globetrotter
Goto Top

Übertragung hochsensibler Daten

Frohe Ostern zusammen....

Bei uns taucht aktuell die Frage nach sicherer Datenübetragung von unseren Kunden zu uns auf. Unsere Kunden wünschen den Datentransfer von hochsensiblen Daten über spezielle Soft/Hardware. Um unseren Kunden maximale Sicherheit bieten zu können, suche ich nun nach einer Lösung welche "allgemmein als sicher" gilt.

Ich schmeisse mal "Submitbox" von FTAPI in die Runde...
Was benutzt Ihr und wie ist das Handling?

Danke Euch!

Gruss Globe!

Content-Key: 23428588283

Url: https://administrator.de/contentid/23428588283

Printed on: April 22, 2024 at 15:04 o'clock

Member: chiefteddy
chiefteddy Apr 01, 2024 at 12:05:26 (UTC)
Goto Top
Hallo,

verschlüsselter USB-Stick o.ä. über speziellen Kurierdienst.

Jürgen
Member: Globetrotter
Globetrotter Apr 01, 2024 at 12:11:13 (UTC)
Goto Top
Hi...
Nope... die wollen "DFÜ" in Echtzeit und machen das auch. Einige setzen die "Submit-Box" ein.. andere sagen nicht was. Daher brauche ich einen Überblick..

Danke,

Gruss Globe!
Member: Spirit-of-Eli
Spirit-of-Eli Apr 01, 2024 at 12:16:32 (UTC)
Goto Top
Moin,

welche Schnittstellen habt ihr den zur Verfügung? Oder darf es eine Web Application sein?

Gruß
Spirit
Member: radiogugu
radiogugu Apr 01, 2024 at 12:17:30 (UTC)
Goto Top
Mahlzeit.

Wir nutzen für diese Zwecke Dracoon als Web Applikation.

Gruß
Marc
Member: Globetrotter
Globetrotter Apr 01, 2024 at 12:22:47 (UTC)
Goto Top
Hi..
Ich würde das gerne über WEB machen. Die SubmitBox geht auch über Web. Kompliziert für den Kunden darf es dabei auch nicht sein. Ichverstehe schon was die wollen und was wir liefern müssen - frage mich aber, wie läuft es intern bei denen und uns mit der Sicherheit... das ist alles unklar. Ich würde bespielsweise diesen Access nur unserem bestimmten Bereich zuteilen welcher sich der Tragweite auch bewusst ist.

Gruss Globe!
Member: Globetrotter
Globetrotter Apr 01, 2024 at 12:26:36 (UTC)
Goto Top
@radiogugu
Danke, aber...
So wie ich das sehe, ist Dracoon eine Cloud-Lösung. Diese fällt daher aus - weil wir als Dienstleiter "haften" müssen und der Anbieter sicherlich nicht die Verträge unterschreibt.

Gruss Globe!
Member: em-pie
em-pie Apr 01, 2024 updated at 12:46:28 (UTC)
Goto Top
Moin,

Was ist mit einem von euch gehosteten SSH-Server?
Eure Kunden schaufeln die, geschützt mit nem Zertifikat, zu euch rüber… und gut.

Müsst nur schauen, wie ihr den verfügbar haltet.

Ansonsten:
Was für Daten sind das?
ERP-Daten? PDFs? CADs?…
Member: radiogugu
radiogugu Apr 01, 2024 at 12:48:53 (UTC)
Goto Top
Zitat von @Globetrotter:
@radiogugu
Danke, aber...
So wie ich das sehe, ist Dracoon eine Cloud-Lösung. Diese fällt daher aus - weil wir als Dienstleiter "haften" müssen und der Anbieter sicherlich nicht die Verträge unterschreibt.

Wir haben mit unseren Kunden über den Übertragungsweg gesprochen. Diese haben, sofern keine eigene Lösung zum Einsatz kommt, der Übertragung zugestimmt.

