lcer00
Goto Top

KMUs sind verloren - BSI Bericht zur Lage der IT-Sicherheit in Deutschland

Hallo zusammen,

das BSI hat seinen Bericht zur Lage der IT-Sicherheit in Deutschland https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebe ...

Begeistert war ich vor allem von Abschnitt 2.2.5 "Besondere Situation der kleinen und mittleren Unternehmen in Deutschland". Im Grunde wird dort eine katastrophale Situation geschildert. Entweder haben die Unternehmen (die nebenbei 99.4% aller Unternehmen in Deutschland ausmachen), kein Problembewusstsein oder keine Chance. Keine Chance weil:

  • sie bei Gehältern für IT-Personal nicht mit Großunternehmen mithalten können
  • es in der Region keine qualifizierten Dienstleister gibt
  • oder die qualifizierten Dienstleister nicht zur Unternehmensgröße passen

Grüße

lcer

Content-ID: 4872396787

Url: https://administrator.de/knowledge/kmus-sind-verloren-bsi-bericht-zur-lage-der-it-sicherheit-in-deutschland-4872396787.html

Ausgedruckt am: 25.12.2024 um 15:12 Uhr

radiogugu
radiogugu 06.12.2022 um 10:39:37 Uhr
Goto Top
Mahlzeit.

Verrückt. Warum rennen die eigentlich nicht alle geschlossen zum Amtsgericht?

Es gibt doch auch genügend Dienstleister, welche auf kleine Betriebe ausgelegt sind, vor allem was Stundensätze anbelangt. Auch viele Einzelkämpfer sind unterwegs.

Leider wird das nichts an der Tatsache ändern, dass 87 % (geschätzt, ohne Datenbasis) aller kleineren Handwerksbetriebe Fritzboxen als Router einsetzen. Damit fallen fast alle Sicherheitsmaßnahmen, welche ein "Block any from WAN" übersteigen schon einmal weg.

Auch wird da mit Sicherheit in den seltensten Fällen mit einem AD gearbeitet, was eine Härtung der internen Zugriffe auch kaum möglich macht, außer komplexe Kennwörter auf den NAS Systemen zu vergeben.

Es fehlt mir da an der Stelle ein konkreter Vorschlag unserer Regierung, wie diese Bedrohungslage angegangen werden soll, wenn kein Budget für IT Sicherheit da ist.

Kein Internet ist wahrscheinlich keine Lösung.

Gruß
Marc
em-pie
em-pie 06.12.2022 um 11:00:11 Uhr
Goto Top
Moin,

sehe das ähnlich wie @radiogugu
Leider wird das nichts an der Tatsache ändern, dass 87 % (geschätzt, ohne Datenbasis) aller kleineren Handwerksbetriebe Fritzboxen als Router einsetzen. Damit fallen fast alle Sicherheitsmaßnahmen, welche ein "Block any from WAN" übersteigen schon einmal weg.

Das Problem sind auch wir "Privatkunden":
Solange wir nicht bereit sind (bzw. die Möglichkeit haben), 100€ für eine Handwerkerstunde zu zahlen, solange wird der Handwerksbetrieb keine Chance haben, vernünftig in IT-Themen zu investieren. Denn wovon soll er den ganzen Quatsch zahlen?
Obendrein gibt es dann noch die größeren Unternehmen (< 100 MAs), die zumeist IT als "unnützen" Kostenpunkt betrachten und lieber in andere Spielereien investieren.
ukulele-7
ukulele-7 06.12.2022 um 11:27:54 Uhr
Goto Top
So sehr ich vieles, was hinter der Cloud steht oder wie sie umgesetzt wird, verachte, so sehr würde ich sagen das ist genau der Muster Anwendungsfall. Kleine Unternehmen mit wenigen für IT relevante Arbeitsplätze, also z.B. der Tischler um die Ecke mit einer Bürofachkraft und dem Chef, die können nie und nimmer eine sichere IT Umgebung unter vernünftigen Kosten betreiben. Für diese Kleinstfälle wäre das Prinzip Cloud perfekt. Voraussetzung: Gewährleistung des Datenschutzes und der Sicherheit, vernünftiger Service und sinnvolle Abbildung aller IT relevanten Prozesse auf einer homogenen und benutzbaren Plattform. Leider habe ich außer Versprechungen noch nirgends so etwas branchenspezifisches gesehen das alte Fachsoftware wirklich ersetzen könnte.
SeaStorm
SeaStorm 06.12.2022 um 12:50:45 Uhr
Goto Top
Zitat von @ukulele-7:

die können nie und nimmer eine sichere IT Umgebung unter vernünftigen Kosten betreiben. Für diese Kleinstfälle wäre das Prinzip Cloud perfekt.

Was ändert Cloud denn daran? Ich muss da weiterhin Clients, uU Server, diverse Software usw pflegen und entsprechend konfigurieren. Ich brauche weiterhin eine Benutzerverwaltung und Logins.

SaaS _kann_ hier z.B bei einer WaWi, Mail oÄ helfen. Aber ernsthaft sicherer wird das ganze ja nicht, wenn die völlig Ahnungslosen meinen sich o365 zu kaufen und dann gammelige Passwörter ohne MFA zu nutzen.
Am besten kauft man sich dann bei vielen verschiedenen Anbietern irgendwelche Software ein und weil man es halt nicht kann, hat man überall eigenständige User und Kennwörter mit unterschiedlicher Anforderung an Komplexität und Änderungsdauer. Am Ende haben dann alle User ein einfaches Kennwort überall oder Pflegen eine Excelliste mit ihren Daten.

Cloud ändert grundsätzlich an der Situation gar nichts. Macht es teilweise sogar schlimmer (ist doch Cloud! Die werden ja ein Backup haben!).
ukulele-7
ukulele-7 06.12.2022 um 13:57:46 Uhr
Goto Top
Ich sage ja selbst die Cloud macht derzeit nur Versprechungen und bietet meist keinen Mehrwert. Von Prinzip her denke ich aber schon das das eine Lösung sein kann (für die ganz Kleinen). Nur das das eben nicht für 10 Euro im Monat zu haben sein wird.
tikayevent
tikayevent 06.12.2022 um 16:09:18 Uhr
Goto Top
Damit werden wir noch sehr lange klarkommen müssen. Damit in dem Bereich was passiert, muss es einmal richtig knallen und damit mein ich nicht diese Ransomware-Sticheleien. Das muss richtig wehtun, also die Grundversorgung betroffen sein oder etwas in der Richtung, damit es mal in den Köpfen ankommt.

