#20 DIN SPEC 27076 Part 6

[Michael]

Hal­lo und her­zlich willkom­men zu unser­er aktuellen users lounge-Folge. Heute mit dem The­ma DIN-SPEC 27076 und wir guck­en uns heute das Kapi­tel an IT-Sys­teme und Net­zw­erke und wieder mit mir dabei ist der René. Grüß dich, René.

[René]

Guten Mor­gen, Michael.

[Michael]

Grüße dich. Habe ich den Titel richtig gesagt oder bin ich noch zu früh vom Meilen­sta­tus?

[René]

Abso­lut richtig. Wir schließen heute sog­ar die DIN-SPEC 27076 ab. Schon der let­zte Bere­ich.

[Michael]

Ja, super. Ich habe gese­hen, in der Vor­bere­itung habe ich gese­hen, das ist ein großer Bere­ich.

Wir guck­en, ob wir mit ein­er Folge hinkom­men oder ob wir zwei Fol­gen daraus machen kön­nen, aber wir haben ja auch schon gesagt, es sind einige Kapi­tel drin und einige Punk­te drin, über die wir bere­its eine Pod­cast-Folge gemacht haben, sodass wir in dieser Folge vielle­icht auf die eine oder andere Folge ref­eren­zieren für die Leute, die sich nochmal inten­siv mit dem The­ma auseinan­der­set­zen. Genau so ist es. Jet­zt bist du als IT-Dien­stleis­ter, als der, der Fire­walls verkauft und hof­fentlich auch ein­stellt und wartet, natür­lich der beste Ansprech­part­ner für die ganzen Sachen.

[Michael]

Erzähl uns ein biss­chen was zum The­ma Fire­wall. Also wenn ihr die Dien­st­back von ein­er Fire­wall spricht, kann es sein, dass es eine ist, die bei Microsoft aktiviert wird, aber es gibt ja Hard- und Soft­ware-Fire­walls. Leite mal ein wenig uns durch das ganze Ding.

[René]

Also Fire­walls gibt es an ver­schiede­nen Stellen im Net­zw­erk. Ich glaube, dass es auch genau richtig ist, dass BSI sagt, der erste Punkt muss die Fire­wall sein, weil wir sehen unser Netz ja immer von extern nach intern, also bis zum let­zten Punkt. Und der erste Punkt, der wirk­lich von extern ja angreif­bar ist, ist ja erst­mal mein grund­sät­zlich­es Net­zw­erk.

Und vor diesem Net­zw­erk muss eine Fire­wall sein, damit wir eben sagen, okay, der externe Zugriff auf mein Net­zw­erk, der wird ver­hin­dert. Ich kann natür­lich meine Regeln da schaf­fen, dass ich sel­ber die Möglichkeit habe, von extern zuzu­greifen, aber grund­sät­zlich ist das der erste Schutzmech­a­nis­mus, den ich da habe. Dementsprechend macht es Sinn, dass es der erste Punkt ist.

Man kann sich das so vorstellen wie so eine Wand, sagt ja auch Fire­wall, wo ein­fach kleine Löch­er drin sind. Die kleinen Löch­er sind dann die entsprechen­den Ports. Das hört sich ein biss­chen kom­pliziert an.

Ich sage mal, als hätte ich eine kleine Tür in dieser Wand und diese mache ich auch bewusst auf. Über gewisse Ports kom­mu­niziere ich mit ver­schiede­nen Dien­sten. Sag mal, wenn ich jet­zt ins Inter­net gehe, habe ich meinen Port 443 und der ist halt wirk­lich für mein HTTPS, für die Kom­mu­nika­tion dazwis­chen oder darin.

Und da gibt es halt ganz viele andere Dinge, ob es meine E‑Mails sind, ob es meine, keine Ahnung, welche Soft­ware auch immer ich habe, eine Videoüberwachung oder son­st was. Das sind halt die Sachen, die muss ich sel­ber freis­chal­ten, aber alles andere mache ich eben zu. Es gibt ja im Net­zw­erk genug ungenutzte Ports, die eine Schwach­stelle für mein Net­zw­erk darstellen wür­den, wenn ich sie ein­fach offen lasse.

Und deswe­gen ist diese Fire­wall zum einen schon mal dafür da, dass diese Ports geblockt wer­den. Im näch­sten Schritt ist eine Fire­wall noch dafür da, dass sie schon Daten­pakete fil­tern kann. Also das ger­ade war so wirk­lich so eine harte Schutzschicht, son­dern dann gibt es eine etwas aufgewe­ichte Schutzschicht, die eben dafür da ist, dass selb­st die Ports, die ich freigegeben habe, also die offen sind, dass da eben ein Fil­ter vor­sitzt, der dafür oder dazu dient, eben die Daten­pakete, die reinkom­men, auch nochmal zu prüfen.

Sollte da jet­zt also irgend­wie was reinkom­men, wo wir, keine Ahnung, gibt ja genug irgend­wie, was schädlich sein kann, ein Virus, ein Tro­jan­er, wie auch immer, wenn eine Fire­wall das schon lesen kann, also je nach­dem, wie das Daten­paket aufge­baut ist, dann kann die Fire­wall eben anhand dessen auch schon ein Fil­tern vornehmen und diese Daten­pakete, diese schädlichen Daten­pakete ent­fer­nen, sodass sie gar nicht erst in mein Net­zw­erk kom­men. Und deswe­gen ist es auch wichtig, dass diese eben entsprechend gut kon­fig­uri­ert wird. Ganz, ganz wichtig.

Okay, also rüber. Bitte?

[Michael]

Ja, ich wollte mal den Bogen rüber machen und zwar Rich­tung Klein- und Kle­in­stun­ternehmen oder End-User, dezen­trales Arbeit­en. Das muss aber nicht zwin­gend erforder­lich eine Hard­ware sein, oder? Also es gibt ja auch die Win­dows-Fire­wall, die ich ein­schal­ten kann im Betrieb­ssys­tem.

Ist das ver­gle­ich­bar? Ist das der gle­iche Schutz? Ist das eher ein Blenden?

Ist das eine ganz andere Funk­tion mit einem gle­ichen Namen? Du hast ja ger­ade von, wenn ich das richtig ver­standen habe, redest du von einem Kästchen, was du da vorset­zt.

[Michael]

Ein­er Fire­wall im Sinne von ein­er Hard­ware, die da als erster Punkt drin sitzt.

[René]

Jein. Also es muss nicht zwin­gend eine Appli­ance sein, also wirk­lich ein Gerät, was da ste­ht. Kann auch vir­tu­al­isiert sein.

Die Win­dows-Fire­wall ist natür­lich auch ver­gle­ich­bar mit ein­er nor­malen Net­zw­erk-Fire­wall. Aber genau da liegt eben der Unter­schied. Eine Win­dows-Fire­wall ist halt für den End­point und eine Net­zw­erk-Fire­wall ist eben wirk­lich der Schutz für mein gesamtes Net­zw­erk.

Es ist ja auch so, dass zwis­chen den Sys­te­men in meinem Net­zw­erk unter­schiedliche Dien­ste laufen kön­nen. Und da kann es sein, dass dort andere Ports offen sein sollen, wie zum Beispiel von extern. Also es gibt auch Sys­teme, die lasse ich ja nach außen hin nicht kom­mu­nizieren.

Das heißt, in mein­er Net­zw­erk-Fire­wall wird der Port geblockt, aber intern für die Kom­mu­nika­tion bleibt er eben offen. Und das sollte man auf jeden Fall auch so hand­haben. Das heißt, was ich ger­ade gesagt hat­te, die Kon­fig­u­ra­tion dieser einzel­nen Schnittstellen oder dieser einzel­nen Fire­walls im Net­zw­erk, die ist halt extrem wichtig.

Das ist auch nichts, was man sich out of the box da hin­stellt und sagt, okay, es funk­tion­iert jet­zt, weil da muss man wirk­lich mit Sinn und Ver­stand auf jede Kleinigkeit acht­en und schauen, dass eben da die Sicher­heit gewährleis­tet ist. Und genau­so ander­srum, wenn ich intern jet­zt ein­fach sagen würde, ich blocke jet­zt alles und dann läuft nach­her nichts, dann habe ich natür­lich genau­so ein Prob­lem. Also von daher, da muss man wirk­lich mit sehr viel Sachver­stand range­hen und das für die einzel­nen Bere­iche kon­fig­uri­eren.

[Michael]

Ist eine Fritz!Box eine geeignete Fire­wall?

