Vorteil dedizierte Firewall

Hallo,

neben dem Hinweis von @Coreknabe müsst ihr aber auch für euch selber entschieden, wie wichtig euch eure Daten sind.
Eine Arztpraxis hat hier andere Sicherheitsanforderungen als die Schreinerei um die Ecke.

Dazu gehört auch die Frage ob ihr weiter machen könnt wenn jemand ins Netzwerk einbricht und eure Daten verschlüsselt und nur gegen Lösegeld wieder freigibt.
Oder ob ihr Persönliche Daten von Kunden oder Ansprechaprtnern speichert die besodners schützenswert sind.

brammer

Hallo.

Die Kollegen haben es schon geschrieben, es macht nur dann Sinn, wenn Dienste aus dem Internet erreichbar sein sollen (Exchange, Webserver, etc.).

Selbst wenn der Chef mal per VPN Zugriff haben möchte, dann kann das auch über das VPN der Fritzbox eingerichtet werden und ist allemal ausreichend.

Hier muss ganz klar die Devise lauten: Erst die Vogelart identifizieren, bevor man die Kanone rausholt

Gruß
Radiogugu

@tex15
Da könnte eine Lösung wie Sophos wirklich sinnvoller sein, bei 10 Lizenzen wird das jetzt auch nicht die Welt kosten:
https://www.sophos.com/de-de/products/endpoint-antivirus.aspx

Das Ding ist ganz einfach, dass der herkömmliche Virenscanner mehr und mehr obsolet ist, weil Standardprogramme wie Powershell o.ä. genutzt werden. Die erkennt ein Virenscanner logischerweise nicht, da muss eine Verhaltensanalyse her. Wir werden im nächsten Jahr von Sophos Endpoint umsteigen, ich freu mich drauf

Es müssen auch keine 30% sein wenn man es richtig macht:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit einer entsprechenden Plattform
https://www.varia-store.com/de/produkt/103305-pc-engines-apu4d2-starter- ...
https://www.ipu-system.de
Ist man mit einer Top Firewall im unteren 3stelligen Bereich dabei.

Reden wir von einer FW oder von einer UTM - da solltest du eigentlich sauber separieren. Zu dem gehört zum Verkauf einer (jeglicher!) IT-Lösung auch immer die Wartung. Das ist keine Lampe, die man einmal kauft, sondern de facto ein Auto, das Regelmäßig Wartung/Tüv etc verlangt


Warum nicht? Es gibt 10 Mann Unternehmen, welche innovativer sind als 1000 Mann Bestanderhaltungsbuden.

Hast du Recht, @aqui, aber das will auch a) überwacht und b) eingebracht und c) gewartet werden. Warum hat die Sophos Ihren Preis? Weil vieles bereits vorbereitet wurde. Das in einer PFsense nach zu stellen ist nicht ganz so trivial. - Was wiederrum die Kosten nur von "Lizenz" zu "Arbeitszeit" verschiebt.

So einfach würde ich das nicht gestalten. Die Fritzbox macht nämlich nur von aussen nach Innen zu, nicht andersherum. Zu dem gibt es keinen Botnetzschutz, keine Heuristik, damit keine Kontrolle über Datenabflüsse. Und hinterher die Vogelart zu identifizieren...nunja...mals du den Vogel dann in dem Himmel, auf 10km Entfernung, wenn er schon lange weggeflogen ist? Viel Spaß sag ich da nur.

Hi

man muss bei einer Firewall unterscheiden zwischen
der reinen Firewall-Funktion von aussen, also irgendwelche Ports von aussen (oder teilweise von Innen) auf oder zu machen,
IPS, IDS, Virenscanner etc, also der analyse des Traffics ein und ausgehend,
und Netzwerksegmentierung, also dem Trennen von Netzen und deren limitierung untereinander.

ersteres, üblicherweise als Stateful Firewall bezeichnet, ist das was ein kleines Büro normalerweise einsetzt und für die meisten auch ausreichend ist. Hier kann man pauschal erst mal von aussen nichts zulassen, sofern man keine Server oder sonstige Dienste anbietet. Das ist was jeder Heim-Router macht. Zusätzlich kann man von Innen nach aussen nur definierte Services wie HTTP\HTTPS zulassen. Bis auf "Darf oder Darf Nicht gibt's da halt kaum Sicherheit
IPS\IDS usw machen nur Sinn wenn man dabei den SSL Traffic aufbricht, was schon etwas mehr Kenntnisse und auch einen aktiven Admin benötigt, da man besonders am Anfang viele Ausnahmen pflegen muss, weil immer mehr Programme und Webseiten so konfiguriert sind, das sie SSL-Inspection nicht dulden und dann schlicht den Dienst verweigern. Hier bekommt man allerdings einen deutlichen Sicherheitsgewinn.

