KontaktRufen Sie uns an +49 89 993412-0

Firmenbrief 02/2019

Liebe Leserinnen und Leser,

Haben Sie schonmal von Penetration-Testing gehört? Falls nicht, sollten Sie sich unbedingt unseren ersten Artikel der zweiten Ausgabe 2019 unseres Firmenbriefs zu Gemüte führen. Und wussten Sie, welche Überlegung Politiker gerade erwägen, um weitere Verstöße gegen die Datenschutz-Grundbestimmung zu vermeiden? Sie werden nur noch mit Ihrem Vornamen angesprochen: Ihr Nachname verschwindet von sämtlichen Ausweisen und Ihrem Klingelschild... Lesen Sie hierzu mehr in unserem Witz zum Schluss. :)

Wir freuen uns, Ihnen wieder viele Neuigkeiten aus der Mittelstands-IT-Welt überbringen zu dürfen. Wie Sie bereits in unserer ersten Ausgabe gelesen haben, haben wir unseren Firmenbrief einem grundlegenden Relaunch unterzogen. Der Firmenbrief soll besser, hilfreicher und interessanter werden. Dies geht jedoch nur mit Ihrer Hilfe. Geben Sie uns Ihr Feedback! Nur so können wir Ihnen den besten Service und neue interessante Inhalte bieten. Natürlich sollten wir Ihnen dafür auch keine falsche Adresse vorlegen. Dies ist nämlich im Übermut in unserem letzten Firmenbrief passiert, es sollte der 1. Firmenbrief der neuen Ausgabe sein und natürlich kein schlechter Scherz zum 1. April. Daher nochmal unsere Berichtigung. Unsere Adresse lautet nicht redaktion@firmenbrief.de, sondern firmenbrief@lisag.de. Bitte schreiben Sie uns jederzeit gerne an - wir sind immer offen gegenüber jeglicher Kritik und freuen uns über Input unserer Leserinnen und Leser.

In dieser Ausgabe finden Sie nochmal zusammengefasst:

  • Penetration-Test - Grundlagen und Vorbereitung
  • Miet-Hardware als Alternative zu Leasing und Kauf
  • Monitoring-Praxisbeispiel
  • Voice over IP mit der Pascom Telefonanlage
  • Wussten Sie schon? – Unsere Wissens-Ecke
  • Der Witz zum Schluss

Viel Spaß beim Lesen!

Die Firmenbrief-Redaktion

Penetration-Test - Grundlagen und Vorbereitung

Ein Hacker ist nicht immer der Böse. Beim sogenannten Penetration-Testing beziehungsweise Pentest, versuchen Sicherheitsexperten sich Zugriff auf das Intranet zu verschaffen. Daten und Infrastruktur können damit genauestens auf Sicherheitslücken überprüft werden.

Firmen investieren eine Menge Geld um durch Angreifer verschlüsselte und entwendete Daten wiederherzustellen. Durch mangelhafte Sicherheitsvorkehrungen wie beispielsweise unzureichende Firewall und falsche Benutzerberichtigungen, sind Firmen aller Größe davon betroffen. Selbst Betriebe mit einer vermeintlich starken IT-Security, können sich nicht einfach blind auf deren Zuverlässigkeit verlassen. Genau hier hilft ein Pentest.

Penetration-Testing
Mit Hilfe eines simulierten Netzwerkangriffs können Unternehmen die internen und externen Schwachstellen ihrer Infrastruktur feststellen und  daraufhin beseitigen. Hierbei gibt es eine Reihe von Tools und Ansätzen aus denen man wählen kann. Jedoch bedarf ein Pentest einer genauen Anforderungsanalyse und Planung. Vorab sollte sich jedes Unternehmen deshalb mit einem Sicherheitsexperten folgende Frage stellen:

Welche Angriffs-Perspektive wähle ich für meinen Pentest?
Der Black-Box-Ansatz dient dazu, einen realistischen Angriff eines Hackers zu simulieren. Hierbei wird dem Pentrationstester zum Beispiel nur die URL der Webanwendung oder die IP-Adresse des anzugreifenden Systems offengelegt. Alle anderen technischen Details müssen aus frei zugänglichen Informationsquellen stammen.
Um einen Angriff eines (EX-)Mitarbeiters zu simulieren, wird auf den White-Box-Ansatz gesetzt. Der Sicherheitsexperte erhält dabei alle Informationen des zu testenden Netzwerks.
Beim Grey-Box-Ansatz arbeitet der Pentester mit einem internen Mitarbeiter zusammen. Die Informationen mit denen er sich Zugriff zum System verschaffen kann, bekommt er von dem jeweiligen Angestellten.

