#19 DIN SPEC 27076 Part 5

Artwork ist KI generiert

Patch- und Änderungsmanagement & Schutz vor Schadprogrammen

Wir sprechen über Patch- und Änderungsmanagement, die Bedeutung von regelmäßigen Updates und den Einsatz vertrauenswürdiger Software. Themen sind auch Mobile Device Management, integrierte Sicherheitslösungen wie Sophos, EOL-Systeme, Makro-Risiken und die Sensibilisierung für Cyberbedrohungen.

07. Juni 2024 | 43:08 min

Transkript

Begrüßung

[René]

Guten Morgen in der users lounge. Guten Morgen Michael.

[Michael]

Schönen guten Morgen René. Hi, grüß dich.

[René]

Hi, na, wie sieht es aus?

[Michael]

Perfekt, Wetter stimmt, Stimmung stimmt, wir sind im Podcast, was soll es Besseres geben?

[René]

Hört man gern, so soll es sein.

[Michael]

Genau.

[René]

Ja, wie immer, heute wieder ein paar interessante Themen. Wir sind weiterhin in der DIN SPEC 27076 und starten jetzt eigentlich in das Thema rein, Patch und Änderungsmanagement, nachdem wir das letzte Mal die Datensicherung besprochen haben und, ja, würde ich sagen, starten wir direkt rein.

Wichtigkeit von Updates und Sicherheitsmanagement

[Michael]

Lass starten.

[René]

Genau.

[Michael]

Heute wird es, glaube ich, technisch.

Heute ist, glaube ich, eher so dein Speaker-Part gefragt, wenn es um Patch und Änderungsmanagement geht.

[René]

Können wir ja ein bisschen wie ein Interview machen.

[Michael]

Können wir so ein bisschen wie ein Interview machen, sehr gerne.

Ja, interviewen wir rein, Patch und Änderungsmanagement. René, was stelle ich mir darunter vor? Was sind so die Main oder die Hauptdinge?

Worum dreht es sich denn in diesem Moment?

[René]

Also grundsätzlich zum Patch und Änderungsmanagement ist es ja so, dass wir beim Patchmanagement alleine, ja, also Patchmanagement heißt eigentlich updaten, also alles, was so an neuen Sicherheitsupdates kommt, ob es jetzt im Windows-Bereich ist, ob es jetzt im Bereich Software ist, also alles, was so eigentlich anwendungstechnisch irgendwie auf Systemen läuft, ob es eben dort Updates gibt. Und diese müssen natürlich auch installiert werden.

[Michael]

Ich hätte das jetzt auch so pauschal gesagt. Ich hätte erst mal gesagt, Patchmanagement, es sind wahrscheinlich einige, die sagen, Patchen, ja, was ist das? Wie muss ich das?

In erster Linie geht es doch darum, Updates zu fahren oder also einfach, um Systeme aktuell zu halten und dann eben sein Update- Management so zu haben, dass es funktioniert.

[René]

Das ist absolut der Kern, auf jeden Fall. Management dahinter ist natürlich dann noch mal einen Augenblick mehr, also noch ein bisschen was, was dazugehört. Eben beispielsweise, dass man vorher kontrolliert, sind die Updates überhaupt gerade, also sind die sicher?

Auch Microsoft kann Fehler machen, kommt oft genug vor. Da werden Updates rausgegeben, führen aber nachher zu kritischen Problemen. Kann passieren, dass es eher selten, dass es kritisch ist, aber es kann halt passieren.

Und entsprechend muss halt vorher mal einmal kontrolliert werden, sollen wir diese Updates jetzt installieren? Auch für sich selbst muss man so eine gewisse Routine entwickeln, dass man sagt, okay, wir installieren nicht am ersten Tag, wenn die Updates rauskommen, sondern wir warten eben unsere 5 Tage, 7 Tage, 14 Tage. Viel länger sollte es aber dann auch nicht sein, sodass man aber auf jeden Fall nicht immer sofort, also gerade auf Servern, auf dem Client mag das alles möglich sein, aber auf Servern sollte man da immer so ein bisschen vorsichtiger sein, weil wir ja eben diese Probleme ausschließen wollen.

Den Client kann ich noch austauschen, aber ein Server ist immer kritisch. So und entsprechend muss man da für sich schon mal eine Routine haben und in diesem Zeitfenster, was man da für sich selber, also ich sag mal, wenn das Zeitfenster irgendwie 14 Tage sein sollte, dann muss ich natürlich in diesen 14 Tagen mir auch die Zeit nehmen, zu kontrollieren, sind die Updates sicher, muss ich mir Gedanken machen, dass vielleicht was passiert oder eben nicht und dann werden die entsprechend installiert oder eben auch nicht. Das ist das Management dahinter.

[Michael]

Okay, ganz kurz. Du sprichst aber jetzt, also ich denke immer wieder an diese KMUs, wo das ja drauf gezielt wird, du sprichst aber jetzt eher von Funktionsupdates, oder? Weil ich glaube, wenn wir über Updates sprechen, müssen wir über Sicherheitsupdates und Funktionsupdates reden.

Also so clustere ich es klassisch und so kenne ich es. Und Sicherheitsupdates wartest du da auch, bis du die einspielst? Also ich wäre jetzt optimistisch an die Nummer drangegangen, hätte gesagt, Sicherheitsupdates rein, wenn irgendwelche Sicherheitslücken in Windows kommen und Microsoft irgendein Sicherheitsupdate einspielt, rein damit und wenn du so ein Funktionsupdate hast, ich glaube Microsoft liefert das so zweimal im Jahr, dass du so was hast, damit kannst du warten.

Unterschied zwischen Sicherheit- und Funktionsupdates

[Michael]

Aber Sicherheitsupdates, wie stehst du dazu?

[René]

Auch da würde ich nicht am Tag 1 zwingend installieren. Das hat einfach damit zu tun, dass es kann immer mal was passieren. Sagen wir mal, es gibt jetzt ein Sicherheitsupdate für die interne Windows Firewall und dieses Update führt dazu, dass meine Funktionalität in dem Bereich dann nachher nicht gegeben ist.

Warum auch immer, beißt sich mit meiner zusätzlichen Software oder ähnlichen, dann, also da sollte man trotzdem vorsichtig sein, da sollte die Zeitspanne aber ganz klar nicht 14 Tage betragen, da gebe ich dir natürlich recht, aber dennoch würde ich immer so einen kleinen Puffer drin lassen, damit ich eben halt noch die Möglichkeit habe, mal zu gucken, gerade auch in der Community, wie das dann aussieht, ob da jetzt Probleme mit den Updates bestehen.

