Würgler Consulting GmbHWürgler Consulting GmbH - Beratung, Projekte, Analysen

Jahreswechsel 2023 – Viele gute Wünsche für 2023

Mon, 02 Jan 2023 00:00:00 +0100

Zum Jahresanfang viele gute Wünsche, Erfolg und Gesundheit in einem hoffnungsvollen 2023.

Robert Würgler
mit Partnerfirmen und Netzwerkpartnern

Hinweis: Etwas ICT-lastige, aber hoffentlich meistens verständlich “übersetzte” Artikel sind im 2023 auf wuergler-it.ch vorgesehen. Diese können als Feed oder Newsletter abonniert werden.

Zum noch jungen Jahr – Rückblick mit Dank — Ausblick mit Hoffnungen im 2022

Mon, 03 Jan 2022 00:00:00 +0100

Wir danken und wünschen Ihnen das Beste für ein hoffnungsvolles Jahr.

Vielleicht wünschen sich einige, dass dieses “Jahr nur halb so bescheuert wird” wie das Vorjahr, um Humorist Kalkhofe frei zu zitieren. Andere sehen ein neues Jahr voll neuer Träume, neuer Hoffnung, neuer Chancen vor sich.

Danke!

Vielen Dank: Ohne Sie, die Kundschaft, wäre es kaum möglich gewesen, über die Jahre überhaupt zu bestehen. Danke auch an Partnerfirmen und viele weiteren, kleineren und grösseren Unterstützerinnen und Unterstützer. Danke, dass Sie an KMU denken, vielleicht aus Ihrer Region, vielleicht auch an kleinere KMU. Danke!

Ausblick auf das Jahr 2022

Drüben auf wuergler-it.ch sind in einem ähnlichen Artikel ein paar Schwerpunkte für 2022 aufgeführt. Diese sind allerdings nicht neu:

Sicherheit, speziell in der ICT: Um diese zu erreichen und zu erhalten, ist ein möglichst breiter Erfahrungshorizont unerlässlich.
Organisationsarchitektur – oder die Architektur des Erfolgs.
Beratung · Projekte · Analysen: Diese allgemein gehaltene Überschrift hat ihre Bedeutung. Sie drückt Breite statt nur Spezialisierung aus. Beides ist nötig. In der Praxis kommen der Gesamtüberblick und die Gesamtsicht oft zu kurz.

Wir, unsere Netzwerkpartner und ich mit meiner Firma, stehen für viel Wissen und Erfahrung in Beratung, Projekten und Analysen, um Sie zu einem langfristigen, überdurchschnittlichen Erfolg zu führen!

Mit den besten Wünschen für 2022 grüssen Robert Würgler mit Partnerfirmen und Netzwerkpartnern

Nach dem Verkaufsende von F-PROT – Bemerkungen zu IT-Sicherheit in KMU

Sat, 02 Jan 2021 00:00:00 +0100

Nach dem angekündigten Verkaufsende von F-PROT, das über die Jahre einige Kundinnen und Kunden eingesetzt hatten, sollen einige grundlegenden ICT-Sicherheitsmassnahmen zur Diskussion gestellt werden.

Im Beitrag zu IT-Sicherheit in KMU auf wuergler-it.ch werden unter anderem aufgegriffen:

Alternativen zu F-PROT, da Würgler Consulting GmbH nach dem Verkaufsende von F-PROT vorläufig auf ein anderes AV-Reselling verzichtet.
Eher allgemeine Bemerkungen zur Evaluation von Antiviren- oder Antimalware-Programmen.
Grundlegende Hinweise zu ICT-Sicherheit, die sich primär an kleinere KMU richten.
Tipps und Links zu ICT-Sicherheit

Und für Ein-Minuten-Lesende gibt vielleicht der Schlusspunkt

Fazit und Zusammenfassung

schon erste Anhaltspunkte.