Voraussetzungen waren bis dato immer:

  • Kennwortgeschützt
  • begrenzter Zugriff (sowohl den Zeitraum, als auch die berechtigten Benutzer betreffend)
  • Nachvollziehbarkeit über getätigte Downloads

Da wir mit Dracoon diese Forderungen erfüllen konnten, war das dann auch für sensible Zeichnungen und CAD Dateien kein Problem.

Gruß
Marc
Member: radiogugu
radiogugu Apr 01, 2024 at 12:53:42 (UTC)
Goto Top
Zitat von @em-pie:
Was ist mit einem von euch gehosteten SSH-Server?
Eure Kunden schaufeln die, geschützt mit nem Zertifikat, zu euch rüber… und gut.

Müsst nur schauen, wie ihr den verfügbar haltet.

Und die Sicherheit gewährleistet. Eventuell nur einschalten und mit flüchtigem Speicher zur Verfügung stellen.

Wir haben mal zum Test eine SSH Server Instanz in einer DMZ als Live System getestet. Diese wurde nach dem Neustart "geleert" und würde bei erneutem Bedarf wieder hochgefahren. Ein Skript installierte alle Pakete und öffnete die entsprechenden Ports und erstellte den Transfer-Benutzer mit Kennwort.

Da der Chef, dass aber auch selbst bedienen können wollte, wurde dann auf Dracoon gewechselt face-smile

Gruß
Marc
Member: Globetrotter
Globetrotter Apr 01, 2024 at 12:57:34 (UTC)
Goto Top
@radiogugu,

Danke für Deine Info. Bei uns geht es jedoch u.a. um Konzerne welche teilweise der Rüstung zuzuschreiben sind. Da gelten noch einmal ganz andere Sachen. Problem ist - Sie sagen eigentlich nichts, verlangen von Dir, wenn Du keine Lösungen in deren Sache vorhanden hast - kein Auftrag zur Lieferung der Komponenten.
Vielleicht wäre es daher sinnvoll, ein "Anforderungsschreiben" anzufordern...

Gruss Globe!
Member: Globetrotter
Globetrotter Apr 01, 2024 at 13:14:56 (UTC)
Goto Top
@em-pie
Das können Daten (Programmierdaten), Vertragsdaten oder sonst was sein.. Wenn der Transfer zu uns stattfindet, muss verifiziert dein, daß kein Dritter einsicht hat - frei nach @aqui Firewall: hier im Beitrag - das Ganze ist einfach zu halten weil der Vertrieb das handeln muss.

Gruss Globe!
Member: Headcrach
Headcrach Apr 01, 2024 at 13:37:55 (UTC)
Goto Top
Moin,

wäre nicht noch eine 2FA Zugangsmethode nicht noch eine Lösung?

Bei uns im Betrieb bekommt der Dienstleister nur Zugriff zur Leittechnik ,wenn er von uns ein generieten Token bekommt. Zudem muss der Name und die Telefonnummer bekannt sein sonst bekommt er auch kein Token.
Und auch nur bestimmte Personen habe zugriff zum Token Generator.

Gruß
Member: Globetrotter
Globetrotter Apr 01, 2024 at 13:49:45 (UTC)
Goto Top
Hi..
Guter Ansatz...
Telefonie muß man aber anhand der KI ausschliessen können. 2FA-Verfahren ist OK - Umsetzung ist die Frage.
Fingerprint oder sonstiges (Iris) wäre durch die Autorisierenden durchaus eine Möglichkeit.
Tokengenerator wäre auch ok - da spielen aber wieder dritte mit. So ist das auch mit der "Box".
Ich kläre das Morgen mal Intern ab. Ich denke nämlich, daß da das Risiko zu suchen ist, da die Daten dort bewegt werden..

Gruss Globe!
Member: Boomercringe
Boomercringe Apr 01, 2024 at 14:15:33 (UTC)
Goto Top
Member: Globetrotter
Globetrotter Apr 01, 2024 at 14:25:05 (UTC)
Goto Top
Jo klar.. face-smile
Danke... das ist aber obersch... ;)
Siehe unter anderem: :Merkel telefonierte mit falschem Poroschenko,
Ausserdem geht es um DFÜ...