Also wie ich gerade gesagt habe, da würde ich das Zeitfenster oder diesen Intervall, den ich für mich da festgelegt habe, den würde ich auf jeden Fall nicht so lange lassen wie bei Funktionsupdates, da gebe ich dir absolut recht. Aber so zwei, drei Tage, die würde ich vielleicht dann doch noch dazwischen lassen.

[Michael]

Okay, das würde, wenn du sagst, Zeit dazwischen lassen, das würde bedeuten, provokant, ein Client-PC aber schon Auto-Updates einschalten, oder? Sodass Windows proaktiv sich meldet und sagt, pass mal auf, da gibt es ein Update.

[René]

Ja, also da natürlich, auch da hast du absolut recht, da müssen wir auch einen Unterschied machen. Clients und Server, ich beziehe mich jetzt gerade bei diesen kritischen Sachen immer nur auf den Server. Bei Clients kann alles automatisiert laufen.

Also wie ich gerade gesagt habe, das ist halt so ein Bereich, den kann man im Zweifel schnell austauschen, der beherbergt nicht meine relevanten Daten oder die Daten, so wie die allemal.

[Michael]

Im Idealfall, ja.

[René]

Natürlich. Aber im Normalfall sollten sie auf dem Server liegen oder eben in meiner Cloud-Umgebung oder in welcher Lösung auch immer und entsprechend ist der Client nicht so kritisch zu sehen, da automatisch. Aber Server, da würde ich immer so einen gewissen Puffer drin lassen, dass man eben noch Möglichkeiten hat, auf gewisse Probleme reagieren zu können.

[Michael]

Würde bedeuten, Tipp 1, an den Client-PCs Windows Auto-Update ein. Zumindestens, ich glaube, das kannst du differenzieren. Ich muss aufpassen, ich bin Mac-User.

Du kannst, glaube ich, Windows sagen, benachrichtigen und benachrichtigen und installieren oder so was, gell?

[René]

Ja, den Unterschied gibt es auf jeden Fall. Und man sollte da, also da kann man auch installieren. Das ist aus meiner Sicht nicht das Problem.

Vielleicht da könnte man noch ein bisschen schauen, gibt es, ja, es gibt ja immer so Systeme, die so ein bisschen kritischer im Unternehmen sind als andere. Das muss man ja auch fairerweise noch dazu sagen. Da könnte man vielleicht noch darüber nachdenken, ob man da dieses Automatisierte rausnimmt und eben sich erstmal nur benachrichtigen lässt.

Dann weiß man, es kommt ein Update oder es steht eins zur Verfügung und ich installiere es dann in dem Augenblick, wo ich dann auf dieses System verzichten könnte, zumindest für einen Augenblick, also für eine gewisse Zeitspanne. Aber alle anderen auf jeden Fall automatisch installieren, weil da, es macht halt keinen Sinn, die manuell noch irgendwie zu pflegen, weil das ist halt ein Zeitaufwand. Den kann man sich sparen.

Und gerade der Endpoint ist ja auch von Sicherheit eher, also noch schneller betroffen, weil die User ja viel im Internet und so unterwegs sind. Also da, ja.

[Michael]

Ja, und da sehe ich halt auch, also ich nehme mir mal meinen typischen Außendienstler, den hatten wir, glaube ich, schon ein paar Mal in der users lounge so als Beispiel. Dem würde ich auf jeden Fall sagen, von der administrativen Seite her, Auto-Update ein und Vollgas, weil die drücken sechs, sieben, acht, neun Mal weg und dann hast halt eben doch die längere Spanne. Und da geht halt Sicherheit vor.

Dann muss halt mal ein Moment gewartet werden, bis ein Update kommt. Ich rede von Sicherheitsupdates. Ich rede jetzt nicht davon, dass Microsoft auf Windows 12 oder 3, also ich rede nicht über Funktionsupdates, aber so dieses Sicherheitsupdates, die rein damit, wenn sie verfügbar sind und wenn Microsoft ausrollt.

Und wenn du wirklich beim, ich habe ja auch schon gehabt, dass du beim Kunden den Rechner hochfährst, dann ist halt so, dann macht man sich einen Spaß, überbrückt die zehn Minuten, aber Updates gehören sauber eingespielt. Da ist das Risiko, finde ich, wesentlich höher, wenn ich es nicht mache und ich verschlampe es, als wenn ich jetzt mal das Risiko habe, dass es wirklich beim Kunden mal zehn Minuten dauert, so ein Update einzufahren. Das sind ja meistens auch kleine, oder?

Also von der Zeit her.

Risiken und Herausforderungen bei Updates

[René]

Updates meinst du jetzt? Ja, Sicherheitsupdates. Also das ist ja nie die Welt.

Nein, die auf jeden Fall nicht. Funktionsupdates, ja, die könnten mal ein Stündchen dauern, je nachdem, wie groß sie sind. Aber was die Sicherheitsupdates angeht, da sprechen wir wirklich von, dass es fünf Minuten sein.

Also das ist wirklich nichts Wildes. Die kommen ja auch recht häufig, muss man ja auch sagen. Aber die sind wirklich immer nur so häppchenweise und sehr klein.

[Michael]

Und dann ist natürlich, wir reden gerade über Microsoft, aber es betrifft ja eigentlich viel mehr Programme. Also es ist ja im Prinzip alles das, was du auf dem Rechner drauf hast. Bei mir hat heute der PDF-Reader wieder gemeldet, er möchte gerne Updates fahren.

Es geht ja wirklich um alles, was so softwaremäßig bei dir auf dem Rechner drauf ist und irgendeinen Bezug hat zu IT-Systemen und Software halt.

[René]

Ja, genau. Also es ist ja auch einfach so, man darf nicht unterschätzen. Nehmen wir mal jetzt einen PDF-Reader.

Wenn der meine Sicherheitslücke aufmacht und da hat sich jetzt irgendwas getan, irgendwie wird da gerade bekannt, okay, es gibt eine Sicherheitslücke in welcher Software auch immer. Der Reader ist jetzt nur ein Beispiel. Und dann sollte ich diese Sicherheitslücke natürlich möglichst schnell schließen.

