Herbstvortrag mit Raika Leonding + Galileo

 Allgemein  No Responses »
Sep 212011
 

Der Herbst bringt viele aktuelle Themen an die Oberfläche und interessierte Zuhörer ins Auditorium.

Es ist wieder soweit, die Data Management GmbH lädt Sie am 03.10.2011 um 19:00 Uhr ein:

„EDV = Ende der Vernunft?! Die IT ist heutzutage der ständige Begleiter im Hintergrund. Doch wie abhängig sind wir mittlerweile davon?” – Impulsvortrag mit Diskussion und Beispielen aus der Praxis.

Weitere Informationen und Details zur Anmeldung gibt es HIER.

Der Vortrag wird in Zusammenarbeit mit der Raiffeisenbank Leonding und der Leondinger Wirtschaft (Galileo) realisiert.

Share
 Posted by at 13:13

Zertifikate für Lau

 Allgemein  No Responses »
Sep 052011
 

Webseiten bzw. jegliche Webportale welche hinsichtlich des Datenverkehrs abgesichert werden sollen, bedienen sich dafür an Zertifikaten. Diese schützen die Verbindung zwischen Client und Server mittels HTTPS. Sie als arbeiten sicher täglich damit und es ist Ihnen evtl. schon hin und wieder aufgefallen.

Solch Zertifikate kann man selbst generieren, allerdings erscheint im Browser dann die Nachricht, dass das vom Server bereitgestellte Zertifikat nicht verifiziert werden konnte. Für den User etwas ärgerlich bzw. aus technischer Sicht teilweise bedenklich.

Offizielle Zertifikate, damit sowas nicht passiert, kauft man beispielsweise bei VeriSign, Thawte oä. Die Kosten für ein Serverzertifikat sind durchaus erwähnenswert bzw. kann es je nach Typ teuer werden.
Für Betreiber von beispielsweise kleinen Foren ist oft nicht das Geld da, um in solche Sicherungsmaßnahmen zu investieren. Somit melden sich, um beim Foren Beispiel zu bleiben, die Foren-User ungesichert über http an. Tür und Tor für einen evtl. “Lauschangriff” sind somit weit geöffnet. Das muss nicht sein:

StartSSL bietet kostenlose „Einsteigerzertifikate“ an! D.h. Sie können sich dort registrieren und wenn Sie Inhaber einer Domain sind, können Sie sich dafür Web- und/oder E-Mail Zertifikate generieren, welche von den Webbrowsern als gültig erkannt werden. Natürlich gibt es auch die Möglichkeit, je nach Anforderung, seine Identität bei der Registrierungsstelle zu belegen um damit erhöhte Validierung bzw. entsprechend erweiterte Zertifikate zu erhalten. Dieser Service kostet dann allerdings etwas, im Vergleich zu anderen „Zertifikatsherstellern“ sind diese aber immer noch sehr günstig!

StartSSL ist ein seriöses Angebot einer israelischen Firma, auch wenn die Einsteigerzertifikate, welche in vielen Fällen ausreichend sind, kostenlos angeboten werden! Datasec nutzt den Service selbst um so die Vielzahl der Firewall Zugriffsportale uä. mittels offiziellen Zertifikaten abzusichern.

Die Einrichtung von Zertifikaten ist allerdings nicht allzu trivial – wer in seiner Funktion als Administrator noch nie damit gearbeitet hat wird anfangs etwas ratlos sein. Natürlich unterstützen wir Sie dabei, Zertifikate richtig einzusetzen.

Share
 Posted by at 12:48

Die Wahl des passenden Backups

 Allgemein  No Responses »
Aug 262011
 

Eine für seine Ansprüche entsprechende Sicherung (sprich Backup) zu haben bzw. regelmäßig durchzuführen ist unabdingbar. Lösungen gibt es viele, aus dem Wald an Möglichkeiten gilt es, die für den Bedarfsfall richtige Lösung zu finden.

Es treten Fragen auf wie:

- welche Daten gehören eigentlich gesichert
- wie oft sollten diese gesichert werden
- sollten nicht nur Daten sondern auch Programme bzw. die benötigte Infrastruktur „gesichert“ werden
- können gesicherte Daten rasch wiederhergestellt werden
- wer hat Zugriff auf gesicherte Daten
- werden verschiedene Versionsstände benötigt (Archivierung)
- etc.

