Hacker müssen draußen bleiben: Multifaktor-Authentifizierung

,

Haben Sie auch schon das Schreiben Ihrer Bank erhalten, in welchem Sie darüber informiert werden, dass das iTAN-Verfahren abgeschaltet wird und Sie zum neuen, sicheren photoTAN-Verfahren wechseln sollen beziehungsweise müssen? Ziel ist das Erschaffen einer ‚starken‘ Kundenauthentifizierung, um damit die Sicherheit beim Online Banking zu erhöhen.

Das erweiterte Verifizierungsverfahren ist in diesem Fall zum Schutz Ihrer persönlichen Werte da. Als Inhaber oder Geschäftsführer eines Unternehmens sollte Ihnen dieses Thema auch wichtig sein, um die Werte Ihres Unternehmens zu schützen. Denn, wie Sie wissen, gibt es unzählige Möglichkeiten, Passwörter zu stehlen.

Wie also können Sie sicher sein, dass sich nicht eine fremde Person in Ihrem Netzwerk anmelden möchte?

Mit einer Multifaktor-Authentifizierung (MFA) können Sie dem Angreifer mehrere, unüberwindbare Barrieren bauen. Wir selbst setzen die Lösung AuthPoint von WatchGuard ein, denn sie bietet eine einfache und effektive Multifaktor-Authentifizierung, die überall verfügbar ist.

Zusätzlich zur Passwort-Eingabe erfolgt ein weiterer Eingabecode zur Authentifizierung. Aber warum heißt es Multifaktor-Authentifizierung? Die Multifaktor-Authentifizierung beschreibt folgende Faktoren: Ihr Passwort, den Code via Push Message, die Telefon-Biometrie sowie einer daraus generierten sogenannten ‚Telefon-DNA‘.

Die verwendete Mobile App von AuthPoint ist zudem kompatibel mit Apple iOS und Android. Sollte für die Nutzung der App keine Internet-Verbindung bestehen, so hat man auch die Möglichkeit, sich seinen Code via QR Code generieren zu lassen. Und selbst wenn Sie kein Telefon zur Verfügung haben und auch die App für Sie nicht zugängig sein sollte, so steht Ihnen das AuthPoint-Portal browserbasierend im Web zur Verfügung.

 

Wie funktioniert AuthPoint?

Sie melden sich – wie gewohnt – mit Ihrem Passwort an. WatchGuard nutzt dafür ein Portal, in dem das Passwort hinterlegt ist. Nach der Eingabe erhalten Sie den zweiten Authentifizierungscode per Push Message, welchen sie zusätzlich eingeben. Ein Angreifer könnte zwar Ihr Passwort stehlen, müsste dann jedoch auch Ihr Mobiltelefon haben, um sich zu einem System Zutritt zu verschaffen.

 

Kundenbetreuer Sebastian Gottschalk erklärt: „Mithilfe von Passwort-Richtlinien kann man im Unternehmen schon recht viel Sicherheit schaffen, indem man Passwörter mit bestimmten Voraussetzungen wie Anzahl der Zeichen, Sonderzeichen, Groß- und Kleinbuchstaben sowie Ziffern vorschreibt und diese auch regelmäßig ändert. Im besten Fall verfügen Sie über ein Passwort-Tool, das komplexe und einzigartige Passwörter erzeugt.

Nichtsdestotrotz ist man nie davor gefeit, dass eine nicht berechtigte Person das Passwort eines Anwenders ergattert. Eine Multifaktor-Authentifizierung erzeugt daher grundsätzlich ein sehr viel höheres Sicherheitsniveau.“

 

Es gibt viele 2-Faktor-Lösungen am Markt. Der Hersteller WatchGuard arbeitet ausschließlich mit der OTP-Technologie (‚One Time Password‘), also mit einer einmaligen Vergabe des Authentifizierungs-Codes.

Das Passwort ist auch nur eine gewisse Zeitspanne, welche Sie selbst bestimmen, nutzbar. Verstreicht die gesetzte Frist, muss der Anmeldeprozess wiederholt werden – eine weitere Sicherheitsmaßnahme.

