Zeiten ändern sich: Unser neues Service-Konzept

, , ,

Seit nunmehr 31 Jahren unterstützen wir kleine- und mittelständische Unternehmen bei der Implementierung hochwertiger und leistungsfähiger IT-Lösungen. Bei Problemen sind unsere Experten (telefonisch, per Fernwartung oder persönlich) zur Stelle und sorgen dafür, dass Ihr Betrieb wieder läuft.

Bislang war es diesbezüglich unser Anspruch, durchgehende Erreichbarkeit sowie die Nennung eines Bearbeitungstermines innerhalb von 20 Minuten nach Eingang Ihrer Support-Anfrage zu gewährleisten. Erstaunlicherweise sorgte dies nicht für Zufriedenheit – im Gegenteil.

Unser überarbeitetes Service-Konzept basiert auf der Erkenntnis, dass eine solche Zufriedenheit vor allem dann erreicht wird, wenn die Erwartungen des Kunden ebenso erfüllt werden wie die des Systemhauses. Oder umgekehrt: Der größte Unmut entsteht durch unterschiedliche Erwartungshaltungen.

Grundvoraussetzung für optimalen Support ist deshalb das Festlegen und Dokumentieren der jeweiligen Erwartungen. Ein Beispiel aus unserem Alltag: Die Frage nach der Bedeutung einer ‘schnellen’ Bearbeitung führt bei zehn Personen zu zehn verschiedenen Antworten – von ‘sofort’ über ‘innerhalb der nächsten 2 Stunden’ bis hin zu ‘in 2 Tagen, wenn ich wieder im Büro bin’.

 

Umfang und Ablauf von Service-Dienstleistungen konkret zu vereinbaren, ist also unerlässlich. Wie man das macht? Über sogenannte Service Level Agreements (SLAs) wird gemeinsam erarbeitet, welche Szenarien für Sie kritisch sind und innerhalb welcher Zeitspanne Probleme qualifiziert und behoben werden.

Sie als Geschäftsführer und Entscheider haben dafür das nötige Verständnis bezüglich Ihres Unternehmens und können einschätzen, welche Schäden entstehen können, wenn in Ihrem Unternehmen ein Prozess, eine Applikation, ein Arbeitsplatz oder eine ganze Abteilung ‘stehenbleibt’.

 

Die Funktionsweise unseres neuen Service-Konzeptes haben wir in einem One Pager (PDF, 440 KB) beschrieben; hier ist auch der generelle Melde- und Priorisierungs-Prozess dargestellt.

Und wünschen Sie als Kunde doch einmal eine schnellere Bearbeitungszeit als die im festgelegten Zeitfenster, so haben Sie die Möglichkeit einer höher priorisierten Bearbeitung.

 

Unser Anliegen ist es, Ihnen genau den Support zu vermitteln, den Sie für Ihr Unternehmen benötigen, lassen Sie sich von uns unter 0800 4883 338 im Detail zum neuen Service-Konzept beraten.

/von

Finanzierung und Leasing – So bleiben Sie trotz Ausbau Ihrer IT liquide

, , ,

Die Digitalisierung zwingt auch den Mittelstand zum Umrüsten, denn: Wer es nicht tut, wird bald abgehängt.

Im Zuge des digitalen Wandels stehen auch kleine- und mittelständischen Unternehmen vor der Frage der Finanzierung. Um wettbewerbsfähig zu bleiben, müssen Unternehmen heutzutage stets innovativ und technisch auf dem neuesten Stand sein. Jedoch – eine adäquate IT-Lösung kann von enormer Bedeutung für das Unternehmenswachstum sein.

Für viele kleine- und mittelständische Unternehmen ist dies jedoch eine Frage des Geldes, denn die Umsetzung solcher Projekte erfordert umfassende Investitionen. Leasing, Miete oder Mietkauf kann die entscheidende Lösung sein.

Was also tun, wenn das IT Budget ausgeschöpft ist, Ihre IT-Infrastruktur aber dringend ein Update benötigt? Ob Cloud-Technologie, virtuelle Server- oder Storage-Lösungen, Managed IT Services, Infrastrukturprüfung, Schwachstellenanalyse, Pentest, CRM, Prozess-Management, Business Intelligence, Schnittstellen-Programmierung oder Hardware, wir bieten Ihnen eine maßgeschneiderte Finanzierung an.

