Vorteil dedizierte Firewall
Hallo Zusammen,
in der letzten Zeit bekomme ich immer mal wieder Angebote von EDV-Dienstleistern für kleinere Büros (~10 AP`s) zum drüber schauen.
In den Angeboten steht oft eine dedizierte Firewall (bsp. Watchguard, oder Lancom). Der dafür veranschlagte Preis macht gerne 30% der gesamten Kosten der Hardware-Ausstattung des Büros aus. (mittlerer bis hoher 4 stelliger Betrag) (inklusive Lizenzen und Einrichtung)
Nun zur Frage:
Kurz:
Ist das sinnvoll?
Lang:
Mir ist klar, dass diese Geräte mächtig sind und ihre Berechtigung haben.
Aber meiner Meinung nach werden die meisten Funktionen nicht eingesetzt und auch nicht benötigt.
!UND! vor allem sie werden einmal aufgesetzt und dann nie wieder angefasst.
Ist der Sicherheitsgewinn wirklich so groß im Vergleich zu einem StiNo-Router? Besonders wenn gar kein Zugriff von außerhalb geplant ist?
Ich bin gespannt auf eure Meinungen.
Grüße,
Tex
in der letzten Zeit bekomme ich immer mal wieder Angebote von EDV-Dienstleistern für kleinere Büros (~10 AP`s) zum drüber schauen.
In den Angeboten steht oft eine dedizierte Firewall (bsp. Watchguard, oder Lancom). Der dafür veranschlagte Preis macht gerne 30% der gesamten Kosten der Hardware-Ausstattung des Büros aus. (mittlerer bis hoher 4 stelliger Betrag) (inklusive Lizenzen und Einrichtung)
Nun zur Frage:
Kurz:
Ist das sinnvoll?
Lang:
Mir ist klar, dass diese Geräte mächtig sind und ihre Berechtigung haben.
Aber meiner Meinung nach werden die meisten Funktionen nicht eingesetzt und auch nicht benötigt.
!UND! vor allem sie werden einmal aufgesetzt und dann nie wieder angefasst.
Ist der Sicherheitsgewinn wirklich so groß im Vergleich zu einem StiNo-Router? Besonders wenn gar kein Zugriff von außerhalb geplant ist?
Ich bin gespannt auf eure Meinungen.
Grüße,
Tex
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 630122
Url: https://administrator.de/contentid/630122
Ausgedruckt am: 05.11.2024 um 12:11 Uhr
26 Kommentare
Neuester Kommentar
Moin Tex,
für kleinere Büros, gerade wenn da keine Server ins Internet abgebildet werden, reicht die einfache Fritzbox aus.
Da würde ich eher in einen aktuellen Virenscanner investieren, wobei Du mit guten Angeboten wie Sophos auch ganz schnell hohe Preisregionen erreichen kannst.
Ansonsten hast Du Dir die Frage schon selbst beantwortet, wenn da ne supertolle Firewall steht und sich da nicht regelmäßig jemand drum kümmert, kannst Du es Dir auch gleich stecken. Da is nix mit Deep Learning
Gruß
für kleinere Büros, gerade wenn da keine Server ins Internet abgebildet werden, reicht die einfache Fritzbox aus.
Da würde ich eher in einen aktuellen Virenscanner investieren, wobei Du mit guten Angeboten wie Sophos auch ganz schnell hohe Preisregionen erreichen kannst.
Ansonsten hast Du Dir die Frage schon selbst beantwortet, wenn da ne supertolle Firewall steht und sich da nicht regelmäßig jemand drum kümmert, kannst Du es Dir auch gleich stecken. Da is nix mit Deep Learning
Gruß
Hallo,
neben dem Hinweis von @Coreknabe müsst ihr aber auch für euch selber entschieden, wie wichtig euch eure Daten sind.
Eine Arztpraxis hat hier andere Sicherheitsanforderungen als die Schreinerei um die Ecke.
Dazu gehört auch die Frage ob ihr weiter machen könnt wenn jemand ins Netzwerk einbricht und eure Daten verschlüsselt und nur gegen Lösegeld wieder freigibt.
Oder ob ihr Persönliche Daten von Kunden oder Ansprechaprtnern speichert die besodners schützenswert sind.
brammer
neben dem Hinweis von @Coreknabe müsst ihr aber auch für euch selber entschieden, wie wichtig euch eure Daten sind.
Eine Arztpraxis hat hier andere Sicherheitsanforderungen als die Schreinerei um die Ecke.
Dazu gehört auch die Frage ob ihr weiter machen könnt wenn jemand ins Netzwerk einbricht und eure Daten verschlüsselt und nur gegen Lösegeld wieder freigibt.
Oder ob ihr Persönliche Daten von Kunden oder Ansprechaprtnern speichert die besodners schützenswert sind.
brammer
Zitat von @tex15:
Ist der Sicherheitsgewinn wirklich so groß im Vergleich zu einem StiNo-Router? Besonders wenn gar kein Zugriff von außerhalb geplant ist?
Ist der Sicherheitsgewinn wirklich so groß im Vergleich zu einem StiNo-Router? Besonders wenn gar kein Zugriff von außerhalb geplant ist?
Hallo.
