Sicherheit für KMU

[ElCollectore]

Je nachdem wie groß das Unternehmen ist, läuft das auf ein Mix von externen Datenschutzbeauftragten, Steuerberater und Systemhaus hinaus.
Ich bezweifle das bei kleinen Unternehmen sich jemand großartig mit DSGVO, ViDA und weiteren gesetzlichen Regelungen auseinander setzen will oder kann.
Die normalen Mitarbeiter werden ja wohl eher mit dem Tagesgeschäft zu tun haben .

 

[nutrix]

Ich bezweifle das bei kleinen Unternehmen sich jemand großartig mit DSGVO, ViDA und weiteren gesetzlichen Regelungen auseinander setzen will oder kann.
Die normalen Mitarbeiter werden ja wohl eher mit dem Tagesgeschäft zu tun haben .

Dafür kannst Du jederzeit externe Mitarbeiter bzw. Freelancer engagieren, die das übernehmen. Kostet auch nicht die Welt, da so ein Freelancer nur für ein paar Stunden pro Monat gebraucht wird.

 

[Joe Dalton]

Was bezeichnest Du denn in dem Kontext "kostet auch nicht die Welt"? Welche Eurobeträge meinst Du damit?

Wie bei jeder Dienstleistung möchte jemand daran verdienen und die nachfragen von "IT-Admins h.c." in diesem Forum zeigen, wie zahlungswillig kleine Firmen sind. Da der TE auch nicht weiter hier reagiert hat, gehe ich mal davon aus, dass auch für ihn hier mehr Input kam, als man in seiner Firma tatsächlich bezahlen möchte.

 

[nutrix]

Wer in der Branche tätig ist, kennt die üblichen Stundensätze. 🙂 Und die sind bezahlbar, wenn man so eine Fachkraft nur für 5-10 Stunden im Montag benötigt.

Ergänzung (19. Juni 2024)

Wie bei jeder Dienstleistung möchte jemand daran verdienen und die nachfragen von "IT-Admins h.c." in diesem Forum zeigen, wie zahlungswillig kleine Firmen sind.

Das ist deren Problem, nicht meines, aber Du hast Recht, finde ich so nicht in Ordnung. Wenn mal gelegentlich ein Kollege nach Hilfe fragt, ist das in Ordnung, aber teilweise werden manche "gewerbliche" Anfragen in meinen Augen übertrieben.

Da der TE auch nicht weiter hier reagiert hat, gehe ich mal davon aus, dass auch für ihn hier mehr Input kam, als man in seiner Firma tatsächlich bezahlen möchte.

Auch deren Problem. Man kann gewisse Dinge nicht ohne entsprechendes Fachpersonal lösen, das geht immer schlecht für das Unternehmen aus. Da habe ich dann auch kein Mitleid, wenn sie deswegen untergehen.

 

[ElCollectore]

Dafür kannst Du jederzeit externe Mitarbeiter bzw. Freelancer engagieren, die das übernehmen. Kostet auch nicht die Welt, da so ein Freelancer nur für ein paar Stunden pro Monat gebraucht wird.

Schreib ich doch das es wahrscheinlich auf externe Mitarbeiter hinausläuft.

Die Problematik wird auch nicht sein diese Mitarbeiter zu bezahlen,
allerdings die daraus entstehenden Maßnahmen vielleicht schon.

So wie es hier scheint muss erstmal das absolute Minimum an gesetzlichen und Sicherheitstechnischen Forderungen erfüllt werden.

 

[rallyco]

Ich kenne das ein wenig. Arbeite in einem KMU mit gerade mal 4 Mitarbeitern (mich und GF eingeschlossen). Hab hier vor zwei Jahren angefangen, und da ich mich "mit Computern auskenne" (Hobby, sonst nix), werd ich hier zu allem was die IT angeht gefragt. Jetzt ist das natürlich nicht mein Fachgebiet, dafür bin ich auch nicht hier, aber in so einem kleinen Betrieb macht jeder mal was aus jedem Bereich, GF packt auch Pakete und ich löte mal was. Aber ich hab von Anfang an gesagt, dass ich keine Ausbildung habe und für nix die Verantwortung übernehme.