[René]

Auf ein­er Fritz!Box ist eine Fire­wall, aber sie hat halt eine sehr abge­speck­te Vari­ante von diesem Fil­ter­sys­tem. Das heißt, ich habe grund­sät­zlich meinen harten Schutz, wo ich auch meine Ports zumache, auf­mache, wie auch immer. Aber das Fil­ter­sys­tem dahin­ter, ich kann nicht sagen, okay, das hört sich jet­zt sehr tech­nisch an.

Es gibt dann ein HTTPS-Fil­ter zum Beispiel. Nehmen wir mal an, es wäre der, dann kön­nte ich sagen, okay, alle Pakete, die HTTPS sind, würde ich block­en. Macht natür­lich keinen Sinn, ist jet­zt nur ein Beispiel, weil HTTPS hat halt jed­er schon mal gehört.

Das heißt, ich kann dann sagen, okay, ich will diese ganzen Pakete nicht haben, aber ich kann nicht sagen, okay, die Pakete grund­sät­zlich möchte ich schon haben, aber achte drauf, ob da jet­zt ein Schad­code drin ist. Das kann es nicht. Das kann die FRITZ!Box nicht leis­ten und dementsprechend macht es in Unternehmen­snet­zw­erken immer Sinn, eine Fire­wall zu nutzen.

Also wie ich ger­ade gesagt habe, nicht zwin­gend eine Hard­ware-Fire­wall, sie kann auch vir­tu­al­isiert sein, aber es sollte ein Net­zw­erk-Fire­wall geben. Die würde ich immer empfehlen, im Pri­vat­bere­ich nicht. Man muss halt die Kosten dage­gen­le­gen und wie gesagt, wenn man halt Bilder hat, das ist nochmal was anderes.

Also das ist ja meist so das Kri­tis­chste, was man zu Hause hat und von daher ist es da nicht unbe­d­ingt empfehlenswert. Aber von Kle­in­stun­ternehmen bis hin zu, keine Ahnung, Großun­ternehmen ist eine Fire­wall oder sind Fire­walls, je nach­dem, Stan­dorte und so weit­er, würde ich sie immer empfehlen. Und dann hast du ger­ade ja nochmal gesagt, ich habe meinen Mitar­beit­er, der im Home­of­fice arbeit­et, das muss man natür­lich nochmal unter­schei­den, denn dieser Mitar­beit­er, der kann ja in seinem Pri­vat­net­zw­erk unter­wegs sein und hätte dann ja, in Anführungsstrichen, nur die gle­ichen Schutzmech­a­nis­men wie ein Pri­vat­gerät.

Und das kann man dann durch eine Soft­ware-Fire­wall, also nochmal zusät­zlich zur Win­dows-Fire­wall, lässt sich dann eben auch eine Soft­ware-Fire­wall auf diesem Endgerät instal­lieren und auch dort kon­fig­uri­eren. Das heißt, da kann ich einen ähn­lich starken Schutz schaf­fen, wie eben auch mit ein­er Net­zw­erk-Fire­wall im Unternehmen. Okay, super.

Und so schließt sich dann der Bogen. Und wie ich in der vorheri­gen Folge schon mal gesagt hat­te, macht es Sinn, also ger­ade auch in diesem Fire­wall-Bere­ich, eine Net­zw­erk-Fire­wall einzuset­zen, die dann mit den Fire­walls auf den Endgeräten kom­mu­nizieren kann. Also, dass man wirk­lich bei einem Her­steller bleibt, damit eben dieser Schutzmech­a­nis­mus sich kom­plett durchzieht.

[Michael]

Ja. Würde bedeuten, Schutzmech­a­nis­mus, den ich in der Fir­ma, in der Hard­ware-Fire­wall eingestellt habe und habe die Fil­ter und die Ports auf, zu, etc., PP, das überträgt der sich in den Client rein, sodass der Client, der dezen­tral dann im Home­of­fice sitzt, das sehr ähn­lich hat bis iden­tisch.

[René]

Genau. Und was dann auch der Vorteil ist, dass halt, wenn jet­zt diese zwei Sys­teme miteinan­der kom­mu­nizieren, ich sag mal, da baut jet­zt ein­er eine VPN-Verbindung auf, hat jet­zt irgend­wie, ich sag mal, also VPN, falls man es noch nicht gehört hat, ein Tun­nel­sys­tem.

[René]

Das heißt, ich baue einen direk­ten VPN-Tun­nel von mir zu Hause ins Unternehmen auf.

Dann kann es ja dur­chaus sein, sollte nicht, aber es kann ja sein, dass ich meinetwe­gen eine Schad­soft­ware, also ein Virus oder so, auf meinem Sys­tem habe. Dann tauschen sich diese bei­den Fire­wall-Sys­teme genau dazu aus, wenn es an ein­er Stelle auf­taucht, also auf­fällt, und dann würde halt entsprechend dieser Zugriff wieder gekappt wer­den. Also da habe ich auch meinen Schutzmech­a­nis­mus.

Und auf der anderen Seite ist es genau­so. Das Gute ist, wenn ich eine Man­aged-Lösung habe, das ist ja eine Win­dows-Fire­wall zum Beispiel nicht, die ist kom­plett lokal auf diesem Sys­tem ein­gerichtet, die kom­mu­niziert mit nichts anderem. Da gibt es auch keinen Dienst dahin­ter oder so, es kom­mu­niziert halt wirk­lich auf diesem einen Gerät.

Und wenn ich jet­zt so eine Fire­wall oder so ein Man­aged-Sys­tem habe, was wirk­lich alle in einem Por­tal darstellt, habe ich halt auch den Vorteil, stellt ein Sys­tem eine Sicher­heitsver­let­zung fest, dann wird dies an alle anderen Geräte, also Fire­walls, ob Geräte oder Soft­warelö­sung, wird diese Infor­ma­tion raus­ge­pusht und übern­immt halt das neue Regel­w­erk für alle. Das heißt, ich habe zwar dann vielle­icht ein­mal diesen Schutz ver­let­zt, weil jet­zt halt meinetwe­gen die Schad­soft­ware reingekom­men ist, aber das kann den anderen nicht mehr passieren, weil das Sys­tem dann automa­tisch sagt, hier, wir haben fest­gestellt oder ich habe fest­gestellt, da war was, das habe ich jet­zt für alle anderen über­nom­men und dann läuft das auch. Also damit erhöht man ganz klar seinen Schutz im Gesamten.

Und bei Net­zw­erk dann meine ich auch dieses dezen­trale Net­zw­erk, wirk­lich jed­er End­point bekommt diese Infor­ma­tio­nen auch. Okay. So, viel mehr würde ich darauf auch gar nicht einge­hen, weil dann kom­men wir glaube ich zu tief ins The­ma.

[Michael]

Genau, deswe­gen wollte ich auch ger­ade ein biss­chen ein­schre­it­en. Ich habe zwei Dinge. Das eine ist, das geht jet­zt ganz schnell, natür­lich muss es dafür, wie für alle anderen Dinge es im Unternehmen einen Häuptling geben sollte, sprich einen ver­ant­wortlich geben sollte, es muss halt ein­er im Unternehmen in der Lage sein, eine Fire­wall vernün­ftig einzustellen und zu kon­fig­uri­eren.

Du hast eben schon gesagt, das geht nicht out of the box, das ist nicht so, als wenn ich irgend­wo in den Laden renne, kaufe mir ein kleines schwarzes Kästchen, stecke zwei Kabel ein, es leuchtet eine grüne LED und die Welt ist in Ord­nung, son­dern eine Fire­wall muss indi­vidu­ell aufs Unternehmen kon­fig­uri­ert wer­den und das geht halt auch nur, wenn ich Ahnung habe, weil genau­so viel, wie ich damit gut machen kann, kann ich damit auch schlecht machen, indem ich es ein­fach falsch kon­fig­uriere.

[Michael]

Bedeutet, es muss ein­er geben, der das kann und der das entsprechend kon­fig­uri­ert oder wie immer der Tipp an dieser Stelle, wenn die Kom­pe­tenz im Unternehmen nicht vorhan­den ist, dann muss ich mir oder sollte ich mir die Kom­pe­tenz eben durch einen exter­nen Dien­stleis­ter einkaufen.

[René]

Abso­lut, aber auch da muss man wirk­lich sehr, sehr genau darauf acht­en. Also wir, ich habe es ja schon mal erzählt, wir haben halt das Audit-Ver­fahren bei einem unser­er Kun­den durchge­führt und haben uns sehr viele kleinere Stan­dorte angeschaut und da die natür­lich über­all verteilt sind, gab es da auch über­all einzelne Dien­stleis­ter dahin­ter. Auch da muss man wirk­lich auf Kom­pe­ten­zen acht­en, weil ja, manche, also ich sage mal ger­ade diese Ein-Mann-Buh­nen oder Zwei-Mann-Buh­nen, IT-ler, ich bin froh, dass es sie gibt, weil sie unter­stützen kön­nen und meis­tens sind das auch die, die am besten erre­ich­bar sind und am ehesten noch wieder greif­bar sind.