Die Kollegen haben es schon geschrieben, es macht nur dann Sinn, wenn Dienste aus dem Internet erreichbar sein sollen (Exchange, Webserver, etc.).
Selbst wenn der Chef mal per VPN Zugriff haben möchte, dann kann das auch über das VPN der Fritzbox eingerichtet werden und ist allemal ausreichend.
Hier muss ganz klar die Devise lauten: Erst die Vogelart identifizieren, bevor man die Kanone rausholt
Gruß
Radiogugu
@tex15
Da könnte eine Lösung wie Sophos wirklich sinnvoller sein, bei 10 Lizenzen wird das jetzt auch nicht die Welt kosten:
https://www.sophos.com/de-de/products/endpoint-antivirus.aspx
Das Ding ist ganz einfach, dass der herkömmliche Virenscanner mehr und mehr obsolet ist, weil Standardprogramme wie Powershell o.ä. genutzt werden. Die erkennt ein Virenscanner logischerweise nicht, da muss eine Verhaltensanalyse her. Wir werden im nächsten Jahr von Sophos Endpoint umsteigen, ich freu mich drauf
Denn vor einem infizierten Mail-Anhang schützt auch die FW nicht.
https://www.sophos.com/de-de/products/endpoint-antivirus.aspx
Das Ding ist ganz einfach, dass der herkömmliche Virenscanner mehr und mehr obsolet ist, weil Standardprogramme wie Powershell o.ä. genutzt werden. Die erkennt ein Virenscanner logischerweise nicht, da muss eine Verhaltensanalyse her. Wir werden im nächsten Jahr von Sophos Endpoint umsteigen, ich freu mich drauf
Es müssen auch keine 30% sein wenn man es richtig macht:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit einer entsprechenden Plattform
https://www.varia-store.com/de/produkt/103305-pc-engines-apu4d2-starter- ...
https://www.ipu-system.de
Ist man mit einer Top Firewall im unteren 3stelligen Bereich dabei.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit einer entsprechenden Plattform
https://www.varia-store.com/de/produkt/103305-pc-engines-apu4d2-starter- ...
https://www.ipu-system.de
Ist man mit einer Top Firewall im unteren 3stelligen Bereich dabei.
Das Thema Lösegeld-Erpressung gehört m.M. nach eher in die Richtung Backup und Disaster-Recovery. Denn vor einem infizierten Mail-Anhang schützt auch die FW nicht.
Reden wir von einer FW oder von einer UTM - da solltest du eigentlich sauber separieren. Zu dem gehört zum Verkauf einer (jeglicher!) IT-Lösung auch immer die Wartung. Das ist keine Lampe, die man einmal kauft, sondern de facto ein Auto, das Regelmäßig Wartung/Tüv etc verlangt
Und das sich jemand die Mühe macht, in eine 10-Mann-Butze übers Internet einzubrechen, um Lösegeld zu erpressen, glaube ich nicht.* Das läuft schon eher über das Massenmailing.
Warum nicht? Es gibt 10 Mann Unternehmen, welche innovativer sind als 1000 Mann Bestanderhaltungsbuden.
Zitat von @aqui:
Es müssen auch keine 30% sein wenn man es richtig macht:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit einer entsprechenden Plattform
https://www.varia-store.com/de/produkt/103305-pc-engines-apu4d2-starter- ...
https://www.ipu-system.de
Ist man mit einer Top Firewall im unteren 3stelligen Bereich dabei.
Es müssen auch keine 30% sein wenn man es richtig macht:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit einer entsprechenden Plattform
https://www.varia-store.com/de/produkt/103305-pc-engines-apu4d2-starter- ...
https://www.ipu-system.de
Ist man mit einer Top Firewall im unteren 3stelligen Bereich dabei.
Hast du Recht, @aqui, aber das will auch a) überwacht und b) eingebracht und c) gewartet werden. Warum hat die Sophos Ihren Preis? Weil vieles bereits vorbereitet wurde. Das in einer PFsense nach zu stellen ist nicht ganz so trivial. - Was wiederrum die Kosten nur von "Lizenz" zu "Arbeitszeit" verschiebt.
Zitat von @radiogugu:
Hallo.
Die Kollegen haben es schon geschrieben, es macht nur dann Sinn, wenn Dienste aus dem Internet erreichbar sein sollen (Exchange, Webserver, etc.).
Selbst wenn der Chef mal per VPN Zugriff haben möchte, dann kann das auch über das VPN der Fritzbox eingerichtet werden und ist allemal ausreichend.
Hier muss ganz klar die Devise lauten: Erst die Vogelart identifizieren, bevor man die Kanone rausholt
Gruß
Radiogugu
Zitat von @tex15:
Ist der Sicherheitsgewinn wirklich so groß im Vergleich zu einem StiNo-Router? Besonders wenn gar kein Zugriff von außerhalb geplant ist?
Ist der Sicherheitsgewinn wirklich so groß im Vergleich zu einem StiNo-Router? Besonders wenn gar kein Zugriff von außerhalb geplant ist?
Hallo.
Die Kollegen haben es schon geschrieben, es macht nur dann Sinn, wenn Dienste aus dem Internet erreichbar sein sollen (Exchange, Webserver, etc.).