Hier hat auch jeder Adminrechte auf dem PC und ist für den PC selbst verantwortlich. Virenscanner hatten wir Sophos von einer externen IT (die das nicht gepflegt hat, wie ich oft erfahren durfte) und die uns irgendwann gebeten haben, auf den Windows Defender umzusteigen.

Jetzt hab ich das Glück, dass hier eine gewisse Sensibilität herrscht und bei jeder merkwürdigen Mail nachgefragt wird, nicht blind auf Links geklickt wird und allgemein sehr vorsichtig gehandelt wird. Das ist schon mal was. Aber vieles andere, was auch nur etwas Geld kosten würde, ist ein Kampf gegen Windmühlen. Ich würde mal behaupten, wir stehen schon einen Ticken besser da als andere alte Unternehmen unserer Größenordnung, aber es gibt trotzdem noch viel zu tun.

Nur bezahlen will das keiner.

 

[ElCollectore]

Eigentlich ist es ganz einfach für jedes KMU Unternehmen.

Wie lange wird gebraucht nach ein Worst-Case Szenario, damit man wieder arbeiten kann.
Höhe des Umsatzverlustes durch den Ausfall?

Welche wichtigen Daten sind komplett weg, was sind die Daten dem Unternehmen wert?

Was sind meine Geschäftskritischen Prozesse. Wieviel Budget möchte ich einsetzten um diese abzusichern?

Daraus ein jährliches Budget bilden.

Weil eins ist sicher, es ist nicht die Frage ob man Ziel eines Cybersecurityangriff wird.
Sondern wann es passiert und wie gut man dagegen aufgestellt ist.

 

[rallyco]

Sondern wann es passiert und wie gut man dagegen aufgestellt ist.

"Wir sind so klein, wir fliegen unter dem Radar"

 

[Joe Dalton]

Wer in der Branche tätig ist, kennt die üblichen Stundensätze. 🙂 Und die sind bezahlbar, wenn man so eine Fachkraft nur für 5-10 Stunden im Montag benötigt.

Dann leg' doch mal Zahlen auf den Tisch...

Weiter unten wird von einer Risikoanalyse und einen zum bildenden Budget gesprochen: Jepp, ist so. Aber das heißt bei weitem nicht, dass dieses Budget groß genug für die ausstehenden Arbeiten ist.

Außerdem kenne ich aktuell keinen Kunden, der seine Ausfallrisiken kontinuierlich realistisch geprüft und abgeschätzt hat. Dabei spielen die Größe des Kunden und die Wichtigkeit (im Sinne von KRITIS/NIS2) auch keine besondere Rolle.

Ergänzung (19. Juni 2024)

Weil eins ist sicher, es ist nicht die Frage ob man Ziel eines Cybersecurityangriff wird.
Sondern wann es passiert und wie gut man dagegen aufgestellt ist.

Mit genau dieser Phrase haben sich div. Hersteller/Dienstleister unglaubwürdig gemacht: Das hohe Risiko ist zweifellos da, aber die verkauften Gegenmaßnahmen waren teilweise ihr Geld nicht wert.

 

[ElCollectore]

Ich schreibe hier explizit von KMU, weil wohl jedes größere Unternehmen (Konzerne etc.) ernsthafte Budgets und Fachpersonal Inhouse zu Verfügung hat.

Es müssen die ausstehenden Arbeiten nicht auf einen Schlag abgearbeitet werden, das ganze ist ein kontinuierlicher Prozess mit jährlicher Verbesserung. Und da finden sich für jeden Unternehmensgeldbeutel die richtige Lösungen, ansonsten ist die Unternehmung so oder so zum scheitern verurteilt.

Wie das Budget gebildet wird ist im Endeffekt egal, kannst ja auch einfach X-Prozent vom Jahresumsatz nehmen. Die Beispiele sind halt für sehr kleine Unternehmen schnell auszurechnen.