Grundgedanke eines Finanzierungskonzeptes ist die Prozesskostenoptimierung. Die Verträge umfassen deshalb nicht nur die Finanzierungsrate, sondern integrieren auf Wunsch auch Wartung und Services. Die Rate kann innerhalb der Vertragslaufzeit angepasst werden, beispielsweise durch Austausch, Zumietung, Abmietung; eine Anpassung der Rate oder eine Laufzeitänderung ist jederzeit möglich. Erst nach dem Ende der Laufzeit entscheiden Sie, ob Sie die Produkte und Lösungen weiter nutzen möchten.

Das Finanzierungskonzept von Schneider + Wulf hilft Ihnen

  • Ihre Liquidität zu erhalten
  • ermöglicht Ihnen größere Investitionen zu einem früheren Zeitpunkt
  • gibt Ihnen Planungssicherheit
  • bietet Ihnen Flexibilität

Finanzierungslösungen wie Leasing, Miete oder Mietkauf sorgen dafür, dass Sie sich Ihre Unabhängigkeit und Liquidität erhalten. Gerne beraten wir Sie unverbindlich unter 0800 4883 338 (kostenfrei innerdeutsch).

/von

Schwachstellen-Management – Sicherheitslücken identifizieren und beseitigen

Sicherheit bedeutet Sorgenfreiheit – denn wo Probleme herrschen, fühlt man sich nicht sicher. Wer viel Verantwortung trägt, kennt womöglich das Gefühl, nicht (mehr) den vollen Überblick über die Dinge zu haben. Das gilt insbesondere für Verantwortliche der IT-Sicherheit – schließlich kann ein Mangel in diesem Bereich sogar existenzbedrohende Ausmaße annehmen.

 

“Wir sind nicht nur verantwortlich für das, was wir tun, sondern auch für das, was wir nicht tun.”

Molière

 

Im ersten Schritt empfiehlt sich deshalb die Feststellung des Ist-Standes. Geeignete Werkzeuge hierfür sind die Schwachstellenanalyse und der Penetrationstest.

Deren Durchführung ist seit Jahren fester Bestandteil unseres Tagesgeschäfts. Dabei prüfen wir Ihre Systeme über einen zuvor fest definierten Zeitraum, identifizieren und priorisieren entdeckte Sicherheitsprobleme und geben Empfehlungen, wie vorhandene Sicherheitslücken – mit oder ohne unsere Hilfe – beseitigt werden können.

Als Resultat erhalten Sie eine Momentaufnahme des aktuellen Sicherheitsniveaus Ihrer IT. Wichtig für Sie zu wissen: Dieser Status kann sich aufgrund von Modifikationen an Ihrer IT-Infrastruktur bereits nach kürzester Zeit komplett verändern.

Installiert der Admin beispielsweise eine neue Software oder nimmt Anpassungen in der Firewall-Konfiguration vor, besteht die Gefahr einer weiteren Schwachstelle … die bis zur nächsten Prüfung unentdeckt bleibt.

Regelmäßige Kontrolle ist demnach absolut notwendig und wichtig. Um diese Regelmäßigkeit zu gewährleisten, haben wir ein Produkt entwickelt: Das Schwachstellen-Management. Ähnlich dem Monitoring einer Server-Infrastruktur wird in Intervallen geprüft, um Probleme frühzeitig zu erkennen, Schwachstellen zu melden und Lösungsvorschläge mit der IT-Abteilung zu erarbeiten.

Sie können nicht nur die zu prüfenden Komponenten, sondern auch den jeweils zeitlichen Abstand zwischen den Prüfungen bestimmen; beispielsweise: Kontrolle sämtlicher externen Systeme, zwei Mal je Monat.

 

“Je regelmäßiger Sie Ihre IT-Infrastruktur durch unser Schwachstellen-Management prüfen lassen, umso größer ist die Chance, dass Schwachstellen zeitnah entdeckt und eliminiert werden.“

Jens Regel IT Security Consultant Schneider + Wulf

 

Zum Thema Schwachstellen-Management beraten wir Sie gerne. Kontaktieren Sie uns unter 0800 4883 338 (kostenfrei innerdeutsch).