Selbst wenn der Chef mal per VPN Zugriff haben möchte, dann kann das auch über das VPN der Fritzbox eingerichtet werden und ist allemal ausreichend.
Hier muss ganz klar die Devise lauten: Erst die Vogelart identifizieren, bevor man die Kanone rausholt
Gruß
Radiogugu
So einfach würde ich das nicht gestalten. Die Fritzbox macht nämlich nur von aussen nach Innen zu, nicht andersherum. Zu dem gibt es keinen Botnetzschutz, keine Heuristik, damit keine Kontrolle über Datenabflüsse. Und hinterher die Vogelart zu identifizieren...nunja...mals du den Vogel dann in dem Himmel, auf 10km Entfernung, wenn er schon lange weggeflogen ist? Viel Spaß sag ich da nur.
Hi
man muss bei einer Firewall unterscheiden zwischen
der reinen Firewall-Funktion von aussen, also irgendwelche Ports von aussen (oder teilweise von Innen) auf oder zu machen,
IPS, IDS, Virenscanner etc, also der analyse des Traffics ein und ausgehend,
und Netzwerksegmentierung, also dem Trennen von Netzen und deren limitierung untereinander.
ersteres, üblicherweise als Stateful Firewall bezeichnet, ist das was ein kleines Büro normalerweise einsetzt und für die meisten auch ausreichend ist. Hier kann man pauschal erst mal von aussen nichts zulassen, sofern man keine Server oder sonstige Dienste anbietet. Das ist was jeder Heim-Router macht. Zusätzlich kann man von Innen nach aussen nur definierte Services wie HTTP\HTTPS zulassen. Bis auf "Darf oder Darf Nicht gibt's da halt kaum Sicherheit
IPS\IDS usw machen nur Sinn wenn man dabei den SSL Traffic aufbricht, was schon etwas mehr Kenntnisse und auch einen aktiven Admin benötigt, da man besonders am Anfang viele Ausnahmen pflegen muss, weil immer mehr Programme und Webseiten so konfiguriert sind, das sie SSL-Inspection nicht dulden und dann schlicht den Dienst verweigern. Hier bekommt man allerdings einen deutlichen Sicherheitsgewinn.
Netzwerksegmentierung ist etwas was die meisten kleinen Router\Firewalls zwar können, eine Fritzbox aber zB nicht. Ohne einen aktiven Admin der zumindest mal die Grundlagen der Netzwerktechnik beherrscht ist aber auch das nicht ohne weiteres umsetzbar.
IMHO sollte sich heutzutage jedes Unternehmen mit so 20+ Mitarbeitern zumindest eine interne Firewall wie eine pfSense für die Segmentierung leisten und diese von einem Dienstleister managen lassen, wenn kein eigener Admin den Laden betreut.
Durch die Segmentierung von Client Server und Backupnetz kann man sich schon mal das größte Risiko "Trojaner verschlüsselt auch die Backups" halbwegs erwehren. So viel Aufwand stecken die Angreifer (hoffentlich) nicht in ein kleines Unternehmen um da die Netze zu knacken um an die Backups ran zu kommen.
IPS\IDS mit SSL-Inspection erfordert mehr KnowHow, Support und somit Geld, so das man hier etwas später ansetzen kann. Aber so ab 50 Usern sehe ich das hier schon als Sinnvoll an. Kommt natürlich immer auf den Wert der IT im Unternehmen an.
Ein 50 Mann IT\Gesundheitswesen\etc-Unternehmen mit sensiblen Kundendaten braucht das auf jeden Fall, ein Forstunternehmen oder Putzdienst eher nicht
man muss bei einer Firewall unterscheiden zwischen
der reinen Firewall-Funktion von aussen, also irgendwelche Ports von aussen (oder teilweise von Innen) auf oder zu machen,
IPS, IDS, Virenscanner etc, also der analyse des Traffics ein und ausgehend,
und Netzwerksegmentierung, also dem Trennen von Netzen und deren limitierung untereinander.
ersteres, üblicherweise als Stateful Firewall bezeichnet, ist das was ein kleines Büro normalerweise einsetzt und für die meisten auch ausreichend ist. Hier kann man pauschal erst mal von aussen nichts zulassen, sofern man keine Server oder sonstige Dienste anbietet. Das ist was jeder Heim-Router macht. Zusätzlich kann man von Innen nach aussen nur definierte Services wie HTTP\HTTPS zulassen. Bis auf "Darf oder Darf Nicht gibt's da halt kaum Sicherheit
IPS\IDS usw machen nur Sinn wenn man dabei den SSL Traffic aufbricht, was schon etwas mehr Kenntnisse und auch einen aktiven Admin benötigt, da man besonders am Anfang viele Ausnahmen pflegen muss, weil immer mehr Programme und Webseiten so konfiguriert sind, das sie SSL-Inspection nicht dulden und dann schlicht den Dienst verweigern. Hier bekommt man allerdings einen deutlichen Sicherheitsgewinn.
Netzwerksegmentierung ist etwas was die meisten kleinen Router\Firewalls zwar können, eine Fritzbox aber zB nicht. Ohne einen aktiven Admin der zumindest mal die Grundlagen der Netzwerktechnik beherrscht ist aber auch das nicht ohne weiteres umsetzbar.