Experten sind gefragt
Zusammen mit dem Sicherheitsexperten sollte als erstes ein genauer Projektrahmen festgelegt werden. Dieser sollte Punkte wie unter anderem Grenzen, Ziele und Verfahrensart enthalten. Es versteht sich von selbst, ein erfahrenes und professionelles Unternehmen zu engagieren. Trennen Sie die Experten von den Amateuren. Ein strikter  Plan und eine feste Methodik sind beim Penetration-Testing essenziell. Schließlich geht es um die Sicherheit der Unternehmensdaten. Alle Ergebnisse sollten klar und deutlich dokumentiert werden. Anschließende Lösungsvorschläge sind auf jeden Fall zu berücksichtigen. Bei einem Review nach Projektabschluss, sollten alle offenen Fragen besprochen werden.

In der nächsten Ausgabe
Im nächsten Teil geht es um die verschiedenen Arten von Penetration-Tests. Auch für mittelständische Unternehmen ist dieses Thema essenziell. Durch interne und externe Consultants sind wir in der Lage, Sie umfassend zu diesem zu Thema beraten. Sollten wir Ihr Interesse geweckt haben, können Sie sich gerne jederzeit bei uns melden.

sales@linux-ag.com

Miet-Hardware als Alternative zu Leasing und Kauf

Alle paar Jahre sind mittelständische Unternehmen damit konfrontiert, ihre IT-Infrastruktur auf aktuellen Stand zu bringen. Neben der Software-Architektur, das heißt dem Betriebssystem, der Virtualisierungsplattform und wichtigen Anwendungen, betrifft dies auch die Hardwarekomponenten, insbesondere die operativen Server. Meist stellt sich in diesem Zusammenhang die Frage nach einem Ersatz der Hardware:

  • Reicht die I/O-Performance noch aus für die Datenbankzugriffe des mächtigen neuen ERP-Systems oder bedarf es einer Umstellung auf ein All-Flash-System?
  • Bieten die eingebauten CPUs ausreichend CPU-Kerne, um die Vielzahl der virtuellen Maschinen flexibel genug mit Rechenleistung zu versorgen?
  • Soll man in die alten Server noch Geld in RAM-Erweiterungen investieren, um der Virtualisierung für flottere Performance mehr Spielraum zu geben?
  • Wie kann man die zu erwartenden Storage-Engpässe lösen, da der Speicherbedarf wächst und fast alle Festplatten-Slots der Server belegt sind? Eine Erweiterung ist damit nur durch Ersatz der Festplatten durch solche mit größerer Kapazität möglich.

Zudem läuft der Hardware-Wartungsvertrag für die Server aus, eine Verlängerung um weitere 1-2 Jahre kostet unverhältnismäßig viel.

Derartige Überlegungen dürften keinem IT-Verantwortlichen fremd sein, der eine gewisse Zeit die IT-Geschicke eines Unternehmens geleitet hat. Es ist beispielsweise individuell zu überlegen, welches Wachstum und wie viele Änderungen in den nächsten Jahren zu erwarten sind. Ist die künftige Dynamik gering und bieten die vorhandenen Geräte entsprechende Erweiterungs­möglichkeiten, so kann man sich mit betriebs­wirtschaft­lich sinnvollen Aufrüstungen noch über die kommenden ein bis zwei Jahre retten.

Alle anderen Unternehmen (und das ist die Mehrheit) stehen vor einer größeren Investition, die möglicherweise zum falschen Zeitpunkt kommt oder sie entscheiden sich für die Variante Leasing. Beide Varianten sind zwar aus Sicht des Cashflows unterschiedlich, nicht jedoch in Bezug auf die Flexibilität: Kauft man neue Hardware, so steht man nach einigen Jahren vor dem gleichen Problem wie oben beschrieben. Entscheidet man sich für das Leasing-Modell, ist man über die Leasingzeit auf die ausgewählte Hardware festgelegt, obwohl sie vielleicht nicht mehr zu den Anforderungen passt.

Die LIS AG hat deshalb in den letzten Jahren für ihre Kunden ein Angebot für Miet-Server mit Technologie-Upgrade entwickelt, das die Vorteile von Leasing (keine hohen Anschaffungskosten) mit hoher Flexibilität und Sicherheit verbindet.