Aber dann ist es immer schwierig, da diese Ver­suchung einen sehr großen Bere­ich abzudeck­en kann es manch­mal wirk­lich sein, dass dann eben die speziellen Ken­nt­nisse fehlen und da ein­fach unter­stützen lassen. Das bringt auf jeden Fall was.

[Michael]

Genau und da, wenn ich das jet­zt richtig ver­standen habe, eine Fire­wall meine erste Vertei­di­gungslin­ie ist, also mein Haupt­d­ing ist, wom­it ich mich gegen das Inter­net oder gegen eben Angriffe abwehre, macht es halt ein­fach Sinn, genau an dieser Stelle Finanzmit­tel reinzupul­vern, um die Sicher­heit in meinem Unternehmen zu erhöhen, weil das genau da ist, wo es los­ge­ht. Abso­lut. Von daher da ein Ver­ant­wortlichen und wenn der nicht im Haus ist, Geld investieren und wir reden aber auch jet­zt hier nicht von Umsum­men, wed­er die Fire­wall noch die Kon­fig­u­ra­tion sind Umsum­men, es muss halt ein­fach gemacht wer­den.

Genau. Und das Zweite, was ich, was wir noch ziem­lich kurz jet­zt ger­ade mit rein­schnei­den kön­nen, ist, du hast das The­ma VPN schon angeschnit­ten, auch die Dien­st­bank guckt auf das The­ma VPN und die sagt halt ein­fach nutzt du VPN und wenn du VPN benutzt, stell es sich­er, dass es vernün­ftig kon­fig­uri­ert ist, dass es ver­schlüs­selt ist und dass eben deine Mitar­beit­er im Home­of­fice per VPN auf deine Serv­er Sys­teme im Unternehmen zugreifen. Genau.

Das ist noch super wichtig, finde ich. Und was ich wichtig finde zum The­ma VPN, auf ein VPN gehört eine Zwei-Fak­tor-Authen­tifizierung drauf.

[Michael]

Das finde ich für mich essen­tiell wichtig.

[René]

Ja, also es wäre kri­tisch, wenn man es nicht tut. Ein­fach aus dem Grund, bei jedem Online-Account mit­tler­weile sagt man okay, mach mal MFA, also Mul­ti­fak­tor-Authen­tifizierung auf zwei oder drei Fak­toren, ist egal. Und dann aber beim Zugriff direkt ins Herz der eige­nen Unternehmung nicht, das wäre ja richtig, also das wäre sehr kri­tisch.

[Michael]

Das hast du näm­lich schön beschrieben, mit einem VPN gehe ich halt direkt ins Eingemachte, also mit ein­er VPN-Verbindung kriege ich halt einen direk­ten Tun­nel in mein Unternehmen rein. Und der muss so sich­er sein wie son­st nichts, was ich absichere. Also das ist, ja, auch da wie der erste Vertei­di­gungslink, das gehört sich­er abgesichert.

Zwei-Fak­tor-Hochkom­plexe-Pass­wörter, Klein­syn­chro­ni­sa­tion etc. pp. Da sollte bitte ein sehr großes Augen­merk drauf gelegt wer­den, dass eine VPN-Verbindung wirk­lich sich­er und angemessen ist.

Näch­ster Punkt, den wir auch noch ganz kurz anschnei­den, wo es aber auch, ich sage jet­zt ein­fach mal, das ist gesun­der Men­schen­ver­stand, natür­lich soll­ten Endgeräte mit einem Pass­wort geschützt sein. Das heißt, wenn ich ein Lap­top habe, habe ein mobiles Endgerät, habe ein Handy etc. pp., die soll­ten natür­lich mit einem Pass­wort geschützt und auch ver­schlüs­selt sein. Geht zu Apple, hast du diese, das heißt eine Face-ID, jedes Smart­phone, jedes Android-Phone hat vorne irgen­deine Tas­taturkom­bi­na­tion im kle­in­sten Maße, die du dir aufziehst, um irgend­wie einen Zugriff­ss­chutz auf deine Dat­en zu haben. Also das ist noch eine wichtige Sache, dass man ein­fach daran denkt, dass alle Endgeräte in irgen­dein­er Art und Weise einen Sper­rcode haben, im Ide­al­fall was bio­metrisches, Win­dows-Hel­lo oder Face-ID, aber wenn das nicht ist, irgen­dein rel­a­tiv kom­plex­es Muster, es macht keinen Sinn, vier Zahlen zu streifen oder dieses berühmte Viereck zu machen oder so ein Zick­za­ck reinzu­machen, das ist ziem­lich bekan­nt. Also da nochmal ganz wichtig, Endgeräte sind mit einem Pass­wort zu schützen.

Das ist, glaube ich, selb­stver­ständlich, aber wir sagen es ein­fach nochmal. Oder siehst du es anders?

[René]

Nein, abso­lut. Natür­lich. Also es ist genau­so wie bei jedem anderen Gerät.

The­o­retisch ist ja mein, ich sag mal, das Muster, was ich da ein­trage bei Android, meinetwe­gen, oder die haben ja mit­tler­weile auch Gesicht­serken­nung, oder bei iOS, Face-ID oder meinetwe­gen auch die Touch-ID, das ist ja qua­si mein zweit­er Fak­tor. Das ist schon so. Was ich noch ganz kurz zur Kon­fig­u­ra­tion von vorher sagen wollte.

Wichtig, also das wird zwar in der Dien­st­bäck­erei hier jet­zt nicht abge­fragt, aber es ist halt trotz­dem extrem wichtig, dass man diese Sachen auch kon­trol­liert. Also das sagen wir ja in jed­er Folge, ich möchte es nur nochmal deut­lich machen, ger­ade im Bere­ich Fire­wall, es bringt mir auch nicht nur was, wenn ich es ein­richte und es läuft dann vor sich hin, es muss halt kon­trol­liert wer­den. Das heißt auch Fehler­mel­dun­gen und so weit­er, das muss alles geprüft wer­den, das muss immer wieder aktuell gehal­ten wer­den, also man muss da wirk­lich stark hin­ter­her sein.

Das ist keine Sache, die man eben ein­richtet und lässt man sie ste­hen, so drei, vier, fünf Jahre, wie dann nach­her mein Life­cy­cle so intern ist, son­dern man muss ihn wirk­lich immer wieder kon­trol­lieren und verbessern. Mit jed­er Fehler­mel­dung, die ja auch reinkommt, also irgen­deine Mel­dung bekommt man immer, und mit jed­er Mel­dung, die ich da behan­dle, kann ich mein Sys­tem verbessern, also den Schutz und auch die Funk­tion­al­ität.

[Michael]

Jet­zt spoilere ich nochmal, jet­zt habe ich noch einen zurück in die alte Folge. Fire­wall, Auto-Update, ein, ja, gelle?

[René]

Ja, auch da, also es gibt da einen Unter­schied. Mit­tler­weile würde ich sagen, ja. Der Unter­schied, den ich da sehe, ist, habe ich eine man­aged Fire­wall, also man­aged sind sie alle natür­lich, weil ich sie kon­fig­uri­eren kann.

Den Unter­schied würde ich da machen, es gibt ja ein­mal Fire­walls, die düm­peln so vor sich hin, also wirk­lich nur lokale, die keine Schnittstelle zu irgend­was hat, auch kein Por­tal dahin­ter oder irgen­dein Sys­tem, was Auswer­tun­gen fährt. Da würde ich sagen, okay, auch da würde ich es ein biss­chen wie bei den Win­dows-Servern hal­ten, biss­chen Zeit ver­set­zt, Updates instal­lieren, biss­chen da vielle­icht noch in den manuellen Bere­ich reinge­hen. Aber eigentlich alle aktuellen Fire­walls sind so, dass ich ein Por­tal dahin­ter habe, was mir Mel­dun­gen gibt, ob es erfol­gre­ich gelaufen ist, ob jet­zt, keine Ahnung.

Also ger­ade auch, ich sag mal, wenn ich ein Unternehmen habe, was über mehrere Stan­dorte verteilt ist und ich rolle jet­zt ein Update aus, dann muss ich ja irgend­wie eine Rück­mel­dung kriegen, war das jet­zt erfol­gre­ich, ist die Fire­wall wieder intakt? Also läuft sie wieder, ist die Kon­fig­u­ra­tion wieder einge­spielt, kön­nen die User wieder ganz nor­mal mit dem Inter­net kom­mu­nizieren, kön­nen sie arbeit­en und so weit­er und so fort. Also dann, wenn das gegeben ist, dann auf jeden Fall Auto-Update, ja.