Der Missstand ist zum Teil auch schon im Schulsystem verankert, welches einfach nach Liste abarbeitet und nicht praxisorientiert ist. Seit 20 Jahren müsste Informationstechnik als Hauptfach auf dem Stundenplan sein, stattdessen popelt man den Schülern mindestens drei Sprachen, tiefergehende Mathematik, drei Naturwissenschaften und Nebengedöns mit dem Stand aus dem letzten Jahrhundert rein. Informatik ist vorhanden, aber nur wahlweise und dann auch nicht Grundwissen sondern erst etwas Office und dann direkt Anwendungsentwicklung.

Sprich es gibt keinen Punkt, an dem man zwingend das notwendige Sicherheitsbewusstsein beigebracht bekommt. Die meisten Unternehmensverantwortlichen nutzen die IT so wie sie es gelernt haben, also wie im Privatbereich ohne nachzudenken. Bei den meisten KMU wird man es auch nicht mehr lösen können, da es sich entsprechend festgefahren hat.

Seitens der Gesetzgebung gibt es da aber auch nichts. Es gibt in manchen Gesetzen so labberige Formulierungen, wie "Stand der Technik", die aber absolut nichts bewirken und bewirken können. Das ist aber nicht nur in der IT so, sondern grundsätzlich. Jeder kann ein Unternehmen gründen und solange Steuern fließen und nicht offensichtlich beschissen wird, ist alles egal. Kontrollen gibts keine im KMU-Bereich, solange man nicht zu irgendeiner Sonderbranche gehört.
Bei meinem AG, der nicht mehr als KMU gilt, sieht es direkt anders aus. Wir werden jedes Jahr vom Wirtschaftsprüfer auseinander genommen, jeder Furz muss erklärt und begründet werden und seit neustem bringt er jedes Jahr auch einen IT-Prüfer mit, der unsere Abteilung auseinanderpflückt. Wenn der IT-Prüfer nicht sein OK gibt, gibt der Wirtschaftsprüfer nicht sein OK und dann haben wir ein großes Problem dem Finanzamt gegenüber.

Sowas in der Form müsste man für KMU auch einführen. Steuerberaterpflicht und damit auch die regelmäßige Prüfung der IT. Aber solange es sowas nicht gibt, hat man als KMU eine Fritzbox oder einen Privatkunden-Providerrouter, mit dem großen 32" Curved Monitor am Windows 7-Rechner und die Datensicherung erfolgt durch Kopieren der Daten in einen anderen Ordner auf der selben Festplatte.

PS: Für die IT-Prüfer müsste es dann auch entsprechende gesetzliche Vorgaben geben. Unsere IT-Prüfung dauert fünf Tage, viereinhalb davon werden Benutzerberechtigungen im SAP-System geprüft und einen halben Tag lang ob der WSUS viel grün anzeigt, eine AV-Lösung vorhanden ist und ob es mehr als einen AD-Administator gibt.
MysticFoxDE
MysticFoxDE 07.12.2022 aktualisiert um 02:08:39 Uhr
Goto Top
Moin Marc,

Es gibt doch auch genügend Dienstleister, welche auf kleine Betriebe ausgelegt sind, vor allem was Stundensätze anbelangt. Auch viele Einzelkämpfer sind unterwegs.

das kann ich so nicht mal ansatzweise bestätigen.
Alle unserer mittelständischen Kunden suchen verzweifelt nach ITler um Ihre Mannschaft zu vergrössern oder bestehende Abgänge zu ersetzen. Und so gut wie keiner von diesen, schafft es die offene Posten auch nur ansatzweise zu besetzen.
Auch alle IT-Unternehmen mit denen ich spreche, erzählen mir das gleiche. Projekte sind theoretisch bis zum abwinken da, jedoch sind nur wenige qualifizierte Techniker verfügbar, die diese auch realisieren können. 😔

Leider wird das nichts an der Tatsache ändern, dass 87 % (geschätzt, ohne Datenbasis) aller kleineren Handwerksbetriebe Fritzboxen als Router einsetzen. Damit fallen fast alle Sicherheitsmaßnahmen, welche ein "Block any from WAN" übersteigen schon einmal weg.

Und selbst mit einer FritzBox sind viele davon schon überfordert ganz zu schweigen von einem Betrieb eines anständigen Security-Gateways.

Es fehlt mir da an der Stelle ein konkreter Vorschlag unserer Regierung, wie diese Bedrohungslage angegangen werden soll, wenn kein Budget für IT Sicherheit da ist.

Ähm, damit die Regierung einen konkreten Vorschlag zum Thema IT-Sicherheit unterbreiten kann, muss diese IT-Sicherheit auch erstmal verstehen lernen oder sich wenigstens durch kompetente ITler diesbezüglich beraten lassen.

Beste Grüsse aus BaWü
Alex
117471
117471 07.12.2022 um 10:01:58 Uhr
Goto Top
Hallo,

Zitat von @MysticFoxDE:

Alle unserer mittelständischen Kunden suchen verzweifelt nach ITler um Ihre Mannschaft zu vergrössern

Ja, allerdings nutzen sie Clouddienste oder irgendwelche Closed Source Software.

Kein verantwortungsbewusster Mitarbeiter wird für etwas Verantwortung übernehmen von dem er nicht weiß, was es tut bzw. wie es arbeitet.

Tut mir leid face-wink

Gruß,
Jörg
Cloudrakete
Cloudrakete 07.12.2022 um 10:20:27 Uhr
Goto Top
Zitat von @SeaStorm:

Zitat von @ukulele-7:

die können nie und nimmer eine sichere IT Umgebung unter vernünftigen Kosten betreiben. Für diese Kleinstfälle wäre das Prinzip Cloud perfekt.

Was ändert Cloud denn daran? Ich muss da weiterhin Clients, uU Server, diverse Software usw pflegen und entsprechend konfigurieren. Ich brauche weiterhin eine Benutzerverwaltung und Logins.

SaaS _kann_ hier z.B bei einer WaWi, Mail oÄ helfen. Aber ernsthaft sicherer wird das ganze ja nicht, wenn die völlig Ahnungslosen meinen sich o365 zu kaufen und dann gammelige Passwörter ohne MFA zu nutzen.
Am besten kauft man sich dann bei vielen verschiedenen Anbietern irgendwelche Software ein und weil man es halt nicht kann, hat man überall eigenständige User und Kennwörter mit unterschiedlicher Anforderung an Komplexität und Änderungsdauer. Am Ende haben dann alle User ein einfaches Kennwort überall oder Pflegen eine Excelliste mit ihren Daten.