Hat man die wichtigsten Antworten auf die Frage der richtigen Sicherungsstrategie, gibt es grob gesagt zwei Möglichkeiten: Online Backup bzw. Offline Backup.
Online Backups sind, aus Sicht der Konnektivität, vereinfacht gesagt immer verfügbar. Beispielsweise in Form von NAS Geräten oder eines gespiegelten SAN Storage. Der Zugriff darauf ist sofort und schnell möglich. Der Standort kann im selben Serverraum, in einem Nebengebäude oder ganz woanders sein (Internet – siehe Cloud). Solange die Geräte bzw. Systeme „online“ sind, hat man auch Zugriff auf die Inhalte sprich gesicherten Daten.

Offline Backups sind Datensicherungen, welche auf portablen Medien gespeichert sind. Den Klassiker bilden Sicherungsbänder, aber auch USB Festplatten. Die Kapazität ist hier naturgemäß beschränkt, die Zugriffszeiten erhöht.

Was ist nun „besser, moderner, schneller“?
Beides macht Sinn. Für die rasche Sicherung von Datenbeständen bieten sich Disk Storage Systeme an. Diese sind fix in die Infrastruktur eingebunden und bieten leistungstechnisch sehr schnellen Zugriff und niedrige Sicherungs- bzw. Wiederherstellungszeiten.
Da diese Systeme allerdings immer online sind besteht das Risiko, dass bei Problemen auf den Produktivsystemen eventuell auch die Backupsysteme betroffen sind. Logische Fehler von IT Systemen, Viren/Würmer oder Angreifer (ob von intern oder extern) machen auch vor Backup Systemen nicht halt, solange diese online bzw. verfügbar/erreichbar sind. So kann es passieren, dass das teuer gekaufte, zusätzliche Storage auf welchem die Produktivdaten 1:1 gespiegelt werden bei einem Fehler des Hauptsystemes mit ausradiert wird (alles schon gehabt) – natürlich gibt es auch hier Mittel und Wege, diese Risiken etwas zu minimieren (zeitversetzte Replikate, alternative Zugangsdaten für Backup Storagesysteme etc.)

Offline Backups als „Zusatzversicherung“ zu online Backups machen auf jeden Fall Sinn. Wenn der gesamte Datenbestand des Unternehmens auch nur einmal pro Woche z.B. am Wochenende auf Band geschrieben wird, so ist der Inhalt auf Band – solange die Bänder sicher gelagert werden – auch dann noch verfügbar, wenn sämtliche IT Infrastruktur wegen XY quasi ausgelöscht wird.

Für Wiederanlaufszenarien bieten sich online Backups an, da eine schnellere Wiederherstellungszeit ganzer Server Systeme realisiert werden kann. Zur langfristigen Archivierung bzw. zusätzlichen Sicherung der wichtigen Firmendaten sind regelmäßige Sicherungen auf Band (oder entsprechende portable Datenträger) nach wie vor eindringlich zu empfehlen.

Share
 Posted by at 08:47

Das Desaster im Desaster

 Allgemein  No Responses »
Aug 232011
 

Gehen wir davon aus Ihre Firma besitzt einen Plan zur Behebung bzw. Wiederanlauf im Falle eines “Desasters”. Fachlich sprechen wir in diesem Bereich von “Business Disaster Recovery” bzw. “Business Continuity Management”.

Ein Desaster kann viele Gründe haben und verschiedene Ausmaße annehmen. Wichtig ist, zu wissen, wie die notwendigen IT Services nach einem “Katastrophenfall” wiederhergestellt werden können. Normalerweise geht man davon aus, dass nach einer Katastrophe oder dem eingetretenen Desaster, die Umgebung in welcher man das “Disaster Recovery” ausführt wieder weitgehend stabil ist und die Recovery Schritte entsprechend durchgeführt werden können.

Was aber passiert, wenn es “Nachbeben” gibt, welche den Recovery Prozess empfindlich stören oder wieder auf Null zurücksetzen? Kann der Wiederherstellungsprozess wieder angestartet werden oder könnte dieser durch unvorhergesehene Nachfolgeprobleme geschädigt werden (und somit das Recovery unmöglich machen?)

Wie so oft gilt, dass man nicht für alle möglichen Szenarien einen 100%igen Plan haben kann. Aber, man kann sich Gedanken darüber machen und verschiedene Szenarien rasch (im Kopf) skizzieren. Viele große Stolpersteine fallen einem alleine durch dieses einfache “sich Gedanken machen” schon auf.

Verlassen Sie sich als Verantwortlicher im Unternehmen nicht darauf, dass Ihre IT bzw. deren Betreuer Ihre Anforderungen (vor allem hinsichtlich Wiederherstellbarkeit im Schadensfall) genau kennen. Stellen Sie lieber zuviele Fragen, als die Ungewissheit im Raum stehen zu lassen. “Schlafende Hunde” weckt man viel eher durch das Ignorieren schwelender Konflikt- bzw. Problempotentiale als durch konkretes nachfragen.