Gruss Globe!
Member: Boomercringe
Boomercringe Apr 01, 2024 updated at 14:40:46 (UTC)
Goto Top
Ausserdem geht es um DFÜ...

ja? Was macht FTAPI da anders als nextcloud?

(außer boomerspezifisches Marketing zu verwenden, in welchem der Begriff "cloud" nicht vorkommt)
Member: radiogugu
radiogugu Apr 01, 2024 at 16:17:42 (UTC)
Goto Top
Zitat von @Globetrotter:
Jo klar.. face-smile
Danke... das ist aber obersch... ;)
Siehe unter anderem: :Merkel telefonierte mit falschem Poroschenko,

Wem ist das noch nicht passiert, der werfe das erste Wählscheibentelefon face-smile

Ausserdem geht es um DFÜ...

NextCloud kann auch im eigenen Haus in einer DMZ gehostet werden. Dann die obige Erweiterung implementieren und das sollte laufen.

Ansonsten sind die Möglichkeiten ohne Einbezug eines "fremden Computers" nicht mehr wirklich groß.

Wenn es wirklich hochbrisante Daten sind, dann wurde das Mittel der Wahl ja schon genannt. Spezialisierter Kurierdienst oder der/die Projektleiter*in fährt selbst.

Gruß
Marc
Member: Globetrotter
Globetrotter Apr 01, 2024 at 17:56:50 (UTC)
Goto Top
@radiogugu,
Ihr habt da schon nicht unrecht - werde mich hier wohl noch einmal genauer damit befassen müssen und ein Anforderungsprofil anfordern... melde mich die Tage noch einmal...

Gruss Globe!
Member: 0J4N90
0J4N90 Apr 01, 2024 at 20:11:50 (UTC)
Goto Top
Wie groß sind eigentlich diese Datenmengen, die hier sicher und vertraulich transportiert werden müssen?
Member: Globetrotter
Globetrotter Apr 01, 2024 at 20:17:36 (UTC)
Goto Top
Hi @0J4N90..
Das sind Daten von ca. 1KB - ??? eigentlich lächerlich....
Unter anderem sind es Vertragsdaten (PDF) oder Machine-Codes...

Gruss Globe!
Member: 0J4N90
0J4N90 Apr 01, 2024 at 20:25:32 (UTC)
Goto Top
Nu denn, dann würde ich die Daten mit Hilfe von GnuPG Inhaltsverschlüsseln (Ciphermail) und verified und recommended TLS-tansportverschlüsselt über sichere Mailserver austauschen, zack fertig ist der Hanomag! ;) Warum denn einfach wenn's auch umständlich geht, oder war das anders herum? egal...
Member: Globetrotter
Globetrotter Apr 01, 2024 at 20:38:35 (UTC)
Goto Top
@0J4N90
Nun.. Mein Problem sind die Wege.. Würde ich an der anderen Seite einen Admin haben wäre das alles kein Problem.
Stell Dir mal vor "TeleDings" und "VodaDingens" planen was... das untereinander.. so sieht es bei mir aus.
Admins bekomme ich nicht zur Hand sondern nur "Entscheider" und Disponenten... Was hinter der Türe abgeht haben die keinen Plan - daher ersuche ich was "öffentliches", also Software/Hardware verfürbar was als "sicher" gilt.. und das OHNE CLOUD...
Möglichkeiten wurden hier auch schon genannt.. Zip/PGP/Tokens.. ist alles klar.. so einfach ist das aber mit den anderen nicht wenn Du keinen an die Leitung bekommst und der Vertrieb sagt.. mach mal was face-smile

Gruss Globe!
Member: em-pie
em-pie Apr 01, 2024 at 20:46:30 (UTC)
Goto Top
Dann wäre ggf. Eine selbst gehostete Nextcloud-Instanz in eurer DMZ gut.