/von

DSGVO – IT-Sicherheit, aus der Praxis für die Praxis

,

20.000 EUR Strafe wegen Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) musste die Chat-Plattform ‚Knuddels‘ zahlen – damit kam der Anbieter noch glimpflich davon. Das Unternehmen hatte Kundendaten im Klartext auf seinem Server abgespeichert.

Dies ist nicht der einzige Fall, der geahndet wurde. Einer Umfrage des Handelsblattes zufolge haben seit dem Inkrafttreten der DSGVO am 25. Mai 2018 bislang 41 Unternehmen Bußgeldbescheide erhalten.

 

Als Android-Benutzer interessiert es Sie vielleicht: Einige recht populäre Anwendungen (Tripadvisor, Spotify, MyFitnessPal, Kayak usw.) geben Ihre persönlichen Daten an Facebook weiter – auch, wenn Sie selbst gar keinen Facebook Account besitzen. Das fand die Organisation Privacy International in ihrer Studie heraus.

Im Zuge der DSGVO sind Sie in der Pflicht, viele IT-bezogene technische und organisatorische Grundlagen zu erfüllen. Das bedeutet: Analysieren, evaluieren und dokumentieren, damit Sie im Zweifelsfall nachweisen können, dass beispielsweise personenbezogene Kundendaten richtig und DSGVO-konform verarbeitet wurden. Dies erfordert nicht nur ein Bewusstsein und die Achtsamkeit aller datenverarbeitenden Stellen – es kostet auch Ressourcen und Zeit.

 

Wie also schützen Sie sich vor einer Abmahnung? Grundvoraussetzung ist, dass Sie das aktuelle Sicherheitsniveau Ihrer IT-Infrastruktur kennen. Den ersten wichtigen Schritt diesbezüglich gehen Sie mit der Basisprüfung ITQ. Sie schafft ein hohes persönliches Sicherheitsempfinden, die gesetzliche Anforderungen gemäß BSI Grundschutz sind erfüllt, Sie weisen damit Ihre unternehmerische Sorgfaltspflicht nach und vermeiden somit eine private Haftung.

 

Die Basisprüfung ITQ hilft Ihnen, Missstände in Ihrer IT-Infrastruktur zu erkennen und zu beseitigen. Bei Fragen zum Thema beraten wir Sie gerne. Rufen Sie uns an: 0800 4883 338

/von

Sicherheits-Check in Klinik (leider) geglückt

Das Gesundheitswesen steht verstärkt im Fokus von Hacking-Angriffen. Im November 2018 wurde beispielsweise der Betrieb des Klinikums Fürstenfeldbruck nahezu lahmgelegt – rund 450 Rechner waren durch einen Mail-Trojaner infiziert worden.

Wegen dieser Cyber-Attacke konnten Rettungswagen die Klinik elf Tage lang nicht anfahren.

 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Gefährdungslage durch Ransomware seit Jahren als hoch ein. Krankenhäuser, die gemäß BSI-Gesetz als kritische Infrastruktur eingestuft wurden, sind verpflichtet, dem BSI bis spätestens Juni 2019 nachzuweisen, dass sie IT-Sicherheitsmaßnahmen nach dem Stand der Technik erfolgreich implementiert haben.

Das passende Werkzeug dafür? Der Penetrationstest, in dem ein Hacker-Angriff simuliert wird.

 

Im April 2018 unterzog sich eine große deutsche Klinik einem Human Based Test – ein wichtiger Bestandteil von Penetrationstests, bei dem vor allem die ‘Schwachstelle Mensch’ geprüft wird. Die Klinik wird durch die FAC’T Gruppe betreut; die Beauftragung des Tests erfolgte durch die FAC´T IT GmbH. Über die Bearbeitung sagt Natascha Zacher von FAC’T IT:

 

“Angenehme, lockere, professionelle und zuverlässige Zusammenarbeit von Anfang an; zielorientiertes und Mit-Spaß-an-der-Sache-Denken und Handeln in allen Bereichen (Vertrieb, Geschäftsführung und IT-Sicherheitsberatung) mit gutem Preis- und Leistungsverhältnis.

Bei der IT-Sicherheitsberatung wurde die beauftragte Zeit durch die Prüfung der Schnittstellenbereiche optimal ausgenutzt.