 

Varianten der Übermittlung des Authentifizierungscodes bei WatchGuard AuthPoint

  • per Push-Message
  • via AuthPoint-App (Apple iOS und Android)
  • browserbasierend über das WatchGuard-Portal ‚AuthPoint‘
  • per QR Code; den QR Code einfach per Handy einscannen und sich so authentifizieren (Offline)

 

Sebastian Gottschalk: „In der heutigen Zeit im Rahmen von Sicherheitstechnologiequalität und Schwachstellenmanagement, und auch generell für Unternehmen, die ihre Leitlinie nach dem BSI Grundschutz ausrichten, ist eine Multi-Faktor-Authentifizierung unerlässlich. Da sie inzwischen auch bezahlbar ist, gibt es aus meiner Sicht keinen Grund, keine zu haben.“

 

Sie besitzen keine Produkte von WatchGuard? Kein Problem! Nutzbar ist die AuthPoint MultiFaktor-Authentifizierung auch ohne den Besitz einer WatchGuard Firewall. Heißt, selbst wenn Sie eine ‚fremde‘ Firewall-Lösung einsetzen, ist AuthPoint für Sie als Multifaktor-Authentifizierung möglich respektive nutzbar.

Kontaktieren Sie uns unter 0800 4883 338 kostenfrei zu diesem Thema, wir beraten Sie gerne.

/von

Rauchen ist schädlich … für die Sicherheit Ihrer Daten!

,

Wenn Sie glauben, dass Hacker mit einer Sturmmaske vorm Bildschirm sitzen, um arglose Opfer für ihre Attacken zu suchen, dann liegt das vor allem an den Medien, die dieses Bild geprägt haben, weil es Aufmerksamkeit erregt.

Die Wahrheit sieht anders aus. Zum einen – das mit den Sturmhauben stimmt so nicht. Zum anderen sind Hacker nicht immer ‚die Bösen‘ (wie Sie wissen, verfügen auch wir über Sicherheits-Experten, die Hacker-Angriffe simulieren, um Ihnen die Schwachstellen in Ihrer IT aufzuzeigen).

Im letzten Newsletter haben Sie alles zum klassischen Prüfmodul ‚Computer Based Social Engineering‘ erfahren. Heute möchten wir Sie über das (noch viel spannendere Thema) ‚Human Based Social Engineering‘ informieren. Bei dieser Art des Angriffs geht es darum, physische Sicherheitsvorkehrungen vor Ort im Zusammenspiel mit den Mitarbeitern zu überprüfen.

 

‚Human Based‘ in der Praxis

Kürzlich wurden wir beauftragt, an einem beliebigen PC im Unternehmen einen Keylogger zu platzieren. Ein Keylogger ist eine Hard- oder Software, die verwendet wird, um die Eingaben des Benutzers an einem Computer mit zu protokollieren, dadurch zu überwachen oder zu rekonstruieren.

Unser Sicherheitsexperte kundschaftete also zunächst das gesamte Unternehmen aus, wie es ein Hacker auch tun würde, online und vor Ort: Wie groß und anonym ist das Unternehmen? Wie sind die Betriebszeiten? Welche Zugänge gibt es? Wo ist welche Abteilung? Welche Sicherheitsmaßnahmen gibt es? Gibt es einen Empfang? Sicherheitspersonal? Und gibt es Schichtwechsel? Wen kann ich als Referenz nennen? usw.

Auch fingierte Telefonanrufe bei Mitarbeitern sind Teil der Informationsbeschaffung und damit Teil des Tests. Angriffsziel ist hier gerne die Zentrale, die man bittet sich zu den Ansprechpartnern durchstellen zu lassen. Öffentlich zugängliche Informationsquellen wie XING, LinkedIn oder auch Social Media bieten dem Hacker das nötige Hintergrundwissen über Funktion und Bekanntschaften, um am Telefon glaubwürdig herüber zu kommen.

Bereits einige Male gelang es unseren Mitarbeitern, sich anhand einer gefälschten Identität am Empfang vorbei zu schmuggeln. Die Tarnmöglichkeiten sind hier vielseitig, da selbst in mittelständischen Firmen ständig Dienstleister ein- und ausgehen – sei es der Telekommunikations- oder IT-Techniker oder auch die betreuende Drucker-Firma.

Dieses Mal jedoch fiel seine Wahl auf das Rauchereck – ein beliebter Prüfpunkt. Hier gesellte sich unser ‚Spion‘ dazu, rauchte eine Zigarette mit und ging mit dem Erstbesten, der die Tür öffnet, ins Gebäude hinein.

Notiz: Solche Raucher-Treffs stellen speziell in großen Unternehmen ein Problem dar – die hohe Mitarbeiteranzahl sorgt für hohe Anonymität. Unsere Security Consultants erleben auch häufig, dass solche Zugänge während der Bürozeiten frei zugänglich sind. Entweder, weil sie von vornherein nicht verschlossen sind oder aus Bequemlichkeit ein Keil die Tür geöffnet hält.