Die Phrase soll in meinem Kontext keine Produkte vermarkten, sondern sensibilisieren das jedes Unternehmen etwas tun muss in Bezug auf IT-Sicherheit um das Unternehmen zu schützen.
Oder wollen wir hier tatsächlich drüber reden ob Sicherheitskonzepte und Notfallpläne sinnvoll sind?

 

[nutrix]

Dann leg' doch mal Zahlen auf den Tisch...

Du kannst doch selbst googlen, oder? Dazu findet man im Netz zig Angebote mit entsprechenden Preisen.

Ergänzung (19. Juni 2024)

Die Problematik wird auch nicht sein diese Mitarbeiter zu bezahlen,
allerdings die daraus entstehenden Maßnahmen vielleicht schon.

So wie es hier scheint muss erstmal das absolute Minimum an gesetzlichen und Sicherheitstechnischen Forderungen erfüllt werden.

Das ist wieder ein ganz anderes Problem. Aber sorry, das gehört eben zum Geschäft.

 

[Joe Dalton]

Ich schreibe hier explizit von KMU, weil wohl jedes größere Unternehmen (Konzerne etc.) ernsthafte Budgets und Fachpersonal Inhouse zu Verfügung hat.

Eine Annahme für die ich definitiv nicht die Hand ins Feuer legen werde. Insbesondere der letzte Teil ist so eine Sache, die nur sehr bedingt stimmt.

Alternativ könntest Du die hier mitlesenden professionellen Admins und Dienstleister mal fragen, wie es bei ihnen bzw. ihren Kunden aussieht. Budgets sind vorhanden, aber nicht immer passend bzw. unterschiedlich gut geplant. Und eigenes Fachpersonal in ausreichender Menge leisten sich eher wenige.

Es müssen die ausstehenden Arbeiten nicht auf einen Schlag abgearbeitet werden, das ganze ist ein kontinuierlicher Prozess mit jährlicher Verbesserung. Und da finden sich für jeden Unternehmensgeldbeutel die richtige Lösungen, ansonsten ist die Unternehmung so oder so zum scheitern verurteilt.

Das ist richtig, aber auch die regelmäßig anstehenden Arbeiten durch Dienstleister wollen bezahlt werden. Das Scheitern hängt dann primär davon ab, welche Ereignisse zuschlagen und wie sie ausgehen.

Wie das Budget gebildet wird ist im Endeffekt egal, kannst ja auch einfach X-Prozent vom Jahresumsat nehmen. Die Beispiele sind halt für sehr kleine Unternehmen schnell auszurechnen.

Die Rechnung ist ein wenig zu einfach. Das ließe sich auch über die gemittelte Marge berechnen: Wenn Du (als Beispiel) typischerweise 10% Marge hast, dann brauchst Du für ca. 1.000 EUR externe Dienstleistung im Monat ungefähr 10.000 EUR mehr Umsatz. Alles andere geht zu Lasten Deines Gewinns.

Da sich @nutrix weigert konkrete Zahlen auf den Tisch zu legen: 1.000 EUR DL im Monat sind nicht sehr viel.

Die Phrase soll in meinem Kontext keine Produkte vermarkten, sondern sensibilisieren das jedes Unternehmen etwas tun muss in Bezug auf IT-Sicherheit um das Unternehmen zu schützen.
Oder wollen wir hier tatsächlich drüber reden ob Sicherheitskonzepte und Notfallpläne sinnvoll sind?

Du hast meine Aussage nicht verstanden: Sie wurde als Totschlagargument verwendet um Dinge zu verkaufen, die nur bedingt wirksam waren. Und bei den Sicherheitskonzepten und Notfallplänen wundern mich so Dinge wie die Südwestfalen-IT nicht: Es gibt sicherlich Firmen die einen sehr großen Wert auf Redundanz und (IT-)Sicherheit legen, aber es existieren im Gegenzug auch zu viele Firmen, die die Risiken ausblenden und das Geld sparen.

Ergänzung (19. Juni 2024)

Du kannst doch selbst googlen, oder? Dazu findet man im Netz zig Angebote mit entsprechenden Preisen.

Ahja... Dann google doch bitte mal die Stunden-/Tagessätze der größeren DL-Anbieter. Damit meine ich nicht die kleinen Feld-/Wald-/Wiesenbutzen, die mit 1-10 Mann IT anbieten.