Weil über, nehmen wir mal einen PDF, das kommt dann per Mail rein, ich öffne das bei mir, dahinter sitzt irgendein Chartcode, der greift halt genau in diese Sicherheitslücke rein. Dann betrifft das ja eben nicht nur dieses PDF oder nur den Reader, sondern von da aus geht es ins System. Von daher, also das darf man nicht unterschätzen.

Nicht nur, weil das nicht Betriebssystem ist, sondern irgendeine andere Software, ist es weniger relevant. Also das ist genauso wichtig wie die Windows-Updates selbst oder macOS-Updates, bevor wir uns komplett auf eine Schiene einschießen.

[Michael]

Ja, ansonsten zum Thema Updates, zum Thema Sicherheitslücken hätte ich noch, wer es sich geben möchte, das BSI hat eine Art Newsletter beziehungsweise so, ich habe ein RSS-Feed, wo regelmäßig die Sicherheitswarnungen reinkommen. Und da plätschert schon einiges rein über den Tag oder über die Woche, wenn ich mir das mal so zwei, drei Tage laufen lasse, dann sehe ich schon immer, dass das nämlich viel reinplätschert. Wer will, kann es halt sich angucken.

Also erst richtig die, die mit viel IT zu tun haben und IT-lastig unterwegs sind. Aber allen anderen wäre so mein Tipp, zumindestens bei kleineren Unternehmen, die Clients und die Software, die drauf sind, Auto-Update ein- oder zumindestens die Software so einstellen, dass sie benachrichtigen, dass Updates anstehen. Das, fände ich, ist ein wichtiger Tipp in dem Zusammenhang.

[René]

Genau. Oder eben sogar auslagern. Auch eine Möglichkeit.

Auslagern ist vielleicht gar nicht der richtige Ausdruck, aber das Management halt übergeben an einen Extent-Partner, der eben genau das übernimmt. Wir machen das ja zum Beispiel auch für unsere Kunden und da ist es halt, ja, der Vorteil ist halt, wir setzen uns dann wirklich hin, kontrollieren einmal, welche Updates sind verfügbar, gucken, ob sie sicher sind und dann geben wir sie wirklich in der breiten Kundschaft dann frei. Also da kann man auf jeden Fall sicher sein, dass da auf der anderen Seite eine Kontrolle stattgefunden hat und dass meine Systeme dann entsprechend auch nur diese Updates bekommen und ich Problemen aus dem Weg gehe.

Das kann ich natürlich nie zu 100 Prozent, das können auch wir nicht. Die Systeme sind immer komplex und die installierte Software unterscheidet sich natürlich immer auch ein bisschen. Da kann trotzdem mal ein Problem auftreten, aber die Chance, dass das passiert, ist sehr, sehr gering.

Also da, wenn man es nach extern auslagert, sitzt da wirklich auf der anderen Seite jemand. Man muss ja auch einfach sagen, selbst ein Endnutzer kann ja auch gar nicht alles selber überhaupt einordnen. Man weiß ja gar nicht, welche Dienste und so im Hintergrund meist irgendwie noch laufen.

Vertrauenswürdige Software und deren Management

[René]

Man weiß, welche Software nutze ich jeden Tag, aber da ist ja weitaus auf dem System mehr drauf als das, was ich sehe und deswegen kann es Sinn machen, das auszulagern.

[Michael]

Ja, bringt mich, bringt den Bogen richtig schön rüber zu dem Thema, es ist ja nicht nur wichtig, dass ich Updates fahre und dass ich ein Patchmanagement betreibe, sondern wenn wir mal wieder in die Dienstbank gucken, die bringt ja auch einen ganz wichtigen Punkt rein, wo es einfach heißt, ich muss kontrollieren, von welchem Anbieter ich eine Software runterlade und ich muss wissen, dass der Anbieter vertrauenswürdig ist. Das ist jetzt eine super wichtige Nummer im Bezug von, was lasse ich als Installation überhaupt auf einem Endgerät zu, PC, Server und wenn wir über vertrauenswürdige Software reden und reden an dieser Stelle, da klingeln bei mir sofort alle Sachen, alle Lampen gehen an, wenn ich daran denke an Mobile Games, also an Handyspiele, an Handy-Apps, an Tablet-Apps, das ist ja dermaßen ein Kram und erst recht, wenn du das halt nicht offiziell über irgendeinen App-Store runterlädst und wobei selbst im App-Store die Regeln schon so sind, dass du halt da einfach auch schwarze Schafe dazwischen hast und das ist ja der zweite Part, womit sich diese Dienstbank beschäftigt, die einfach sagt, du musst dich darum kümmern, dass du steuerst und regelst und von vertrauenswürdigen Quellen Dienste installierst und da war so bei ich, wie ich das so gelesen habe, das ist halt Management, wie du es eben schon gesagt hast, du hast eben gesagt, dass beim Patch-Management brauchst du halt auch irgendein Management, Mobile Device Management etc. pp, um zu kontrollieren, welche Software überhaupt auf Computern installiert werden dürfen und werden können.

Genau. Und da ist bei mir am PC, du wirst jetzt auch gleich anfangen und wirst grinsen, der Klassiker ist halt einfach der normale Endbenutzer von dem Computer, wir gehen wieder zu meinem Außendienst darüber, der mit dem Computer arbeitet, ist eben nicht der lokale Administrator, der die Rechte hat, einfach alles zu installieren, wo er meint, was er gerne hätte, sondern das muss geregelt und gesteuert werden.

[René]

Genau. Also das auf jeden Fall sehr guter Einwand, da sollte man darauf achten, genau diesen Punkt gibt es ja auch in der Dienstbank, also er wird da ja abgefragt, wer installiert die Updates, also da muss wirklich eine zentrale Person festgelegt werden, die dafür verantwortlich ist. Also eine zentrale Person vielleicht nicht zwingend, aber zumindest eine Abteilung, also dann im besten Fall die IT-Abteilung oder eben der eine ITler im Unternehmen, je nachdem, je nach Größe auch.

Also da, das sollte natürlich nicht jeder einfach installieren können. Auf dem Rechner mag es gewisse Dinge geben, die sind natürlich nicht so ganz kritisch. Ich sage jetzt so ein PDF-Reader ist halt immer ein gutes Beispiel, brauchen alle, aber auch da, wo wäre die Grenze, wenn man das dann unterscheiden würde?