Kaum ins Gebäude gelangt, kann mit der Arbeit begonnen werden. Dabei wird jede Schwachstelle notiert und bewertet, jedoch ohne Abteilungen oder Namen zu nennen. Unser Ergebnisbericht bleibt absolut anonym und soll der Führungsebene lediglich die Wahrscheinlichkeit eines solchen Angriffes aufzeigen.

 

Gerne bieten wir Ihnen Maßnahmen wie den 10-Punkte-Plan an, eine Art Leitfaden oder Awareness-Training. Es gibt viele Ansätze zur Verbesserung der Informationssicherheit. Welche zu Ihren Bedürfnissen passen, erfahren Sie im Zuge der Beratung. Kontaktieren Sie uns unter 0800 4883 338.

/von

Viren? Hacker? – Kenn ich, betrifft mich aber nicht!

Ein ITQ-Artikel von Dennis Joist

Rund zwei Drittel aller mittelständischen Unternehmen sind bereits Opfer von Cyber-Attacken geworden. Im Ergebnis mussten davon fast die Hälfte zeitweilig den Betrieb einstellen. Im Durchschnitt treten pro Unternehmen vier IT-Sicherheitsvorfälle pro Jahr auf.

Die nackten Zahlen: Der durchschnittliche Schaden in einem mittelständischen Unternehmen beläuft sich auf 380.000,- € jährlich!

In kleineren Betrieben mag diese Summe sicherlich niedriger ausfallen – aber selbst ein kleinerer Schaden kann bei vielen Klein- und Kleinstunternehmen zumindest zu Liquiditätsengpässen führen.

Der weit verbreitete Gedanke kleiner Betriebe (‚Bei uns ist nix zu holen‘), stellt sich als gefährlicher Irrglaube heraus. Denn gerade in diesen Unternehmen ist es um die IT-Sicherheit schlecht bestellt. So haben Hacker erleichterte Zugriffsmöglichkeiten auf die IT-Systeme.

 

Der Weg des geringsten Widerstandes – beliebtes Handlungsmotto von Cyber-Kriminellen!

Häufigstes Einfallstor für derartige Angriffe sind Mails mit Schadprogrammen. Diese werden zwar grundsätzlich von Viren-Schutzprogrammen erkannt … jedoch versagen diese Programme bei neuen, unbekannten Viren. Dann genügt das unachtsame Öffnen eines Anhanges, um IT-Systeme zu infizieren.

‚Bruder Leichtfuß‘ in Gestalt des eigenen Mitarbeiters ist leider meist Verursacher Nummer 1, wenn es um die Ursache von IT-Sicherheitsvorfällen geht.

Der Grund eines solchen Fehlverhaltens ist aber in der Regel in der Leitungsebene des Unternehmens zu suchen, die mangels Sensibilisierungs- und Schulungsmaßnahmen nicht dazu beiträgt, ein entsprechendes Problembewusstsein bei seinen Mitarbeitern zu schaffen.

Mindestens ebenso wichtig wie die Umsetzung grundsätzlicher technischer Schutzmaßnahmen ist es, interne Arbeitsanweisungen, Richtlinien, Prozesse und Verfahren offen an Mitarbeiter zu kommunizieren und diese nicht nur bekannt zu machen, sondern auch zu prüfen, ob deren Regelungsinhalt verstanden worden ist. Mit der Vorlage eines Sammelsuriums von Sicherheitsanweisungen zur Unterschrift ist es nicht getan, wenn nicht sichergestellt werden kann, dass diese am Ende des Tages auch verstanden und befolgt werden.

Betrachtet man allein die Abhängigkeit der Geschäftsprozesse von der Funktionalität der IT-Systeme, wird einem schnell bewusst, welche gravierenden Folgen stundenweise oder gar tagelange Ausfälle der Informationstechnik haben können.

Getreu der Prämisse ‚Aktion statt Reaktion‘ sollte daher überprüft werden, ob das interne Sicherheitsniveau angemessen ist. Eine sinnvolle Überlegung: Beauftragen Sie einen unabhängigen, neutralen Experten für Informationssicherheit und umgehen Sie so die Gefahr der ‚Betriebsblindheit‘.

 

Was das kostet …

Viele Sicherheitsmaßnahmen sind nicht zwangsläufig mit hohen Kosten verbunden, sondern auch mit kleinerem Budget umsetzbar: Schulungen oder die Formulierung eindeutiger Arbeitsanweisungen, um damit organisatorischen Fehlern vorzubeugen, sind hierfür Beispiele.