Eure Leute loggen sich ein, geben den Ordner für einen Upload frei und teilen den Link. Die Kunden können dann nur Daten hochladen, selbst aber nicht hineinschauen. Wenn alles da ist, wird die Freigabe entfernt.
Stellt ihr was bereit: Freigabe zum „nur gucken“ erstellen, teilen und hinterher wieder wegnehmen.


Mit FTAPI kann man sowas glaube ich auch abbilden. Die haben ja viele Produkte im Portfolio. Mindestens geht aber zeit-/ zugriffsbasiert (einmal herunterladen) eine Freigabe zu erstellen.
Member: 0J4N90
0J4N90 Apr 01, 2024 at 20:47:15 (UTC)
Goto Top
Bist ja nicht zu beneiden!
Member: Globetrotter
Globetrotter Apr 01, 2024 at 21:16:08 (UTC)
Goto Top
@em-pie, @0J4N90...
Ein Kunde von uns nutzt FTAPI, andere aber nicht... Das wird in Diskussionen ausarten bei dem keiner der Gegenseite einen PLAN hat. Wir unter uns, können einen sicheren Transfer über TOR oder sonst was gestalten - unter Konzernen ist das aber ein ganz anderes Ding.
Ich habe gedacht, ich schmeiße was in die Runde und bekomme Response ;)
FTAPI habe ich noch nicht analysiert - nur die Webseite angeguckt.
Eigentlich arbeite ich ganz andere Probleme ab, als Admin... aber der Umsatz... wie immer face-sad
Ich werde daher versuchen über den Vertrieb dem Kunden zu sagen: "Sag mal, wie hättest Du das gerne?"
Ich kann alles über virtuelle Microserver abdecken (auch in DMZ), muß aber auch unser Umfeld im Auge behalten.
...
Allgemein sehe ich das Problem mit den Daten INTERN - sei es beim Kunden oder bei uns...
Zum Schluß kommt... Wenn der Kunde eine Schnittstelle hat - warum wird es nicht über dessen abgewickelt ? - Ist ja sicher.. oder nicht ? face-smile

Gruss Globe!
Member: Boomercringe
Boomercringe Apr 01, 2024 at 21:21:24 (UTC)
Goto Top
Mit FTAPI kann man sowas glaube ich auch abbilden

Das sieht auch verdächtig nach Nextcloud aus, nur billiger. Abgezielt auf den low-information IT-Entscheider heisst es dort dann nicht "cloud" oder "Freigabe" sondern....Achtung:

VIRTUELLER DATENRAUM

Und das Marketing scheint ja zu funktionieren...

Quote from @0J4N90:

Bist ja nicht zu beneiden!

Eine Nextcloud aufzusetzen ist jetzt nicht soo schlimm. Für Anfänger empfiehlt sich snap unter ubuntu server:

https://github.com/nextcloud-snap/nextcloud-snap
Member: Globetrotter
Globetrotter Apr 01, 2024 at 21:30:24 (UTC)
Goto Top
@Boomercringe
Ich sehe, wie gesagt das Problem intern zwischen den Firmen.. Unsere und dessen MA's gehen mit diesen Daten nicht dementsprechend um. Das steht aber auf keinem Audit..
PS. Hatte letzte Woche wieder einen ISO-Audit... Ein Witz.. Er erfreute sich an meinen Tools und meinte dann.. man (er) lernt dazu face-sad

Gruss Globe!
Member: Boomercringe
Boomercringe Apr 01, 2024 at 22:02:25 (UTC)
Goto Top
Ich sehe, wie gesagt das Problem intern zwischen den Firmen.

In deinem Eingangspost ging es um sichere Datenübertragung von euren Kunden zu euch?

Wenn es sich immer um die gleichen Personen handelt, würdest du denen in eurer lokalen Nextcloud jeweils Accounts anlegen. Du könntest für diese z.B. jeweils Hardware Token wie https://shop.nitrokey.com/shop/nk3am-nitrokey-3a-mini-149?search=nitroke ...

provisionieren und an die Benutzer ausgeben.
Member: chiefteddy
chiefteddy Apr 01, 2024 at 22:09:41 (UTC)
Goto Top
Hallo,
wir haben auch Kunden aus diesem Bereich.
Als vor einigen Jahren von denen der gesicherte Mail-Verkehr gefordert wurde, gab es von deren IT genaue Implementierungs-Anleitungen incl. eines Web-Portals zur Zertifikats-Anforderung.