Also ich finde, der Mobile-Ansatz, den du gerade genannt hast, ist ja genau der richtige. Nehmen wir mal jetzt Apple, wo jetzt die Diskussion so groß ist, weil Apple ja jetzt auch andere Stores freigeben muss. Wozu führt das denn?

Wenn ich nicht aus dem App Store installiere, sondern aus irgendeiner anderen Store, dann hole ich mir vielleicht die gleiche App, auch die im App Store war, aber dann habe ich das Problem, dass dahinter vielleicht auch ein Startcode stecken kann, weil da keine Kontrollen dahinter sind. Und dann muss ich natürlich als Unternehmen auch schauen, dass ich diese Installation irgendwie verhindere. Also dafür ist das Mobile-Device-Management oder ähnliche Systeme sind da natürlich das A und O.

[Michael]

Und das Erste, was du machen musst, ich reite noch mal ein bisschen, weil jetzt wird es regulatorisch, du musst das in deinem Unternehmen regeln. Und es hat im Unternehmen steht halt auch, und ich bin halt auch, PDF-Reader ist ein super Beispiel, schön, dass wir das heute Morgen angefangen haben, mit PDF-Reader. Es gibt halt nicht alle können alles.

Es gibt halt bearbeitbare Felder, die, was weiß ich, von Adobe mal erzeugt worden sind. Das kann ein anderer nicht mehr lesen, die drucken anders, die haben andere Formate. Also die Idee, dass alle PDF-Reader gleich sind und alle Funktionsumfänge haben, erst recht die freien, ist ein Trugschluss.

Und ich bin der Meinung, das ist das, was ich auch, du musst in deinem Unternehmen dir mal den Gedanken machen, und da ist die Größe egal. Das kann jeder so für sich mal tun. Was will ich denn überhaupt für Systeme und andere Software einsetzen?

Und wenn es nur ein Reader ist, will ich den von Adobe haben? Will ich den von Foxit haben? Will ich den von PDF-Expert haben?

Whatever, ich will, vollkommen frei, egal, sage ich jetzt mal. Aber es sollte einer sein, mit dem alle arbeiten können. Und wenn es nur darum geht, dass es irgendeine Funktion gibt, was weiß ich, der eine kann besser ausschneiden, der nächste kann besser bearbeiten, oder so ist das halt, alle Mitarbeiter auf die Software geschult werden können, weil sie von einer Software reden.

Wo du einfach sagen kannst, hey, drück mal oben rechts auf den Knopf, dann druckt der schon. Und er sagt, ja, oben rechts ist gar kein Knopf. Ja, welche Software hast du denn?

Ja, ich habe eine andere. Also ich bin der Meinung, dass das harmonisch sein sollte, dass man eine Übersicht führen sollte, dass man wissen sollte, welche Software habe ich bei mir im Unternehmen im Einsatz und die sollte harmonisch über die Endgeräte ausgerollt werden, für die User, die sie benötigen. Und dann brauchst du halt auch keine Administrationsrechte, um dir noch irgendein PDF-Reader oder sonst irgendwas nachzuinstallieren, weil klar ist, der Außendienstler, also wieder bei meinem Außendienstler, der braucht halt Microsoft 365 und der braucht einen PDF-Reader.

Und dann kriegt er das installiert und dann war es das, Ende. Und wenn der was anderes haben will, meldet er sich bei der IT-Abteilung und sagt, ich brauche aber, aber dann ist die IT-Abteilung wieder in der Verantwortung, in der Pflicht und kann sagen, für was hättest du es denn gerne? Wo ist ein Problem oder an welcher Stelle brauchst du das?

Und wenn kommt, ja, das ist ein super wichtiges Ding, das braucht nicht nur er, ja, dann ist doch super, dann weiß ich das als IT, ich nehme es auf und dann kann ich es wieder unternehmensweit für alle anderen auch ausrollen, dann habe ich einen Mehrwert an der ganzen Nummer. Aber das bedingt die Systematik. Ich brauche eine Übersicht, welche IT ich einsetze und ich muss es steuern.

Ja, genau. Auf jeden Fall wichtig. Das sehe ich genauso.

Bei Apps das Gleiche, also am Handy. Wenn du es nicht mit einem Mobile Device Management steuern kannst, willst, was auch immer, ist das Erste, was du machen sollst, wenn du das Endgerät dem Mitarbeiter vergibst und er schreibt dir eine Verpflichtung, wo drin steht, also neben vielen anderen Dingen, wo zum Beispiel drin steht, es dürfen keine Apps eigenmächtig installiert werden. Ende.

Mobile Device Management und Sicherheitsrichtlinien

[Michael]

Auf einem Diensthandy, was du kriegst, darfst du kein WhatsApp installieren. Und wenn du es noch so gerne möchtest? Nein.

Nur mal zum Beispiel.

[René]

Ja, ich meine, am Ende des Tages, der Eins ist ja auch klar. Wenn ich jetzt mal, keine Ahnung, man hat jetzt ein Unternehmen, da sind zehn Mitarbeiter, die haben jetzt alle ein Smartphone. Kann man sich irgendwie sicher sein, dass da bei vier, fünf, irgendwie, wenn ich jetzt das technisch nicht unterbinde, dass da einfach andere Sachen auch installiert werden auf diesem Endgerät?

Das ist einfach so, sowas weiß ich auch nicht. Also die werden ja irgendwie als halb Privatgerät angesehen dann irgendwann. Und ja, dann installieren die sich das.

Das heißt, ja, man sollte das schriftlich auf jeden Fall darlegen und niederschreiben und sich auch gegenbestätigen lassen, also die Kenntnisnahme. Wichtig ist aber, dass wir technisch wirklich auch da Hürden schaffen oder Barrieren schaffen, dass es gar nicht erst möglich ist.

[Michael]

Genau, das ist was ich sage. Die technische, das Schaffen einer technischen Hürde ist der organisatorischen Schaffung natürlich vorzuziehen. Wenn ich es dicht mache, der hat keinen Administratorzugang, der kann nichts installieren, dann muss ich es ihm nicht mit irgendeiner Richtlinie verbieten, weil er kann es eh nicht.

Es geht einfach nicht. Ja, und das ist das, was man prüfen sollte. Dafür sind, wie gesagt, Device-Management-Systeme am mobilen Endgerät beziehungsweise halt bei den normalen Laptops, also bei den normalen PCs sind es halt einfach User, die halt eben die Richtlinie haben dazu.