Cloud ändert grundsätzlich an der Situation gar nichts. Macht es teilweise sogar schlimmer (ist doch Cloud! Die werden ja ein Backup haben!).

Grundsätzlich stimme ich deiner Aussage zu. Wenn ich mir jetzt aber M365 anschaue (was anderes neben Azure kenne ich nicht in der Cloud) dann nimmt einen MS schon sehr stark an die Hand.

Mit dem Thema MFA werde ich bei M365 so hart genervt (wenn nicht aktiv), dass ich zwangsläufig den Kram aktiviere. Per Default muss ich MFA (nach meinem Stand) sogar aktiv deaktivieren, wenn ich es nicht haben will. Sonst zwingt ein MS bei jeder Anmeldung dazu.

Darüber hinaus gibt es diverse Secure Scores (Die muss man sich natürlich auch anschauen) welche in Livetime deine Cloudumgebung bewertet und dir sagt, was alles "schlecht" ist und wie ich grob vorgehen muss, um dies besser zu machen.
Der Score alleine macht mich nicht sicher, aber erleichtert mir das feststellen von potentiellen Schwachstellen meiner Cloud-Infra.
On-Prem gibt es sowas out of the box nicht.

Mal ganz davon abgesehen, dass M365 nach aktuellen Stand Ransomware ressistent ist.
lcer00
lcer00 07.12.2022 um 10:28:26 Uhr
Goto Top
Hallo,
Zitat von @117471:

Hallo,

Zitat von @MysticFoxDE:

Alle unserer mittelständischen Kunden suchen verzweifelt nach ITler um Ihre Mannschaft zu vergrössern

Ja, allerdings nutzen sie Clouddienste oder irgendwelche Closed Source Software.

Kein verantwortungsbewusster Mitarbeiter wird für etwas Verantwortung übernehmen von dem er nicht weiß, was es tut bzw. wie es arbeitet.

Tut mir leid face-wink

Gruß,
Jörg
Mir fehlt ein wenig die Trennung zwischen verschiedenen Bereichen der IT-Sicherheit:
  • Da sind zum Beispiel die Bösen Spitzbuben voller krimineller Energie, die im Bereich Erpressung unterwegs sind.
  • Andere böse Buben handeln im Auftrag fremder Unternehmen oder gar Staaten und sind am Diebstahl von Unternehmensgeheimnissen interessiert.
  • Und dann gibt es da den Hersteller meines Betriebssystems und Betreiber von Clouddiensten, der wie auch immer von der US-Regierung zu bösen Dingen gezwungen werden kann.

Das Problem ist, wenn man alles gleichzeitig will, ist der Aufwand enorm und oft auch nicht zu stemmen. Meine Risikoanalyse sieht für unsere IT ein hohes Risiko für die erste Gruppe. Das Risiko bezüglich Geheimnisdiebstahl durch China oder die USA halte ich in meinem Fall für marginal. In dieser Risikoabwägung ist es aus meiner Sicht sinnvoll, ausgelagerte Cloudbasierte System zu verwenden, wenn damit eine hohe Sicherheit des Unternehmensbetriebes gewährleistet werden kann. Wo ist eigentlich der Unterschied zwischen Cloud und der Auslagerung von IT-Dienstleistungen an IT-Dienstleister

Der Kraftwerksbetreiber kommt hier sicher bei seiner Risikoabwägung auf andere Punkte. Und ich bin immer noch der Meinung, dass es gegen geheimdienstliche Datenzugriffe zum Schluss keine Sicherheit geben kann, egal ob der Server in den USA oder in Deutschland steht.

Wie heißt es so schön - Das Bessere ist der Feind des Guten.

Meine Top-Prioitäten wären:
  • Schutz vor Ransomware
  • Schutz vor bösartigen oder dummen/fahrlässigen (Ex)Mitarbeitern

Grüße

lcer
MysticFoxDE
MysticFoxDE 07.12.2022 aktualisiert um 11:06:38 Uhr
Goto Top
Moin Jörg,

Zitat von @MysticFoxDE:

Alle unserer mittelständischen Kunden suchen verzweifelt nach ITler um Ihre Mannschaft zu vergrössern

Ja, allerdings nutzen sie Clouddienste oder irgendwelche Closed Source Software.

ähm, weder noch.
Der der mir am meisten Sorgen bereitet, ist z.B komplett und On-Premise durch Microsoft durchseucht. 🤪
Glaub mir, ist eigentlich ein richtig schönes IT-Abenteuer.
Aber jeder ITler, der bisher die entsprechenden Anforderung gehört
oder spätestens beim Probearbeiten real gespürt hat, hat sich relativ Zeitnah für etwas einfacheres entschieden. 😔
Und bei der Stellenauswahl am Markt, ist das momentan leider absolut kein Problem, auch mit wenig Kompetenz einen gut bezahlten Job zu finden.
Einen guten und vor allem freien ITler, der wirklich auch etwas kann, findest du aufgrund des Mangels am Markt aktuell normalerweise nicht unter 100K.
Und das wiederum können sich nur die wenigsten Mittelständler leisten, ganz zu schweigen von den kleineren Betrieben darunter. 😔

Tut mir leid face-wink

Auch du, ich habe dadurch nicht wirklich Schmerzen. Schliesslich müssen wir den internen Mangel als externe auspuffern und dafür gibts dann auch entsprechende Rechnungen. 😁
Aber es ist schon nervig, weil vieles ungeplant dazwischen reinkommt und man sich dadurch schlecht auf die geplanten Dinge konzentrieren kann.
Das letztere tu ich aber definitiv als Luxusproblem mit verbuchen.

Beste Grüsse aus BaWü

Alex
ukulele-7
ukulele-7 07.12.2022 um 10:47:52 Uhr
Goto Top
Mit Cloud meine ich natürlich im Speziellen SaaS und das halt optimal umgesetzt. Das müsste bedeuten:
- Datenschutz und Sicherheit gewährleistet
- Alles, was zusammen gehört, aus einer Hand (z.B. Kalkulation / Angebotserstellung / Aufwandserfassung / Rechnungslegung)
- Anbieter austauschbar, Daten migrierbar
- Hohe Standardisierung / Einheitliche Nutzung (2 FA fertig, die Software kann alles und keiner bastelt daran rum)
- Branchenspezifische Bedürfnisse werden erfüllt
- ...
117471
117471 07.12.2022 um 11:55:05 Uhr
Goto Top
Hallo,

Zitat von @MysticFoxDE:

Der der mir am meisten Sorgen bereitet, ist z.B komplett und On-Premise durch Microsoft durchseucht.