Share
 Posted by at 10:20

Wer Ramsch kauft, wird Ramsch bekommen!

 Allgemein  No Responses »
Jul 272011
 

Viele, wenn nicht alle von uns sind auf der Suche nach dem günstigsten Angebot für unsere konkreten Bedürfnisse. Günstig bedeutet, ein gutes Preis/Leistungsverhältnis zu erhalten.

“Teuer = am Besten” gilt (leider?) schon lange nicht mehr. Umgekehrt gilt “Billig = Ramsch” in den allermeisten Fällen aber nach wie vor!

Unsere langjährige Erfahrung im Umgang mit Unternehmens-IT hat uns immer wieder bewiesen, dass vor allem der Kauf von vermeintlich günstiger Hardware zwar in der Investition billig scheint, die Nachfolgekosten den Einkaufswert aber in die Höhe treiben. Vom Ärger und anderen negativen Auswirkungen sprechen wir hier noch gar nicht. Was erwartet man beispielsweise von einem Produkt, welches im Vergleich zum Mitbewerb um 50% billiger ist?
Teuer ist nicht immer gut, aber wenn ein Hersteller gutes Geld für seine Produkte verlangt, so hat das oft einen Grund. Qualitative Bauteile, Entwicklungskosten, Know-How und guter Support wollen finanziert werden. Kann das ein anderer Hersteller bieten bzw. wiederrum seine Kosten abdecken indem er die Produkte zum niedrigen Preis rausschleudert? Diese Frage ist selbst rein logisch betrachtet mit nein zu beantworten.

Es gibt die sprichwörtlichen “Schnäppchen”, auch in der IT. Aber man muss sich mit der Materie auskennen, muss wissen welchen Bedarf man genau hat um so das für sich günstigste (nicht billigste) Angebot herauszufiltern.

Höherpreisig ist leider keine 100%ige Garantie: Auch teure Hardware kann vorzeitig den Geist aufgeben und so manch billige Ausstattung läuft vielleicht Jahre ohne Probleme. Diese Fälle würden wir aber in die Kategorie “Glück und Zufall” (bzw. Pech?) geben. Die Wahrscheinlichkeit spricht eine andere Sprache:
Haben Sie schon mal von MTTF (Mean Time to Failure) gehört?

Grundsätzlich gilt: wer Ramsch in Form von billiger Hardware kauft, wird Ramsch erhalten und sich dementsprechend selbst Ärger bereiten und schlimmer noch, im eigenen Unternehmen Ausfallszeiten generieren; und das mit Anlauf! Die “Schnäppchen” gibt es, auch in der IT. Diese zu finden ist für Laien aber schwierig.

Share
 Posted by at 07:35

Anonymous, LulzSec und GIS

 Allgemein  No Responses »
Jul 222011
 

Sie haben es vielleicht schon gehört. In den letzten Tagen wurde neben Webseiten der SPÖ bzw. FPÖ auch die GIS gehackt. Zumindest das Webportal.

Medienwirksam machen Meldungen wie diese derzeit die Runde. Anscheinend ist das Phänomen “gehackte Webseiten” nun auch in Österreich angekommen. Neu sind diese Hacks natürlich nicht, diese hat es schon immer gegeben. Was jetzt aber anders ist, ist die erhöhte Aufmerksamkeit der Medien.

In diversen Foren bzw. Beiträgen von Usern liest man davon, wie diese sich über die mangelnden Fähigkeiten der hiesigen IT Verantwortlichen amüsieren. So einfach ist es dann aber doch wieder nicht. Unwissenheit ist das eine, aber in vielen Fällen ist das Bewusstsein bei den direkten Betreuern zwar vorhanden, man stößt aber auf taube Ohren oder es gibt für präventive Sicherheitsmaßnahmen kein oder zuwenig Budget. Es bewegt sich erst etwas, wenn es dann wirklich “kracht”. Bis dorthin hatte man das Glück auf seiner Seite.

Die Frage ist, ob man auf den Faktor Glück bzw. Zufall setzen möchte, um seine digitalen Werte sicher zu halten. 100%ige Sicherheit gibt es nicht. Punkt. Aber man kann sich um das Thema mithilfe von Experten annehmen und einen kleinen Teil seiner Aufmerksamkeit der immer wichtiger werdenden Thematik “Sicherheit der eigenen IT” widmen.