Also Frage bei der IT nach, die haben in der Regel die benötigten Infos.

Ansonsten betreiben wir für den (CAD-) Datenaustausch einen eigenen, entsprechend abgesicherten SFTP-Server.

Jürgen
Member: 0J4N90
0J4N90 Apr 02, 2024 at 06:22:29 (UTC)
Goto Top
@Boomercringe
Eine Nextcloud aufzusetzen ist jetzt nicht soo schlimm.

Ich meinte bei meiner "Beileidsbekundung" galt nicht Dir. ­čśâ

Für Anfänger empfiehlt sich snap unter ubuntu server

Sowas wird hier ganz einfach viel Ansible unter Arch Linux installiert.
Member: flo72it
flo72it Apr 02, 2024 at 16:31:49 (UTC)
Goto Top
Moin,

da führt mEn nichts an asymmetrischer Verschlüsselung (bspw. PGP) vorbei. Gepaart mit gut verschlüsseltem Transportweg (bspw. sFTP, key only) und den richtigen Präventivmaßnahmen (fail2ban, rate limiting, etc.) wird das auch im hochkritischen Bereich (Gesundheitswesen, Banken, pub-Sektor) so eingesetzt.

Viele Grüße, Flo
Member: 0J4N90
0J4N90 Apr 02, 2024 at 16:41:39 (UTC)
Goto Top
Zitat von @flo72it:
... auch im hochkritischen Bereich (... Banken) so eingesetzt.

Ähhh, also ich war mal bei so einer Bank - ja die mit den 0815-Fähnchen - beschäftigt. Erwarte Dir da besser mal nicht zu viel, da war/ist mehr Schein als Sein ... Security by Obscurity sag ich da nur ....
Member: theoberlin
theoberlin Apr 02, 2024 at 18:56:29 (UTC)
Goto Top
Hi, guck dir mal Aspera an.
Das wird primär zwar von Medienfirmen eingesetzt, aber da werden hochsensible Filmdaten etc übertragen.
Ich habe viele Jahre damit gearbeitet. Ein Traum für Performance und alle Aspekte an Sicherheit. Aber auch nicht günstig…

LG
Theo
Member: ButterBot
ButterBot Apr 03, 2024 at 05:02:38 (UTC)
Goto Top
Zitat von @chiefteddy:

Hallo,

verschlüsselter USB-Stick o.ä. über speziellen Kurierdienst.

Jürgen

Moin Jürgen,
is ne Möglichkeit, nur is die Verschlüsselung auf manchen Sticks nicht immer die beste oder lässt sich leicht aushebeln.
Vielleicht ist es heute anders, aber ich lasse bei sowas lieber die Finger davon.

Liebe Grüße
Member: Spirit-of-Eli
Spirit-of-Eli Apr 03, 2024 updated at 05:36:18 (UTC)
Goto Top
Zitat von @ButterBot:

Zitat von @chiefteddy:

Hallo,

verschlüsselter USB-Stick o.ä. über speziellen Kurierdienst.

Jürgen

Moin Jürgen,
is ne Möglichkeit, nur is die Verschlüsselung auf manchen Sticks nicht immer die beste oder lässt sich leicht aushebeln.
Vielleicht ist es heute anders, aber ich lasse bei sowas lieber die Finger davon.

Liebe Grüße

Da reicht auch ein ganz normaler Stick und dann einfach ein VeraCrypt Container drauf. Dem Mechanismus von den fertigen Stick würde ich auch nicht trauen.

Alternativ geht auch Bitlocker.
Member: ButterBot
ButterBot Apr 03, 2024 at 06:33:19 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Da reicht auch ein ganz normaler Stick und dann einfach ein VeraCrypt Container drauf. Dem Mechanismus von den fertigen Stick würde ich auch nicht trauen.