Tjoa - und dennoch hast Du dich entschieden, ihn zu bedienen. So groß kann die Sorge also nicht sein face-wink

Aber jeder ITler, der bisher die entsprechenden Anforderung gehört oder spätestens beim Probearbeiten real gespürt hat, hat sich relativ Zeitnah für etwas einfacheres entschieden.

Korrekt. Wie gesagt - das nennt man Verantwortungsbewusstsein. Du hast schlichtweg keinen Einblick in die Abläufe und Prozesse, welche nicht einmal auf deinen Systemen ablaufen müssen.

Wie möchtest Du z.B. sicherstellen, wer alles Zugriff auf die privaten Schlüssel von den im Betriebssystem hinterlegten Stammzertifikaten hat?

Einen guten und vor allem freien ITler, der wirklich auch etwas kann, findest du aufgrund des Mangels am Markt aktuell normalerweise nicht unter 100K.

Nun - der Golfclub hier hat so einen für 450 Euro / Monat gefunden. Ich kümmere mich ein bisschen um den Platz (Mülleimer, Tees aufsammeln), repariere Dinge (zuletzt die Wetterseite von der Driving Range) und kratze das Unkraut aus den Fugen.

Die restlichen 95.000 Euro pro Jahr gehen wohl für mein Gewissen drauf. Ich bin zufrieden face-smile

Und das wiederum können sich nur die wenigsten Mittelständler leisten,

Können schon, nur "wollen" nicht. Das zeigt sich nicht nur bei der IT, sondern z.B. auch daran, dass dort auf überflüssige Durchlauferhitzer wie "Personalrecruiter", "Zeitarbeitsfirmen" usw. zurückgegriffen wird.

Kurzum: Dein Mittelständler ist zu faul, sich selber um gewisse Dinge zu kümmern - also existieren sie für ihn auch nicht.

Auch du, ich habe dadurch nicht wirklich Schmerzen.

Eben. Eigentlich ist es sogar anders herum: Es bereitet mir eine diebische Schadensfreude, deinem Mittelstand beim jammern zuzuschauen. Letztendlich passiert dort nämlich genau das, was ich denen vor 25 Jahren prophezeit habe.

Ich weiß, ich bin ein zynisches ###. Aber ich fühle mich nun mal bestätigt und jetzt ist es an der Zeit, das auszuleben.

Aber es ist schon nervig, weil vieles ungeplant dazwischen reinkommt und man sich dadurch schlecht auf die geplanten Dinge konzentrieren kann.

Mein Handy hat so 'ne lautlos-Taste.

Gruß,
Jörg
ElCativoGER
ElCativoGER 07.12.2022 um 12:25:54 Uhr
Goto Top
.. oder weil Sie sich keine Qualifizierten IT Mitarbeiter leisten können.
Oder nicht leisten wollen, weil sie garkein Bewusstsein dafür haben, was alles passieren kann.
Visucius
Visucius 07.12.2022 um 15:30:49 Uhr
Goto Top
Bei Euch auch?

bildschirm­foto 2022-12-07 um 15.30.21
lcer00
lcer00 07.12.2022 um 15:38:44 Uhr
Goto Top
Zitat von @Visucius:

Bei Euch auch?

bildschirm­foto 2022-12-07 um 15.30.21

Nö. Geht. Vermutlich hat das BSI die Lage wieder unter Kontrolle.

Grüße

lcer
Visucius
Visucius 07.12.2022 aktualisiert um 16:02:51 Uhr
Goto Top
Vermutlich hat das BSI die Lage wieder unter Kontrolle.
Einmal mit Profis face-wink

Spaß beiseite. Auch wenn ich immer noch Lachen muss:

sie bei Gehältern für IT-Personal nicht mit Großunternehmen mithalten können
Du meinst die "Großunternehmen", die auch schon Opfer geworden sind?! IT-Personal schützt Dich ja nicht vor sowas.

es in der Region keine qualifizierten Dienstleister gibt oder die qualifizierten Dienstleister nicht zur Unternehmensgröße passen
Machen wir uns nix vor. Mir ist natürlcih klar, dass mit solchen Koryphäen wie uns ... äh Euch, so ein Angriff ins Leere liefe ... aber die Klein(st)unternehmen werden einfach seltener angegriffen, bzw. der Angriff endet dann nicht unbedingt in einer Erpressung.
Am Ende muss Energie in den Angriff fließen und das Opfer muss potent sein - finanziell. Und der Handwerksbetrieb geht wegen nem "defekten" Rechner nicht gleich den Bach runter. Schaue ich hier ins Nachbarbüro wird auch einfach noch viel in Papier abgelegt. Das Risiko-Profil verschiebt sich da schon.
StefanKittel
StefanKittel 12.12.2022 um 11:00:43 Uhr
Goto Top
Zitat von @Visucius:
Einmal mit Profis face-wink
Einmal mit Profis war früher.
Heute hast Du ja Glück wenn man einmal ohne Idioten ist...
MysticFoxDE
MysticFoxDE 13.12.2022 aktualisiert um 06:46:06 Uhr
Goto Top
Moin Jörg,

Tjoa - und dennoch hast Du dich entschieden, ihn zu bedienen. So groß kann die Sorge also nicht sein face-wink

als Fuchs komme ich mit der MS-Schlange eben besser zurecht als mit dem Pinguin.
https://www.youtube.com/watch?v=dgpvEuIqOqc 😉

Korrekt. Wie gesagt - das nennt man Verantwortungsbewusstsein. Du hast schlichtweg keinen Einblick in die Abläufe und Prozesse, welche nicht einmal auf deinen Systemen ablaufen müssen.

Ich habe als Externer noch weniger Einblick als ein Interner und muss mich auch immer wieder und vor allem bei neuen Kunden, erstmal zurechtfinden.

Wie möchtest Du z.B. sicherstellen, wer alles Zugriff auf die privaten Schlüssel von den im Betriebssystem hinterlegten Stammzertifikaten hat?

Der private Schlüssel eines Stammzertifikats liegt im CA und hat auf den Clients im Normalfall nichts verloren.

Nun - der Golfclub hier hat so einen für 450 Euro / Monat gefunden. Ich kümmere mich ein bisschen um den Platz (Mülleimer, Tees aufsammeln), repariere Dinge (zuletzt die Wetterseite von der Driving Range) und kratze das Unkraut aus den Fugen.