 

[ElCollectore]

Alternativ könntest Du die hier mitlesenden professionellen Admins und Dienstleister mal fragen, wie es bei ihnen bzw. ihren Kunden aussieht. Budgets sind vorhanden, aber nicht immer passend bzw. unterschiedlich gut geplant. Und eigenes Fachpersonal in ausreichender Menge leisten sich eher wenige.

Für was ich gehöre zu dem Kreis, mit entsprechendem Netzwerk :-D.

Das ist richtig, aber auch die regelmäßig anstehenden Arbeiten durch Dienstleister wollen bezahlt werden. Das Scheitern hängt dann primär davon ab, welche Ereignisse zuschlagen und wie sie ausgehen.


Die Rechnung ist ein wenig zu einfach. Das ließe sich auch über die gemittelte Marge berechnen: Wenn Du (als Beispiel) typischerweise 10% Marge hast, dann brauchst Du für ca. 1.000 EUR externe Dienstleistung im Monat ungefähr 10.000 EUR mehr Umsatz. Alles andere geht zu Lasten Deines Gewinns.

Da sich @nutrix weigert konkrete Zahlen auf den Tisch zu legen: 1.000 EUR DL im Monat sind nicht sehr viel.

Wie gesagt ist schlussendlich egal wie du dein Budget berechnest, gibt da mehrere Möglichkeiten.
Fakt ist die Gesetzgebung fordert von Unternehmen einige Dinge umzusetzen und dafür sollte ein Budget gesetzt werden.

Du hast meine Aussage nicht verstanden: Sie wurde als Totschlagargument verwendet um Dinge zu verkaufen, die nur bedingt wirksam waren. Und bei den Sicherheitskonzepten und Notfallplänen wundern mich so Dinge wie die Südwestfalen-IT nicht: Es gibt sicherlich Firmen die einen sehr großen Wert auf Redundanz und (IT-)Sicherheit legen, aber es existieren im Gegenzug auch zu viele Firmen, die die Risiken ausblenden und das Geld sparen.

Ergänzung (19. Juni 2024)

Im Kern sind unsere Aussagen ähnlich, stört dich jetzt einfach nur die Formulierung der Phrase, weil andere diese negativ verwendet haben? Ändert an der Grundaussage nichts.

Ahja... Dann google doch bitte mal die Stunden-/Tagessätze der größeren DL-Anbieter. Damit meine ich nicht die kleinen Feld-/Wald-/Wiesenbutzen, die mit 1-10 Mann IT anbieten.

Startet normal so ab ca.130€/h bis oben keine Grenze, aber was bringt dir das jetzt?

 

[Joe Dalton]

Für was ich gehöre zu dem Kreis, mit entsprechendem Netzwerk :-D.

Dann solltest Du wissen, dass es häufig nicht genügend Fachpersonal gibt. Einer der Gründe, warum es den IT-Dienstleistern recht gut geht: Die internen Admins schaffen das Tagesgeschäft, aber können zeitlich keine Projekte mehr stemmen.

Wie gesagt ist schlussendlich egal wie du dein Budget berechnest, gibt da mehrere Möglichkeiten.
Fakt ist die Gesetzgebung fordert von Unternehmen einige Dinge umzusetzen und dafür sollte ein Budget gesetzt werden.

sollte ist hier das Stichwort. Und sollte jemand auf die Idee kommen, alle Unternehmungen hart auf diese Anforderungen zu prüfen, wird es unlustig. Mit NIS2 steht der nächste Quell der Freude an: Wir werden sehen, wie die Firmen es umsetzen.

Im Kern sind unsere Aussagen ähnlich, stört dich jetzt einfach nur die Formulierung der Phrase, weil andere diese negativ verwendet haben? Ändert an der Grundaussage nichts.

Jepp, genau so. Ich mag die Formulierung nicht, was aber nichts an ihrer eigentlichen Kernaussage ändert. Immerhin verdiene ich u.a. damit mein Geld.

Startet normal so ab ca.130€/h bis oben keine Grenze, aber was bringt dir das jetzt?