[Michael]

Super, Häkchen dran. Lass uns zum näch­sten Punkt kom­men, lass uns über das The­ma WLAN reden. Ja.

Das ist ja auch ein Punkt, der in der DIN SPEC betra­chtet wird und da geht es total ein­fach los mit, set­zen Sie WLAN ein. Und da ist schon der erste Punkt, wo man macht, wo man ein­fach sagt dem Unternehmen, das ist so eine Unternehmen­sphiloso­phie, set­ze ich in Unternehmen WLAN ein, ja, nein. Und dann wirst du gle­ich ganz viel dazu erzählen kön­nen, wie man das auf­baut, wie man es sich­er macht, was man da tut an dieser Stelle.

[Michael]

Also ich weiß, ich kenne kein Unternehmen, was nicht WLAN ein­set­zt. Also heutzu­tage brauchst du in einem Meet­ingraum oder bist du in der Pro­duk­tion unter­wegs oder selb­st nur im Büro mit Lap­tops, dezen­tralen Arbeit­en, springst von ein­er Ecke in die andere. Ich kenne ganz, ganz viele Fir­men oder ich kenne eigentlich nur Fir­men, die ein Fir­men­net­zw­erk haben und WLAN zulassen, um genau das eben mobil und agil zu machen.

Und die Zeit­en, wo in einem Meet­ing-Kon­feren­zraum am Schreibtisch fünf LAN-Kabel ange­dockt wer­den, damit die Lap­tops ins Inter­net kön­nen, sehe ich eigentlich in let­zter Zeit gar nicht mehr. Wie siehst du das?

[René]

Ja, das ist vor­bei. Also da bitte nicht mehr mit Kabel arbeit­en, das ist totaler Quatsch. Damals hat man das natür­lich aus sicher­heit­stech­nis­ch­er Sicht gemacht, um eben die Net­ze zu tren­nen, also ein Inter­net­net­zw­erk und eben das Gast­netz.

Das ist aber heute gar nicht mehr der Fall. Also das Prob­lem war ja damals meis­tens, dass wir eine… Ich meine, wenn wir WLAN haben wollen, ein Gast-WLAN, um es wirk­lich getren­nt zu haben, brauchen wir eine Mul­ti-SSID.

Das heißt, es wird nicht nur ein WLAN aus­ges­trahlt, son­dern auch ein zweites, also gle­ichzeit­ig. So, dann war es so. Dann gab es die ersten Router, die das gemacht haben, oder Access Points, die das gemacht haben.

Die hat­ten aber… Am Ende des Tages bist du über die gle­iche Leitung mit den gle­ichen Funk­tio­nen gekom­men. Warst also auch im Inter­net, hat also nicht so viel Sinn gemacht, das dann darüber zu lösen.

Und mit­tler­weile kön­nen sehr, sehr viele Access Points das, dass man Mul­ti-SSID mit WLAN hat. VLAN bedeutet, das sind virtuelle Net­zw­erke. Ich nutze zwar die gle­iche Leitung, aber ich habe jet­zt ein­fach den Vorteil, dass ich dann den Daten­paketen, die über einen…

Also ich sage mal, mein Gast-WLAN heißt jet­zt Gast. Nehmen wir an, es würde so heißen. So, dann kann ich den Paketen, die über das Netz, also über das WLAN-Gast reinkom­men, kann ich sofort ein Tag mit­geben.

Tag heißt ein­fach, das ist ein­mal so eine kleine Kennze­ich­nung, und das ist das VLAN. Meine Wegen ist es 10. So, dann wür­den diese Daten­pakete reinkom­men über das Gast-Netz.

Da ste­hen über­all 10 dran. So, und dann sagt nach­her der Switch, okay, du bist ein Paket mit Tag 10. Du gehst jet­zt in das Gast-WLAN, äh, ins Gast-Netz, also am inter­nen Net­zw­erk vor­bei.

So, und da das heutzu­tage so leicht möglich ist, sehr viele Switch­es und Access Points kön­nen genau das, weil man muss eben bei­des darauf ausle­gen, und eben auch Fire­wall. Da das jet­zt mit­tler­weile fast jed­er Anbi­eter bietet, also die Möglichkeit, haben wir da über­haupt keine Prob­leme. Also da macht es keinen Sinn mehr, irgend­wie entwed­er Kabel bere­itzustellen oder, meine Wegen, auch zwei Access-Points zu nehmen, um es dann physikalisch zu tren­nen, weil es ist ja auch ein Kosten­fak­tor.

[Michael]

Genau, du sprichst zwei Punk­te an oder mehrere Punk­te an. Also das erste Mal ist wichtig, wenn ich ein WLAN habe, soll ich es angemessen ver­schlüs­seln. Und ich soll ein angemessenes, sicheres Pass­wort für das WLAN haben, dass da Zutritt drauf ist.

Die Dien­st­bank spricht von einem angemesse­nen Pass­wort in Klam­mern 20 Zeichen, BSI ist im Moment bei 8. Pass­wort ist ein anderes The­ma, dafür haben wir eine Folge gemacht, aber nur das, was wir der Voll­ständigkeit hal­ber mal erzählt haben. Und das Zweite, was du ansprichst, ich muss es tren­nen in dem Moment, wo ich es auch für externe Geräte auf­machen möchte.

Wenn ich nur meine eigene IT habe, möchte kein Gäste-WLAN zur Ver­fü­gung stellen, muss ich ein Net­zw­erk haben, nur für mich. Das Pass­wort geht natür­lich nicht raus, das ist mein internes IT-Ding, das ist mein Fir­men­net­zw­erk. Hochsicheres, kom­plex­es Pass­wort, da hat aber kein Gerät was drin ver­loren, was nicht zur Fir­ma gehört.

Und da geht es genau weit­er, da hat auch kein Mitar­beit­er-Endgerät was drin ver­loren. Der Klas­sik­er ist ja inzwis­chen heute, die Mitar­beit­er haben alle Smart­phones oder noch ein Tablet oder was auch immer pri­vat, nehmen das mit in die Fir­ma und wollen dann halt, um ihre Daten­pakete und ihre Daten­fla­trate zu sparen, eben ins Fir­men­netz rein. Und da sage ich halt ein­fach nein, nein, nein, wenn die Fir­ma möchte, dass die Mitar­beit­er ins Netz gehen kön­nen, ist ein Gast­net­zw­erk, so wie du es eben beschrieben hast, im Ide­al­fall aufzubauen.

Und genau­so, wenn auch Gäste ins Unternehmen kom­men, wenn Audi­toren kom­men, Kun­den kom­men, Liefer­an­ten kom­men, wenn irgend­was ist, wo du mal ein Meet­ing hast, du brauchst ja immer mal schnell, dass er sagt, kann ich mal kurz ins Inter­net, kann ich mir mal kurz meine E‑Mails abrufen, ich habe eine Präsen­ta­tion, ich möchte mal E‑Mails check­en, was auch immer. Das heißt, wenn du dem anbi­eten möcht­est, dass er eben im eige­nen Unternehmen WLAN nutzen kann, er hat das mit einem par­al­le­len Net­zw­erk, mit einem getren­nten Gast­netz zu erfol­gen und kein­er bekommt Zugriff auf das interne WLAN. Das ist eine ganz wichtige Regel und eine ganz klare Sache, oder?

[René]

Unbe­d­ingt, auf jeden Fall. Unbe­d­ingt, ja. Auch zum WLAN, da kön­nte ich vielle­icht noch zwei kleine Tipps mit­geben.

Gerne. Zum einen ist es so, dass ich vielle­icht nicht, also bitte nicht ein sta­tis­ches Ken­nwort ein­fach erricht­en, also ein­richt­en für ein Gast­netz. Ich meine, klar, mit­tler­weile gibt es diese, ja nicht mehr die Regelung, dass der­jenige dafür haft­bar ist, wenn jemand über das Net­zw­erk schädliche Dinge tut oder Ver­botenes run­ter­lädt oder son­st irgend­was.

Das mag alles sein, am Ende des Tages möchte ich aber trotz­dem ein sicheres Sys­tem haben. Das heißt, ich schaffe das so, dass der­jenige nur für einen gewis­sen Zeitraum einen Zugriff auf dieses Net­zw­erk hat. Also da würde ich vielle­icht am ehesten, also so empfehlen wir es mit­tler­weile, Vouch­er Codes ein­fach ver­wen­den, die eben nur drei Tage gültig sind.

[Michael]

Ja, Tage­stick­ets etc. oder drei Tage.