Fertig. Genau. Das muss halt geregelt sein.

Hast du ganz kurz, bevor wir abschweifen, hast du einen Tipp für ein brauchbares Mobile-Device-Management?

[René]

Also wir sind bei Sophos. Also je nach Unternehmensgröße ist es natürlich auch. Aber ich glaube, das kannst du von klein bis groß verwenden.

Es ist immer die Frage. Also wir zum Beispiel sind viel bei Sophos, was das angeht, weil unsere Systeme ineinander greifen. Das heißt, wenn ich halt aus einem Kosmos das Ganze nutze, ein Antivirus, eine Firewall und ein Mobile-Device-Management, weil das kann man ja am Ende des Tages auch auf den Notebooks ausrollen, dann habe ich halt den Vorteil, dass all diese Komponenten wirklich auch noch mal miteinander kommunizieren und eben meine Sicherheit somit noch mal erhöhen.

Sicherheitslösungen und Integration

[René]

Also nicht jeder Teil irgendwie… Es gibt ja immer so Schnittstellen. Und an dieser Schnittstelle kann es ja durchaus auch einen Angriff geben.

Und weil beide Systeme, weil sie von unterschiedlichen Herstellern kommen, sich vielleicht nicht ganz verstehen und sich da nicht austauschen, kann es da eben zu Schwachstellen kommen. So habe ich aber alles aus einem Kosmos, dann tauschen diese Schnitt… Also dann gibt es diese Schnittstellen in dem Sinne nicht, weil es ein fließender Übergang zur nächsten Lösung ist.

Und deswegen sind wir viel bei Sophos, was das… Oder was heißt viel, sondern im Mobile-Device-Management sind wir bei Sophos.

[Michael]

Ja, Mirador, ich weiß gar nicht, wie das ausgesprochen wird. Ich glaube, ich hatte einen Kunde, einer im Einsatz, das sehe ich, funktioniert ganz gut. Persönlich bin ich an diesem Apple Business Manager mal gescheitert.

Das ist saumäßig kompliziert, bis da die Geräte drin sind. Das ist megakomplex. Aber auch da, ohne zu tief rein zu gehen, Mobile ist wahrscheinlich auch mal ein Thema für einen anderen Podcast.

Dann hat man wenigstens… Haben wir schon. War halt gestern.

Und dann hast du halt wenigstens einen eigenen Login, einen Firmenlogin drin und nicht der private Login, sodass du es halt steuern kannst und kannst verteilen über die Rechte entsprechend. Genau. Aber René, lass uns noch mal, wenn wir über das Ganze reden, abschließen noch einen Punkt in das Spektrum, worüber ich mit dir kurz reden möchte.

Und zwar geht es darum, dass du… Also es geht grundsätzlich um die Makro-Funktionen im Office-Programm, Microsoft Excel, sage ich jetzt einfach mal als Beispiel.

Makros in Office-Anwendungen: Risiken und Empfehlungen

[Michael]

Da ist ja auch so, da wird empfohlen und empfehle ich halt auch, die Funktionen, diese automatischen Makro-Ausführungen eben zu deaktivieren.

Wie stehst du dazu? Wie siehst du es bei deinen Kunden? Haben die das standardmäßig?

Muss man viel belehren, bis man standardmäßig deaktiviert? Oder ist das inzwischen gang und gäbe bei euch oder bei deinen Kunden?

[René]

Nein, also bei uns auch in der Kundschaft und bei uns selbst sind die Makros natürlich auch deaktiviert. Die Einfallstore, da sind leider sehr groß. Es gibt halt tausend Möglichkeiten, dann darüber wirklich irgendwie Schadsoftware oder Schadcode im System zu verteilen.

Das Problem, was ich dahinter aber sehe, ist, dass man ja immer noch die Möglichkeit hat, in der Office-Suite dann diese Makros selbstständig auch wieder zu aktivieren. Auch auf ein einzelnes Dokument gesehen ist das ja möglich. Ein Paradebeispiel dafür sind ja diese Mails, die dann kommen mit Bewerbung.

Dahinter liegt dann eine Word-Datei. Das würde mich schon ein bisschen stutzig machen, aber leider muss ich sagen, heutzutage kommen einige Bewerbungen wieder per Word rein. Ich weiß nicht, warum der Export zu PDF scheinbar eine Hürde ist, aber okay.

Auf jeden Fall, dann kommen die rein. So war ja auch die Masche eine ganze Zeit lang und dann kriegt man eben dann sofort die Anzeige, hier, da ist ein Makro hinterlegt. Zum Glück, muss ich sagen, sind sehr, sehr, sehr viele unserer Kunden mittlerweile so vorsichtig, dass sie nicht die Makros aktivieren.

Ich bin mir aber ziemlich sicher, dass es schon gut möglich war, über diesen Weg dann Zugriff auf die Systeme zu bekommen. Sonst wäre die Welle ja nicht so groß gewesen und so lang hat sie sich auch hingezogen. Also von daher, ich glaube, dadurch, dass man dann die Möglichkeit hat, einfach oben in der Zeile eben die Makros für diese Datei zu aktivieren, das ist immer ein bisschen schwierig.

Also ich finde, da ist die Hürde dann leider auch nicht hoch genug. Bisher, die Mitarbeiter sind gut geschult.

[Michael]

Aber von der Schulungsmaßnahme her würde ich mir gerade überlegen, grundsätzlich haben Bewerbungsunterlagen keine Makros, endepeng. Also selbst, wenn das per Word oder per Excel reinkommt, du brauchst, um deine Bewerbungsanschreiben reinzusetzen, in einem Word-Dokument keine Makros. Also, verstehst du, was ich meine?

Natürlich. Das hat Makro frei zu sein. Das heißt, in dem Moment, wo ich eine Bewerbungsunterlage aufmache und ich habe sie standardmäßig deaktiviert und irgendeiner fragt mich nach, willst du es aktiviert haben?

Nein, ich lasse es deaktiviert, weil das, was ich brauche, um es zu lesen, kann ich auch ohne Makros lesen. Welche Makrofunktion sollte in dieser Software drin sein, die mir einen besseren Leseinhalt gibt für ein Bewerbungsschreiben?

[René]

Da hast du absolut recht. Ist natürlich nicht notwendig, aber ich sag mal, ich kann mir das vorstellen. Eine Person, die im Personalwesen tätig ist, schon seit, lass es jetzt 40 Jahren sein oder 30, so damals noch die ganzen Bewerbungsunterlagen nur per Mappe bekommen, sag ich mal.