Die angebotenen Server sind leistungsfähige Geräte aus einem Refurbished-Programm. Dabei werden alle Serverkomponenten intensiv geprüft, gegebenenfalls ausgetauscht und mit aktueller Firmware versehen. Die monatlichen Mietkosten für diese Server sind daher günstiger als bei Leasinggeräten gleicher Leistung. Zudem ist die LIS AG als Vermieterin der Hardware für deren einwandfreie Funktion verantwortlich. Für den Kunden entsteht weder technisch noch betriebswirtschaftlich ein Risiko.

Ein zusätzlicher Vorteil und für manche Kunden ausschlaggebend ist die Option „Technologie-Upgrade“ für maximale Flexibilität. Stellt sich während der dreijährigen Laufzeit des Mietvertrags heraus, dass Leistung, Storagevolumen oder andere Attribute nicht mehr den Anforderungen entsprechen, können die Server einfach und ohne finanzielle Nachteile ausgetauscht werden. Der Kunde zahlt ab dem Tausch einfach den höheren Mietpreis für die leistungsfähigere Hardware. Der Austausch der Server innerhalb eines CoreBiz-Clusters ist ein Kinderspiel.

Ein Hoch auf die Nachhaltigkeit: Die zurückgenommenen Server werden wieder aktualisiert und gehen zu anderen Kunden, für die die gebotene Leistung ausreicht.

Anfrage stellen, und kostenlos mehr erfahren!

Monitoring-Praxisbeispiel

Auf Knopfdruck das IT-Infrastrukturmonitoring migrieren und modernisieren: Ganz  so einfach ist es zwar nicht, mit guter Planung gelingt eine Umstellung von Nagios zu Check_MK aber binnen weniger Tage. Das zeigte sich zum Beispiel im vergangenen Jahr bei einem bayerischen Bautechnikunternehmen mit über 1.000 Mitarbeitern. Das Ziel des Projekts war es, das Monitoring-Tool „Nagios“ durch das moderne und leistungsfähige Tool „Check_MK“ zu ersetzen. Die LIS AG unterstützte hierbei in der Planung, Durchführung und Inbetriebnahme von Check_MK. Der laufende Betrieb sollte später von internen Administratoren des Kunden übernommen werden.

Das Projekt wurde in vier Phasen aufgeteilt.

Erste Phase – Anforderungsanalyse
Ein Workshop beim Kunden vor Ort leitete das Projekt ein. In diesem wurden die Funktionalitäten der aktuell laufenden Nagios-Installation erfasst, sowie die Erwartungen an das künftige System besprochen. Ein beim Kunden zu diesem Zweck vorab installiertes Check_MK-System unterstützte den Prozess zur Veranschaulichung bestimmter Features und Vorgehensweisen. Die Ergebnisse der ersten Phase wurden zusammengefasst und dienten als Grundlage für die zweite Phase.

Zweite Phase – Installation sowie Migration zu Check_MK
In dieser Phase wurde die aktuellste Version von Check_MK (damals 1.5.0) auf einem CoreBiz NUK, virtualisiert auf VMware, installiert und konfiguriert. Anschließend hat ein LIS-Consultant die Agenten auf den zu überwachenden Systemen (Windows, Linux, MacOS) ausgerollt. Durch die bereits über 1.500 vorhandenen Check_MK Plugins, konnten die installierten Agenten bereits einen Großteil der Hardware-Komponenten und Dienste überwachen. Alle anderen Netzwerkkomponenten wie Switches, Hubs, Router, Drucker und weitere wurden via SNMP an das Monitoring-System angebunden.

Innerhalb dieser Phase arbeitete die LIS AG weiterhin eng mit den Systembetreuern des Kunden zusammen, sodass diese bis zum Ende des Projekts ein gutes Verständnis entwickeln konnten, um die Betreuung im Nachhinein im operativen Betrieb zu übernehmen.

Dritte Phase – Polishing und Inbetriebnahme
Anschließend passte der LIS-Consultant, gemeinsam mit den Systembeteuern, die Schwellwerte einiger Dienste an und löste im Testbetrieb auftretende Probleme. Ein typischer Fall ist das Anpassen von Schwellwerten bei der Auslastung von Festplatten oder Filesystemen. Per Default warnt Check_MK bereits bei 80% Füllstand. Bei kleineren Filesystemen von beispielsweise 100 GB kann das sinnvoll sein, bei größeren Systemen im TerraByte-Bereich haben sich andere Schwellwerte bewährt. So stehen dem Admin bei den 100 GB lediglich 20 GB zu Verfügung, hingegen im anderen Fall noch 2 TB. Somit ist in der Regel genügend Spielraum vorhanden. Die auf den Systemen eingerichteten Parameter sind aufgrund unterschiedlicher Rahmenbedingungen stets individuell zu betrachten.