Eine regelmäßige Überprüfung des Unternehmens auf Sicherheitsmängel ist insbesondere für die Unternehmensleitung relevant, um im Schadensfall den Nachweis erbringen zu können, unternehmerischen Sorgfaltspflichten nachgekommen zu sein. Andernfalls kann es zum Fortfall des Versicherungsschutzes bis hin zur persönlichen Haftung des Geschäftsführers kommen.

Zur Versinnbildlichung möge man sich ins Gedächtnis rufen, dass fehlende regelmäßige Wartung des Autos früher oder später teuer wird und zu kostspieligen Reparaturen führt. Das Fahrzeug wird ausfallen oder läuft nicht mehr zuverlässig.

Gleiches kann dem eigenen Unternehmen blühen.

 

Sie haben Fragen zu diesem Artikel oder zum Thema IT-Sicherheit im Allgemeinen? Kontaktieren Sie uns unter 0800 4883 338 kostenfrei.

/von

Die Basisprüfung ITQ – budgetfreundlicher Einstieg in die Informations-Sicherheit für KMU

,

Grundsätzliches Verständnis zur Wichtigkeit einer sicheren und funktionierenden Informationstechnik ist in KMU oft vorhanden. Allerdings sind die getroffenen Sicherheitsmaßnahmen meist nicht ausreichend oder es bestehen Lücken bei der Absicherung.

Häufig wird Informationssicherheit mit hohen Kosten und komplexen technischen Fragen verbunden – dies wirkt abschreckend und verhindert weitere Beschäftigung mit der Materie.

Mithilfe der Basisprüfung ITQ des Institut für Technologiequalität ITQ wurde speziell für kleine und mittelständische Unternehmen ein budgetfreundliches Werkzeug geschaffen, um einen bezahlbaren Einstieg in die Verbesserung der Informationssicherheit zu ermöglichen. Es hilft dabei, wichtige Unternehmenswerte wie Entwicklungspläne, vertrauliche Informationen und Geschäftsdaten gegen Diebstahl oder sonstigen Verlust zu schützen. Zudem zeigen Sie, dass Ihr Unternehmen ein verlässlicher Geschäftspartner ist, der verantwortungsbewusst mit fremden Informationen und Werten umgeht.

Die Methodik und der Inhalt der Basisprüfung ITQ wurde von Experten mit langjähriger Erfahrung auf dem Gebiet der Informationssicherheit entwickelt. Diese Vorgehensweise – einen geeigneten Einstieg in die Informationssicherheit zu schaffen und auf Basis der Prüfung das eigene Sicherheitsniveau festzustellen, zu verbessern und aufrechtzuerhalten – hat sich in jahrelanger Praxis vielfach bewährt.

Gängig ist die Prüfung des gesamten Unternehmens, dennoch können auch einzelne Bereiche Gegenstand der Prüfung sein.

 

Informationssicherheit ist als ein Zyklus zu verstehen

Beginnend mit der Ermittlung des Sicherheitsstandes, weiter zur Implementierung von Maßnahmen bis hin zur wiederkehrenden Prüfung, ob ermittelte Risiken durch Maßnahmen weiterhin erfolgreich beseitigt werden oder neue Risiken entstanden sind, gegen die es vorzugehen gilt.

Neben der Prüfung der technischen Voraussetzungen, werden weiter auch organisatorische sowie infrastrukturelle Vorgaben geprüft und gemeinsam bedarfsgerechte Maßnahmen ausgewählt, um die Sicherheit zu steigern. Objekte der Basisprüfung ITQ sind die Geschäftsprozesse, Anwendungen, IT-Systeme und betriebsrelevante Räumlichkeiten des Unternehmens.

 

Das Ergebnis kann sich sehen lassen

Immer mit dem Ziel vor Augen, eine praxisnahe Lösung zu erarbeiten, werden diejenigen Maßnahmen vorgeschlagen, die von unseren Experten nach langjähriger Erfahrung als wirkungsvoll bewertet wurden – wobei insbesondere wirtschaftliche Gesichtspunkte Berücksichtigung finden.

Oftmals können bereits durch wenig kostenintensive Maßnahmen große Erfolge erzielt und das Sicherheitsniveau des Unternehmens wesentlich gesteigert werden. Die Erfahrung hat gezeigt, dass häufig im organisatorischen Bereich Nachholbedarf besteht und durch kurzfristige Umsetzung von Maßnahmen – ohne großen finanziellen Aufwand – viel zur Steigerung der Informationssicherheit beigetragen werden kann.

Nach Durchführung der Prüfung wird der Unternehmensleitung ein Ergebnisbericht übergeben, der den derzeitigen Stand der Informationssicherheit mit dem Idealbild vergleicht. Darauf aufbauend wird ein Katalog mit Maßnahmenempfehlungen zur Verfügung gestellt. Diese zeigen, wie erfasste Mängel beseitigt werden können.

