9
Firewall für kleines KMU
Hallo Zusammen,
sicher wurde das Thema zu hauf besprochen und einige Threads habe ich gelesen aber immer gab es Punkte wo eine Rückfrage sinnvoll wäre.
Ein Wort zur Ausgangsituation: Ein KMU mit 9 Mitarbeitern aus der Baubranche, möchte das Fritzbox/Server 2008 Startup Zeitalter mittlerweile verlassen. Dazu wurde ein Systemhaus beauftragt, das mit blumigen Versprechen ein all inklusiv Angeboten hat und nach Vertragsabschluss war der Service nicht mehr so zuvorkommend, außer bei Rechnung schreiben.
Mitten im Umbau wurde die Firma abgesetzt und ich wurde ins Boot geholt, bin selber nur ein Entwickler mit Schwerpunkt IT-Sicherheit, bin aber mit den GF befreundet und soll ein Blick drauf haben. Also neuer Versuch, neue Firma, von 5 Angefragten hat sich überhaupt nur eine Gemeldet. Jetzt geht es los, irgendwie habe ich kein gutes Gefühl kann aber die Lage nicht zu 100% einschätzen, es ist ja nicht mein tägliches Brot.
Es fängt damit an, das man natürlich die vorangegangen Systeme durch die eigene ersetzen möchte und ein ganz spezieller Kostenfaktor ist die Firewall.
Aktuell gurkt da eine Bintec Firewall rum, mehr als ein Paketfilter wird es nicht sein. Die soll und daran führt sicherheitstechnisch mit ganzen vielen Buzzwords kein Weg vorbei durch eine NexGen Firewall von SonicWall für 300€ im Monat ersetzt werden.
Jetzt stell ich mir Frage muss das sein? Es ist ein kleines Unternehmen, das wichtigste sind ihre Daten, hier eine Backup Strategie nach allen Regeln der Kunst wäre in meinen Augen das wichtigste.
Wie hoch wäre Praktisch der Schutz den eine solche Firewall bietet? Was die Buzzword bedeuten weiß ich alles, aber die Sinnhaftigkeit kann ich nicht bewerten. Ist der Preis auch angemessen? Ein Vergleich ist ohne persönliche Anfrage bei den Anbietern auch nicht ohne weiteres zu realisieren.
Viele Grüße
sicher wurde das Thema zu hauf besprochen und einige Threads habe ich gelesen aber immer gab es Punkte wo eine Rückfrage sinnvoll wäre.
Ein Wort zur Ausgangsituation: Ein KMU mit 9 Mitarbeitern aus der Baubranche, möchte das Fritzbox/Server 2008 Startup Zeitalter mittlerweile verlassen. Dazu wurde ein Systemhaus beauftragt, das mit blumigen Versprechen ein all inklusiv Angeboten hat und nach Vertragsabschluss war der Service nicht mehr so zuvorkommend, außer bei Rechnung schreiben.
Mitten im Umbau wurde die Firma abgesetzt und ich wurde ins Boot geholt, bin selber nur ein Entwickler mit Schwerpunkt IT-Sicherheit, bin aber mit den GF befreundet und soll ein Blick drauf haben. Also neuer Versuch, neue Firma, von 5 Angefragten hat sich überhaupt nur eine Gemeldet. Jetzt geht es los, irgendwie habe ich kein gutes Gefühl kann aber die Lage nicht zu 100% einschätzen, es ist ja nicht mein tägliches Brot.
Es fängt damit an, das man natürlich die vorangegangen Systeme durch die eigene ersetzen möchte und ein ganz spezieller Kostenfaktor ist die Firewall.
Aktuell gurkt da eine Bintec Firewall rum, mehr als ein Paketfilter wird es nicht sein. Die soll und daran führt sicherheitstechnisch mit ganzen vielen Buzzwords kein Weg vorbei durch eine NexGen Firewall von SonicWall für 300€ im Monat ersetzt werden.
Jetzt stell ich mir Frage muss das sein? Es ist ein kleines Unternehmen, das wichtigste sind ihre Daten, hier eine Backup Strategie nach allen Regeln der Kunst wäre in meinen Augen das wichtigste.