Vierte Phase – Operativer Betrieb
Seit Check_MK in Betrieb genommen wurde, betreut die LIS AG im Rahmen eines 2nd-Level Supportvertrages den Kunden bei Problemen oder Anpassungen von Check_MK.

Fazit:
Im Vergleich zu Nagios kann Check_MK deutlich mehr Informationen auslesen und überwachen. Daher ist die Migration oft tatsächlich nur eine Installation von Check_MK, da die Agenten bereits alle zuvor mit Nagios überwachten Komponenten abdecken. Das Projekt hat mit der Prüfung von Nagios, der Installation und Anpassung von Check_MK sowie der Schulung der Mitarbeiter des Bautechnikunternehmens insgesamt 35 Stunden beansprucht. Der anfallende Aufwand kann vorab nur schwer abgeschätzt werden. Er hängt von vielen Randbedingungen ab, unter anderem, wie intensiv ein Unternehmen seine Umgebung überwachen möchte und ob Mitarbeiter zu schulen sind. Von der Grundinstallation bis zur Inbetriebnahme einer Check_MK Instanz werden in der Regel ein bis zwei Arbeitstage benötigt.

Falls Sie an Check_MK interessiert sind, können Sie uns gerne eine Anfrage an sales@linux-ag.com senden. Auch bei Interesse an einer Livedemo können Sie gerne auf uns zukommen.

Voice over IP mit der Pascom Telefonanlage

Voice over IP („VoIP“) ist seit Jahren weltweit ein aktuelles Thema, in Deutschland gibt es insbesondere durch die Abkündigung von ISDN durch die Deutsche Telekom einen starken Druck zur Umstellung. Viele Firmenkunden mit ISDN-Anschlüssen haben von der Telekom bereits die Vertragskündigung erhalten und sind nun gezwungen, sich nach einer geeigneten Lösung umzusehen.

Am Markt gibt es immer noch VoIP-Telefonanlagen im klassischen Stil auf eigener, hersteller­spe­zi­fischer Hardware. Für die meisten Käufer ist die Telefonanlage jedoch einfach eine Server­anwendung, die typischerweise als virtuelle Maschine im Rechenzentrum läuft und keine Sonderrolle mehr spielt. Die LIS AG hat als Spezialist für den Mittelstand eine Vielzahl von Anlagen für den Kundeneinsatz getestet und sich dann für die Pascom-Telefonanlage (früher: „Mobydick“) entschieden. Als vorteilhaft, aber nicht ausschlaggebend wurde die Nähe zum Hersteller in Deutschland angesehen.

Die Anlage bietet alle Funktionen einer klassischen Telefonanlage, allerdings ergeben sich durch die Software-Basis spürbar komfortablere Konfigurations- und Bedienmöglichkeiten. Eine Auflistung der umfänglichen Leistungsmerkmale würde hier zu weit führen, gerne zeigen wir die Möglichkeiten in einer Online-Demo. Im Gegensatz zu früher ist ein Kauf der Telefonanlage nicht mehr erforderlich, die Abrechnung erfolgt ausschließlich nach Zahl der „concurrent User“, das heißt nach der Zahl gleichzeitiger Benutzer. Wer bisher einen 4x S0-ISDN-Anschluss (8 ISDN-Kanäle) hatte, ist aus Sicht von Pascom wahrscheinlich mit 8 Concurrent Benutzern gut bedient. Der Preis für diese Größenklasse liegt bei günstigen 560,- €/Jahr.

Auch die Integration mit anderen Systemen und Anwendungen lässt sich einfacher umsetzen als in der Vergangenheit. Das Musterbeispiel ist die Integration mit ERP- oder CRM-Systemen, so dass man per Mausklick direkt aus diesen Systemen wählen kann (CTI Computer Telephony Integration). Mobil- oder DECT-Telefone lassen sich gut in die Anlage integrieren.

Im Normalfall läuft die Anlage inhouse wie bisher, Pascom kann aber auch in einem Cloud-Modell genutzt werden. In diesem Falle verbinden sich die User über eine verschlüsselte Strecke mit der Telefonanlage in der Cloud und werden dort weiter vermittelt.