Sind die medienwirksamen Hacks der in der Überschrift genannten Hackergruppierungen falsch? Ja! Und Nein. Warum nein: weil meistens immer erst dann etwas getan wird, wenn es brennt. Und diese Hacks legen ein kleines Strohfeuer welches selbst von den Medien beachtet wird.

Share
 Posted by at 13:25

Set and forget?

 Allgemein  No Responses »
Jun 202011
 

IT Systeme zu installieren bzw. in Betrieb zu nehmen erfordert je nach Größenordnung einiges an Planung und Zeit. Leider werden nach der anfänglichen Erleichterung dass nun alles endlich so läuft wie es soll viele dieser IT Systeme ihrem Schicksal überlassen.

Wann haben Sie das letzte mal das Regelwerk Ihrer Firewall überprüft (bzw. überprüfen lassen)? Sind die damaligen Einstellungen noch up-to-date, hat sich technologisch etwas verändert oder änderte sich vielleicht die Anforderung Ihres Unternehmens? Übertragen Sie dieses Beispiel auf Virenscanner, Applikationen, Alarmanlagen udgl. Diese Überlegung lässt sich in leicht abgeändeter Form auf so gut wie alle Systeme umlegen.

Hard- und Software bzw. IT Systeme zu installieren und dann so lange ohne weitere Kontrolle laufen zu lassen bis ein Problem auftaucht ist, gelinde gesagt, “gewagt”. Der Aufwand um sein IT Umfeld regelmäßig (wenigstens “hin und wieder”) zu aktualisieren ist sehr überschaubar -> “Passt das was ich habe und wie es konfiguriert ist noch für mich bzw. die Firma?”

Ob Sie diese Vorgehensweise nun “regelmäßig drüberschauen”, “System Monitoring” oder “IT Review” nennen – zu wissen wie es um den Zustand Ihrer IT bestellt ist bringt Ihnen mehr Zeit für Ihr eigentliches Business.

Share
 Posted by at 19:50

IT Spielregeln

 Allgemein  No Responses »
Jun 042011
 

Ihre Mitarbeiter nutzen täglich die Unternehmens – IT. Doch wissen diese auch über den korrekten und erlaubten Umgang Bescheid? Wie sehen die Vorgaben des Unternehmens in Sachen IT aus, was ist erlaubt, was darf damit nicht getan werden?

Spielregeln oder besser gesagt Richtlinien für den korrekten Umgang mit der Firmen – IT sind ein einfaches und effektives Mittel, um den Mitarbeitern zu zeigen wie die Nutzungsbestimmungen aussehen.

Beherzigen Sie dabei unter anderem folgende Regeln:

  • Simple is beautiful: mehrseitige Abfassungen in komplizierter Sprache liest und versteht kein Mensch. Halten Sie sich kurz und einfach. Sagt einem das was in den Regeln steht auch der gesunde Hausverstand? Perfekt, dann haben Sie die richtige Formulierung gefunden.
  • Spielregeln sind eine nüchterne Darlegung von Do’s und Dont’s. Vorab zu kriminalisieren oder zu verdächtigen hilft Ihnen nicht weiter, ganz im Gegenteil!
  • Holen Sie Ihre Mitarbeiter mit an Bord. Kommunizieren Sie, warum es für das Unternehmen wichtig und notwendig ist, diese Richtlinien zu befolgen.
  • Das “IT – FortKnox” resultiert meist in überhöhten Kosten, sinnlosem Mehraufwand und verärgerten Benutzern. Finden Sie das richtige Maß an Vorgaben, auf die Bedürfnisse Ihres Unternehmens abgestimmt. Denn: je strikter die Sperren, desto ausgefuchster werden die User.
  • Richtlinien Vorlagen bzw. Templates können eine Richtung weisen und Tipps geben, diese sind aber unbedingt im Kontext der eigenen Situation zu überarbeiten!
  • Sicherheitsvorfälle können immer passieren. Definieren Sie einen entsprechenden Meldeweg und motivieren Sie Ihre Mitarbeiter, erkannte Vorfälle rasch zu melden – denn viele Augen sehen mehr.
  • Arbeiten Sie bei technischen Überwachungsmechanismen mit Ihren Personalvertretern (Betriebsrat etc.) zusammen. Nicht alles was technisch möglich ist, ist hinsichtlich Datenschutz auch legal. Klären Sie Ihre User darüber auf, inwieweit die tägliche Arbeit bzw. IT “überwacht” wird.
  • Definieren Sie Konsequenzen. Spielregeln ohne klaren Verweis bei Verstößen sind zahnlos.
  • Ihre IT und Anforderungen können sich ändern. Halten Sie die Richtlinien deshalb auf aktuellen Stand.
  • Machen Sie Ihre aktuell gültigen Richtlinien innerhalb des Unternehmens für die Mitarbeiter zugänglich.
  • Lassen Sie die Richtlinien von den Mitarbeitern welche betroffen sind wenn möglich unterschreiben.