So, und heute kommen die per Mail rein. Ja, da ploppt dann auf einmal oben eine Zeile auf. Okay, klick.

Zu spät. Ich glaube, dass sich das von alleine rauslaufen wird, weil ja alle jetzt mehr und mehr, was heißt mehr und mehr, alle wachsen halt mit IT auf, alle kennen das und wissen auch, dass es da sicherheitskritische Dinge gibt. Aber ich glaube, gerade so die ältere Generation, ohne ihr nahetreten zu wollen, hat da natürlich dann vielleicht zu wenig tiefgreifende Kenntnisse in dem Bereich.

Ich kann das nachvollziehen. Wir zum Beispiel machen das so bei Kunden zum Teil, dass es schon Vorfilter gibt. Das heißt, eine Mail kommt rein, dahinter liegt eine Word-Datei, dann wird schon mal geguckt, ist das Doc oder DocX?

Bei Doc kann man sich schon mal sicher sein, brauchen wir nicht, weil das Word, das Office-Paket dann schon zu alt war, ist schon ein bisschen auffällig dann. Und dann gibt es halt noch mal eine Prüfung dieser Datei, die läuft dann im Hintergrund. Das heißt, die Mail kommt zwar rein, ich sehe auch, da ist ein Anhang, diesen Anhang habe ich aber noch nicht sofort, sondern er durchläuft jetzt erst mal eine Prüfung.

Und wenn die Prüfung abgeschlossen ist, das heißt auch auf Shardcode, in Makros und so weiter, dann wird diese…

[Michael]

Aber du hast mich mit einer Sache angetriggert. Ich stelle mal eine Gegenprognose auf. Unser Alter, eine ältere Generation, die kennt Makros noch von früher, von Access, von D‑Base, von Word 5, von was auch immer man früher mal solche Dinge benutzt hat für normale Makrofunktion.

Die wissen das wahrscheinlich, die haben eine andere Sensibilisierung dafür, weil die wollen den Inhalt lesen. Die jüngere Generation, die TikTok-Generation, die denkt sich eher, oh cool, da ist ein Makro dahinter. Gucken, was noch für eine fancy Funktion sich in der Bewerbung versteckt, wenn ich das Makro akkribiere.

Also ich glaube, das ist kein Altersthema. Das kannst du sehen von beiden Seiten sehen. Aber was ganz klar ist, ist man muss halt die Sensibilisierung dafür haben und muss das die Kenntnisse, muss einfach klar sein, Makros haben halt Bewerbungsunterlagen nichts verloren.

Und es gibt, fallen dir spontan Dateien ein, die du hin und her sendest, wo du zwingend erforderlich sagst, ohne Makros funktionieren die nicht, die lassen sich nicht, die muss ich aktivieren. Also selbst berechnende Felder in Excel, größere, komplexe Dinge, das sind auch nicht immer zwingend Makros und das geht in der Regel auch ohne Makros. Also ich wüsste jetzt nicht und ich behaupte jetzt mal von mir, ich bediene mich viel mit Excel im Office-Bereich, nicht über fancy Sachen, sondern einfach Tageswerk, Tabellen erstellen, Rechner etc. pp. Ich habe noch kein Makro gebraucht für solche Funktionen.

[René]

Wir haben, oder ich speziell auch, ich glaube, was so Excel-Geschichten angeht, bin ich da schon wirklich weit. Die Sache ist halt die, ich versuche wirklich, oder was heißt ich versuche, ich verhindere den Einsatz von Makros. Es gibt bestimmte Dinge, ich sage mal, wenn ich in bestimmtes Feld das aktuelle Datum drin haben möchte oder es soll sich immer wieder aktualisieren, steht schon ein Datum drin, soll aber keins aktualisiert werden, sage ich mal, sondern nur wenn das Feld leer ist.

Das sind so Sachen, die lassen sich dann leider nur per Makro machen, aber sowas ist äußerst selten. Ich versuche wirklich in jedem Fall, das per normale Funktionen umzusetzen. Wie gesagt, das kommt halt immer auf die Sache an, wie speziell sie ist, aber dennoch, also ich versuche es einfach aus Sicherheitsgründen zu verhindern.

Ich möchte ja auch den Gegenüber gar nicht erst in die Situation bringen, dass er überlegen muss, ist das jetzt gerade richtig oder muss ich das irgendwie gerade, darf ich es öffnen oder darf ich es nicht? So da in die Situation will ich gar nicht kommen. Und wie ich gerade gesagt habe, wenn ich so Filter dahinter habe, die wirklich gucken, gibt es da ein Makro und filtert das dann raus?

Ja, da will ich auch nicht drin bleiben.

[Michael]

Genau, da sprichst du einen wichtigen Punkt an und das ist auch das, wie ich meine, es gehört in einem Businessumfeld eigentlich zum guten Ton, Dokumente hin und her zu schicken, die so safe sind, damit es halt einfach auch durch Spam-Filter und durch Synchron durchgehen. Das behindert mich nur, dieser ganze, Entschuldigung, dieses komplexe Aufbauen von Inhalten mit Makros hoch und ohne, das bremst die Kommunikation und die Arbeit aus, weil es gegenseitig in Spam-Filter landet und gegenseitige Unsicherheit schafft. Viel einfacher ist es, das Ding auf dem Basic zu reduzieren, das mit Formeln zu machen, mit Dingen zu tun, die halt eben solche Makros nicht zwingend notwendig benötigen und es halt einfach in der Kommunikation, im Hin- und Herschicken einfach sicherer zu machen.

Ich mache den Mitarbeiter nicht durcheinander, weil da irgendwas kommt, mit Achtung, möchte sie Makros aktivieren und ich mache meinen Spam-Filter nicht durcheinander, indem der mir als irgendwas raus sieben muss, sondern es ist halt einfach eine wesentlich angenehmere Kommunikation, wenn ich mich bei Tabellen und im Office echt auch wirklich auf Grundfunktionen beschränke und nicht anfange, mit Makros irgendwas wild zu machen, was ich halt auch theoretisch hätte anders da lösen können.

[René]

Genau. Ich schaffe bei meinem Gegenüber ja auch einfach Vertrauen. Genau.

Ich finde, das ist auch einfach wichtig. Man macht das einfach, wie du gerade sagst, das gehört zum guten Ton. Ich erwarte das von meinem Gegenüber auch, dass das so gehandhabt wird.