IMHO sollte sich heutzutage jedes Unternehmen mit so 20+ Mitarbeitern zumindest eine interne Firewall wie eine pfSense für die Segmentierung leisten und diese von einem Dienstleister managen lassen, wenn kein eigener Admin den Laden betreut.
Durch die Segmentierung von Client Server und Backupnetz kann man sich schon mal das größte Risiko "Trojaner verschlüsselt auch die Backups" halbwegs erwehren. So viel Aufwand stecken die Angreifer (hoffentlich) nicht in ein kleines Unternehmen um da die Netze zu knacken um an die Backups ran zu kommen.
IPS\IDS mit SSL-Inspection erfordert mehr KnowHow, Support und somit Geld, so das man hier etwas später ansetzen kann. Aber so ab 50 Usern sehe ich das hier schon als Sinnvoll an. Kommt natürlich immer auf den Wert der IT im Unternehmen an.
Ein 50 Mann IT\Gesundheitswesen\etc-Unternehmen mit sensiblen Kundendaten braucht das auf jeden Fall, ein Forstunternehmen oder Putzdienst eher nicht
ersteres, üblicherweise als Stateful Firewall bezeichnet, ist das was ein kleines Büro normalerweise einsetzt und für die meisten auch ausreichend ist. Hier kann man pauschal erst mal von aussen nichts zulassen, sofern man keine Server oder sonstige Dienste anbietet. Das ist was jeder Heim-Router macht. Zusätzlich kann man von Innen nach aussen nur definierte Services wie HTTP\HTTPS zulassen. Bis auf "Darf oder Darf Nicht gibt's da halt kaum Sicherheit
Puh, das würde ich auch nicht mehr unbedingt unterschreiben. Zu dem, was ist "kleines Büro"? Für manche sind 5 Leute klein, für manche 50 Leute, für manche 500. Selbst die Definition von KMU ist sehr sehr breit.
Aber das kann man in zig Beiträgen hier nachlesen.
Zitat von @tex15:
So einfach würde ich das nicht gestalten. Die Fritzbox macht nämlich nur von aussen nach Innen zu, nicht andersherum. Zu dem gibt es keinen Botnetzschutz, keine Heuristik, damit keine Kontrolle über Datenabflüsse. ...
Exakt. Ich meine aber, dass diese Dinge nur funktionieren, wenn man sie wartet und pflegt. (die Notwendigkeit hast du ja schon betont, scheint mir aber nicht der Standard zu sein)Damit erfasst du ein Kernproblem, eine IT, die nicht gewartet wird ist ein Einfallstor, egal ob mit oder ohne Firewall/UTM..
Warum nicht? Es gibt 10 Mann Unternehmen, welche innovativer sind als 1000 Mann Bestanderhaltungsbuden.
Natürlich. Siehe oben "sensible Daten". Diese Unternehmen wissen, dass sie solche Daten haben und investieren (hoffentlich) in deren Schutz. Um die soll es hier aber nicht gehen. Sondern eher um Handwerker, vielleicht eine Kanzlei, etc...Oftmals, nein. Kanzlei - keine sensiblen Daten? Handwerker - keine sensiblen Daten? Der normale Handwerker hat einen (Privat)-Kundenschatz von zig hundert Adressen und Telefonnummern etc, ggf. sogar eine Datenbank mit Zugriffsmöglichkeiten. Auf Dauer wohl auch Pins für Zugriffe auf Smarthomes etc. Selbst ohne DSGVO sehe ich das nicht ganz so unkritisch. Auf der anderen Seite: Ist er etwas innovativer ist das auch der interne Datenbestand...
Reden wir von einer FW oder von einer UTM - da solltest du eigentlich sauber separieren. Zu dem gehört zum Verkauf einer (jeglicher!) IT-Lösung auch immer die Wartung. Das ist keine Lampe, die man einmal kauft, sondern de facto ein Auto, das Regelmäßig Wartung/Tüv etc verlangt
Hm. Egal. Bei UTM wird der Einsatz (Geld, KnowHow) halt noch größer. "Kosten/Nutzen..."Nein, nicht egal. Denn bei einer Firewall (auch die oft angebrachte "fritzbox reicht") hast du im Zweifel gar keinen Vorteil (Einrichtung beachten - wie oft sehen wir "any-any" Firewalls - da kauft man sich für das Geld besser einen Wasserkocher/Mikro, die nutzt die verpuffte Energie wenigstens für etwas). Der Vorteil einer gut eingerichteten UTM ist elementar! Hier verschiebt sich der Nutzeneffekt über den Kosten(mehr)aufwand!
Grüße,
Tex
Tex
Zitat von @tex15:
So einfach würde ich das nicht gestalten. Die Fritzbox macht nämlich nur von aussen nach Innen zu, nicht andersherum. Zu dem gibt es keinen Botnetzschutz, keine Heuristik, damit keine Kontrolle über Datenabflüsse. ...
Exakt. Ich meine aber, dass diese Dinge nur funktionieren, wenn man sie wartet und pflegt. (die Notwendigkeit hast du ja schon betont, scheint mir aber nicht der Standard zu sein)DAS ist noch der einfache Teil - auto-update ist eigentlich nix ungewöhnliches mehr. ABER: Das überwachen kostet Zeit. Was bringt es wenn die Firewall schon über Tage rumheult das nen Angriff läuft oder das von einem Rechner vom internem Netz bereits TByte-Weise Daten übertragen werden aber keine drauf guckt? Und HIER geht die Zeit drauf.