Alternativ geht auch Bitlocker.

Das is doch mal was, genau nach meinem Geschmack
Member: em-pie
em-pie Apr 03, 2024 at 06:43:24 (UTC)
Goto Top
Und der Kunde soll dann 3 Tage warten, bis dass die Daten beim TO sind und der Auftrag weiter bearbeitet werden kann?
Und wie geht man dann damit um, wenn die IT des Kunden nur autorisierte USB-Sticks zulässt?
Member: chiefteddy
chiefteddy Apr 03, 2024 at 07:32:48 (UTC)
Goto Top
Hallo em-pie,
Kurierdienst braucht keine 3 Tage. Ist eine Frage des Preises.

Man kann die Daten auch (verschlüsselt) auf DVD brennen.

Generell gilt: je höher die Sicherheitsanforderungen desto höher der Aufwand und umso "umständlicher" die Nutzung.

Wo ist denn nun das Problem, wenn sich alle Beteiligten zusammensetzen und eine einvernehmliche Lösung im oben beschriebenen Spannungsdreieck finden.

Eine einfache, absolut sichere und schnelle Lösung gibt es nicht.

Jürgen
Member: 0J4N90
0J4N90 Apr 03, 2024 updated at 07:40:35 (UTC)
Goto Top
Die Diskussion hier zeigt das Grundproblem von vertraulicher und gesicherter Kommunikation sehr schön auf:

Wenn eine der beiden Parteien (Sender oder Empfänger) kein Verständnis haben, nicht wollen oder können, kann sich die andere Partei noch so abstrampeln und Zeit und Geld investieren, das ist dann grundlegend zum Scheitern verurteilt.

Solange beide Partner nicht auf Augenhöhe (Geschäftsführer, IT-Leiter, Datenschutzbeauftragter) das Thema klären, kann der arme @Globetrotter aufhören, Zeit und Energie zu verbraten, er kann nur verlieren!
Member: Spirit-of-Eli
Spirit-of-Eli Apr 03, 2024 at 08:09:39 (UTC)
Goto Top
Das selbe Problem habe ich mit bekannten Autoherstellern. Da wird im Endeffekt genau so schwammig gefordert.
Member: flo72it
flo72it Apr 03, 2024 at 12:21:59 (UTC)
Goto Top
Hi,

dem möchte ich gar nicht widersprechen - ich kann nur aus den aktuellen Projekten bei uns (kleiner IT-Dienstleister) berichten. Die Wichtigkeit von security ist mEn mittlerweile angekommen.

Viele Grüße, Flo
Member: Globetrotter
Globetrotter Apr 04, 2024 at 14:51:26 (UTC)
Goto Top
Zitat von @Boomercringe:

Ich sehe, wie gesagt das Problem intern zwischen den Firmen.

In deinem Eingangspost ging es um sichere Datenübertragung von euren Kunden zu euch?

Wenn es sich immer um die gleichen Personen handelt, würdest du denen in eurer lokalen Nextcloud jeweils Accounts anlegen. Du könntest für diese z.B. jeweils Hardware Token wie https://shop.nitrokey.com/shop/nk3am-nitrokey-3a-mini-149?search=nitroke ...

provisionieren und an die Benutzer ausgeben.

Hi..
Wir haben mehrere Kunden Die Idee finde ich aber so schlecht gar nicht...
Das schaue ich mir mal genauer an.
Vielleicht lässt sich ja auch sowas "pimpen" -> ProjectSend

Gruss Globe!
Member: Boomercringe
Boomercringe Apr 04, 2024 at 15:50:40 (UTC)
Goto Top
Die Idee finde ich aber so schlecht gar nich

face-smile Mit den von dir beschriebenen Voraussetzungen und deinem mangelnden Einfluss auf der client Seite ist etwas webbasiertes wie Nextcloud oder ProjectSend die sinnvollste Lösung.