Wie hoch wäre Praktisch der Schutz den eine solche Firewall bietet? Was die Buzzword bedeuten weiß ich alles, aber die Sinnhaftigkeit kann ich nicht bewerten. Ist der Preis auch angemessen? Ein Vergleich ist ohne persönliche Anfrage bei den Anbietern auch nicht ohne weiteres zu realisieren.
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5769206438
Url: https://administrator.de/contentid/5769206438
Printed on: May 5, 2024 at 02:05 o'clock
9 Comments
Latest comment
Mahlzeit.
Es müssen die aktuellen Anforderungen und eventuell zukünftige Anforderungen abgedeckt werden.
Mit der SonicWall kriegst du natürlich einiges an Power und Funktionen.
Allerdings gehe ich davon aus, dass der Betrieb kein Webhosting betreibt oder unzählige VPN Tunnel zu Außenstandorten unterhält oder großartige Signaturüberwachung oder IPS / IDS konfigurieren möchte.
Hier wäre wahrscheinlich die Provider Fritzbox ebenso ausreichend, wie ein kleines APU Board mit PF-/OPNSense und sinnvoller als die SonicWall.
Werden denn VPN Zugänge gebraucht / genutzt? Gibt es einen lokalen Mailserver, welcher veröffentlicht werden soll?
Welche Tiefe der Kontrolle über den Datenverkehr ins Internet ist gewünscht?
Gruß
Marc
Es müssen die aktuellen Anforderungen und eventuell zukünftige Anforderungen abgedeckt werden.
Mit der SonicWall kriegst du natürlich einiges an Power und Funktionen.
Allerdings gehe ich davon aus, dass der Betrieb kein Webhosting betreibt oder unzählige VPN Tunnel zu Außenstandorten unterhält oder großartige Signaturüberwachung oder IPS / IDS konfigurieren möchte.
Hier wäre wahrscheinlich die Provider Fritzbox ebenso ausreichend, wie ein kleines APU Board mit PF-/OPNSense und sinnvoller als die SonicWall.
Werden denn VPN Zugänge gebraucht / genutzt? Gibt es einen lokalen Mailserver, welcher veröffentlicht werden soll?
Welche Tiefe der Kontrolle über den Datenverkehr ins Internet ist gewünscht?
Gruß
Marc
Hallo Marc,
danke für dein Input.
Ja und zwar für jeden MA, da viele auf Baustellen sind und temporäre "Außenstellen" (Dauernutzung eines Hotels). Dafür wurde der Bintec Router eingeführt und das klappt soweit.
Welche ist erforderlich? Die MA sind alles Laien und wie so oft sehr empfindlich wenn ihr Youtube gesperrt wird. Gleichzeitigt nutzt der GF das Netz vollkommen Privat, wenn er im Büro wieder übernachtet.
Viele Grüße
danke für dein Input.
Werden denn VPN Zugänge gebraucht / genutzt? Gibt es einen lokalen Mailserver, welcher veröffentlicht werden soll?
Ja und zwar für jeden MA, da viele auf Baustellen sind und temporäre "Außenstellen" (Dauernutzung eines Hotels). Dafür wurde der Bintec Router eingeführt und das klappt soweit.
Welche Tiefe der Kontrolle über den Datenverkehr ins Internet ist gewünscht?
Welche ist erforderlich? Die MA sind alles Laien und wie so oft sehr empfindlich wenn ihr Youtube gesperrt wird. Gleichzeitigt nutzt der GF das Netz vollkommen Privat, wenn er im Büro wieder übernachtet.
Viele Grüße
Hi,
habe im Nebenjob viel Berührung mit solchen Firmen.
Meistens < 10 Personen, davon machen vll. 1-2 ab und zu mal Homeoffice.
Server ist Datengrab und vll. laufen 2-3 Programme drauf wie z.B. Katalogsoftware oder Angebots/Abrechnungsprogramme.
Da reicht in 90% der Fälle die normale Fritzbox, selbst die schafft die beiden VPNs noch.
Edit: 10x VPN ist für die Fritze zu viel. Wenn die Bintec läuft (gekauft nehme ich an?), dann hält das.