Mir recht wenig, da ich selbst in dem Bereich unterwegs bin. Aber andere werden wohl kein Gespür dafür haben und auch die Rechnungen für externe Dienstleister nicht zu Gesicht bekommen.

D.h. ein entsprechender Dienstleister, der vielleicht 4 h die Woche für eine Firma aktiv wird, schickt am Ende des Monats eine Rechnung über 2000-3000.- EUR. Ohne Invest für HW oder SW geht da bereits einiges an Geld raus, was die kleinen Firmen erstmal verdienen müssen.

Ich persönlich finde es nett, wenn die Kunden meinen Geschäftswagen bezahlen. Aber immer mehr Kunden erkennen auch, dass sie recht viel Geld für Externe bezahlen (müssen). Hier gehen manche mit dem Ruf nach Systemhaus und externen Fachkräften recht großzügig mit dem Geld anderer Leute um (wie auch bei Kaufberatungen).

Im Gegenzug entbindet das natürlich keine (kleine) Firma und keinen Geschäftsführer von den Verpflichtungen. IT-Administration ist kein "Hobby" oder Selbstzweck, auch wenn es noch Chefs gibt, die das so sehen.

 

[nutrix]

Startet normal so ab ca.130€/h bis oben keine Grenze, aber was bringt dir das jetzt?

Eben. Was soll die Nennung von Zahlen bringen, wenn es von vielen Bedingungen abhängt und von DL zu DL abweicht? Wenn er wirklich von Fach wäre, wüßte er das.

Ergänzung (19. Juni 2024)

Da sich @nutrix weigert konkrete Zahlen auf den Tisch zu legen: 1.000 EUR DL im Monat sind nicht sehr viel.

Was soll der Schwachsinn jetzt? Ich weigere gar nichts, nur nützt dem Interessierten nichts, wenn ich etwas sage, was dann vor Ort und unter den Bedingungen deutlich nach oben abweicht?

 

[Joe Dalton]

Eben. Was soll die Nennung von Zahlen bringen, wenn es von vielen Bedingungen abhängt und von DL zu DL abweicht? Wenn er wirklich von Fach wäre, wüßte er das.

Schwätzer!

Was soll der Schwachsinn jetzt? Ich weigere gar nichts, nur nützt dem Interessierten nichts, wenn ich etwas sage, was dann vor Ort und unter den Bedingungen deutlich nach oben abweicht?

Jemand wie @ElCollectore ist für Dich in die Bresche gesprungen und hat mal Fakten auf den Tisch gelegt. Damit standen hier Hausnummern im Raum. Btw: Wenn ich das für meine Firma angeben müsste, dann liegen wir im Bereich 150.- bis 200.- EUR/h je nach Fach-/Aufgabengebiet. Andere Konzernschwestern liegen deutlich drunter, wenn sie z.B. nur Kabelarbeiten oder Rollouts machen.

Ziel war es zu zeigen, dass wir hier nicht über normale Handwerkerlöhne (häufig <100.- EUR/h) reden.

 

[ElCollectore]

Dann solltest Du wissen, dass es häufig nicht genügend Fachpersonal gibt. Einer der Gründe, warum es den IT-Dienstleistern recht gut geht: Die internen Admins schaffen das Tagesgeschäft, aber können zeitlich keine Projekte mehr stemmen.

Ja kenne ich, von diesen Admins halte ich persönlich nicht viel. Den als guter ITler brauchst du auch Zeiten für Weiterentwicklung und neue Ideen.
Das ist bei solchen Stellen nicht gegeben und sind zusätzlich Gift für die Gesundheit.
Oder der Person fehlt es an Fachexpertise(Zeitmanagement, Automatisierung, etc.) und ist deswegen "langsam".
Da gibt's nur kündigen oder Cheffe überzeugen mehr Personal einzustellen(oder arbeiten extern zu vergeben).
Möchte hierzu allerdings keine Diskussion starten.

Im Gegenzug entbindet das natürlich keine (kleine) Firma und keinen Geschäftsführer von den Verpflichtungen. IT-Administration ist kein "Hobby" oder Selbstzweck, auch wenn es noch Chefs gibt, die das so sehen.