[René]

Oder ein Tag, natür­lich. Also drei Tage würde ich immer machen, wenn man mal Gäste länger im Netz hat oder im Haus hat, keine Ahnung, Meet­ing, Vor­trag, wie auch immer, dann kann man halt diese drei Tage nehmen. Und dann gibt Vouch­ers halt ein­fach aus dem Grund, dass diese mit einem QR-Code sind.

Das heißt, ich muss nie­man­dem ein Ken­nwort raus­geben. Er kann es nicht nach­her nochmal ein­tra­gen oder so. Es unter­schei­det sich jedes Mal wieder und dieser QR-Code kann ein­fach ges­can­nt wer­den und dann ist es erledigt.

[René]

Also das sind so die zwei Tipps, die ich vielle­icht noch mit­geben kann, weil dann kann ich näm­lich auf diese, das BSI sagt zwar 20 Zeichen, min­destens 20 Zeichen, aber so sind wir noch viel, viel sicher­er unter­wegs. Ich finde es ja gut, dass man dann schon sagt, okay, min­destens 20 Zeichen, bin aber eher ein Fan von noch größer­er Hürde, auch wenn es sich nur ums Gast­netz han­delt.

[Michael]

Ja, und ich bin noch ein ander­er Fan und zwar komme ich ja, ich bin halt als Berater unter­wegs, ich komme halt aus der Sicht raus. Wir hat­ten bei der let­zten oder vor­let­zten Folge auch so das The­ma mal ganz kurz, was gehört zum guten Ton, was ist State of the Art? Und ich für mich habe beschlossen und ich finde, dass für mich State of the Art ist, ich brauche beim Kun­den keinen WLAN, son­dern ich habe mein eigenes WLAN mit dabei.

Ich habe mein Handy, ich habe mein Hotspot, ich habe mein Tablet mit meinem Hotspot, ich habe eine 5G-Karte im Lap­top drin etc. pp. Das heißt, ich bin nicht darauf angewiesen, dass mir der Kunde ein WLAN zur Ver­fü­gung stellt, son­dern ich habe mein eigenes WLAN mit dabei.

Das funk­tion­iert in 99% der Fälle super ohne Prob­leme. Der Kunde fragt immer, muss ich mich über einen WLAN küm­mern, brauche ich Zugriff? Dann muss ich mal guck­en, sage ich, nee, gar kein Prob­lem.

Ich mache kurz eben den Hotspot auf, dann reicht mir das. Der Kunde ist hap­py, weil er die Arbeit nicht hat, sich um die Sache zu küm­mern. Ich bin hap­py, weil ich es mit mein­er IT sich­er­stelle.

Es ist mein Ding, es ist unter mein­er Kon­trolle. Wenn ich der Mei­n­ung bin, ich müsste im Hin­ter­grund irgen­dein Update ziehen mit 5G, dann ziehe ich es halt ohne, wie auch immer. Jeden­falls habe ich es in der Hand und ich bringe meins mit.

Das finde ich, macht für bei­de Seit­en das ein­fach­er und macht von der Berater­seite ein pro­fes­sionelleres Auftreten, als wenn jet­zt ein Berater kommt, ich habe das auch manch­mal bei Audi­toren, die dann kom­men, wo dann erst mal, ich müsste mal kurz WLAN, und dann bist du dann doch wieder am Organ­isieren. Wie gesagt, von mein­er Seite aus, Tipp von mir ist, Berater seid ihr vie­len anderen Unternehmen unter­wegs, nutzt euren Hotspot, schafft Möglichkeit­en, dass ihr es mit dem Hotspot laufen lasst. Das wäre so meins.

[René]

Ja, hast du abso­lut recht. Ich glaube, eine Kom­bi­na­tion aus bei­den ist gut. Du hast ger­ade gesagt, ger­ade gegenüber anderen, da es zu erle­ichtern.

Deswe­gen finde ich, ist bei­des wichtig. Wenn du sel­ber raus­fährst, natür­lich, dass du dein Inter­net mit­bringst, hast aber mal kein Netz, brauchst du ja trotz­dem WLAN. Wenn du bei dir im Unternehmen was bere­it­stellst, soll­test du trotz­dem WLAN haben.

Dann ist so ein QR-Code noch mal leichter, als würde ich ihm jet­zt irgen­deinen Schlüs­sel geben oder keine Ahnung was.

[Michael]

Genau. Auch das sieht doof aus als Unternehmenssicht. Das sieht ein­fach doof aus, wenn ein­er kommt und sagt, hier kann ich mal eben schnell bei euch ins Inter­net.

Du sagst, WLAN haben wir keins, wir haben kein Gast­netz. Moment, ich will mal guck­en, ob ich so einen Tages­pass kriege oder ob ich ein Pass­wort kriege und dann kommst du zurück mit einem Blatt Papi­er, wo das Pass­wort draufgeschrieben ste­ht. Hier, gib mal ein, damit kommst du online.

Das sieht halt ein­fach auch nicht pro­fes­sionell aus, um es mal auf den Punkt zu brin­gen, son­dern da macht es echt Sinn, mit Codes zu arbeit­en, mit Tick­ets zu arbeit­en, den ganzen Kram so prä­pari­ert zu haben, dass der Zutritt, der Zugriff halt auch ein­fach möglich ist. Also die tech­nis­che Voraus­set­zung da ist, dass das ein­fach zu real­isieren ist.

[René]

Ja, ich hat­te das mal. Kleine Anek­dote. Ich hat­te das mal, da war ich auf ein­er Tagung und da waren, lass mich lügen, 200 Leute, knapp.

Und dann, ja, auch hier WLAN, bla bla. Und dann war das ein riesen Hin und Her, weil die alle gar nicht ins Netz kamen, weil der Anbi­eter, also da, wo wir dann waren, hat sich vorher keine Gedanken drum gemacht, einen WLAN bere­itzustellen. Dann hat­te er erst die Dat­en dazu nicht, weil die haben es ja auch nicht bei sich im Haus gemacht, son­dern hat­ten es auch aus­ge­lagert.

Also das war, also immer vor­bere­it­et sein, das ist auch kein Aufwand, also bei­des nicht. Von daher, man muss es halt nur gut ein­mal ein­gerichtet haben, dann sind es alles Kleinigkeit­en und dann kann man sich sehr, sehr gut drauf vor­bere­it­en.

[Michael]

Zum Gut ein­richt­en, der Voll­ständigkeit hal­ber gehört nur das, was wir mal gezählt haben. WPA2 als Stan­dard von der Ver­schlüs­selung her, vom WLAN her. WPA1, ich weiß es gar nicht, ob es den noch gibt, ob der noch aktiv irgend­wo einzuschal­ten ist.

Aber state of the art ist aktuell WPA2, oder?

[René]

Ja, also wir gehen jet­zt ger­ade schon wieder einen Schritt weit­er, aber grund­sät­zlich, also WPA2 ist auf jeden Fall ger­ade der noch meist ver­bre­it­et­ste Stan­dard. Wir sind jet­zt ger­ade auf dem Weg zu WPA3, so in vie­len Bere­ichen haben wir es schon, aber das ist so, das kommt jet­zt immer mehr. WPA1 ist vor­bei.

Also die Geräte geben einem zwar noch die Möglichkeit, sog­ar WEP ist noch möglich, aber es endet. Also jed­er, der das ein­set­zt, der sollte sich wirk­lich externe Hil­fe holen. Klingt hart, ist aber so.

[Michael]

Ja, okay. Auch Folge davor, End-of-Life-Cycle und Sup­port-Ende, da hast du recht. Also WPA1 und WEP ist Sup­port-Ende erre­icht.

Ja, genau. Okay, gut, dann haben wir, lasst uns den Bogen span­nen vom WLAN rüber zu das, was ihr viel macht bei Kun­den, näm­lich Sup­port-Zugriff von außen. Ja.

Das ist ja auch eine Sache, die in Aspekt abge­fragt wird, wo es ein­fach geht, Fer­n­wartung im großen Über­be­griff. Gibt es Schnittstellen nach außen? Gibt es Dien­stleis­ter?

Gibt es Fir­men, die Fer­n­wartung anbi­eten? Wenn ihr jet­zt als IT-Dien­stleis­ter irgendwelche Fir­men, die Maschi­nen­park warten bei Ihnen und bei euch im Unternehmen und die halt ein­fach auf eine Mas­chine zugreifen kön­nen.

[Michael]

Also auch das sind alles Dinge, die man sich mal im Unternehmen bewusst wer­den muss, muss mal auf­schreiben und muss das kon­trol­lieren und auch überwachen.

Das ist ein ganz wichtiger Punkt.

[René]

Richtig. Also das defin­i­tiv. Da gibt es auch nochmal unter­schiedliche Dinge, die man betra­cht­en muss.