Und da gehe ich in Vorleistung. Da erwarte ich auch nicht, wie derjenige mir schickt oder schreibt, sondern ich mache das und dann gehe ich davon aus, dass es von der Gegenseite genauso ist. Ja.

[Michael]

Und auch da, wenn wir über Kundenerwartung sind und guten Ton sind, nochmal von mir, was ich so mal in die Welt streuen möchte, ist, wenn jetzt noch Kunden unterwegs sind mit Dockdateien, weil sie sie noch von einem ganz alten Word immer übernommen haben und haben sie nicht in meinen Docx konvertiert, nehmt euch die Dateien und konvertiert sie einfach mal in einen Docx rüber, dass ihr das Format mal angepasst habt. Mir passiert das immer noch wieder in der Beratung, dass irgendein Kunde mir irgendwelche Dateien schickt und irgendein Kram und stellt mir was zur Verfügung und es ist halt noch ein Doc oder ein XLS-File.

Da merke ich halt immer, die gehen auf. Die haben halt einfach jahrelang da nicht mehr konvertiert und haben es halt nicht mehr umgewandelt. Das läuft und dümpelt, da halten sie vor sich hin.

Aber da wäre mein Appell, mal konvertieren, mal anpassen, um es mal auf einen neuen Stand, kann man gar nicht mehr sagen, aber auf einen aktuellen Stand zu bringen. Weil wie lange gibt es Docx? Also wie lange gibt es denn die X‑Erweiterung schon, dass es eingeführt worden ist?

16 oder 12? Ich meine durch 2016 kam es. Egal, ist jedenfalls X lange her.

[René]

Machen, bitte. Ja, genau. Also bei uns, wie ich gerade schon gesagt habe, mit dem Sicherheitssystem, du hast es ja auch.

Ja, genau. Wenn da so irgendwie was reinkommen sollte, was eben in einem alten Format ist, dann gibt es für den Gegenüber auch einfach nur eine Rückmeldung. Hier wurde nicht angenommen, fertig.

Ja, unabhängig. Da gibt es keine Diskussion und da muss der Gegenüber dann auch einfach ein Verständnis für haben. Ich weiß, dass ganz oft gesagt wird, komm, wir IT-Unternehmen, warum kommen die damit nicht klar?

Ja, weil wir eben auf die Sicherheit achten. Das hat nichts damit zu tun, dass wir die Dateien nicht haben wollen und dass wir euch nicht vertrauen. Es geht halt einfach nicht.

Wie soll man das filtern für sich im Voraus, dass das jetzt sicher ist oder unsicher ist? Weil wir haben mit so vielen unbekannten Kontakten auch einfach irgendwie Kommunikation, dass wir da gar keine andere Möglichkeit haben, als es vorzufiltern.

[Michael]

Naja, also ich bin auch froh über den Vorfilter und dann wird es halt auch abgelehnt und fertig. Ende. Ist halt einfach so.

Und dann ruft mich an, dann können wir über was reden, dann können wir eine Lösung finden. Dann erkläre ich auch gerne mal, wie man es konvertieren kann. Aber ja, so ein bisschen Eigenschutz, also nicht nur ein bisschen, sondern Eigenschutz ist halt da einfach super wichtig.

Das ist halt der gute Ton, das halt dem Gegenüber so zu ermöglichen, dass es funktioniert.

[René]

Ja. Okay, René, ich glaube… Genau, Michael.

Ich würde noch in die letzten zwei Punkte reingehen wollen. Sehr gerne. Und zwar geht es ja dann auch mal abschließend in diesem Bereich um den Punkt herstellerseitig auf Hardware und Software bezogen, die so EOL sind.

Das heißt, irgendwann geht das System, der Lifecycle, einfach mal zu Ende. Bedeutet, ich habe jetzt meinetwegen eine Hardware gekauft vor fünf Jahren und ab jetzt wird diese Hardware nicht mehr hergestellt. Die Software wurde eingestellt.

Es gibt keine Updates mehr. Wie geht man damit um? Das sind ja so die letzten zwei Punkte darin.

Umgang mit EoL-Software und Hardware

[René]

Und zum einen, wie prüft man erstmal, ob es überhaupt noch Updates gibt? Auf der einen Seite kann ich zum Beispiel sagen, dass wir die grundsätzliche Prüfung, die läuft natürlich darüber schon bei der Hardwarewahl. Wir zum Beispiel, wenn wir beim Kunden Hardware einsetzen, ist es immer aktuelle Hardware.

Also wirklich brandaktuell, damit wir halt möglichst lange noch Updates bekommen. Weil drei bis fünf Jahre müssen wir auf jeden Fall immer so kalkulieren. Und das ist auf jeden Fall gegeben.

Und bei Software ist es ja, ja da ist es manchmal ein bisschen schwierig. Auch da lässt sich das eigentlich erkennen, wenn irgendwann eben keine Updates mehr kommen. Der Endbenutzer wird das aber nicht feststellen können.

Das heißt, wenn wir wirklich wieder auf den Punkt von vorhin zurückkommen, dass es eine Person oder eine Abteilung oder wen auch immer gibt, die die Software installiert und auch die Hardware einrichtet und so weiter, dann muss diese Person die Software halt wirklich auch im Hinterkopf haben oder nicht im Hinterkopf, das hört sich jetzt ganz falsch an, bitte aufgelistet und diese Liste auch immer mal wieder kontrollieren.

Ist diese Software noch aktuell? Gibt es dafür Updates oder gibt es eben keine mehr? Wurde sie eingestampft vom Hersteller?

Ich sag mal Thunderbird ist das allerbeste Beispiel. Als das abgekündigt wurde, haben viele gesagt, ja egal, ich nutze das weiter, das habe ich immer genutzt. Ja, sollte man vielleicht nicht tun.

Aber der Endnutzer macht sich da keinen Kopf drum. Es gibt auch Software, die halt super selten Updates bekommt, aber dennoch ist es ja relevant, ob überhaupt noch Updates kommen.

[Michael]

Ja, dieses berühmte End of Life, also Support-Ende. Es ist halt einfach, irgendwann hört halt der Support für Software auf. Für DOS 6.2 gibt es keine Updates mehr. Für Windows 3.11 auch nicht. Windows 95 bekommt keine mehr. Windows 98.