Ähm, ein Golfclub zählt für mich ganz sicher nicht zum Mittelstand, sondern zum Luxusvergnügen.

Können schon, nur "wollen" nicht. Das zeigt sich nicht nur bei der IT, sondern z.B. auch daran, dass dort auf überflüssige Durchlauferhitzer wie "Personalrecruiter", "Zeitarbeitsfirmen" usw. zurückgegriffen wird.

Ich kann dir versichern, dass die meisten unserer Kunden durchaus wollen, jedoch finden diese schon seit längerem, schlichtweg so gut wie nichts.

Kurzum: Dein Mittelständler ist zu faul, sich selber um gewisse Dinge zu kümmern - also existieren sie für ihn auch nicht.

Nicht der Mittelstand ist faul, sondern die Regierung hat bei der Bildung der notwendigen gesellschaftlichen Digitalkompetenz, bisher so gut wie alles verpennt. 😔

Eben. Eigentlich ist es sogar anders herum: Es bereitet mir eine diebische Schadensfreude, deinem Mittelstand beim jammern zuzuschauen. Letztendlich passiert dort nämlich genau das, was ich denen vor 25 Jahren prophezeit habe.

Ich bin auch schon seit > 25 Jahren in der IT Branche und die Anforderungen für einen ITler von damals haben meiner Ansicht nach, nicht mehr viel mit denen von heute zu tun.

Ich weiß, ich bin ein zynisches ###. Aber ich fühle mich nun mal bestätigt und jetzt ist es an der Zeit, das auszuleben.

Der Zynismus nutzt aber weder der heutigen Generation etwas und noch weniger der Morgigen.
Wir hinterlassen unserer nächsten Generation nicht nur ein Umwelt- sondern auch ein absolutes IT-Chaos! 😔

Mein Handy hat so 'ne lautlos-Taste.

Zum guten IT-Service gehört meiner Ansicht nach neben guter Lösungskompetenz auch die Erreichbarkeit. 😉

Beste Grüsse aus BaWü
Alex
MysticFoxDE
MysticFoxDE 13.12.2022 aktualisiert um 07:13:40 Uhr
Goto Top
Moin Visucius,

IT-Personal schützt Dich ja nicht vor sowas.

na ja, gutes IT-Personal reicht da alleine ja auch nicht aus. Dieses benötigt auch noch das entsprechende Equipment und auch den entsprechenden Handlungsspielraum.
Wenn das gegeben ist, dann ist es im Normallfall auch kein Problem, selbst die grösseren IT-Spitzbuben sich vom Leibe zu halten.

Machen wir uns nix vor. Mir ist natürlcih klar, dass mit solchen Koryphäen wie uns ... äh Euch, so ein Angriff ins Leere liefe ...

Bei > 99,9% der Angrife, ist das, das oben genannte vorausgesetzt, auch nicht wirklich ein grosser Zauber.

aber die Klein(st)unternehmen werden einfach seltener angegriffen, bzw. der Angriff endet dann nicht unbedingt in einer Erpressung.

Glaub mir, die kleinen Unternehmen und auch Privatpersonen werden heutzutage genauso angegriffen und erpresst wie auch die grossen Unternehmen, du hörst davon nur viel seltener.

Am Ende muss Energie in den Angriff fließen

Nö, die meisten Angriffe laufen heutzutage fast vollständig automatisiert über mietbare Plattformen ab.
Daher ist der eigene Aufwand bei vielen Angreifer auch sehr überschaubar.

Und der Handwerksbetrieb geht wegen nem "defekten" Rechner nicht gleich den Bach runter.

Wenn alle Daten des Handwerkbetriebs nur auf diesem Rechner liegen, was bei vielen, vor allem kleineren Betrieben durchaus der Fall ist, dann vielleicht schon.

Beste Grüsse aus BaWü
Alex
117471
117471 13.12.2022 aktualisiert um 21:17:08 Uhr
Goto Top
Hallo,

Zitat von @MysticFoxDE:


Der private Schlüssel eines Stammzertifikats liegt im CA und hat auf den Clients im Normalfall nichts verloren.

Das habe ich auch nie behauptet. Ich habe mich darauf bezogen, dass die CAs „an sich“ nicht vertrauenswürdig sind da Du nicht weißt, wie sauber sie sich an die eigenen Prozesse zur Signierung / Schlüsselhandhabung usw. halten.

Siehe z.B. den Skandal um Symantec.

Nun - der Golfclub hier hat so einen für 450 Euro / Monat gefunden. Ich kümmere mich ein bisschen um den Platz (Mülleimer, Tees aufsammeln), repariere Dinge (zuletzt die Wetterseite von der Driving Range) und kratze das Unkraut aus den Fugen.

Ähm, ein Golfclub zählt für mich ganz sicher nicht zum Mittelstand, sondern zum Luxusvergnügen.

Äh - Du verstehst auch das nicht ganz.

*Ich* war die Fachkraft und vielleicht sogar mal der Ausbilder deines Ausbilders. Und ich bin inzwischen so weit, dass ich lieber aus langer Weile Papierkörbe leere als eure Müllsoftware zu bedienen. Arbeiten muss ich schon lange nicht mehr…

Kurzum: Es wäre nur höflich, wenn Du zukünftig etwas sorgfältiger liest, was Du kommentierst face-wink

Gruß,
Jörg
MysticFoxDE
MysticFoxDE 14.12.2022 um 05:49:59 Uhr
Goto Top
Moin Jörg,

Der private Schlüssel eines Stammzertifikats liegt im CA und hat auf den Clients im Normalfall nichts verloren.

Das habe ich auch nie behauptet. Ich habe mich darauf bezogen, dass die CAs „an sich“ nicht vertrauenswürdig sind da Du nicht weißt, wie sauber sie sich an die eigenen Prozesse zur Signierung / Schlüsselhandhabung usw. halten.

Siehe z.B. den Skandal um Symantec.

Symantec hat weder eine MS-CA benutzt noch hast du ein Beleg für das was du da bezüglich der MS-CA behauptest, daher bitte keine Pauschalmulemule veranstalten, das bringt hier absolut niemanden weiter.

Nun - der Golfclub hier hat so einen für 450 Euro / Monat gefunden. Ich kümmere mich ein bisschen um den Platz (Mülleimer, Tees aufsammeln), repariere Dinge (zuletzt die Wetterseite von der Driving Range) und kratze das Unkraut aus den Fugen.

Ähm, ein Golfclub zählt für mich ganz sicher nicht zum Mittelstand, sondern zum Luxusvergnügen.