Und hier wird das ganze eben auch schwerer je mehr Stationen du hast. Denn hast du hier 2x 100.000 Personen-Firmen ist das kein grosses Problem weil du dich ja eben in dem Fall nur um die Logs von eben 2 Firewalls kümmern musst (und dafür vermutlich auch das Budget bereitsteht). Hast du aber 50x 5 Personen sieht das sofort anders aus - entweder hast du hier ein zentrales Management, baust dir was selbst oder machst eigentlich nix anderes mehr als zu überprüfen (und das wird dir keiner Bezahlen wollen). Und dann kommt es halt auch noch drauf an wie "gleich" die 50x 5 Personen-Teilnehmer sind. Es ist ja durchaus nichts ungewöhnliches das z.B. eine Firma die mit Audio/Video-Daten arbeitet ggf. auch mal nen paar GB am Tag versendet - während der kleine Übersetzerladen oder die Arztpraxis da ggf. nicht rankommen... Oder ob du ggf. noch Gast-Netzwerke hast - beim Arzt im Wartezimmer kann ja durchaus Youtube/Facebook/... genutzt werden während man dasselbe auf nem Praxisrechner ggf. eher uncool findet.
Und diese Verwaltung kostet eben Zeit (und damit Geld) -> die ANSCHAFFUNG ist da noch der kleinste Teil...
Hallo,
eine Firewall nagel ich Dir für unter 1000 Euro zusammen. Inklusive Hardware und Grundkonfiguration.
Gruß,
Jörg
eine Firewall nagel ich Dir für unter 1000 Euro zusammen. Inklusive Hardware und Grundkonfiguration.
Gruß,
Jörg
Zitat von @tex15:
Hm. Egal. Bei UTM wird der Einsatz (Geld, KnowHow) halt noch größer. "Kosten/Nutzen..."
Dsa ist wie mit den Backups. Hat man so lange nicht gebraucht, bis man sie gebraucht hätte. Bis dahin hat man den Nutzen nicht gesehen, weil "wer soll MICH schon angreifen. Und daheim ist mir auch noch nie eine Festplatte verreckt!". Und plötzlich sieht die Welt ganz anders aus.Hm. Egal. Bei UTM wird der Einsatz (Geld, KnowHow) halt noch größer. "Kosten/Nutzen..."
Aber so ist das immer mit den kleinen. Der Wert der IT und der Daten wird immer klein geredet, weil man da nur einen Kostenfaktor sieht und die Thematik nicht überblickt. Und so lange man sich damit nicht beschäftigen MUSS, macht man das auch nicht. Und irgendwann hat man den richtigen Zeitpunkt dann verpasst und die Umstellung auf ordentliche Security wird richtig teuer und schmerzhaft, weil man das Netz komplett umstrukturieren muss. Das bedeutet Downtime, Probleme, Lizenzen, Beratung, Dienstleistung etc und damit Umsatzausfall, hohe Kosten, ärger etc etc.
Hätte man früher ein paar Euro in die Hand genommen, wäre das alles viel viel billiger gewesen.
Hallo,
wie üblich bei diesem Thema gibt es verschiedene Lager was der richtige Weg ist.
Daher gibt es keinen Weg der für jeden der richtige ist.
Neben den gesetzlichen oder normativen Vorgaben was man in der IT alles zumachen hat oder auch zu lassen hat, muss man sich immer auch die Frage stellen welchen Anspruch man selber hat.
Da wird das Thema dann ganz schnell uferlos.
Man sieht es ja gerade aktuell, Biontech, als Pharmaunternehmen bisher nur in Insiderkreisen wirklich bekannt, ist jetzt jedem bekannt. wurde prompt angegriffen und es sind Daten abgeflossen.
Die werden vemrutlich nicht nur eine Fritzbox haben, und es hat trotzdem nicht gereicht.
Komplett verhindern wird man erfolgreiche Angriffe nie oder nur mit viel Aufwand.
Man sollte aber ein Mindestmaß an IT infrastruktur betreiben und diese muss auch gepflegt.
Die Frage die man sich stellen muss ist "was passiert wenn, was passiert?
Server raucht ab = neue Hardware, Backup einspielen
Rechner defekt= neue Hardware, Image zurückspielen.
Router / switch raucht ab, Neue Hardware, Konfig zurückspielen.
Daten fließen ab= Kunden informieren das Daten abgeflossen sind. BSI informieren? Haftpflichtversicherung informieren.
Und spätestens da wird es schwierig, dieVersicherung wird hinterfragenob das IT Security Konzept den Anforderungen entsprach... Wenn nicht ... Keine Leistung... Unternehmen evtl Pleite oder je nach Gesellschaftsform, wird das Privat Vermögen angezapft.
Diese Risiko Bewertung musst du im Enddefekt selber vornehmen, oder du holst dir dafür Profis die das im Auftrag machen.