Die Reihenfolge der Maßnahmen wird anhand bestehender Risiken und Wirkungsreichweite unverbindlich festgelegt, besonders kritische Mängel werden entsprechend hervorgehoben. Auf Basis dieses vorgeschlagenen Umsetzungsplanes kann die Unternehmensleitung die Reihenfolge der Umsetzung selbst bestimmen und wählen, welche Maßnahmen im Betrieb getroffen werden sollen.

 

Informationssicherheit ist keine einmalige Handlung, sondern als wiederkehrender Prozess zu verstehen. Insofern sollte das avisierte Sicherheitsniveau Schritt für Schritt erarbeitet und kontinuierlich verbessert werden. Ein funktionierendes Informationssicherheitsmanagement wird treffend durch ebendiesen Prozess beschrieben.

 

Sollte wir Ihr Interesse geweckt haben, zögern Sie nicht unter der 0800 4883 338 kostenfrei mit uns in Kontakt zu treten und ein unverbindliches Angebot anzufordern. Individuelle Prüfungen bieten wir bereits ab 999,- € an!

/von

Mit Social Engineering das Sicherheits-Bewusstsein im Unternehmen ermitteln

Einer der wichtigsten Faktoren im Zusammenhang IT-Sicherheit in Unternehmen ist die ‚Komponente Mensch‘, also das Sicherheits-Bewusstsein der Mitarbeiter. Wie Sie bereits wissen, verschaffen Sie sich mit einem Penetrationstest (simulierter Hacker-Angriff) Überblick über das Sicherheitsniveau im eigenen Betrieb (Detailinformationen hierzu finden Sie hier). Um festzustellen, wie es um das oben erwähnte Sicherheitsverständnis bestellt ist, gibt es das Prüfmodul ‚Social Engineering‘.

Will ein Hacker Geschäftsgeheimnisse ausspähen, setzt er in der Regel am ’schwächsten Kettenglied‘ an. Und dieses ist – neben über das Internet zur Verfügung gestellten Diensten – leider oftmals das Personal.

 

Was genau ist Social Engineering?

Social Engineering bezeichnet die zwischenmenschliche Beeinflussung von Personen. Das bedeutet, es wird versucht, durch gekonnte Fragestellung eine Person in die Irre zu führen oder zu manipulieren. Dies kann durch eine persönliche Kontaktaufnahme zum potenziellen Opfer (Human based) oder auf elektronischem Wege (Computer based) per Mail, Messenger, Soziale Netzwerke, Telefonanrufe sowie manipulierte USB Sticks geschehen.

 

Wie sieht ‚Computer Based Social Engineering‘ in der Praxis aus?

Entweder beginnt unser Security Consultant bei Null und sammelt Kontaktdaten Ihrer Mitarbeiter oder Sie stellen ihm eine Liste mit relevanten Mail-Adressen zur Verfügung – dabei wird natürlich DSGVO-konform gearbeitet.

Mit diesen Informationen wird dann beispielsweise ein Spear Phishing-Angriff durchgeführt: Durch den Versand einer präparierten Mail an einen dedizierten Personenkreis versucht der Consultant, an Informationen zum Zugriff auf das Unternehmensnetzwerk zu gelangen.

Die jeweilige Vorgehensweise wird an die unternehmerischen Gegebenheiten angepasst. Ein Beispiel: Wird ein Web-basiertes Mail-System genutzt, simuliert unser Consultant dessen Anmeldeseite. Per Mail gibt er sich als Vertreter des zuständigen IT-Dienstleisters aus bittet Ihre Angestellten unter dem Vorwand, es hätte technische Änderungen gegeben, sich am besagten Mail-System anzumelden. Steigen die Mitarbeiter darauf ein, sind die Anmeldedaten abgegriffen.

Ein so simulierter Angriff wird lückenlos ausgewertet – die Anzahl der geöffneten Mails, der Link-Klicks und natürlich, wie häufig Anmeldedaten hinterlassen wurden. Daraus ergibt sich, wie umsichtig Ihre Mitarbeiter sind.

 

Möchten Sie das Sicherheitsbewusstsein Ihres Unternehmens auch einmal von uns unter die Lupe nehmen lassen? Gerne beraten wir Sie zum Thema Social Engineering unverbindlich unter 0800 4883 338 (kostenfrei innerdeutsch).

PS: In den kommenden Wochen stellen wir Ihnen das ebenso spannende Thema Human Based Social Engineering vor.