Womöglich denken einige KMU-Verantwortlichen bei Sicherheitskonzept an ein zu theoretisches Konstrukt.

Ein sicherheitsrelevantes Ereignis könnte aber einen Betrieb lahmlegen oder ruinieren. Die Idee “wer will mich schon angreifen” kursiert leider immer noch und sie beruht eindeutig auf einem falschen Verständnis von “Angriff”, wie der Beitrag auf wuergler-it.ch argumentiert.

Definitives Ende von F-PROT – F-PROT: Cyren kündigt Verkaufsende an

Fri, 28 Aug 2020 00:00:00 +0200

Cyren kündigt das Verkaufsende und das Ende der Produkte-Lebensdauer des einst legendären Sicherheitsproduktes F-PROT an, das wir seit 2004 im Angebot hatten.

Da einige Kundinnen und Kunden jahrelang bei uns F-PROT gekauft haben, dürfte diese Ankündigung interessieren.

Seit 2017 hatten wir F-PROT auch im Webshop auf wuergler-it.ch geführt.

Die isländische FRISK Software International um Gründer Friðrik Skúlason war mit F-PROT eine einst innovative Anbieterin und eine der ersten mit einer nennenswerten Antivirus- bzw. Antimalware-Sicherheitslösung. Bis zuletzt war F-PROT “schlank”, leichtgewichtig, vielleicht das ressourcensparendste Produkt, das es gab.

Spätestens mit der Übernahme 2012 durch Commtouch, später Cyren, war wohl absehbar, dass F-PROT bloss noch als Legacy-Produkt weitergeführt werden würde. Jetzt wurde also das Verkaufsende und Ende der Lebensdauer angekündigt.

Link:

» Beitrag zum Verkaufsende von F-PROT auf wuergler-it.ch.

Sicherheitsökonomik – ICT-Sicherheit: Die beste technische Lösung ist vielleicht nur teuer

Wed, 06 May 2020 00:00:00 +0200

Informatik-Sicherheit wird zwar medial thematisiert, etwa bei Cyber-Vorfällen. Viele KMU denken aber offenbar, das gehe sie nicht so direkt etwas an.

Produkt “löst alle Sicherheits-Probleme”
Organisatorische und technische Massnahmen
Praxisfremde organisatorische Massnahmen
Ausfall wegen Cyberangriffen?
Wahrnehmung mit fehlenden Puzzleteilen
Auf die Firma zugeschnittene Massnahmen
Einfache, praktikable erste Schritte

Produkt “löst alle Sicherheits-Probleme”

Viele KMU bemühen sich natürlich, unerwünschten Ereignissen vorzubeugen. Kürzlich wurde in einer Diskussionsrunde über technische Möglichkeiten gesprochen. Auch eine teure Lösung wurde erwähnt, nach deren Anschaffung alle IT-Sicherheitsprobleme gelöst sein sollen.

Vielleicht ist jedoch die vermeintlich beste technische Lösung vor allem teuer.

Organisatorische und technische Massnahmen

Normalerweise gehören organisatorische und technische Massnahmen dazu, wenn ICT-Sicherheit diskutiert wird oder verbessert werden soll. Dazu gibt es zahlreiche Fachartikel (und auch viele weniger sinnvolle Beiträge). Gemeint ist das Vorbeugen ebenso wie das Vorgehen im Krisenfall, etwa nach einem Cybervorfall. Menschliches Verhalten, Prozesse und Technologie gehören zu den Ansätzen.

Die erwähnte Diskussion ist wohl immer noch typisch. Organisatorische wurden in der Forschung schon vor Jahren als wichtig(st)e Massnahmen bezeichnet¹. Fehlanreize seien für die Sicherheit mindestens so bedeutend wie Technologie. Beispielsweise scheint Sicherheit keinen direkten Nutzen zu haben. Investitionen in Sicherheit haben keinen unternehmerisch greifbaren Wert. Sie werden eher wie Versicherungen angesehen.