300€ im Monat(!!) für die Firewall? Das würde ich lieber in eine jährliche Schulung der Mitarbeiter stecken.
Da soll einmal im Jahr jemand kommen und denen zeigen, was für Angriffe typisch sind, wie man das erkennt (und wenn es nur Mouseover über den Link ob da wirklich amazon.de steht) etc.
Eine so kleine Firma ist vermutlich ständig im Internet unterwegs von Google-Maps über Kundenhomepage bis zu diversen Lieferanten und potentiellen Neukunden.
Schlecht konfigurierte NextGen Firewall ist schlimmer als Fritzbox mit Autoupdate.
Edit2:
Wieviel erforderlich ist, muss die GF wissen.
Risikoabschätzung und fertig. Regelmäßiges Offline Fullbackup vom Server und Mitarbeiter die nicht auf alles draufklicken wäre hier meines Erachtens wichtiger als eine monatliche Konfiguration und Prüfung der Firewall.
Grundsätzlich: Mehr Sicherheit = weniger Komfort.
Meine Erfahrung ist, dass man alles einschränkt, NACHDEM man einmal angegriffen wurde. Zumindest für eine Weile. Aber wenn man noch nie alles neu machen musste, dann wird spätestens nach 6 Monaten die Firewall auf any any von innen nach außen geschaltet.
Gruß
Drohnald
habe im Nebenjob viel Berührung mit solchen Firmen.
Meistens < 10 Personen, davon machen vll. 1-2 ab und zu mal Homeoffice.
Server ist Datengrab und vll. laufen 2-3 Programme drauf wie z.B. Katalogsoftware oder Angebots/Abrechnungsprogramme.
Da reicht in 90% der Fälle die normale Fritzbox, selbst die schafft die beiden VPNs noch.
Edit: 10x VPN ist für die Fritze zu viel. Wenn die Bintec läuft (gekauft nehme ich an?), dann hält das.
300€ im Monat(!!) für die Firewall? Das würde ich lieber in eine jährliche Schulung der Mitarbeiter stecken.
Da soll einmal im Jahr jemand kommen und denen zeigen, was für Angriffe typisch sind, wie man das erkennt (und wenn es nur Mouseover über den Link ob da wirklich amazon.de steht) etc.
Eine so kleine Firma ist vermutlich ständig im Internet unterwegs von Google-Maps über Kundenhomepage bis zu diversen Lieferanten und potentiellen Neukunden.
Schlecht konfigurierte NextGen Firewall ist schlimmer als Fritzbox mit Autoupdate.
Edit2:
Welche ist erforderlich? Die MA sind alles Laien und wie so oft sehr empfindlich wenn ihr Youtube gesperrt wird. Gleichzeitigt nutzt der GF das Netz vollkommen Privat, wenn er im Büro wieder übernachtet.
Wieviel erforderlich ist, muss die GF wissen.
Risikoabschätzung und fertig. Regelmäßiges Offline Fullbackup vom Server und Mitarbeiter die nicht auf alles draufklicken wäre hier meines Erachtens wichtiger als eine monatliche Konfiguration und Prüfung der Firewall.
Grundsätzlich: Mehr Sicherheit = weniger Komfort.
Meine Erfahrung ist, dass man alles einschränkt, NACHDEM man einmal angegriffen wurde. Zumindest für eine Weile. Aber wenn man noch nie alles neu machen musste, dann wird spätestens nach 6 Monaten die Firewall auf any any von innen nach außen geschaltet.
Gruß
Drohnald
1
Hallo,
genau da würde ich anfangen. Was befürchtet der GF konkret - bzw. weiss er noch gar nicht, was es alles zum Fürchten gibt.
Die wesentlichen Punkte sind da vielleicht:
Danach halt priorisieren.
Grüße
lcer
genau da würde ich anfangen. Was befürchtet der GF konkret - bzw. weiss er noch gar nicht, was es alles zum Fürchten gibt.
Die wesentlichen Punkte sind da vielleicht:
- Datenverlust durch Technische Probleme
- Datenzerstörung durch Mitarbeiter
- Datenverlust an Konkurrenz?