Die Berichte sind aussagekräftig, verständlich und mit Lösungsansätzen aufgearbeitet. Die formelle Seite wurde auch berücksichtigt und gut gelöst.

Die Ergebnis-Präsentation wurde lebendig und zum Teil mit Video-Beispielen vorgetragen, die auch für mich als Nicht-Technikerin verständlich war.

Meiner Meinung nach haben Sie für die Sicherheitsüberprüfung eine Eins verdient. Weiter so!”

 

Hier finden Sie einen Artikel zu diesem Test (PDF, 1 MB, Auszug aus der Fachzeitschrift Krankenhaus-IT Journal)

 

Und wo stehen Sie? Kennen Sie Ihren aktuellen Sicherheits-Status? Verhindern Sie, dass Ihr Unternehmen durch eine gezielte Attacke ins Papierzeitalter zurückgeworfen wird und lassen Sie sich prüfen. Unter 0800 4883 338 beraten wir Sie gerne!

/von

Emojis? Übertragen Benutzerdaten!

Die Datenschutz-Grundverordnung EU-DSGVO bringt viel Positives mit sich. Doch es gibt auch Klärungsbedarf. Eine Problematik, derer sich Betreiber oder Designer von Websites möglicherweise nicht bewusst sind: Die Übertragung von Nutzerdaten an Google und Co. in Momenten, in denen man dies am wenigsten vermutet.

Bedingt durch das Inkrafttreten der Verordnung im Mai dieses Jahres hat sich herausgestellt, dass diverse Vorgehensweisen im Web Design rechtlich zumindest fragwürdig sind. Dies, weil Besucherdaten zu den Anbietern von Online-Diensten übertragen werden, beispielsweise bei der Nutzung von Google Maps.

Aber auch bei der Nutzung von Google Fonts oder den Einsatz eines simplen WordPress Emoji werden sensible Daten zu den jeweiligen Anbietern übertragen. Diese Übertragung geschieht zunächst automatisch, wenn die entsprechenden Dienste auf der Seite genutzt werden. Vor allem beim Thema Google Fonts ist dies kritisch zu betrachten – viele Seiten nutzen diesen Dienst (die Schriftart Open Sans ist ein bekannter Vertreter), um sich im Design von den wenigen verfügbaren Standard-Schriften abzusetzen.

Eine technisch wirklich plausible Begründung für die Übertragung der IP-Adressen gibt es nicht – schließlich gäbe es die Möglichkeit, genutzte Fonts ebenso wie Emoji-Bilddateien lokal zu speichern. Fakt ist: Aufgrund der neuen Verordnung ist diese Übertragung genau genommen unzulässig.

Das fatale daran: Der Seitenbetreiber ist mitverantwortlich und muss sich entsprechend verhalten.

Natürlich gibt es Möglichkeiten, die Übertragung der Informationen zu unterbinden. Diese sind jedoch grundsätzlich mit Aufwand verbunden – oder für den Laien ohne weiteres nicht durchführbar (Änderungen am Seiten-Quellcode, im CSS etc.).

Bei Missachtung besteht die Gefahr einer Abmahnung. Denn: Nachdem zum Thema Abmahnwelle zunächst der Tenor ‘Abwarten und Tee trinken’ vorherrschte, gibt es mittlerweile Meldungen über Dienstleister oder Anwaltskanzleien, die dies tatsächlich tun. Ob diese erfolgreich sein werden, steht auf einem anderen Blatt; ein rechtskräftiges Gerichtsurteil gibt es noch nicht.

Glücklicherweise gibt es Menschen, die Anwendern Werkzeuge zur Verfügung stellen, um solche Themen auch ohne Einarbeitung umzusetzen. Im Fall ‘Google Fonts und WordPress Emojis’ sind wir auf die Erweiterung Autoptimize gestoßen. Sie schlägt zwei Fliegen mit einer Klappe: Zum einen optimiert sie die generelle Leistung einer WordPress Website, zum bietet sie diverse Möglichkeiten zur rechtskonformen Verwendung von Google Fonts sowie WordPress Emojis.

Bewahren Sie einen kühlen Kopf – auch wenn Sie bezüglich möglicher Auswirkungen der neuen Datenschutzgrundverordnung verunsichert sein sollten. Denn wie Sie sehen, gibt es immer einen Weg.