Äh - Du verstehst auch das nicht ganz.

*Ich* war die Fachkraft und vielleicht sogar mal der Ausbilder deines Ausbilders.

Na ja, selber schuld wenn du das Thema ankratzt.
Mein Ausbilder war ein Softwareentwickler, der von Systemtechnik nicht wirklich eine Ahnung hatte.
Zum Glück gab es in dem Laden aber auch andere Menschen, die mir auch was anständiges beigebracht haben.
Ausserdem bin ich seit über 15 Jahren selber Ausbilder. 😉

Und ich bin inzwischen so weit, dass ich lieber aus langer Weile Papierkörbe leere als eure Müllsoftware zu bedienen. Arbeiten muss ich schon lange nicht mehr…
Kurzum: Es wäre nur höflich, wenn Du zukünftig etwas sorgfältiger liest, was Du kommentierst face-wink

Die ITler heute, müssen ganz andere Probleme lösen, wie du sie zu deiner Zeit hattest.
Zudem muss ein ITler, vor allem im Systemadministrationsbereich, heutzutage ganz andere Kompetenzen besitzen,
wie es noch vor 10-20 Jahren üblich war. Daher bringt dein Gemeckere über die alten Zeiten, hier wahrscheinlich auch niemanden so wirklich weiter, weil wir heute in einer ganz anderen IT-Welt haben und leben, wie du zu deiner aktiven ITler-Zeit.


Beste Grüsse aus BaWü

Alex
117471
117471 14.12.2022 um 09:30:57 Uhr
Goto Top
Hallo,

Zitat von @MysticFoxDE:

Symantec hat weder eine MS-CA benutzt noch hast du ein Beleg für das was du da bezüglich der MS-CA behauptest,

Auch das ist etwas, was ich nicht geschrieben habe.

Wie gesagt: Bitte lies die Beiträge etwas genauer, bevor Du sie kommentierst.

Gruß,
Jörg
MysticFoxDE
MysticFoxDE 14.12.2022 um 09:50:53 Uhr
Goto Top
Moin Jörg,

Symantec hat weder eine MS-CA benutzt noch hast du ein Beleg für das was du da bezüglich der MS-CA behauptest,

Auch das ist etwas, was ich nicht geschrieben habe.

und was ist das hier ...

Das habe ich auch nie behauptet. Ich habe mich darauf bezogen, dass die CAs „an sich“ nicht vertrauenswürdig sind da Du nicht weißt, wie sauber sie sich an die eigenen Prozesse zur Signierung / Schlüsselhandhabung usw. halten.

Du behauptest hier einfach mal pauschal, dass die CA's "„an sich“ nicht vertrauenswürdig sind" da man/du deren Sicherheit ja nicht wirklich prüfen könntest.

Da du ja schon längst in Rente bist und oder nicht mehr wirklich in der IT-Branche arbeiten musst und auch laut deiner eigenen Aussage auch nicht möchtest, finde ich das jetzt auch nicht wirklich wild, dass du die Sicherheit einer CA nicht mehr gewährleisten kannst.
Ich habe damit überhaupt kein Problem, vor allem wenn der Kunde die CA(s) so implementiert wie ich das haben möchte und nicht so wie sich das viele, ohne das entsprechende Fachwissen zu haben, selbst zusammengereimt haben.

Beste Grüsse aus BaWü

Alex
lcer00
lcer00 14.12.2022 um 10:24:22 Uhr
Goto Top
Hallo,

hier kann man gerade sehr schön ein Gewaltiges Dileamma beobachten. Je mehr man ins Detail geht, desto mehr mögliche Sicherheitsrisiken identifiziert man. Sei es eine nicht unter meiner Kontrolle stehende CA oder ein Cloud-Service, wir haben hier auch viele Threads zur den Vorteilen von Hardwarefirewalls. Aus KMU-Sicht (zumindest für die, die laut BSI noch kein Problembewustsein haben) wäre ein 80%-Sicherheits-IT-Dienstleister eine enorme Verbesserung. Also ein IT-Firma die sich nicht damit aufhält, 100% Sicherheit in einem Detailbereich zu schaffen (was sowie illusorisch ist), sondern sich damit begnügt, pragmatisch die gröbsten Probleme zu identifizieren und zu beseitigen. Auf deutlich niedrigerem Anspruch als z.B. der IT-Grundschutz des BSI. Wir neigen dazu, alles perfekt machen zu wollen, verlieren dabei aber oft die Gesamtsituation aus dem Auge.

Bei Sicherheit meint ja auch nicht jeder das gleiche. Die wesentlichen Komponenten sind
  • Schutz gegen technisch- oder durch Unfälle (Feuer, Wasser) bedingte Datenverluste
  • Schutz gegen kriminell bedingte Datenverluste
  • Schutz personenbezogener Daten

Jetzt kann man beispielsweise Cloud ganz schlimm finden, wegen der DSGVO und so, wenn der Serverschrank abbrennt, wären die Daten in der Cloud deutlich sicherer.

Als kleinst-KMU muss ich jedenfalls aus meiner Sicht die Aussage des BSI bestätigen. Es ist zwar einfach, jemanden zu finden, der mir eine Firewall oder Virenscannerlizenzen verkauft. Jemanden zu finden, der sich die Mühe macht, die konkrete Situation zu anaylsieren und eine "ganzheitliche" IT-Beratung zu machen, ist für ein kleines Unternehmen viel schwieriger. (Anwesende Gewerbetreibende ausgenommen).

Grüße

lcer
Visucius
Visucius 14.12.2022 um 10:28:01 Uhr
Goto Top
@icer00
👍
117471
117471 14.12.2022 um 10:32:20 Uhr
Goto Top
Hallo,

Zitat von @MysticFoxDE:

MS-CA

Und die Vorsilbe MS- hast Du genau wo in meinen Beiträgen gefunden?

Bitte jeden(!) Buchstaben sehr genau lesen und keine weiteren Buchstaben dazuerfinden.

Dankeschön.

Gruß,
Jörg
MysticFoxDE
MysticFoxDE 14.12.2022 um 10:42:25 Uhr
Goto Top
Moin lcer00,

bis zu dem folgenden Punkt kann ich nur applaudieren. 👍👍👍 👏👏👏

Als kleinst-KMU muss ich jedenfalls aus meiner Sicht die Aussage des BSI bestätigen. Es ist zwar einfach, jemanden zu finden, der mir eine Firewall oder Virenscannerlizenzen verkauft. Jemanden zu finden, der sich die Mühe macht, die konkrete Situation zu anaylsieren und eine "ganzheitliche" IT-Beratung zu machen, ist für ein kleines Unternehmen viel schwieriger. (Anwesende Gewerbetreibende ausgenommen).