- Schutz vor DSGVO-relevantem Datenverlust - DSGVO-Vorfall-Folgeaufwand z.B. beim Benachrichtigen von 10000 Kunden
- Zeitdauer der Betriebsunterbrechung bei Wiederherstellung der Systeme
Danach halt priorisieren.
Grüße
lcer
Da reicht in 90% der Fälle die normale Fritzbox, selbst die schafft die beiden VPNs noch.
Edit: 10x VPN ist für die Fritze zu viel. Wenn die Bintec läuft (gekauft nehme ich an?), dann hält das.
Edit: 10x VPN ist für die Fritze zu viel. Wenn die Bintec läuft (gekauft nehme ich an?), dann hält das.
Ja sogar mit einer neuen Lizenz für 25 Tunnel, inklusive WLAN Controller, AP mit Mesh usw. Bei einer neuen Firewall würde zumindest die ganze Investition für das VPN verflüchtigen da die Firewall diese Aufgabe übernehmen muss (Clients kaufen sich ja auch noch eine Lizenz...) .
Risikoabschätzung und fertig. Regelmäßiges Offline Fullbackup vom Server und Mitarbeiter die nicht auf alles draufklicken wäre hier meines Erachtens wichtiger als eine monatliche Konfiguration und Prüfung der Firewall.
Ich sehe das ehrlich gesagt genauso, ein solides mehrstufiges Backup gegen Havarie und Ransomware. Bei den 300€ monatlich könnte ich nach zwei Jahren einen identischen(!) Server als Coldspare kaufen der einmal im Monat synchronisiert wird und im absoluten Worst-Case den einfach rausholen, in Mediamarkt paar billig Laptops kaufen und die Firma könnte nach ein Tag arbeiten. Am Ende würde ein Forensik/IT-Sicherheitsdienstleister für Bereinigung der Systeme mehr Geld verlangen als die überhaupt Wert sind.
Zitat von @lcer00:
genau da würde ich anfangen. Was befürchtet der GF konkret - bzw. weiss er noch gar nicht, was es alles zum Fürchten gibt.
genau da würde ich anfangen. Was befürchtet der GF konkret - bzw. weiss er noch gar nicht, was es alles zum Fürchten gibt.
Die GF hat zum Thema sehr wenig Verständnis. In erster Linie sind es nur die Daten auf den Fileserver. E-Mail läuft in der Cloud, wie auch die ganze Finanzschiene im Datev Rechenzentrum.
* Schutz vor DSGVO-relevantem Datenverlust - DSGVO-Vorfall-Folgeaufwand z.B. beim Benachrichtigen von 10000 Kunden
- Zeitdauer der Betriebsunterbrechung bei Wiederherstellung der Systeme
Das ist so ein Punkt den ich schlechter Einschätzen kann. Da erwarte ich eigentlich eine solide Beratung von ein Systemhaus und das Ergebnis ist das Eingangs erwähnte.
Hallo,
Das ist so ein Punkt den ich schlechter Einschätzen kann. Da erwarte ich eigentlich eine solide Beratung von ein Systemhaus und das Ergebnis ist das Eingangs erwähnte.
Das habe ich eigentlich nur nebenbei gemeint. Die Frage ist erst mal, wie lange könnte der GF eine Betriebsunterbrechung tolerieren ohne Seine Firma zu schädigen? Wenn das z.B. 24h Sind, Braucht man kein Systemhaus fragen, ob die das in dieser Zeit wiederherstellen könnten, dann muss man die Ersatzhardware da stehen haben.
Grüße
lcer
* Zeitdauer der Betriebsunterbrechung bei Wiederherstellung der Systeme
Das ist so ein Punkt den ich schlechter Einschätzen kann. Da erwarte ich eigentlich eine solide Beratung von ein Systemhaus und das Ergebnis ist das Eingangs erwähnte.
Grüße
lcer
OPNsense oder pfSense:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Auf einem APU Board oder einer festen Appliance.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Auf einem APU Board oder einer festen Appliance.
Ich werfe mal Sophos UTM mit in den Raum. Ein Schweizer Taschenmesser, der sich auch ohne große Kenntnisse konfigurieren lässt. Auch kann man das Verhältnis zwischen Sicherheit und Bequemlichkeit sehr granular anpassen.