Es ist halt, irgendwann ist die Zeit einer Software einfach abgelaufen. Und dann sind wir genau da, was wir eben darüber gesprochen haben. Habe ich eine Aufstellung meiner Software-Systeme?

Weiß ich, welche Software ich im Unternehmen im Einsatz habe? Sehe ich halt, ach, es gibt noch einen PC, da ist noch Windows 98 drauf. Hohoho, da müsste ich aber mal dringend reagieren.

Und 98 ist jetzt echt ein Extrembeispiel. Aber Microsoft Server, ich meine, da kannst du jetzt gleich ein Lied von singen, wie viele Server auf einem Microsoft-System laufen, was wahrscheinlich End of Life-Cycle ist, beziehungsweise ein Support-Ende angekündigt hat und wirklich nur noch die letzten Sicherheitsupdates kommen. Ich meine, das läuft ja auch stückchenweise, wenn ich das richtig verstehe.

Gerade bei Microsoft, bei Windows Server, die sind ja nicht von heute auf morgen raus aus dem Support, sondern irgendwann gibt es keine Funktions-Updates mehr und dann gibt es nur noch Sicherheitsupdates und irgendwann laufen halt auch die Sicherheitsupdates aus. Das ist ja schon eine Zeitspanne, wo ich sage, das kriegst du mit und hast Zeit, dich auf was Neues vorzubereiten.

[René]

Ja, also Microsoft gibt ja auch in dem Augenblick, wo das Betriebssystem rauskommt, gibt es ja schon mal so eine grobe Richtung, wie lange die Updates bleiben. Irgendwann gibt es ja ein neues Betriebssystem. Also ich sage mal jetzt, bestes Beispiel, gerade ausgelaufen ist 2012, aus dem Public Support.

Das heißt, es gibt jetzt aktuell nur noch den erweiterten Support, den man kostenpflichtig erwerben muss und der wird halt enden. So, als 2016 rauskam, wurde End of Life für 2012 angekündigt. Also das heißt, es ist dann klar, okay, ich habe jetzt noch meine, lass es fünf Jahre sein, ja, dann jetzt sogar noch mehr.

Also als 2016 rauskam, waren dann noch mal acht Jahre, nee, Public Support endete, glaube ich, 2023. Also waren dann noch mal sieben Jahre. Also man hat schon wirklich eine sehr, sehr lange Zeitspanne, um sich darauf vorzubereiten.

Und das sollte man halt nicht bis zum letzten Moment abwarten, sondern sollte wirklich bis dahin seine Vorkehrungen getroffen haben, dass man dann eben frühzeitig den Wechsel macht oder meinetwegen auch im allerschlechtesten Fall, weil man sagt, ich gehe irgendwann in Rente, ich gebe mein Geschäft auf und dann brauche ich bis dahin nichts Neues, dann kaufe ich bitte dann den erweiterten Support bis dahin. Aber irgendwas muss ich machen.

Ich muss mir Gedanken machen, ich muss es auf dem Schirm haben und ich muss mir Gedanken machen über das Ding. Genau. Und der letzte Punkt, der da eben drauf aufbaut, ist, was passiert denn mit Hard oder Software, die eben keine Sicherheitsupdates mehr bekommen?

Also wenn ich weiß, es ist EOL und was mache ich dann? Weil auf jeden Fall haben wir eine Sicherheitslücke, die ist ja dann einfach da. Auch Hacker und so wissen ja, dass irgendwann die Sicherheitsupdates auslaufen und dann werden natürlich diese Systeme auch angegriffen.

Und das ist halt etwas, da muss man sich wirklich auch Gedanken machen. Aus meiner Sicht eine Hard oder Software, die keine Updates mehr erhält, die darf einfach gar nicht mehr in Betrieb bleiben. Die muss raus und ersetzt werden.

[Michael]

Ich differenziere.

Die muss vom Netz weg. Ja, okay, okay.

[René]

Sorry. Ja, gebe ich dir recht.

[Michael]

Die muss weg vom Netz. Die hat keinen LAN-Zugriff mehr, da ist das WLAN deaktiviert. Die ist zu.

Also das ist für sich eine isolierte Lösung. Es muss ein isoliertes System bleiben, ja. Aus deiner Sicht, ja klar.

Aus IT-Sicht sage ich auch oder bei mir sage ich jetzt auch, Software, die end of life ist, muss ersetzt werden. Wenn ich allerdings jetzt in Produktionsbetriebe reingehe und sage, ich habe Fräsen, ich habe Drehmaschinen, ich habe CNC-Maschinen, ich habe Bearbeitungszentren, da ist hin und wieder noch ein Windows 95 oder irgendwas drauf, weil da drauf halt die Steuerung abzielt, die halt die Anlage steuert. Aber die gehören weg vom Netz, die gehören weg vom Support, also raus aus meinem Firmennetz raus und so isoliert betrachtet, dass die halt keine, dass die halt kein Einfallstor sind für mögliche Schadangriffen.

[René]

Absolut. Ja, habe ich mich gerade unglücklich ausgedrückt, aber ja. Ich meine natürlich, die müssen so raus, dass man sie eben nicht mehr angreifen kann.

Also auch intern bitte nicht mehr ins Netzwerk, weil am Ende des Tages, also selbst wenn ich jetzt, wie soll ich das jetzt am einfachsten darstellen? Es ist ja noch ein Unterschied, ob ich jetzt Zugriff aufs Internet habe oder nur aufs interne Netz. Ja.

So und man muss einfach sehen, wenn jetzt ein internes System irgendwie angegriffen wird, dann ist da, von da aus kann ich wieder auf den nächsten Punkt. Deswegen also da auch wirklich dann nicht mehr ins Netzwerk. Ja, das ist ziemlich einfach.

Genau, aber das wäre es auch tatsächlich, was diesen Bereich angeht.

[Michael]

Sehr schön. Dann würde ich sagen, vielen lieben Dank für die Zeit. Vielen lieben Dank fürs Zuhören.

Und wir hören uns beim nächsten Mal. Vielen Dank.

[René]

Ja, von mir auch. Vielen Dank, dass ihr dabei wart. Wie immer gerne folgen auf allen möglichen Social Media Kanälen, auf allen Podcast Plattformen und so weiter.

Diesmal ein bisschen kürzer. Ich halte mich kurz. Bis zum nächsten Mal.

Macht’s gut. Tschüss. Bis dann.

Zurück zu Episodenübersicht