Und auch bei dieser Aussage möchte ich nur an einer Stelle etwas ergänzen.
Das von dir beschrieben Problem betrifft bei weitem mittlerweile nicht nur den Mittelstand, sondern selbst DAX gelistete Konzerne. 😔

Beste Grüsse aus BaWü

Alex
MysticFoxDE
MysticFoxDE 14.12.2022 um 10:50:48 Uhr
Goto Top
Moin Jörg,

Und die Vorsilbe MS- hast Du genau wo in meinen Beiträgen gefunden?

schau mal deinen eigenen Satz bitte selbst nochmals genauer an.

"Ich habe mich darauf bezogen, dass die CAs „an sich“ nicht vertrauenswürdig sind da Du nicht weißt, wie sauber sie sich an die eigenen Prozesse zur Signierung / Schlüsselhandhabung usw. halten."

und da du hier keine bestimmte CA ansprichst, wird wohl die von MS ja auch darunter fallen, oder?

Bitte jeden(!) Buchstaben sehr genau lesen und keine weiteren Buchstaben dazuerfinden.

Ich erfinde auch keine, aber ich übersehe auch keine die nicht da sind, die aber dennoch eine Bedeutung haben könnten. 🤪

Dankeschön.

Gern geschehen.

Gruß,
Jörg

Gruss Alex
117471
117471 14.12.2022 um 10:53:56 Uhr
Goto Top
Hallo,

Zitat von @MysticFoxDE:

und da du hier keine bestimmte CA ansprichst, wird wohl die von MS ja auch darunter fallen, oder?

Nein, natürlich nicht.

Wie gesagt: Jeder Buchstabe zählt.

Gruß,
Jörg
Visucius
Visucius 14.12.2022 um 10:58:39 Uhr
Goto Top
Mein Gott, wollt Ihr Euch jetzt noch länger um des Kaisers Bart streiten?

Nur, damit ich weiß ob ich den Thread stummschalten muss.
117471
117471 14.12.2022 um 11:06:15 Uhr
Goto Top
Ja, mach mal bitte.

Bevor er mir hier noch mehr Blödsinn in den Mund legt.
MysticFoxDE
MysticFoxDE 14.12.2022 aktualisiert um 12:01:36 Uhr
Goto Top
Moin Visucius,

Mein Gott, wollt Ihr Euch jetzt noch länger um des Kaisers Bart streiten?

Wenn man zuerst von allen spricht und dann aber explizit einen bestimmten dann doch mit allen nicht gemeint haben möchte, dann ist das meiner Logik nach, nicht wirklich zu verstehen und hat mit dem Streit um den Kaisers Bart auch nichts gemeinsam.

Das ist schlichtweg unbegründete Pauschalmulemule und das kann ich nicht wirklich leiden und lasse sowas auch nicht einfach so stehen.

Gruss Alex
chillb3rt
chillb3rt 19.12.2022 um 12:05:29 Uhr
Goto Top
Zitat von @em-pie:

Moin,

sehe das ähnlich wie @radiogugu
Leider wird das nichts an der Tatsache ändern, dass 87 % (geschätzt, ohne Datenbasis) aller kleineren Handwerksbetriebe Fritzboxen als Router einsetzen. Damit fallen fast alle Sicherheitsmaßnahmen, welche ein "Block any from WAN" übersteigen schon einmal weg.

Das Problem sind auch wir "Privatkunden":
Solange wir nicht bereit sind (bzw. die Möglichkeit haben), 100€ für eine Handwerkerstunde zu zahlen, solange wird der Handwerksbetrieb keine Chance haben, vernünftig in IT-Themen zu investieren. Denn wovon soll er den ganzen Quatsch zahlen?
Obendrein gibt es dann noch die größeren Unternehmen (< 100 MAs), die zumeist IT als "unnützen" Kostenpunkt betrachten und lieber in andere Spielereien investieren.

Glaube auch, dass es ein Problem im Rahmen der Investitionsbereitschaft ist. Ks bei den KMUs haben auf jeden Fall das Problem, dass Sie gar keine technischen Kenntnisse haben, kein Geld um solch teuren Service einzukaufen und auch den falschen Mindset um solche Invests zu bringen.

Das bedeutet, dass es gerade bei kleinen Unternehmen sehr einfach sein wird auch in 10 Jahren einen Hack durchzuführen. Leider wird sich erst daran etwas ändern, wenn der Hack die betriebswirtschaftliche Seite des Unternehmens berührt und damit die Existent bedroht.
lcer00
lcer00 19.12.2022 um 12:20:33 Uhr
Goto Top
Hallo,
Zitat von @chillb3rt:

Glaube auch, dass es ein Problem im Rahmen der Investitionsbereitschaft ist. Ks bei den KMUs haben auf jeden Fall das Problem, dass Sie gar keine technischen Kenntnisse haben, kein Geld um solch teuren Service einzukaufen und auch den falschen Mindset um solche Invests zu bringen.

Das bedeutet, dass es gerade bei kleinen Unternehmen sehr einfach sein wird auch in 10 Jahren einen Hack durchzuführen. Leider wird sich erst daran etwas ändern, wenn der Hack die betriebswirtschaftliche Seite des Unternehmens berührt und damit die Existent bedroht.
Oder die Investitionsbereitschaft in IT berührt die betriebswirtschaftliche Seite des Unternehmens und bedroht dessen Existenz.

Das Mindset der IT-Hersteller sollte man übrigens auch hinterfragen. Die Lizensierungsmodelle bieten Enterprise-Security oft erst bei Enterprise-Einkaufsvolumina an. Oder die Rabatte gibt es erst ab 1000 Lizenzen. Dazu beinhalten KMU-Lizenzen oft deutlich weniger Sicherheitsfeatures als Enterprise-Lizenzen. Warum wird großen Unternehmen mehr Sicherheit als kleinen angeboten?

Grüße

lcer
chillb3rt
chillb3rt 19.12.2022 um 12:30:30 Uhr
Goto Top
Zitat von @lcer00:

Hallo,
Zitat von @chillb3rt:

Glaube auch, dass es ein Problem im Rahmen der Investitionsbereitschaft ist. Ks bei den KMUs haben auf jeden Fall das Problem, dass Sie gar keine technischen Kenntnisse haben, kein Geld um solch teuren Service einzukaufen und auch den falschen Mindset um solche Invests zu bringen.