Man muss sich halt im klaren sein das eine Unternehmens IT nicht nur aus Anschaffungskosten besteht sondern auch und vor allem aus Betriebskosten und aus kontinuierlicher Betreuung, und das kostet Zeit und Geld...
brammer
wie üblich bei diesem Thema gibt es verschiedene Lager was der richtige Weg ist.
Daher gibt es keinen Weg der für jeden der richtige ist.
Neben den gesetzlichen oder normativen Vorgaben was man in der IT alles zumachen hat oder auch zu lassen hat, muss man sich immer auch die Frage stellen welchen Anspruch man selber hat.
Da wird das Thema dann ganz schnell uferlos.
Man sieht es ja gerade aktuell, Biontech, als Pharmaunternehmen bisher nur in Insiderkreisen wirklich bekannt, ist jetzt jedem bekannt. wurde prompt angegriffen und es sind Daten abgeflossen.
Die werden vemrutlich nicht nur eine Fritzbox haben, und es hat trotzdem nicht gereicht.
Komplett verhindern wird man erfolgreiche Angriffe nie oder nur mit viel Aufwand.
Man sollte aber ein Mindestmaß an IT infrastruktur betreiben und diese muss auch gepflegt.
Die Frage die man sich stellen muss ist "was passiert wenn, was passiert?
Server raucht ab = neue Hardware, Backup einspielen
Rechner defekt= neue Hardware, Image zurückspielen.
Router / switch raucht ab, Neue Hardware, Konfig zurückspielen.
Daten fließen ab= Kunden informieren das Daten abgeflossen sind. BSI informieren? Haftpflichtversicherung informieren.
Und spätestens da wird es schwierig, dieVersicherung wird hinterfragenob das IT Security Konzept den Anforderungen entsprach... Wenn nicht ... Keine Leistung... Unternehmen evtl Pleite oder je nach Gesellschaftsform, wird das Privat Vermögen angezapft.
Diese Risiko Bewertung musst du im Enddefekt selber vornehmen, oder du holst dir dafür Profis die das im Auftrag machen.
Man muss sich halt im klaren sein das eine Unternehmens IT nicht nur aus Anschaffungskosten besteht sondern auch und vor allem aus Betriebskosten und aus kontinuierlicher Betreuung, und das kostet Zeit und Geld...
brammer
Zitat von @brammer:
Daten fließen ab= Kunden informieren das Daten abgeflossen sind. BSI informieren? Haftpflichtversicherung informieren.
Und spätestens da wird es schwierig, dieVersicherung wird hinterfragenob das IT Security Konzept den Anforderungen entsprach... Wenn nicht ... Keine Leistung... Unternehmen evtl Pleite oder je nach Gesellschaftsform, wird das Privat Vermögen angezapft.
Daten fließen ab= Kunden informieren das Daten abgeflossen sind. BSI informieren? Haftpflichtversicherung informieren.
Und spätestens da wird es schwierig, dieVersicherung wird hinterfragenob das IT Security Konzept den Anforderungen entsprach... Wenn nicht ... Keine Leistung... Unternehmen evtl Pleite oder je nach Gesellschaftsform, wird das Privat Vermögen angezapft.
Das ist nun mal das Problem der Unternehmen im Handwerk. Viele Einzelunternehmer, die einen Bekannten haben der die "IT" macht.
Da ist nichts BSI oder DSGVO konform oder auch nur annähernd angelehnt. Davon haben wir knapp 1 Mio Betriebe in D. Von denen werden einige etwas mehr tun als nur eine Fritzbox alle paar Monate aktualisieren, aber die Masse sicher nicht.
Ob das gesetzlich gefordert ist oder nicht, es wird nach den Mantras (und mit dem einhergehenden Risiko) gelebt:
"Haben wir schon immer so gemacht."
und
"Wo kein Kläger da kein Richter."
Das hat meistens auch damit zu tun, dass schlicht kein Geld da ist für 1.000 € eine Firewall, für 5.000 € einen Server anzuschaffen und diese dann eventuell für weitere 200 € im Monat warten zu lassen.
Ich sehe regelmäßig bei Handwerkern einen PC, der gleichzeitig Server, Arbeitsstation und Backup Ziel ist. Ganz selten liegt ein NAS unterm Tisch oder gar ein Blech / Tower als dedizierter Server.
Das wird sich so schnell auch nicht ändern.
Gruß
Radiogugu
Hallo,
@radiogugu
du hast damit vollkommen Recht.
Letzendlich ist es aber ein Problem in der Kalkulation. Die Kosten für eine funktionierende IT müssen mit berücksichtigt werden, ansonsten geht es irgendwann schief....
ich weiß auch dass es immer ein Preiskampf ist...
brammer
@radiogugu
du hast damit vollkommen Recht.
Das hat meistens auch damit zu tun, dass schlicht kein Geld da ist für 1.000 € eine Firewall, für 5.000 € einen Server anzuschaffen und diese dann > eventuell für weitere 200 € im Monat warten zu lassen.
Letzendlich ist es aber ein Problem in der Kalkulation. Die Kosten für eine funktionierende IT müssen mit berücksichtigt werden, ansonsten geht es irgendwann schief....
ich weiß auch dass es immer ein Preiskampf ist...
brammer
Zitat von @brammer:
Letzendlich ist es aber ein Problem in der Kalkulation. Die Kosten für eine funktionierende IT müssen mit berücksichtigt werden, ansonsten geht es irgendwann schief....
ich weiß auch dass es immer ein Preiskampf ist...