/von

Zeiten ändern sich: Unser neues Service-Konzept

, , ,

Seit nunmehr 31 Jahren unterstützen wir kleine- und mittelständische Unternehmen bei der Implementierung hochwertiger und leistungsfähiger IT-Lösungen. Bei Problemen sind unsere Experten (telefonisch, per Fernwartung oder persönlich) zur Stelle und sorgen dafür, dass Ihr Betrieb wieder läuft.

Bislang war es diesbezüglich unser Anspruch, durchgehende Erreichbarkeit sowie die Nennung eines Bearbeitungstermines innerhalb von 20 Minuten nach Eingang Ihrer Support-Anfrage zu gewährleisten. Erstaunlicherweise sorgte dies nicht für Zufriedenheit – im Gegenteil.

Unser überarbeitetes Service-Konzept basiert auf der Erkenntnis, dass eine solche Zufriedenheit vor allem dann erreicht wird, wenn die Erwartungen des Kunden ebenso erfüllt werden wie die des Systemhauses. Oder umgekehrt: Der größte Unmut entsteht durch unterschiedliche Erwartungshaltungen.

Grundvoraussetzung für optimalen Support ist deshalb das Festlegen und Dokumentieren der jeweiligen Erwartungen. Ein Beispiel aus unserem Alltag: Die Frage nach der Bedeutung einer ’schnellen‘ Bearbeitung führt bei zehn Personen zu zehn verschiedenen Antworten – von ’sofort‘ über ‚innerhalb der nächsten 2 Stunden‘ bis hin zu ‚in 2 Tagen, wenn ich wieder im Büro bin‘.

 

Umfang und Ablauf von Service-Dienstleistungen konkret zu vereinbaren, ist also unerlässlich. Wie man das macht? Über sogenannte Service Level Agreements (SLAs) wird gemeinsam erarbeitet, welche Szenarien für Sie kritisch sind und innerhalb welcher Zeitspanne Probleme qualifiziert und behoben werden.

Sie als Geschäftsführer und Entscheider haben dafür das nötige Verständnis bezüglich Ihres Unternehmens und können einschätzen, welche Schäden entstehen können, wenn in Ihrem Unternehmen ein Prozess, eine Applikation, ein Arbeitsplatz oder eine ganze Abteilung ’stehenbleibt‘.

 

Die Funktionsweise unseres neuen Service-Konzeptes haben wir in einem One Pager (PDF, 440 KB) beschrieben; hier ist auch der generelle Melde- und Priorisierungs-Prozess dargestellt.

Und wünschen Sie als Kunde doch einmal eine schnellere Bearbeitungszeit als die im festgelegten Zeitfenster, so haben Sie die Möglichkeit einer höher priorisierten Bearbeitung.

 

Unser Anliegen ist es, Ihnen genau den Support zu vermitteln, den Sie für Ihr Unternehmen benötigen, lassen Sie sich von uns unter 0800 4883 338 im Detail zum neuen Service-Konzept beraten.

/von

Finanzierung und Leasing – So bleiben Sie trotz Ausbau Ihrer IT liquide

, , ,

Die Digitalisierung zwingt auch den Mittelstand zum Umrüsten, denn: Wer es nicht tut, wird bald abgehängt.

Im Zuge des digitalen Wandels stehen auch kleine- und mittelständischen Unternehmen vor der Frage der Finanzierung. Um wettbewerbsfähig zu bleiben, müssen Unternehmen heutzutage stets innovativ und technisch auf dem neuesten Stand sein. Jedoch – eine adäquate IT-Lösung kann von enormer Bedeutung für das Unternehmenswachstum sein.

Für viele kleine- und mittelständische Unternehmen ist dies jedoch eine Frage des Geldes, denn die Umsetzung solcher Projekte erfordert umfassende Investitionen. Leasing, Miete oder Mietkauf kann die entscheidende Lösung sein.

Was also tun, wenn das IT Budget ausgeschöpft ist, Ihre IT-Infrastruktur aber dringend ein Update benötigt? Ob Cloud-Technologie, virtuelle Server- oder Storage-Lösungen, Managed IT Services, Infrastrukturprüfung, Schwachstellenanalyse, Pentest, CRM, Prozess-Management, Business Intelligence, Schnittstellen-Programmierung oder Hardware, wir bieten Ihnen eine maßgeschneiderte Finanzierung an.