Die genannten Punkte sind Wegweiser. Jedes Unternehmen ist im Detail einzigartig.
Aber: ein passendes “Grundset” an Richtlinien ist rasch erstellt.

Lernen Sie den Mehrwert kommunizierter IT-Richtlinien kennen -> wir helfen Ihnen gerne bei der Ausarbeitung passender Spielregeln.

Share
 Posted by at 19:35

Grundschutz – was ist das?

 Allgemein  No Responses »
Apr 212011
 

Schon einmal von IT Grundschutz gehört? Was heißt dieses “Grundschutz” eigentlich bzw. was ist damit gemeint?

In der Informationstechnologie gibt es unzählige Bedrohungsszenarien welche Unternehmen (und natürlich auch Private), je nach Nutzung der IT, ausgesetzt sind. Auf einzelne Bedrohungen reagiert man im Grunde damit, entsprechende Gegenmaßnahmen zu setzen. Allerdings macht es ein schier unüberschaubarer Wald an Risiken schwierig, sich komplett zu schützen. Wenn man vor diesem Berg an Aufgaben steht, kehrt bald Frustration ein, so unmöglich erscheint das Ziel. Und mit der Frustration entsteht die Gefahr dass gar nichts mehr passiert – Schublade zu.

Das Gute an der IT: es gibt bekannte, relativ einfache Regeln welchen es zu folgen gilt. Diese sind, egal welche Systeme eingesetzt werden, meist sehr ähnlich da sie generisch – also allgemein gültig – sind. Mit einem Basis-Set an “Best Practices” schaffen Sie in Ihrer IT schon einen breiten Grundschutzlevel der viele Risiken ausschließt oder wenigstens abmildert. Kennen Sie die 20:80 Regel? Sie besagt, dass man mit 20% des Einsatzes (Grundschutzmaßnahmen) 80% des Ergebnisses (sicherer Geschäftsbetrieb) erlangt.

Was sind nun die Inhalte des IT Grundschutzes? Call/Mail/Contact us! ;-)

Share
 Posted by at 19:35

Risiken der IT richtig einschätzen. Aber wie?

 Allgemein  No Responses »
Apr 072011
 

“Kleine und mittlere Unternehmen (KMU) bilden das Rückgrat der Unternehmenslandschaft und haben damit wesentlichen Einfluss auf die Wirtschaftsstruktur.” Das sagt uns die Wirtschaftskammer Österreich.

Welche “Werkzeuge” verwenden KMUs im Geschäftsalltag im Vergleich zu Großbetrieben? Im Grunde die gleichen, vor allem wenn es um IT geht. Natürlich bewegen wir uns in Sachen IT in anderen Größenordnungen, aber die Risiken welche durch den Einsatz von IT entstehen, sind weitgehend gleich.

Großbetriebe kümmern sich um diese IT Risiken, welche das Potential haben ganze Geschäftsabläufe empfindlich zu stören, ganz bewusst. Für “die Großen” gibt es auch die entsprechenden Methoden und Tools am Markt. Doch was machen KMU Betriebe? Sie sind ähnlichen Risiken ausgesetzt, besagte Tools und Methoden sind dort aber nicht anwendbar (da zu teuer, zu umfangreich, zu kompliziert)

Wie geht ein KMU Betrieb nun mit IT Risiken um? Kopf in den Sand?
Nein, denn: Die Data Management GmbH hat die Methoden aus dem “Enterprise” Umfeld für den KMU Sektor adaptiert. Somit sind IT Risiko Analysen und IT Risiko Management auch für die wirtschaftlich wichtigen KMUs leist- sowie durchführbar.

Als IT Security Dienstleister betrachten wir die IT und das Informationsmanagement von KMUs als Ganzes, aus Sicht der Geschäftsleitung und des Unternehmens. Wir decken versteckte Risiken, welche durch den Einsatz von IT entstehen, auf und bieten entsprechende Maßnahmen zur Risikominimierung an. Damit Ihre IT auch morgen noch gut funktioniert und Sie diese Gewissheit durch eine unabhängige, dritte Stelle bestätigt haben!

Weitere Informationen dazu (Links zu PDF Dateien):

5 Fragen zum Thema IT Sicherheit im Unternehmen

Service: IT Risiko Analyse für KMU

Share
 Posted by at 08:14
 Older Entries  Newer Entries
© 2011 data security management Blog Suffusion theme by Sayontan Sinha