Letzendlich ist es aber ein Problem in der Kalkulation. Die Kosten für eine funktionierende IT müssen mit berücksichtigt werden, ansonsten geht es irgendwann schief....
ich weiß auch dass es immer ein Preiskampf ist...
Das predigt mit Sicherheit jeder, der versucht einem Unternehmen und damit auch dem Unternehmer zu helfen. Es wird halt nicht immer bis zum Schluss zugehört oder dann auch mal genickt und dem zugestimmt.
Vorgetäuschte Sicherheit ist ähnlich fatal als gar nichts zu unternehmen. Ich möchte nicht wissen wie viele Sicherungen vor sich hinsichern ohne jemals belastet worden zu sein.
Gruß
Radiogugu
Moin...
Nun zur Frage:
Kurz:
Ist das sinnvoll?
Ja... und nein...
Lang:
Mir ist klar, dass diese Geräte mächtig sind und ihre Berechtigung haben.
oha... Berechtigung, für was?
Ist der Sicherheitsgewinn wirklich so groß im Vergleich zu einem StiNo-Router? Besonders wenn gar kein Zugriff von außerhalb geplant ist?
das ist alles super pauschal... der nächste zertifizierte kommt gleich mit mit ner XXXXX firewalll / UTM gerödel mit allem zip und zapp angerannt, andere mit einer pfSense!
die frage ist doch, was wird gebraucht, und was nicht! was und wie soll geschützt werden...
Ich bin gespannt auf eure Meinungen.
Grüße,
Tex
Frank
Zitat von @tex15:
Hallo Zusammen,
in der letzten Zeit bekomme ich immer mal wieder Angebote von EDV-Dienstleistern für kleinere Büros (~10 AP`s) zum drüber schauen.
oha... warum bekommst du das?Hallo Zusammen,
in der letzten Zeit bekomme ich immer mal wieder Angebote von EDV-Dienstleistern für kleinere Büros (~10 AP`s) zum drüber schauen.
In den Angeboten steht oft eine dedizierte Firewall (bsp. Watchguard, oder Lancom). Der dafür veranschlagte Preis macht gerne 30% der gesamten Kosten der Hardware-Ausstattung des Büros aus. (mittlerer bis hoher 4 stelliger Betrag) (inklusive Lizenzen und Einrichtung)
kommt hin...Nun zur Frage:
Kurz:
Ist das sinnvoll?
Lang:
Mir ist klar, dass diese Geräte mächtig sind und ihre Berechtigung haben.
Aber meiner Meinung nach werden die meisten Funktionen nicht eingesetzt und auch nicht benötigt.
für was und für wen? Atomkraftwerk oder Pommesbude?!UND! vor allem sie werden einmal aufgesetzt und dann nie wieder angefasst.
sagt wer? stell dir vor, da gibbet wartungen für....Ist der Sicherheitsgewinn wirklich so groß im Vergleich zu einem StiNo-Router? Besonders wenn gar kein Zugriff von außerhalb geplant ist?
die frage ist doch, was wird gebraucht, und was nicht! was und wie soll geschützt werden...
Ich bin gespannt auf eure Meinungen.
Grüße,
Tex
moin..
Gruß
Radiogugu
Frank
Zitat von @radiogugu:
Das predigt mit Sicherheit jeder, der versucht einem Unternehmen und damit auch dem Unternehmer zu helfen. Es wird halt nicht immer bis zum Schluss zugehört oder dann auch mal genickt und dem zugestimmt.
Vorgetäuschte Sicherheit ist ähnlich fatal als gar nichts zu unternehmen. Ich möchte nicht wissen wie viele Sicherungen vor sich hinsichern ohne jemals belastet worden zu sein.
das ist was dran...Zitat von @brammer:
Letzendlich ist es aber ein Problem in der Kalkulation. Die Kosten für eine funktionierende IT müssen mit berücksichtigt werden, ansonsten geht es irgendwann schief....
ich weiß auch dass es immer ein Preiskampf ist...
Letzendlich ist es aber ein Problem in der Kalkulation. Die Kosten für eine funktionierende IT müssen mit berücksichtigt werden, ansonsten geht es irgendwann schief....
ich weiß auch dass es immer ein Preiskampf ist...
Das predigt mit Sicherheit jeder, der versucht einem Unternehmen und damit auch dem Unternehmer zu helfen. Es wird halt nicht immer bis zum Schluss zugehört oder dann auch mal genickt und dem zugestimmt.
Vorgetäuschte Sicherheit ist ähnlich fatal als gar nichts zu unternehmen. Ich möchte nicht wissen wie viele Sicherungen vor sich hinsichern ohne jemals belastet worden zu sein.
Gruß
Radiogugu
Hallo,
Das ist keine Firewall. Eine Firewall filtert Pakete, sonst nichts.
Diese ganzen eierlegenden Wollmilchsäue lassen sich m.Ea. nicht sinnvoll in ein Netz integrieren. Zum Einen fallen hier i.d.R. statistische Mitarbeiterdaten an, derer man eigentlich gar nicht habhaft sein darf.