Grundgedanke eines Finanzierungskonzeptes ist die Prozesskostenoptimierung. Die Verträge umfassen deshalb nicht nur die Finanzierungsrate, sondern integrieren auf Wunsch auch Wartung und Services. Die Rate kann innerhalb der Vertragslaufzeit angepasst werden, beispielsweise durch Austausch, Zumietung, Abmietung; eine Anpassung der Rate oder eine Laufzeitänderung ist jederzeit möglich. Erst nach dem Ende der Laufzeit entscheiden Sie, ob Sie die Produkte und Lösungen weiter nutzen möchten.

Das Finanzierungskonzept von Schneider + Wulf hilft Ihnen

  • Ihre Liquidität zu erhalten
  • ermöglicht Ihnen größere Investitionen zu einem früheren Zeitpunkt
  • gibt Ihnen Planungssicherheit
  • bietet Ihnen Flexibilität

Finanzierungslösungen wie Leasing, Miete oder Mietkauf sorgen dafür, dass Sie sich Ihre Unabhängigkeit und Liquidität erhalten. Gerne beraten wir Sie unverbindlich unter 0800 4883 338 (kostenfrei innerdeutsch).

/von

Schwachstellen-Management – Sicherheitslücken identifizieren und beseitigen

Sicherheit bedeutet Sorgenfreiheit – denn wo Probleme herrschen, fühlt man sich nicht sicher. Wer viel Verantwortung trägt, kennt womöglich das Gefühl, nicht (mehr) den vollen Überblick über die Dinge zu haben. Das gilt insbesondere für Verantwortliche der IT-Sicherheit – schließlich kann ein Mangel in diesem Bereich sogar existenzbedrohende Ausmaße annehmen.

 

„Wir sind nicht nur verantwortlich für das, was wir tun, sondern auch für das, was wir nicht tun.“

Molière

 

Im ersten Schritt empfiehlt sich deshalb die Feststellung des Ist-Standes. Geeignete Werkzeuge hierfür sind die Schwachstellenanalyse und der Penetrationstest.

Deren Durchführung ist seit Jahren fester Bestandteil unseres Tagesgeschäfts. Dabei prüfen wir Ihre Systeme über einen zuvor fest definierten Zeitraum, identifizieren und priorisieren entdeckte Sicherheitsprobleme und geben Empfehlungen, wie vorhandene Sicherheitslücken – mit oder ohne unsere Hilfe – beseitigt werden können.

Als Resultat erhalten Sie eine Momentaufnahme des aktuellen Sicherheitsniveaus Ihrer IT. Wichtig für Sie zu wissen: Dieser Status kann sich aufgrund von Modifikationen an Ihrer IT-Infrastruktur bereits nach kürzester Zeit komplett verändern.

Installiert der Admin beispielsweise eine neue Software oder nimmt Anpassungen in der Firewall-Konfiguration vor, besteht die Gefahr einer weiteren Schwachstelle … die bis zur nächsten Prüfung unentdeckt bleibt.

Regelmäßige Kontrolle ist demnach absolut notwendig und wichtig. Um diese Regelmäßigkeit zu gewährleisten, haben wir ein Produkt entwickelt: Das Schwachstellen-Management. Ähnlich dem Monitoring einer Server-Infrastruktur wird in Intervallen geprüft, um Probleme frühzeitig zu erkennen, Schwachstellen zu melden und Lösungsvorschläge mit der IT-Abteilung zu erarbeiten.

Sie können nicht nur die zu prüfenden Komponenten, sondern auch den jeweils zeitlichen Abstand zwischen den Prüfungen bestimmen; beispielsweise: Kontrolle sämtlicher externen Systeme, zwei Mal je Monat.

 

„Je regelmäßiger Sie Ihre IT-Infrastruktur durch unser Schwachstellen-Management prüfen lassen, umso größer ist die Chance, dass Schwachstellen zeitnah entdeckt und eliminiert werden.“

Jens Regel IT Security Consultant Schneider + Wulf

 

Zum Thema Schwachstellen-Management beraten wir Sie gerne. Kontaktieren Sie uns unter 0800 4883 338 (kostenfrei innerdeutsch).

/von

DSGVO – IT-Sicherheit, aus der Praxis für die Praxis

,

20.000 EUR Strafe wegen Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) musste die Chat-Plattform ‚Knuddels‘ zahlen – damit kam der Anbieter noch glimpflich davon. Das Unternehmen hatte Kundendaten im Klartext auf seinem Server abgespeichert.

Dies ist nicht der einzige Fall, der geahndet wurde. Einer Umfrage des Handelsblattes zufolge haben seit dem Inkrafttreten der DSGVO am 25. Mai 2018 bislang 41 Unternehmen Bußgeldbescheide erhalten.