Und wenn du z.B. die security hardening guidelines befolgst, 2FA bzw. FIDO etc. ist das auch mMn. vom Sicherheitslevel zu vertreten, gemessen an den Voraussetzungen die du für dieses Projekt hast. So wie es sich anhört hast du ja sicher eine Infra dafür mit IPS etc.
Member: Globetrotter
Globetrotter Apr 04, 2024 at 15:57:19 (UTC)
Goto Top
Da kann man sicherlich was "schrauben". Mein Problem ist nur, daß wenn ich was anbiete, geht die Haftung zu uns. Natürlich bieten die anderen nichts an - wollen ja nicht haften ;(

Gruss Globe!
Member: Boomercringe
Boomercringe Apr 04, 2024 updated at 16:38:57 (UTC)
Goto Top
Ich hab mir gerade ProjectSend angesehen, das bekäme von mir ein klares nein. Das bietet als 2FA lediglich email...das würde ich dann nicht verantworten wollen, davon abgesehen dass ich zuvor noch nichts von dem Projekt gehört hatte.

Haftung wäre bei euch dann, klar. Aber wenn vom Management der Wille da ist, gibt es auch einen Weg. Wenn die Nextcloud in der DMZ steht, und du kannst über die Nextcloud Retention App auch einstellen, dass Dateien z.B. nach 7 Tagen gelöscht werden, wird das Risiko mMn. überschaubar.
Member: Globetrotter
Globetrotter Apr 04, 2024 at 16:55:02 (UTC)
Goto Top
@Boomercringe
Ok.. Bei der RetentionApp würde ich dann aber 24h einstellen.. dann wäre das erheblich "safer"...
Ich muß mir das Teil mal anschauen.. jedoch finde ich immer mehr, daß das an Kundenseite liegt. Sollen Sie uns doch eine schnittstelle geben - wir sind "nur" Distributor... was soll das Ganze ?

Gruss Globe!
Member: Boomercringe
Boomercringe Apr 04, 2024 at 17:04:25 (UTC)
Goto Top
was soll das Ganze ?

Ich würde das hinstellen und natürlich entsprechend berechnen. Wenn deinen Kunden eure Kommunikationskanäle nicht sicher genug sind, ist es mMn. eine gute Gelegenheit, so etwas anzubieten.

Wie gesagt, wo ein Wille da auch ein Weg. Wenn du/ihr keine Lust habt, hat sich das Thema ja eh erledigt...
Member: em-pie
em-pie Apr 04, 2024 at 17:15:04 (UTC)
Goto Top
Ich muß mir das Teil mal anschauen.. jedoch finde ich immer mehr, daß das an Kundenseite liegt. Sollen Sie uns doch eine schnittstelle geben
Wenn ich in dem Fall an meine Vertriebler denke, würde die dann aber das Kotzen kriegen.
Bei 10 Kunden dann 10 verschiedene Zugänge, ggf. Sogar mit einer MFA, um dann die Daten herunterzuladen und in unseren Systemen abzulegen…

Da wäre es für eure Prozesskosten sicherlich besser, wenn IHR das Portal anbietet und ihr eure Infrastruktur einbindet…
Member: Globetrotter
Globetrotter Apr 04, 2024 at 17:18:34 (UTC)
Goto Top
Berechnen kannst Du sowas nicht - wir haben Kunden für welche wir 3-4 Mitarbeiter abstellen müssen (Auftragsbearbeitung/Logistik etc.) . Würden wir das nicht tun - würde der Kunde gehen.. Natürlich frage ich mich wohin? - aber die Konkurenz ist da und bietet das anscheinend auch face-sad - ich frage mich nur wie? - ich kenne große Teile der Konkureenz und auch deren MA's...

Gruss Globe!
Member: Globetrotter
Globetrotter Apr 04, 2024 at 17:22:41 (UTC)
Goto Top
@em-pie
So sieht es aus... Wir pflegen auch die Systeme unserer Kunden.. Lieferscheine, AB's etc.
Dafür haben die Kunden die Schnittstellen... weißt Du?.. z.K.