Netzwerksegmentierung ist etwas was die meisten kleinen Router\Firewalls zwar können, eine Fritzbox aber zB nicht. Ohne einen aktiven Admin der zumindest mal die Grundlagen der Netzwerktechnik beherrscht ist aber auch das nicht ohne weiteres umsetzbar.

IMHO sollte sich heutzutage jedes Unternehmen mit so 20+ Mitarbeitern zumindest eine interne Firewall wie eine pfSense für die Segmentierung leisten und diese von einem Dienstleister managen lassen, wenn kein eigener Admin den Laden betreut.
Durch die Segmentierung von Client Server und Backupnetz kann man sich schon mal das größte Risiko "Trojaner verschlüsselt auch die Backups" halbwegs erwehren. So viel Aufwand stecken die Angreifer (hoffentlich) nicht in ein kleines Unternehmen um da die Netze zu knacken um an die Backups ran zu kommen.

IPS\IDS mit SSL-Inspection erfordert mehr KnowHow, Support und somit Geld, so das man hier etwas später ansetzen kann. Aber so ab 50 Usern sehe ich das hier schon als Sinnvoll an. Kommt natürlich immer auf den Wert der IT im Unternehmen an.
Ein 50 Mann IT\Gesundheitswesen\etc-Unternehmen mit sensiblen Kundendaten braucht das auf jeden Fall, ein Forstunternehmen oder Putzdienst eher nicht

Puh, das würde ich auch nicht mehr unbedingt unterschreiben. Zu dem, was ist "kleines Büro"? Für manche sind 5 Leute klein, für manche 50 Leute, für manche 500. Selbst die Definition von KMU ist sehr sehr breit.

Aber das kann man in zig Beiträgen hier nachlesen.

Damit erfasst du ein Kernproblem, eine IT, die nicht gewartet wird ist ein Einfallstor, egal ob mit oder ohne Firewall/UTM..


Oftmals, nein. Kanzlei - keine sensiblen Daten? Handwerker - keine sensiblen Daten? Der normale Handwerker hat einen (Privat)-Kundenschatz von zig hundert Adressen und Telefonnummern etc, ggf. sogar eine Datenbank mit Zugriffsmöglichkeiten. Auf Dauer wohl auch Pins für Zugriffe auf Smarthomes etc. Selbst ohne DSGVO sehe ich das nicht ganz so unkritisch. Auf der anderen Seite: Ist er etwas innovativer ist das auch der interne Datenbestand...


Nein, nicht egal. Denn bei einer Firewall (auch die oft angebrachte "fritzbox reicht") hast du im Zweifel gar keinen Vorteil (Einrichtung beachten - wie oft sehen wir "any-any" Firewalls - da kauft man sich für das Geld besser einen Wasserkocher/Mikro, die nutzt die verpuffte Energie wenigstens für etwas). Der Vorteil einer gut eingerichteten UTM ist elementar! Hier verschiebt sich der Nutzeneffekt über den Kosten(mehr)aufwand!

DAS ist noch der einfache Teil - auto-update ist eigentlich nix ungewöhnliches mehr. ABER: Das überwachen kostet Zeit. Was bringt es wenn die Firewall schon über Tage rumheult das nen Angriff läuft oder das von einem Rechner vom internem Netz bereits TByte-Weise Daten übertragen werden aber keine drauf guckt? Und HIER geht die Zeit drauf.

Und hier wird das ganze eben auch schwerer je mehr Stationen du hast. Denn hast du hier 2x 100.000 Personen-Firmen ist das kein grosses Problem weil du dich ja eben in dem Fall nur um die Logs von eben 2 Firewalls kümmern musst (und dafür vermutlich auch das Budget bereitsteht). Hast du aber 50x 5 Personen sieht das sofort anders aus - entweder hast du hier ein zentrales Management, baust dir was selbst oder machst eigentlich nix anderes mehr als zu überprüfen (und das wird dir keiner Bezahlen wollen). Und dann kommt es halt auch noch drauf an wie "gleich" die 50x 5 Personen-Teilnehmer sind. Es ist ja durchaus nichts ungewöhnliches das z.B. eine Firma die mit Audio/Video-Daten arbeitet ggf. auch mal nen paar GB am Tag versendet - während der kleine Übersetzerladen oder die Arztpraxis da ggf. nicht rankommen... Oder ob du ggf. noch Gast-Netzwerke hast - beim Arzt im Wartezimmer kann ja durchaus Youtube/Facebook/... genutzt werden während man dasselbe auf nem Praxisrechner ggf. eher uncool findet.