Fragen zum Thema beantworten wir Ihnen gerne unter 0800 4883 338.

/von

Warum der Pentest auch mal schmerzen darf

Wem bei Pentest nur der Kugelschreiber einfällt, sollte jetzt genau lesen. Denn hierbei geht es um ein wichtiges Thema. Ein Pentest oder Penetrationstest (vom englischen ‘penetration testing’) ist tatsächlich ganz bewusst penetrant und führt deshalb oft zu eindeutig schmerzlichen Erkenntnisgewinnen, am Schluss aber zu Ergebnissen, die die Sicherheit erhöhen können.

Sicherheitslücken entlarven mit dem Pentest

Solche Pentests sollten vor allem KMUs nicht mit einem Lächeln ausschlagen und davon ausgehen, dass die eigene Website oder IT natürlich nicht angreifbar ist – IT-Sicherheit lässt sich nur dann auf Dauer bewahren, wenn sie von professionellen Augen, Köpfen und Händen überwacht wird.

Ein Pentest ist in der Praxis ein Test eines Computersystems, Netzwerks oder einer Web-Applikation, um Verwundbarkeiten aufzuspüren, bevor dies ein fremder Angreifer macht. Pentests können mithilfe von Software automatisiert oder auch manuell durchgeführt werden. So oder so – der Prozess dreht sich immer darum, Informationen über das Ziel zu sammeln, bevor man den Test startet. Dann geht es darum, mögliche Angriffspunkte, Einbruchs- oder Manipulationsversuche – real oder virtuell – zu enttarnen und die Ergebnisse an den Auftraggeber zu berichten. Pentests werden mitunter auch ‘white hat attacks’ genannt, weil in einem Pentest die ‘guten Jungs’ die Einbruchsversuche unternehmen – und nicht die Bösen. Wenn man in einem mittelständischen Unternehmen sein Kerngeschäft auf anderen Gebieten hat, sollte man die Pentests ruhig dem IT-Dienstleister überlassen, weil der bestenfalls viel Erfahrung damit hat.

Zu den Pentest-Strategien gehört meistens:

Geplanter Test | Hier weiß die KMU, dass der IT-Dienstleister einen Test durchführen wird und die Teams arbeiten auf beiden Seiten zusammen. Manche nennen das auch den ‘Tageslicht’-Test, weil jeder mitbekommt, was da passiert.

Externer Test | Dieser Pentest zielt auf die externen Server oder Geräte ab, inklusive des Domain Name Servers (DNS), der Mail Server, Web Server oder Firewalls. Das Ziel ist es, herauszufinden, ob ein externer Angreifer ins System komm und wie weit er kommt, wenn er Zugriff bekommen hat.

Interner Test | Dieser Test stellt einen Angriff nach, der von innen – also nach der Firewall – passiert. Es wird getestet, was ein autorisierter Benutzer mit Standardrechten in der Lage ist, zu tun. Denn Angestellte könnten der eigenen Firma auch einmal Schaden zufügen wollen.

Blindtest | Ein Blindtest simuliert Handlungen und Abläufe eines reellen Angreifers, der nur wenige bis gar keine internen Informationen hat.

Doppelblindtest | Ein erweiterter Blindtest, über den nur ein bis zwei Angestellte des Unternehmens informiert sind.

Solche Tests können hilfreich sein, um das Sicherheits-Monitoring und Reaktionsverhalten bei Schwachstellen im Unternehmen zu prüfen.

Wenn Sie jetzt noch mitlesen, dann haben Sie das Richtige getan, denn Sie haben sich mit den Problemen und den Testmöglichkeiten beschäftigt. Sie sollten auch den zweiten Schritt tun und Ihrem IT-Dienstleister die Durchführung von Pentests in Ihrem Unternehmen beauftragen.

Mit den Nachwirkungen eines Pentest arbeiten ist in jedem Fall besser, als auf die Auswirkungen eines wirklichen Angriffs reagieren … Möglicherweise bescheinigen wir ja auch, dass in Ihrem Unternehmen derzeit sicherheitstechnisch alles in bester Ordnung ist.

Kontaktieren Sie unsere Kundenbetreuer über die 0800 4883 338 (kostenfrei innerdeutsch), wenn Sie Fragen zum Pentest haben.

/von