Also auf der einen Seite kann es natür­lich ein­fach ein Zugriff sein für ein Sys­tem, was dahin­ter steckt. Ich sage mal wie zum Beispiel Patch-Man­age­ment. Also das heißt, wir haben gar keinen Zugriff auf das Sys­tem an sich, son­dern es wer­den ein­fach nur die Patch­es sys­temisch einge­spielt.

Also wir geben sie frei und so weit­er, aber wir haben jet­zt nicht die Möglichkeit, uns auf das Sys­tem so zu schal­ten, dass wir Dateien irgend­wie ein­se­hen kön­nen. Und auf der anderen Seite ist es halt wirk­lich so, wenn jet­zt der ganze Sup­port aus­ge­lagert ist, dann haben wir natür­lich auch einen Zugriff darauf. Da liegt halt genau der Unter­schied.

Also da gibt es bei­de Vari­anten. Auch da wichtig, man sollte es immer möglichst so hal­ten, dass selb­st der Admin­is­tra­tor, also wir in dem Fall, keinen Zugriff auf Dat­en haben. Hat ja ein­fach aus Daten­schutz­grün­den, also grund­sät­zlich man kann dann sehen, okay, da liegen Dateien, aber man kann sie nicht öff­nen.

Das finde ich ist halt auch wichtig, dass man das so mit berück­sichtigt, weil, nehmen wir mal an, das ist jet­zt, keine Ahnung, ein Kunde, der hat jet­zt keine Ahnung, was für Dat­en da liegen. Ich möchte, so wie ich es beim let­zten Mal schon gesagt habe, ich möchte gar keine Begehrde weg. Men­schen sitzen auch in IT-Unternehmen.

Also alles, was man ein­schränken kann, sollte man ein­schränken, damit da eben gar keine Gefahr läuft. Und auch das, also ich sehe das auch tat­säch­lich so. Nie­mand hat was in den Dat­en der Kun­den zu suchen, außer der Kunde sel­ber.

Ja, genau. So wie wir es im Unternehmen selb­st sehen, muss es nach extern genau­so gese­hen wer­den. Ganz oft wird dann gesagt, ja, ihr macht das schon.

Ja, nee, ich möchte es trotz­dem eingeschränkt haben. Es mag sein, dass du das möcht­est, aus irgendwelchen Grün­den, damit ich nach­her Berech­ti­gun­gen irgend­wie nochmal ändern kann und so, aber ich möchte sel­ber diese Berech­ti­gung nicht haben. Also schon, dass ich Berech­ti­gun­gen ändern kann, aber nicht, dass ich sie mir sel­ber geben kann.

Also ich will ein­fach nicht in die Bedräng­nis kom­men. Ich sel­ber schon mal nicht, wir als Unternehmen. Und ich möchte auch nicht, dass der Kunde sich nach­her irgend­wie Fra­gen stellen muss.

War das vielle­icht mein Dien­stleis­ter oder keine Ahnung was. Ich will wirk­lich eine Hil­fe sein und ich hoffe, dass es jed­er für sich auch so sieht. Man will unter­stützen, aber mehr halt auch nicht.

[Michael]

Genau. Und da sind wir an genau zwei Punk­ten. Der eine Punkt ist, ich glaube, das sieht auch rel­a­tiv schnell, Zugriffe soll­ten natür­lich auch entsprechend sich­er sein.

Sprin­gen wir wieder auf den VPN-Zug auf, wenn ich einen VPN-Zugriff habe. Und wir haben eben schon gesagt, ich bin mit dabei dann auf jeden Fall bevorzugt Mul­ti­fak­tor-Authen­tifizierung im VPN drin. Dann sollte das der Dien­stleis­ter auch haben.

Also gle­iche Spiel­regeln, gle­iche Bedin­gun­gen. IT-Dien­stleis­ter bitte auch mit einem sicheren Zugriff drauf auf die ganze Kiste, damit es halt ein­fach sauber und sich­er geregelt ist. Und das Zweite ist das, was du schon ange­sprochen hast.

Daten­min­imierung. Nur auf das Dinge wirk­lich Zugriffe geben, was er auch wirk­lich braucht, um halt seine Dien­stleis­tung zu erfüllen.

[René]

Genau.

[Michael]

Ende. Und dann war es das. Und je bess­er du das kon­trol­liert hast und Kon­trolle ist das The­ma, du soll­test auch, ich weiß nicht, Audit-Trail, also irgend­was mit­laufen lassen, dass du siehst, wann dein Admin oder wann dein extern­er Sup­port sich eingewählt hat, wann er sich angemeldet hat, wann er sich abgemeldet hat.

Und im Ide­al­fall kannst du noch guck­en, was er für Kon­fig­u­ra­tio­nen geän­dert hat. Also irgend­wo läuft ein Trail mit, die halt ein­fach die Tätigkeit­en der Admin­is­tra­tion, also des exter­nen Sup­port­es nachvol­lziehbar machen kön­nen, damit genau das, was du beschrieben hast, eben, dass nach­her die Diskus­sion los­ge­ht. Es fehlen jet­zt zehn Giga­byte Dat­en, die sind gelöscht.

Seit gestern, gestern Abend war da noch der IT-Lehrer kurz auf dem Sys­tem und hat noch irgend­was gemacht, hat der sie nicht. Und das kriegst du halt ein­fach weg, wenn du halt vernün­ftig ein Pro­tokoll mit­laufen lässt und nachvol­lziehen kannst, kannst du dann genau sagen, nee, da war er nicht, son­dern er hat wirk­lich ein paar Patch­es einge­spielt, aber er ist nicht auf dem File-Serv­er gewe­sen, hat irgend­was run­tergelöscht.

[René]

Genau. Wir zum Beispiel, wir schick­en ja, das hat­te ich schon mal erzählt, in ein­er anderen Episode, wir schick­en monatlich einen Bericht, so wie es beim Back­up halt auch ist. Und in diesem Bericht ste­ht halt drin, also da wird genau Pro­tokoll geführt, wann wir uns aufgewählt haben und auf welch­es Sys­tem.

Also das ist nur eine Kurzüber­sicht, das kommt monatlich automa­tisch. Wenn man sagt, okay, ich brauche noch ein genaueres Pro­tokoll, weil halt keine Ahnung was passiert ist, dann kann man auch dieses bei uns anfordern. Also unser Sys­tem pro­tokol­liert ganz klar mit, was wir tun und zu welch­er Zeit und auch auf welch­es Tick­et hin, bei uns wird das ja alles auch noch auf Tick­ets gebucht.

Das heißt, man kann sog­ar sehen, welchen Zusam­men­hang sich der Tech­niker über­haupt damit befasst hat. Warum hat er sich genau in dem Augen­blick über­haupt aufgewählt? Dann wird es kein Tick­et geben und dann gibt es aber ein Aufwählen.

Ja, dann sollte man vielle­icht mal Fra­gen stellen. Sollte man Fra­gen stellen. Ja, super.

Das auf jeden Fall. Dann, was halt auch wichtig ist, du hast es vorhin zwar auf WLAN bezo­gen gesagt, auch hier, der Zugriff sollte auf jeden Fall auch ver­schlüs­selt sein. Ja.

Also es gibt halt immer so, also ger­ade bei Fer­n­wartun­gen, Teamview­er hat­te das eine Zeit lang, da waren die vom, also mit­tler­weile sind die natür­lich ganz weit vorne, was die Ver­schlüs­selung ange­ht, hat­ten aber teil­weise zwis­chen­zeitlich mal eine ver­al­tete Ver­schlüs­selung. Das würde ich dann nicht empfehlen. Also man sollte wirk­lich schauen, dass das alles aktuell ist, damit man da auch, wie wir es schon in diesem ganzen BSI-Teil oder in der DIN SPEC sagen, ein­fach aus Sicher­heits­grün­den bitte immer darauf acht­en, dass es aktuell ist.

Die Sys­teme, die Ver­schlüs­selun­gen, die Ken­nwörter, die was weiß ich, also alles wirk­lich immer aktuell hal­ten, weil son­st, ja, immer ein biss­chen schlecht.

[Michael]

Ja. Ja. Schöne Über­leitung zum let­zten Punkt und damit schließen wir, glaube ich, dann auch die DIN SPEC ab, wenn ich es richtig sehe.

Genau. Aktuell hal­ten, sich­er hal­ten bedeutet auch ver­füg­bar hal­ten, bedeutet auch Schutz vor Ele­men­tarschä­den, also Schutz vor Beschädi­gung von mein­er Hard­ware. Also das ist noch ein Kapi­tel, worum sich das in der DIN SPEC auch küm­mert und ich sage jet­zt mal im Groben ist, wenn ich einen Server­raum habe oder habe einen Serv­er, dann sollte ich mir schon mal bewusst wer­den, ob ich einen Rauch­melder im Server­raum habe, ob der Serv­er irgend­wie einge­haust, abgeschlossen etc., PP ist, ob vielle­icht da die Haupt­ab­wasser­leitung durch­läuft, auf­passen, dass er abgeschlossen ist gegen Sab­o­tage oder sowas.