Und diese Verwaltung kostet eben Zeit (und damit Geld) -> die ANSCHAFFUNG ist da noch der kleinste Teil...

Hallo,

eine Firewall nagel ich Dir für unter 1000 Euro zusammen. Inklusive Hardware und Grundkonfiguration.

Gruß,
Jörg

Dsa ist wie mit den Backups. Hat man so lange nicht gebraucht, bis man sie gebraucht hätte. Bis dahin hat man den Nutzen nicht gesehen, weil "wer soll MICH schon angreifen. Und daheim ist mir auch noch nie eine Festplatte verreckt!". Und plötzlich sieht die Welt ganz anders aus.

Aber so ist das immer mit den kleinen. Der Wert der IT und der Daten wird immer klein geredet, weil man da nur einen Kostenfaktor sieht und die Thematik nicht überblickt. Und so lange man sich damit nicht beschäftigen MUSS, macht man das auch nicht. Und irgendwann hat man den richtigen Zeitpunkt dann verpasst und die Umstellung auf ordentliche Security wird richtig teuer und schmerzhaft, weil man das Netz komplett umstrukturieren muss. Das bedeutet Downtime, Probleme, Lizenzen, Beratung, Dienstleistung etc und damit Umsatzausfall, hohe Kosten, ärger etc etc.

Hätte man früher ein paar Euro in die Hand genommen, wäre das alles viel viel billiger gewesen.

Hallo,

wie üblich bei diesem Thema gibt es verschiedene Lager was der richtige Weg ist.

Daher gibt es keinen Weg der für jeden der richtige ist.

Neben den gesetzlichen oder normativen Vorgaben was man in der IT alles zumachen hat oder auch zu lassen hat, muss man sich immer auch die Frage stellen welchen Anspruch man selber hat.
Da wird das Thema dann ganz schnell uferlos.

Man sieht es ja gerade aktuell, Biontech, als Pharmaunternehmen bisher nur in Insiderkreisen wirklich bekannt, ist jetzt jedem bekannt. wurde prompt angegriffen und es sind Daten abgeflossen.
Die werden vemrutlich nicht nur eine Fritzbox haben, und es hat trotzdem nicht gereicht.
Komplett verhindern wird man erfolgreiche Angriffe nie oder nur mit viel Aufwand.

Man sollte aber ein Mindestmaß an IT infrastruktur betreiben und diese muss auch gepflegt.

Die Frage die man sich stellen muss ist "was passiert wenn, was passiert?

Server raucht ab = neue Hardware, Backup einspielen
Rechner defekt= neue Hardware, Image zurückspielen.
Router / switch raucht ab, Neue Hardware, Konfig zurückspielen.

Daten fließen ab= Kunden informieren das Daten abgeflossen sind. BSI informieren? Haftpflichtversicherung informieren.
Und spätestens da wird es schwierig, dieVersicherung wird hinterfragenob das IT Security Konzept den Anforderungen entsprach... Wenn nicht ... Keine Leistung... Unternehmen evtl Pleite oder je nach Gesellschaftsform, wird das Privat Vermögen angezapft.

Diese Risiko Bewertung musst du im Enddefekt selber vornehmen, oder du holst dir dafür Profis die das im Auftrag machen.

Man muss sich halt im klaren sein das eine Unternehmens IT nicht nur aus Anschaffungskosten besteht sondern auch und vor allem aus Betriebskosten und aus kontinuierlicher Betreuung, und das kostet Zeit und Geld...

brammer

Das ist nun mal das Problem der Unternehmen im Handwerk. Viele Einzelunternehmer, die einen Bekannten haben der die "IT" macht.

Da ist nichts BSI oder DSGVO konform oder auch nur annähernd angelehnt. Davon haben wir knapp 1 Mio Betriebe in D. Von denen werden einige etwas mehr tun als nur eine Fritzbox alle paar Monate aktualisieren, aber die Masse sicher nicht.

Ob das gesetzlich gefordert ist oder nicht, es wird nach den Mantras (und mit dem einhergehenden Risiko) gelebt:

"Haben wir schon immer so gemacht."

und

"Wo kein Kläger da kein Richter."

Das hat meistens auch damit zu tun, dass schlicht kein Geld da ist für 1.000 € eine Firewall, für 5.000 € einen Server anzuschaffen und diese dann eventuell für weitere 200 € im Monat warten zu lassen.