Das bedeutet, dass es gerade bei kleinen Unternehmen sehr einfach sein wird auch in 10 Jahren einen Hack durchzuführen. Leider wird sich erst daran etwas ändern, wenn der Hack die betriebswirtschaftliche Seite des Unternehmens berührt und damit die Existent bedroht.
Oder die Investitionsbereitschaft in IT berührt die betriebswirtschaftliche Seite des Unternehmens und bedroht dessen Existenz.

Das Mindset der IT-Hersteller sollte man übrigens auch hinterfragen. Die Lizensierungsmodelle bieten Enterprise-Security oft erst bei Enterprise-Einkaufsvolumina an. Oder die Rabatte gibt es erst ab 1000 Lizenzen. Dazu beinhalten KMU-Lizenzen oft deutlich weniger Sicherheitsfeatures als Enterprise-Lizenzen. Warum wird großen Unternehmen mehr Sicherheit als kleinen angeboten?

Grüße

lcer

Die Preismodelle sind immer ein Thema, egal ob zu teuer im Einstiegsbereich und/oder dann erst später für Ms bei den KMUs. Es ist schon extrem wichtig, dass wir von Ks bei den KMUs ausgehen und diese haben einfach kaum Budget für IT-Themen.

Das macht alle Themen, egal ob semi- oder vollprofessionell, ziemlich schwierig und zeigt das eigentliche Dilemma. Der Elektrobetrieb mit 25-30 Mitarbeitern macht auch eine Million und mehr pro Jahr an Umsatz, hat aber kaum Reserven für die weiteren angesprochenen Themen.
StefanKittel
StefanKittel 19.12.2022 um 12:50:12 Uhr
Goto Top
Zitat von @lcer00:
Die Lizensierungsmodelle bieten Enterprise-Security oft erst bei Enterprise-Einkaufsvolumina an. Oder die Rabatte gibt es erst ab 1000 Lizenzen. Dazu beinhalten KMU-Lizenzen oft deutlich weniger Sicherheitsfeatures als Enterprise-Lizenzen. Warum wird großen Unternehmen mehr Sicherheit als kleinen angeboten?
Soweit ich sehe gibt es deshalb MSP.
Enterprise-Technik in Scheibchen an KMUs zu vermieten. Damit die sich Enterprise-Technik leisten können.

Es geht aber auch um eine Fehleinschätzung der Bedrohung.
"Warum sollte jemand gerade mich hacken? Wir sind doch gar nicht interessant für die Hacker."

Da draussen gibt es nur ganz wenige Scharfschützen. Aber sehr viele Gruppen die mit Flammenwerfen und Mörser wild in der Gegen rumballern.

Stefan
chillb3rt
chillb3rt 19.12.2022 um 12:53:35 Uhr
Goto Top
Zitat von @StefanKittel:

Zitat von @lcer00:
Die Lizensierungsmodelle bieten Enterprise-Security oft erst bei Enterprise-Einkaufsvolumina an. Oder die Rabatte gibt es erst ab 1000 Lizenzen. Dazu beinhalten KMU-Lizenzen oft deutlich weniger Sicherheitsfeatures als Enterprise-Lizenzen. Warum wird großen Unternehmen mehr Sicherheit als kleinen angeboten?
Soweit ich sehe gibt es deshalb MSP.
Enterprise-Technik in Scheibchen an KMUs zu vermieten. Damit die sich Enterprise-Technik leisten können.

Es geht aber auch um eine Fehleinschätzung der Bedrohung.
"Warum sollte jemand gerade mich hacken? Wir sind doch gar nicht interessant für die Hacker."

Da draussen gibt es nur ganz wenige Scharfschützen. Aber sehr viele Gruppen die mit Flammenwerfen und Mörser wild in der Gegen rumballern.

Stefan

Auch MSP sind für manchen KMU zu teuer und auch zwecks Mindset nicht die Qual der Wahl. Ich habe innerhalb der Familie viele Unternehmer und wenn ich diese fragen würde, wüssten die gar nicht was ein MSP ist und macht.

Wir sollten uns etwas davon lösen, dass diese Unternehmen sich über Bedrohung, Szenario und den möglichen Lösungen klar sind. Die Kosten sind in deren Welt sowieso immer zu teuer und fernab jeglicher Einschätzung.
StefanKittel
StefanKittel 19.12.2022 aktualisiert um 12:58:51 Uhr
Goto Top
Zitat von @chillb3rt:
Wir sollten uns etwas davon lösen, dass diese Unternehmen sich über Bedrohung, Szenario und den möglichen Lösungen klar sind.
Davon sollten wir ausgehene. Unser Job ist es technischen Auswirkungen in verständliche Worte zu übersetzen damit Jemand ohne Fachwissen eine Entscheidung treffen kann.

Zitat von @chillb3rt:
Die Kosten sind in deren Welt sowieso immer zu teuer und fernab jeglicher Einschätzung.
Das Problem habe ich gelöst, indem ich eine Mindestvorgabe an den Kunden mache.
Diese steht in direkter Beziehung zu meiner Verantwortung. Wenn der Kunde das nicht möchte, arbeite ich nicht für ihn.
Das ist aber nur meine Lösung.
chillb3rt
chillb3rt 19.12.2022 um 13:06:34 Uhr
Goto Top
Zitat von @StefanKittel:

Zitat von @chillb3rt:
Wir sollten uns etwas davon lösen, dass diese Unternehmen sich über Bedrohung, Szenario und den möglichen Lösungen klar sind.
Davon sollten wir ausgehene. Unser Job ist es technischen Auswirkungen in verständliche Worte zu übersetzen damit Jemand ohne Fachwissen eine Entscheidung treffen kann.

Zitat von @chillb3rt:
Die Kosten sind in deren Welt sowieso immer zu teuer und fernab jeglicher Einschätzung.
Das Problem habe ich gelöst, indem ich eine Mindestvorgabe an den Kunden mache.
Diese steht in direkter Beziehung zu meiner Verantwortung. Wenn der Kunde das nicht möchte, arbeite ich nicht für ihn.
Das ist aber nur meine Lösung.

Ich bin da bei Ihnen, dass man den Kunden abholen und dann eine realistische Einschätzung abgeben muss. Denn man kann für relativ wenig nicht viel erhalten.

Mir ist auch bewusst, dass spezifische Services Geld kosten und der MSP natürlich auch seinen Anteil haben möchte. Demnach ist es natürlich, dass Sie dies genauso machen!