Auch aus Benutzersicht ist die Flexibilität groß. Im Gegensatz zu proprietären Anlagen können mit der Pascom-Anlage eine Vielzahl unterschiedlicher Endgeräte eingesetzt werden. Pascom unterstützt beispielsweise Apparate der Hersteller Snom, Yealink und Grandstream. Unterstützt bedeutet in diesem Fall, dass sie von der Telefonanlage aus provisioniert werden können (Tastenbelegungen, Verhalten, Telefonbuch), was die Verwaltung vereinfacht. Gut nutzbare Geräte gibt es zwischen 50€ und 200€.

Viele Unternehmen verzichten allerdings heute auf Telefonapparate und arbeiten mit Headsets und einem sogenannten „Softclient“, der deutlich mehr Möglichkeiten bietet als ein Telefonapparat. Neben einer komfortableren Suche im Telefonbuch bietet ein Journal eine Übersicht über durch­ge­führte oder verpasste Anrufe, es gibt eine Chatfunktion, mit der parallel zum Telefonat schriftlich kommuniziert werden kann. Der Softclient läuft auf allen gängigen Betriebssystemen wie Windows, Linux oder iOS.

Bei der Umstellung von ISDN auf VoIP ist nicht nur die Anlage zu betrachten, sondern auch der Anschluss ans Netz. An die Stelle einer Telefongesellschaft und ISDN treten ein SIP-Provider und IP. Bei der Umstellung gibt es mindestens einen kritischen Moment, nämlich die nahtlose Übernahme der ISDN Nummer zum SIP-Provider und die synchrone Umschaltung auf die VoIP-Anlage. Daneben ist bei der Umstellung auch die Abbildung der bisherigen Konfiguration wichtig, wie Weiterschaltung, Rufnummerngruppen und andere erprobte Einstellungen.

Ein wichtiger Aspekt, der oft nicht ausreichend berücksichtigt wird, ist die Sicherstellung von Quality of Service („QoS“) auf der Leitung. Selbst bei sehr breiter Anbindung passiert es, dass sich ein Download – zumindest für einige Sekunden - die gesamte Bandbreite nimmt und damit den Spachverkehr empfindlich stört.
Für den Umstellungsprozess hat die LIS AG bewährte Methoden entwickelt, sodass der Kunde auch während der Umstellung durchgehend telefonisch erreichbar ist.

Wussten Sie schon

Jeder Dritte hat 2018 persönliche Erfahrungen mit Cyber-Kriminalität gemacht.

Ob gehackte Online-Shopping- oder Social-Media-Accounts, Phishing-Mails oder Fakeshops, die Liste der Cybergefahren wird heutzutage immer länger.

Eines der größten Probleme sind zu unsichere Passwörter. Logischerweise ist es nicht die beste Idee, wenn Nutzer, dasselbe Passwort für alle Accounts verwenden. Auch Vor-/Nachname oder der Name des Haustiers sind eine schlechte Idee. Es gibt Listen im Internet mit den meist eingesetzten Passwörtern, die für Jedermann zugänglich sind. In Verbindung mit einer Software, die diese bei Online-Accounts automatisch ausprobiert, ist die Erfolgsquote für Hacker hoch.

Trotz der wachsenden Gefahr, gibt es immer mehr Möglichkeiten sich vor Angriffen zu schützen

Ihre Passwörter sollten sicher, individuell und an einem abgesicherten Ort gelagert werden. Neben dem alt bewerten Notizbuch im Wandsafe, können Sie auch einen Passwort-Manager benutzen. Mit steigender Anzahl von Accounts, wächst auch die Menge an Passwörtern.

Mit der Open-Source-Lösung „KeePass“, können Sie sichere Passwörter generieren und diese auch verwalten. Alle Passwörter werden in einer lokalen Datenbank gespeichert und mit einem Master-Key gesichert. Somit muss man sich nur diesen Key merken, um an alle seine Passwörter zu gelangen.

Der Witz zum Schluss

Wie bereits oben erwähnt, zieht die Datenschutz-Grundverordnung aus dem Jahr 2018 einen weiteren Rattenschwanz nach sich. Schon sehr bald wird von unseren Ausweisen unser Nachname verschwinden. Wir heißen dann beispielsweise nicht mehr Frau oder Herr Meier, sondern nur noch Frau Anita oder Herr Rolf. Nur so können weitere Verstöße gegen den Datenschutz vermieden werden. Deshalb ist diese Neuerung nun in aller Munde. Lesen Sie selbst...

Bis zum nächsten Mal!
Ihr Redaktionsteam

Firmenbrief