[Michael]

Das heißt, ich sollte mir, ich muss mir in meinem Unternehmen Gedanken machen, wie ich IT-Geräte vor mech­a­nis­che Zer­störun­gen, wo ich so schützen kann und schützen muss.

Genau.

[René]

Das kann man jet­zt wirk­lich bis sehr, sehr weit ans Ende führen, das Spiel. Wenn man jet­zt sagt, okay, wir brauchen, ich sage mal, einen 19-Zoll-Schrank, haben wir ja schon ein paar Mal gesagt, dass man den braucht, aber darin klemmt ja der Serv­er. Und wenn der Serv­er da drin ist, dann ist es ja nicht damit getan, dass der, also was ich ganz oft sehe ist halt, der Schrank ist da, die Tür ste­ht auf, vom Schrank.

Okay, das ist schon mal schlecht, aber selb­st wenn die Tür zu ist, da drin der Serv­er, meis­tens die Gehäuse, die wir so dann da drin haben, die sind selb­st auch noch mal ver­stießbar. Warum bleiben die auf? Die müssten the­o­retisch auch ver­schlossen sein usw.

Also da habe ich sehr, sehr viele Möglichkeit­en. Sollte man wirk­lich auch bis zum Ende spie­len? Warum sind die Schlöss­er da dran, wenn ich sie nicht nutze?

Das ist ja totaler Blödsinn.

[Michael]

Ja, und ger­ade bei Servern, finde ich immer, sind so diese drei typ­is­chen Punk­te. Feuer, Wass­er und Strom, sprich Bran­dan­lage, Rauch­melder. Ist was irgend­wann dran?

Habe ich eine hohe Brand­last in diesen Räu­men? Dieses Papier­ar­chiv, wodurch zufäl­lig auch der Serv­er drin­ste­ht und auf einem Adventskranz noch leuchtet. Also Feuer.

Habe ich Wass­er? Ich habe das schon gehabt mit Haupt­wasser­leitun­gen, Wasser­schä­den. Das bedeutet mal so ein Wasser­melder in so einen Raum rein, unten auf dem Boden, dass wenn Wass­er wirk­lich auf dem Boden ste­ht, dass es gemeldet wird und den Serv­er, so blöd wie es klingt, halt ein­fach mal auf ein kleines Böckchen stellen.

10, 20 Zen­time­ter in die Luft, dass da eine Frei­heit ist. Ich weiß, ein Serv­er hat einen entsprechen­den Sock­el unten, da kann man guck­en, ob die Kabel drin liegen. Ruhig das ganze Ding ein biss­chen anheben auf dem Betonsock­el etc. pp, um halt ein­fach da so einen Schutz vorzukriegen. Und klas­sisch Strom, Überspan­nung und Stro­maus­fall. Überspan­nung ist meis­tens in der USV-Anlage mit drin, weil die USV-Anlage brauche ich sowieso für einen Span­nungsver­lust, dass meine Serv­er vernün­ftig run­ter­fahren und dass nicht ein­fach durch einen Stro­maus­fall die Kiste auf ein­mal tot ist oder dass Pro­gramme und Sys­teme run­terge­fahren sind.

Und das sind so diese drei typ­is­chen Dinge, finde ich, wo man sich mit ein­fachen Mit­teln mal drüber Gedanken machen kann. Das ist so.

[René]

Oder muss. So wie du ger­ade gesagt hast, auch USV. Das ist ganz oft, wo dann viele sagen, ist ja Quatsch.

Nee, eben nicht. Also wenn ein­mal eine Daten­bank wirk­lich abstürzt, so ein SQL-Serv­er, der ist hochempfind­lich. Sollte da wirk­lich ein Absturz erlei­den, dann habe ich danach eine defek­te Daten­bank.

[Michael]

Ja, aber René, ger­ade das hat doch jed­er von uns schon mal mit­gemacht. Egal welchem Alter. Ich kenne es von Win­dows 95, von Win­dows 98.

Du ziehst hin­ten aus Verse­hen den Steck­er raus oder der Strom geht weg und die Kiste geht mit einem blauen Bild­schirm wieder hoch. Und dann hast du erst­mal, hältst du die Luft an, wenn da ste­ht, ihr Sys­tem wird wieder hergestellt oder Recov­ery in Process oder was dann immer stand. Und dann hältst du die Luft an, solange bis die Möhre wieder am Ren­nen ist, weil du ein­fach Schiss hast, du hast dir irgend­was abgeschossen.

Weil da halt ein­fach in einem Daten­ver­ar­beitungs- oder in einem Spe­icher­prozess die Möhre halt ein­fach hard­waremäßig vom Strom getren­nt wurde. Und es ist essen­tiell wichtig, eine USV zu haben, die das weg­pul­vert. Und da brauchen wir keine USV, die einen 10-Stun­den-Betrieb aufrecht erhält oder sowas, son­dern du brauchst eine USV, die mit den Servern ver­bun­den ist, um min­destens sauber run­ter­fahren zu kön­nen.

Das muss die USV min­destens kön­nen. Und alles andere ist eine Risiko­be­tra­ch­tung. Wenn du sagst, der soll noch 10 Stun­den über den Akku laufen, feel free, aber die Min­destanforderung ist, er muss sauber run­ter­fahren und natür­lich die USV soll einen angemesse­nen Blitzschutz haben.

Wenn eine Überspan­nung im Netz ist, dass das halt eben durch die USV abgefed­ert wird und nicht durch­schießt auf den Rech­n­er.

[René]

Oder am besten auch Strom­schwankun­gen, das ist auch immer ein The­ma. Also ganz oft, wenn man so in der Beratung ist und dann fragt, wie ist denn das bei euch mit Strom und so? Ja, nee, ist alles super.

Son­dern stellt man die USV dahin und dann sieht man nach­her in den Pro­tokollen so, aber ihr habt totale Schwankun­gen. Zwis­chen­durch habt ihr mal eben zwei, drei Sekun­den ein­fach keinen Strom. Lasst das mal ein paar Sekun­den länger sein.

Manch­mal durch den Rest­strom, der sich ja irgend­wo noch aufhält. Ist es dann okay? Dann merkt man es nicht.

Aber lasst das nur einen Augen­blick länger sein. Das ist The­ma durch. Dann ist alles aus.

Und das fängt halt auch so eine USV mit ab.

[Michael]

Und das ist ganz wichtig. Das, finde ich, ist eine super wichtige Sache. Zumin­d­est, also das ist zum The­ma Serv­er.

Aber auch die Clients. Es ist immer wieder der dumme Run­ning Gag, es liegt halt kein Lap­top auf der Rück­sitzbank im Cabrio. Also, ver­stehst du, was ich meine?

Es ist so blöd, wie es immer wieder klingt. Aber auch meine pri­vat­en, also nicht die pri­vat­en, aber auch die dien­stlichen Endgeräte, die mobil sind, sind zu schützen. Es ist halt ein­fach so.

Da muss ich drauf auf­passen. Wenn ich das mit aus dem Unternehmen raus­ge­he, muss ich drauf auf­passen. Und auch im Unternehmen, wenn ich Dien­stleis­ter im Haus habe, die bewache ich.

Das ist auch ein anderes The­ma. Aber da passe ich ein­fach auf, dass der sich nicht irgen­dein Client unter den Nagel reißt und das raus­trägt. Weil in den Büros die Zeit­en, wo die kleinen PCs, große Desk­top-PCs waren, die ja schul­tern mussten, sind ja rum.

Die Dinger sind so groß wie zwei, drei Päckchen Zigaret­ten, sage ich jet­zt ein­fach mal von der Größe her. Da ist alles drauf. Die laufen.

Die sind mit zwei Kabeln abgek­lemmt und dann tschüss damit. Ich passe bitte auf meine IT auf.

[René]

Auf jeden Fall. Aber auch da helfen natür­lich Ver­wal­tungssys­teme, die im Hin­ter­grund laufen. Weil auch da kön­nte ich dann ein Fer­ndöschen anstoßen, wenn es irgend­wann mal wieder ans Netz kommt.

Aber es sind alles so Sachen, die gehören natür­lich dazu. Hast du abso­lut recht.

