivierung

Wie schon genannt gibt es Ausnahmefälle, bei welchen E-Mails aus gesetzlichen Motiven gar nicht oder nur eingeschränkt archiviert werden dürfen.

Private Nutzung des geschäftlichen E-Mail-Kontos. Grundsätzlich dürfen persönliche E-Mails der Mitarbeiter bei der privaten Nutzung des geschäftlichen E-Mail-Kontos nicht aufbewahrt werden, außer diese haben der E-Mail-Archivierung ausdrücklich zugestimmt.

Grundsätze der Datenminimierung. Im Sinne des Artikels 5 Abs. 1 lit. c. DSGVO sowie § 47 Nr. 5 BDSG dürfen personenbezogene Datensammlungen nur so lang gespeichert werden, wie es für die Erfüllung des Zwecks notwendig ist. Hier gilt: Bestehen für die Daten gesetzlich vorgeschriebene Aufbewahrungspflichten, die sich über einen längeren Zeitabschnitt erstrecken als der datenschutzrechtliche Zweck, so sind Daten bis zum Ablauf der längsten für sie einschlägigen Aufbewahrungspflicht vorzuhalten, ansonsten ist dringlich ein Löschkonzept zu empfehlen.

Merksätze zur revisionssicheren E-Mail-Archivierung

Weltweit werden täglich ca. 319,6 Milliarden geschäftliche und persönliche E-Mails versendet und entgegengenommen.

Diese Zahlen machen deutlich: Insbesondere im Arbeitsumfeld ist die revisionssichere und rechtskonforme E-Mail-Archivierung essenziell.

Der Verband ‚Organisations- und Informationssysteme e.V.‘, kurz VOI, bietet folgende grundsätzliche Merksätze zur revisionssicheren elektronischen Aufbewahrung an:

  • Jede E-Mail muss nach Richtlinie der gesetzlichen und organisationsinternen Anforderungen ordnungsgemäß aufbewahrt werden.
  • Die Archivierung hat gänzlich zu geschehen – keine E-Mail darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
  • Wirklich jede E-Mail ist zum organisatorisch frühestmöglichen Termin zu archivieren.
  • Jede E-Mail muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.
  • Jede E-Mail vermag nur von entsprechend berechtigten Benutzern eingesehen werden.
  • Jede E-Mail muss in angemessener Zeit wiedergefunden und auch reproduziert werden können.
  • Jede E-Mail darf nicht früher als nach Ablauf seiner Aufbewahrungsfrist vernichtet, d.h. aus dem Archiv gelöscht werden.
  • Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte erklärlich aufgeschrieben werden. Das gesamte organisatorische und technische Verfahren der Archivierung muss von einem sachverständigen Dritten stets überprüfbar sein.
  • Bei allen Migrationen und Veränderungen am E-Mail-Archivsystem muss die Einhaltung aller zuvor aufgelisteten Grundsätze gewährleistet sein.

Mehrwerte für Ihr Unternehmen

Die E-Mail ist und bleibt wichtiges Kommunikationsmedium. Im gleichen Atemzug ist die bestehende Rechtsordnung zum Thema E-Mail-Archivierung eindeutig.

Es ist deshalb höchste Zeit sich darum zu kümmern, alle Anforderungen an die E-Mail-Archivierung zu erfüllen.

Sie wollen mehr zum Thema rechtssichere E-Mail-Archivierung erfahren oder suchen nach einer geeigneten Archivierungslösung, mit der Sie Ihre E-Mail- und Speicherinfrastruktur entlasten und dabei die Leistungsfähigkeit und Tatkraft Ihrer internen Firmenprozesse steigern können? Sprechen Sie uns gerne an.

Foto © Maksim Goncharenok von Pexels

 

/von