Gruss Globe!
Member: Boomercringe
Boomercringe Apr 04, 2024 at 17:27:17 (UTC)
Goto Top
Würden wir das nicht tun - würde der Kunde gehen..

Der Kunde wird ja dann sicher auch entsprechende Aufträge platzieren, die bearbeitet werden sollten? Bei diesem Volumen würde ich das dann auch nicht berechnen...klingt für mich so als würde es sich lohnen das bereitzustellen.
Member: Globetrotter
Globetrotter Apr 04, 2024 at 17:32:37 (UTC)
Goto Top
Der Kunde wird ja dann sicher auch entsprechende Aufträge platzieren

Eben.. so ist das...

Gruss Globe!
Member: flo72it
flo72it Apr 08, 2024 at 07:44:43 (UTC)
Goto Top
Moin,

du kannst einen externen Dienstleister beauftragen - dann liegt die Haftung dort. Zudem ist dort dann (hoffentlich face-smile ) auch das entsprechende Knowhow vorhanden.

Hochsensible Daten austauschen zu wollen und gleichzeitig nicht zu wissen wie das eigentlich geht ist fahrlässig und erfahrungsgemäß nachher deutlich teurer als einen Spezialisten damit zu beauftragen.

Ich bleibe dabei: asymmetrische Verschlüsselung (PGP), Übertragung per sFTP (key only), drumherum ein guter Schutz (VPN, IPS, IDS) und ein detailliertes Sicherheitskonzept sollte das sein, was du suchst.

Viele Grüße, Florian
Member: Globetrotter
Globetrotter Apr 08, 2024 at 10:50:38 (UTC)
Goto Top
Auch Moin..

Zitat von @flo72it:

Moin,

Hochsensible Daten austauschen zu wollen und gleichzeitig nicht zu wissen wie das eigentlich geht ist fahrlässig und erfahrungsgemäß nachher deutlich teurer als einen Spezialisten damit zu beauftragen.

Viele Grüße, Florian

Alles gut - trotzdem möchte ich mir das nicht an die Backe binden...
.. das letzte Wort ist da noch nicht gesprochen... ich suche mal weiter nach Dienstleistern die sowas anbieten UND haften... vielleicht gibt es ja welche... trotzdem finde ich es nicht unerheblich wie mit diesen Daten INHOUSE umgegangen wird.. da sehe ich nämlich auch ein Problem...

Gruss Globe!
Member: Dani
Dani Apr 08, 2024 at 11:44:00 (UTC)
Goto Top
@flo72it
du kannst einen externen Dienstleister beauftragen - dann liegt die Haftung dort. Zudem ist dort dann (hoffentlich face-smile ) auch das entsprechende Knowhow vorhanden.
Nichts desto trotz bist du nach wie vor der Vertragspartner seitens Kunden und bist weiterhin haftbar.


Gruß,
Dani
Member: flo72it
flo72it Apr 12, 2024 at 06:14:09 (UTC)
Goto Top
Moin,

das kommt auf das Vertragskonstrukt an - es ist nicht unüblich, die Haftung bzgl. security zu "verkaufen". In so einem Fall wie hier sicherlich eine gute Idee, allerdings natürlich nicht gerade "billig".

Viele Grüße, Flo
Member: flo72it
flo72it Apr 12, 2024 at 06:16:07 (UTC)
Goto Top
Zitat von @Globetrotter:

Auch Moin..

Alles gut - trotzdem möchte ich mir das nicht an die Backe binden...
.. das letzte Wort ist da noch nicht gesprochen... ich suche mal weiter nach Dienstleistern die sowas anbieten UND haften... vielleicht gibt es ja welche... trotzdem finde ich es nicht unerheblich wie mit diesen Daten INHOUSE umgegangen wird.. da sehe ich nämlich auch ein Problem...

Gruss Globe!

Derartig spezialisierte Dienstleister gibt es - wenn du deine Anforderungen konkreter beschreibst und das als Projekt "ausschreibst" bekommst du sicher auch Angebote (von uns möglicherweise auch).

Viele Grüße, Flo