 

Als Android-Benutzer interessiert es Sie vielleicht: Einige recht populäre Anwendungen (Tripadvisor, Spotify, MyFitnessPal, Kayak usw.) geben Ihre persönlichen Daten an Facebook weiter – auch, wenn Sie selbst gar keinen Facebook Account besitzen. Das fand die Organisation Privacy International in ihrer Studie heraus.

Im Zuge der DSGVO sind Sie in der Pflicht, viele IT-bezogene technische und organisatorische Grundlagen zu erfüllen. Das bedeutet: Analysieren, evaluieren und dokumentieren, damit Sie im Zweifelsfall nachweisen können, dass beispielsweise personenbezogene Kundendaten richtig und DSGVO-konform verarbeitet wurden. Dies erfordert nicht nur ein Bewusstsein und die Achtsamkeit aller datenverarbeitenden Stellen – es kostet auch Ressourcen und Zeit.

 

Wie also schützen Sie sich vor einer Abmahnung? Grundvoraussetzung ist, dass Sie das aktuelle Sicherheitsniveau Ihrer IT-Infrastruktur kennen. Den ersten wichtigen Schritt diesbezüglich gehen Sie mit der Basisprüfung ITQ. Sie schafft ein hohes persönliches Sicherheitsempfinden, die gesetzliche Anforderungen gemäß BSI Grundschutz sind erfüllt, Sie weisen damit Ihre unternehmerische Sorgfaltspflicht nach und vermeiden somit eine private Haftung.

 

Die Basisprüfung ITQ hilft Ihnen, Missstände in Ihrer IT-Infrastruktur zu erkennen und zu beseitigen. Bei Fragen zum Thema beraten wir Sie gerne. Rufen Sie uns an: 0800 4883 338

/von

Sicherheits-Check in Klinik (leider) geglückt

Das Gesundheitswesen steht verstärkt im Fokus von Hacking-Angriffen. Im November 2018 wurde beispielsweise der Betrieb des Klinikums Fürstenfeldbruck nahezu lahmgelegt – rund 450 Rechner waren durch einen Mail-Trojaner infiziert worden.

Wegen dieser Cyber-Attacke konnten Rettungswagen die Klinik elf Tage lang nicht anfahren.

 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Gefährdungslage durch Ransomware seit Jahren als hoch ein. Krankenhäuser, die gemäß BSI-Gesetz als kritische Infrastruktur eingestuft wurden, sind verpflichtet, dem BSI bis spätestens Juni 2019 nachzuweisen, dass sie IT-Sicherheitsmaßnahmen nach dem Stand der Technik erfolgreich implementiert haben.

Das passende Werkzeug dafür? Der Penetrationstest, in dem ein Hacker-Angriff simuliert wird.

 

Im April 2018 unterzog sich eine große deutsche Klinik einem Human Based Test – ein wichtiger Bestandteil von Penetrationstests, bei dem vor allem die ‚Schwachstelle Mensch‘ geprüft wird. Die Klinik wird durch die FAC’T Gruppe betreut; die Beauftragung des Tests erfolgte durch die FAC´T IT GmbH. Über die Bearbeitung sagt Natascha Zacher von FAC’T IT:

 

„Angenehme, lockere, professionelle und zuverlässige Zusammenarbeit von Anfang an; zielorientiertes und Mit-Spaß-an-der-Sache-Denken und Handeln in allen Bereichen (Vertrieb, Geschäftsführung und IT-Sicherheitsberatung) mit gutem Preis- und Leistungsverhältnis.

Bei der IT-Sicherheitsberatung wurde die beauftragte Zeit durch die Prüfung der Schnittstellenbereiche optimal ausgenutzt.

Die Berichte sind aussagekräftig, verständlich und mit Lösungsansätzen aufgearbeitet. Die formelle Seite wurde auch berücksichtigt und gut gelöst.

Die Ergebnis-Präsentation wurde lebendig und zum Teil mit Video-Beispielen vorgetragen, die auch für mich als Nicht-Technikerin verständlich war.

Meiner Meinung nach haben Sie für die Sicherheitsüberprüfung eine Eins verdient. Weiter so!“

 

Hier finden Sie einen Artikel zu diesem Test (PDF, 1 MB, Auszug aus der Fachzeitschrift Krankenhaus-IT Journal)

 

Und wo stehen Sie? Kennen Sie Ihren aktuellen Sicherheits-Status? Verhindern Sie, dass Ihr Unternehmen durch eine gezielte Attacke ins Papierzeitalter zurückgeworfen wird und lassen Sie sich prüfen. Unter 0800 4883 338 beraten wir Sie gerne!

/von