Ich sehe das wie folgt:

Zum einen will ja auch die GL das der Betrieb durch einen IT-Vorfall entweder nicht gestört wird (abgewehrter Angriff) oder so schnell wie möglich wieder funktioniert (z.B. Daten verschlüsselt).
Ansonsten ist man Ruckzuck insolvent.
Somit sind diese Investitionen indiskutabel.
Ein guter Dienstleister wird auch nur wirklich das anbieten was diesen Zweck erfüllt.
Netter Nebeneffekt, hier werden zwangsläufig auch Maßnahmen durchgeführt die Teil einer gesetzlichen Regelung sind.

Zum anderen der Punkt Sanktionen durch nicht Einhaltung der gesetzlichen Regelungen.
Z.B. ist mir nicht bekannt das die Datenschutzaufsicht der Länder aktiv Betriebe prüft und dann sanktioniert.
Die kommen doch erst vorbei wenn ein Datenschutzvorfall gemeldet wird.
Im Normalfall sind die gnädig wenn man nachweisen kann, dass man was für den Datenschutz tut,
falls nicht langen die aber auch gut zu.
Hierbei sollte der GL klar sein, dass z.B. eine falsch adressierte E-Mail so einen Datenschutzvorfall auslösen kann. Die GL kann sich jetzt aussuchen ob man vorher weniger Geld ausgibt oder später mehr für die Maßnahme :-).

Das wird wahrscheinlich mit NIS2 und dem BSI ähnlich sein.

BTW: Wenn man schlüssig darlegen kann warum welche Maßnahmen nicht durchgeführt wurden, passiert im Normalfall auch nichts.

 

[nutrix]

Schwätzer!

Schau in den Spiegel, da beschreibt sich jemand sehr gut selbst! Kaum hat man die Wahrheit aufgedeckt, wird man gleich beleidigend. Du lieferst nur Geschwafel ohne Inhalt, ich kenn immerhin das Thema direkt.

Jemand wie @ElCollectore ist für Dich in die Bresche gesprungen und hat mal Fakten auf den Tisch gelegt.

Und nochmals, was bringen sie? Er ist aber kein Datenschutzbeauftragter.

Damit standen hier Hausnummern im Raum.

Äpfel und Birnen.

Ziel war es zu zeigen, dass wir hier nicht über normale Handwerkerlöhne (häufig <100.- EUR/h) reden.

Na klar, einmal googlen ist jetzt die Kunst für jeden oder wie?
https://www.google.com/search?q=Dat...cb8b5033&sca_upv=1&ei=l590ZuWHGfzd7_UP_ru-kAs
Bringt aber auch nichts, wenn Du das rechtssicher über eine Anwaltskanzlei bzw. Anwalt machen mußt. Hier sprechen wir von ganz anderen Stundensätzen! Daher bist Du derjenige, der inhaltslos nur daherredet ohne konkrete Erfahrung.

 

[nutrix]

Ein guter Dienstleister wird auch nur wirklich das anbieten was diesen Zweck erfüllt.
Netter Nebeneffekt, hier werden zwangsläufig auch Maßnahmen durchgeführt die Teil einer gesetzlichen Regelung sind.

Ja, aber das beschränkt sich ja nicht nur auf das, sondern dazu kommen Aufklärung und Schulungen für betroffene Mitarbeiter, Prozesse, und Vertragswerk für Mitarbeiter bzgl. Dsgvo, Datenschutz usw. Da hängt schon ein ganzer Rattenschwanz dran.

 

[ElCollectore]

Das ist korrekt. Hierfür brauchst du dann einen Datenschutzbeauftragten, der wird zwangsläufig in jährlichen Audits die Themen aufarbeiten.

Und ja die Pflege der Datenschutz-Dokumente(TOM, Applikationslisten, Verfahrensdokumentationen, Externe Schnittstellen,...) ist lästig.
Allerdings ist das nach der erstmaligen Erfassung aber easy und schnell beim täglichen Arbeiten erledigt wenn man einen Blick drauf hat.