[Michael]

Wie gesagt, das sind ein­fach so Sachen, die man sich anguck­en muss. Ja natür­lich, jet­zt kann man doch sagen, wohne ich in einem Erd­bebenge­bi­et? Also wenn ich am Fluss wohnen würde, würde ich halt mein Serv­er nicht in den Keller stellen, son­dern vielle­icht ins zweite oder dritte Obergeschoss.

Das sind halt alles so Dinge, Ele­men­tarschä­den, sollte man berück­sichti­gen. Ein­fach Guck drauf haben.

[René]

Das hat­ten wir tat­säch­lich schon mal. Dann stand dein Regal, ja, ich habe unten 30 Zen­time­ter Platz gelassen. Stand trotz­dem unter Wass­er.

[Michael]

Es ist auch blöd, auch blöd Wass­er. Ich sage mal, wenn ich so einen kleinen, kleinen PC am Arbeit­splatz ste­hen habe, in die Kaf­fee­tasse umfällt und es ras­selt rein, ras­selt es halt rein. So kleine PCs, so Kleinkisten, die klebe ich mir halt mit ein­er Beser­hal­tung an den Mon­i­tor oder son­st irgend­was.

Also ja, wenn ich von einem Ele­men­tarschä­den rede, muss jet­zt nicht irgend­wie so ein Stutzbach Wass­er kom­men, da reicht die Flasche Wass­er, die im Schreibtisch umgekippt wird oder der Kaf­fee, der da rum­ras­selt. Und wenn da ein Com­put­er halt eben so ste­ht, dass man es drauf tropft, dass der Deck­el nicht drauf ist, etc. PP, was man alle schon gese­hen hat.

Nein, nicht. Guck drauf haben, sich­er machen, bitte.

[René]

Genau. An der Stelle auch Schutz vor Ele­men­tarschä­den. Wir haben jet­zt nur von Serv­er und Clients gesprochen.

Ich finde, da gehören dann auch noch andere Dinge mit rein. Ele­men­tarschä­den ist jet­zt vielle­icht ein biss­chen zu hoch gegrif­f­en. Ich möchte es trotz­dem gesagt haben, es ste­ht zwar nicht da drin.

Und zwar, was ich immer wieder höre, ist, wir haben hier Druck­er, die sind super wichtig und wenn die aus­fall­en, dann kön­nen wir nicht druck­en. Hast du es auch schon gehört? Weil ich kenne das, das ist häu­fig.

Ja, lei­der. Das tote Holz wird immer noch gequält, ja. Genau.

Und da auch, also aus mein­er Sicht, was das ange­ht, da wird ganz oft irgend­wie gesagt, ihr müsst hier einen Druck­erser­vice anbi­eten. Nein, eben nicht. Seien wir mal ehrlich, was kostet so ein Druck­er mit­tler­weile?

Die kosten auch nichts.

[René]

Und wenn der Druck­er so wichtig ist, stell den Zweit­en daneben. Hört sich hart an, aber ist meine Sicht.

Weil am Ende des Tages, der Ser­vice, den wir dafür bieten müssten, ist um einiges teur­er, als würde ich mir den Zweit­en dahin stellen. Und wenn er so wichtig ist und der nicht aus­fall­en darf, in zu kein­er Minute, dann stell den Zweit­en dahin. Ja.

Mal abge­se­hen davon, dass ich denke, dass der Prozess mit Sicher­heit auch dig­i­tal­isiert wer­den kann. Genau. Aber Druck­er ist jet­zt nur ein Beispiel.

Aber alles, was wirk­lich so rel­e­vant ist, dass ich sage, ich kann dazu kein­er Zeit drauf verzicht­en, nicht mal eine Stunde, da muss es redun­dant sein. Also sowohl Serv­er als auch Clients, Druck­er, meinetwe­gen eine Web­cam, ganz egal. Aber da muss es zweifach da ste­hen, in gle­ich­er Aus­führung, damit ich die Kon­fig­u­ra­tion ein­fach spiegeln kann und sagen kann, okay, fällt das eine aus, nehme ich das andere.

[Michael]

Genau. Wobei ich beim Druck­er wahrschein­lich so wäre, ich hätte bei­de im Ein­satz. Wenn es wichtig ist, dass ich druck­en muss, ich hätte bei­de im Ein­satz, so würde ich die Druck­last doch von einem ver­ringern.

Ich würde es auf zwei verteilen. Ich hätte dadurch, dass in den meis­ten Unternehmen du ja min­destens mal zwei Büros hast oder mal Abschnitte hast, ich hätte es kom­fort­abler für die einzel­nen Mitar­beit­er. Das heißt, ich würde wahrschein­lich Wege verkürzen, ja, irgend so was.

Wohinge­gen ich eine Web­cam, hätte ich im Regal orig­i­nal ver­packt liegen für den Fall, dass du mir die abbrauchst, die ich jet­zt im Ein­satz habe. Also das muss man sich anguck­en. Aber es ist ein ganz wichtiger Punkt, den du auch gesagt hast, ist, wenn es Sys­teme gibt, auch das Risikobe­w­er­tung in der ganzen Sache, wenn ich irgend­wann zum Entschluss komme, das ist ele­men­tar wichtig für mein Unternehmen, das ist genau das Ding da, dann muss das redun­dant sein und ich muss nochmal einen beson­deren Schutz drau­fle­gen.

Wenn ich Rech­nun­gen mit Papi­er versende und ich habe tausend Rech­nun­gen, die ich ver­schenke, jede Woche und mein Druck­er fällt aus, dann darf der eben nicht zwei Wochen aus­fall­en. Dann kann ich keine Rech­nun­gen schreiben.

[René]

Aber Michael, nur ein ganz kurz­er Tipp noch, ich hoffe ja, dass uns auch ein paar ITler zuhören. Wenn man Dig­i­tal­isierung vorantreiben möchte und so haben wir es in manchen Unternehmen gemacht, dann ver­ringert man nicht den Weg zum näch­sten Druck­er, man ver­längert ihn deut­lich. Das heißt, man schafft sehr große Lück­en, weil dann wer­den irgend­wann die Ideen, die eige­nen Ideen der Mitar­beit­er kom­men dann und dann geht es auch.

Also nur so als kleine Anre­gung.

[Michael]

Manch­mal muss man ein biss­chen nach­helfen. Ja, ja, das ist schon richtig. Und der Königsweg ist halt zu ver­mei­den, dass Papi­er gedruckt wird.

Da hil­ft auch in manchen Unternehmen, bei manchen Sachen hil­ft halt schon, den Stan­dard­druck­er PDF zu wählen, dass halt ein­fach das erst­mal nur auf dem Desk­top ist. Du kannst es anguck­en und wenn du bei einem biss­chen was zurückge­druckt hast, kannst du es dann immer noch druck­en. Also ja, da gibt es Tricks, aber da schweifen wir jet­zt ab zur DIN-SPEC.

Wollte ich nur Voll­ständigkeit sel­ber angemelden. Jaja, aber da bin ich vol­lkom­men bei dir. Ja, ich glaube, damit haben wir es.

Vie­len lieben Dank.

[René]

Ja, Michael, span­nen­des The­ma. Und ja, schauen wir mal, was beim näch­sten Mal geht.

[Michael]

Ja, ich würde noch sagen, wir haben es ja jet­zt abgeschlossen. Also wir sind jet­zt über drei, vier Fol­gen mal kom­plett durch die DIN-SPEC durchge­gan­gen. Ange­bot wäre, wann immer Fra­gen sind, wann immer Prob­leme in der Umset­zung entste­hen.

Wir sind da, René und ich. Schreibt uns an. Schreibt uns sowohl als auch an.

Es ist jet­zt so, der René ist mehr der Tech­niker, ich bin mehr der Reg­u­la­torische, aber wir sind schon in der Lage, das vernün­ftig durchzu­fil­tern. Das heißt, schreibt ein­fach einen von uns an. Kon­tak­t­dat­en wird der René gle­ich nochmal sagen bzw. nochmal auf die users lounge Web­seite ver­weisen und unser Ange­bot ein­fach melden, wenn irgend­was ist. Und dann kriegen wir die Kuh schon vom Eis. Vie­len Dank.

Die let­zten Worte sind dir. Tschüss.

[René]

Von mir auch. Vie­len Dank, dass ihr dabei wart. Ja, wie Michael ger­ade schon gesagt hat, bei Fra­gen immer gerne melden.

Oder unter users-lounge.de kön­nt ihr unsere Kon­tak­t­dat­en find­en. Anson­sten bei LinkedIn, auf Social Media, über­all gerne auch Pod­cast hören oder da auch bew­erten, mal ein Like dalassen oder son­st irgend­was. Und ja, dann würde ich sagen, hören wir uns beim näch­sten Mal.

Und bis dahin, schönes Woch­enende und alles Gute. Vie­len Dank. Tschüss.