Ich sehe regelmäßig bei Handwerkern einen PC, der gleichzeitig Server, Arbeitsstation und Backup Ziel ist. Ganz selten liegt ein NAS unterm Tisch oder gar ein Blech / Tower als dedizierter Server.

Das wird sich so schnell auch nicht ändern.

Gruß
Radiogugu

Hallo,

@radiogugu

du hast damit vollkommen Recht.


Letzendlich ist es aber ein Problem in der Kalkulation. Die Kosten für eine funktionierende IT müssen mit berücksichtigt werden, ansonsten geht es irgendwann schief....
ich weiß auch dass es immer ein Preiskampf ist...

brammer

Das predigt mit Sicherheit jeder, der versucht einem Unternehmen und damit auch dem Unternehmer zu helfen. Es wird halt nicht immer bis zum Schluss zugehört oder dann auch mal genickt und dem zugestimmt.

Vorgetäuschte Sicherheit ist ähnlich fatal als gar nichts zu unternehmen. Ich möchte nicht wissen wie viele Sicherungen vor sich hinsichern ohne jemals belastet worden zu sein.

Gruß
Radiogugu

Moin...
oha... warum bekommst du das?
kommt hin...

Ja... und nein...
oha... Berechtigung, für was?
für was und für wen? Atomkraftwerk oder Pommesbude?
sagt wer? stell dir vor, da gibbet wartungen für....
das ist alles super pauschal... der nächste zertifizierte kommt gleich mit mit ner XXXXX firewalll / UTM gerödel mit allem zip und zapp angerannt, andere mit einer pfSense!
die frage ist doch, was wird gebraucht, und was nicht! was und wie soll geschützt werden...
Frank

moin..
das ist was dran...
Frank

Hallo,


Das ist keine Firewall. Eine Firewall filtert Pakete, sonst nichts.

Diese ganzen eierlegenden Wollmilchsäue lassen sich m.Ea. nicht sinnvoll in ein Netz integrieren. Zum Einen fallen hier i.d.R. statistische Mitarbeiterdaten an, derer man eigentlich gar nicht habhaft sein darf.

Zum Anderen müss(t)en die Firewalls u.A. auch verschlüsselte Pakete aufbrechen (DPI - Deep Package Inspection), was nicht nur aus Datenschutzgründen, sondern auch sicherheitstechnisch sehr fragwürdig ist. Von zweifelhaften Lizenzmodellen (Abomodell "pro User") mal ganz abgesehen.

Wie bereits mehrfach erwähnt:
- eine Firewall
- Virenscanner (gerne auch der von Windows 10)
- aktuelle Software
- regelmäßige Datensicherung

Alles, was darüber hinaus läuft, würde mich erst einmal mißtrauisch machen. Vor allem dann, wenn es mit regelmäßigen Kosten (Abo, Wartungsvertrag usw.) verbunden ist.

Gruß,
Jörg

Wenn ich den Faden mal weiterspinnen darf kommen wir zu den TCO (Total cost of ownership).
Damit wäre es unanständig eine Firewall zu verkaufen.
Die einzige sinnvolle Möglichkeit ist, eine Firewall zu vermieten.
Und der Mietpreis setzt sich aus Wartung und Pflege und den anteiligen Kosten für die Hardware und Ersteinrichtung zusammen.

Sonst kommt der Kunde ja genau in den falschen und gefährlichen Luxus zu sagen: gekauft, Sicherheit abgehakt.

Man kann halt nicht alle retten.

Ich habe kein Problem Kunden gehen zu lassen wenn relevante Vorschläge von mir, z.B. Datensicherung und Datenschutz, nicht realisiert werden.

Es ist aber ein richtiges Problem wenn ein Kunde ein zu günstiges Angebot erhält und das auch noch trotz meiner Analyse annimmt und dann glaubt das Thema Sicherheit erledigt zu haben. Die Firma X verdient Ihr Geld und wenn was schiefgeht ruft der Kunde mich an. Super...


Ich würde gerne noch ein paar Begriffe in den Raum werden.
Es gibt eine große Diskussion wo ein Router aufhört und eine Firewall anfängt.
- VLAN
- DMZ
- UTM
- Ein- und ausgehende Ports blocken/erlauben
- Proxy (https, imap, smtp, pop3, ftp, etc)

Da muss man schauen was sich der Kunde leisten möchte und wie man dies umsetzen kann.

Viele System laufen mit Standardwerten und sind nahezu nutzlos.

Und NAT ist kein Sicherheitsfeature.

Stefan