Zum Anderen müss(t)en die Firewalls u.A. auch verschlüsselte Pakete aufbrechen (DPI - Deep Package Inspection), was nicht nur aus Datenschutzgründen, sondern auch sicherheitstechnisch sehr fragwürdig ist. Von zweifelhaften Lizenzmodellen (Abomodell "pro User") mal ganz abgesehen.
Wie bereits mehrfach erwähnt:
- eine Firewall
- Virenscanner (gerne auch der von Windows 10)
- aktuelle Software
- regelmäßige Datensicherung
Alles, was darüber hinaus läuft, würde mich erst einmal mißtrauisch machen. Vor allem dann, wenn es mit regelmäßigen Kosten (Abo, Wartungsvertrag usw.) verbunden ist.
Gruß,
Jörg
Zitat von @Vision2015:
der nächste zertifizierte kommt gleich mit mit ner XXXXX firewalll / UTM gerödel mit allem zip und zapp angerannt,
der nächste zertifizierte kommt gleich mit mit ner XXXXX firewalll / UTM gerödel mit allem zip und zapp angerannt,
Das ist keine Firewall. Eine Firewall filtert Pakete, sonst nichts.
Diese ganzen eierlegenden Wollmilchsäue lassen sich m.Ea. nicht sinnvoll in ein Netz integrieren. Zum Einen fallen hier i.d.R. statistische Mitarbeiterdaten an, derer man eigentlich gar nicht habhaft sein darf.
Zum Anderen müss(t)en die Firewalls u.A. auch verschlüsselte Pakete aufbrechen (DPI - Deep Package Inspection), was nicht nur aus Datenschutzgründen, sondern auch sicherheitstechnisch sehr fragwürdig ist. Von zweifelhaften Lizenzmodellen (Abomodell "pro User") mal ganz abgesehen.
Wie bereits mehrfach erwähnt:
- eine Firewall
- Virenscanner (gerne auch der von Windows 10)
- aktuelle Software
- regelmäßige Datensicherung
Alles, was darüber hinaus läuft, würde mich erst einmal mißtrauisch machen. Vor allem dann, wenn es mit regelmäßigen Kosten (Abo, Wartungsvertrag usw.) verbunden ist.
Gruß,
Jörg
Zitat von @brammer:
Letzendlich ist es aber ein Problem in der Kalkulation. Die Kosten für eine funktionierende IT müssen mit berücksichtigt werden, ansonsten geht es irgendwann schief....
Wenn ich den Faden mal weiterspinnen darf kommen wir zu den TCO (Total cost of ownership).Letzendlich ist es aber ein Problem in der Kalkulation. Die Kosten für eine funktionierende IT müssen mit berücksichtigt werden, ansonsten geht es irgendwann schief....
Damit wäre es unanständig eine Firewall zu verkaufen.
Die einzige sinnvolle Möglichkeit ist, eine Firewall zu vermieten.
Und der Mietpreis setzt sich aus Wartung und Pflege und den anteiligen Kosten für die Hardware und Ersteinrichtung zusammen.
Sonst kommt der Kunde ja genau in den falschen und gefährlichen Luxus zu sagen: gekauft, Sicherheit abgehakt.
ich weiß auch dass es immer ein Preiskampf ist...
Man kann halt nicht alle retten.Ich habe kein Problem Kunden gehen zu lassen wenn relevante Vorschläge von mir, z.B. Datensicherung und Datenschutz, nicht realisiert werden.
Es ist aber ein richtiges Problem wenn ein Kunde ein zu günstiges Angebot erhält und das auch noch trotz meiner Analyse annimmt und dann glaubt das Thema Sicherheit erledigt zu haben. Die Firma X verdient Ihr Geld und wenn was schiefgeht ruft der Kunde mich an. Super...
Ich würde gerne noch ein paar Begriffe in den Raum werden.
Es gibt eine große Diskussion wo ein Router aufhört und eine Firewall anfängt.
- VLAN
- DMZ
- UTM
- Ein- und ausgehende Ports blocken/erlauben
- Proxy (https, imap, smtp, pop3, ftp, etc)
Da muss man schauen was sich der Kunde leisten möchte und wie man dies umsetzen kann.
Viele System laufen mit Standardwerten und sind nahezu nutzlos.
Und NAT ist kein Sicherheitsfeature.
Stefan
Hallo,
Für den Verkäufer ist trügerische Sicherheit sicherlich ein schönes Produkt: Man muss nichts Leisten, hat im Grunde genommen schon die Ausrede inpetto wenn es doch mal knallt und kann sich schön die Taschen vollstopfen.
Siehe Einstiegsposting.
Gruß,
Jörg
Zitat von @StefanKittel:
Sonst kommt der Kunde ja genau in den falschen und gefährlichen Luxus zu sagen: gekauft, Sicherheit abgehakt.
Sonst kommt der Kunde ja genau in den falschen und gefährlichen Luxus zu sagen: gekauft, Sicherheit abgehakt.
Für den Verkäufer ist trügerische Sicherheit sicherlich ein schönes Produkt: Man muss nichts Leisten, hat im Grunde genommen schon die Ausrede inpetto wenn es doch mal knallt und kann sich schön die Taschen vollstopfen.
Siehe Einstiegsposting.
Gruß,
Jörg