In der Praxis wird die Wichtigkeit offenbar eher umgekehrt eingestuft. Entweder wird angenommen, “meine Firma will bestimmt niemand angreifen”, also muss wenig unternommen werden. Oder aber man konzentriert sich fast nur auf technische Lösungen, womöglich sogar “je teurer desto besser”. Der häufig verwendete Begriff Cyberangriff suggeriert einenen dramatischen Vorfall, der eben als unwahrscheinlich eingeschätzt wird.

Praxisfremde organisatorische Massnahmen

Organisatorische Massnahmen klingen tatsächlich etwas zu theoretisch und schwer fassbar. Organisatorische Massnahmen können nicht einfach so gekauft oder installiert werden. Schulungen oder Sicherheitskonzepte sind zwar als Begriffe bekannt. Diese glaubt sich jedoch die eine oder andere Geschäftsführung sparen zu können. Ausserdem: Wer mag sich gerne damit auseinandersetzen, ob die Firma ein paar Stunden oder gar einen Tag ohne IT auskommen könnte? oder welches Sicherheits-Verhalten in der Unternehmung erwartet werden darf?

Ein Konzept oder eine Notfallplanung, wie der Betrieb bei einem IT-Ausfall das Geschäft weiterführen kann, dürfte kleineren KMU etwas hochgestochen vorkommen.

Ausfall wegen Cyberangriffen?

In der Schweiz arbeitet fast die Hälfte aller Arbeitnehmenden in Mikrounternehmen (1 bis 9 Beschäftigte) und kleinen Unternehmen (10 bis 49 Beschäftigte).² In diesen Betrieben wird durchaus teilweise seit Jahren automatisiert und computerisiert gearbeitet, und zwar gerade auch im Primär- (Stichwort automatisierte Landwirtschaft³) und Sekundärsektor (beispielsweise CAD/CAx, Robotik u. v. a. m.).

Dass eine kleinere ERP-Software oder ein Rechnungswesen-Programm auf einem einsamen, eventuell schlecht gewarteten Computer laufen kann, ist nur ein scheinbarer Widerspruch.

Allenfalls sind die verschiedenen Produktions- und Administrations-Systeme vernetzt.

Das Szenario “Total-Ausfall eines administrativen Programms auf einem Einzelrechner” mag für die KMU-Leitung nicht als gravierend erscheinen. Ein Wasserschaden oder Feuer könnte die ganze Produktion lahmlegen, was vermutlich als problematischer angesehen würde.

Diese Einschätzung muss nicht falsch sein. Elementarschäden sollen sicherlich nicht gegen Verschlüsselungstrojaner & Co. ausgespielt werden.

Wahrnehmung mit fehlenden Puzzleteilen

In der Praxis können aber fehlende Puzzleteile beobachtet werden. Zu einer ungeordneten Aufzählung können gehören:

Backups sind nicht vorhanden oder sie können nicht wiederhergestellt werden.
“Aber wir haben doch ein Antivirus-Programm.” Möglicherweise sogar eine externe Firewall.
Das schwächste Einzelsystem ist vielleicht doch “irgendwie” mit der Produktion vernetzt. Diese könnte ebenfalls ganz “heruntergerissen” werden.
Irgendwelcher Fernzugriff der teilzeitlich für den “administrativen Kram” zuständigen Person hat nun auch ihr System kompromittiert – oder umgekehrt.
Geschäftsführung und Mitarbeitende sind nicht auf IT-Sicherheitsrisiken sensibilisiert oder das Wissen fehlt.
Fachliche und technische Abhängigkeiten von IT-Lieferanten oder spezifischen -Produkten. Wiederherstellung geht nicht ganz so einfach ohne Unterstützung. Und ein Wechsel “bei dieser Gelegenheit” wird schwierig - frühere Entscheide können heutige Handlungsoptionen einschränken.
Dranbleiben, wie es Sicherheitsexperten fordern, wirkt anstrengend und lästig, mit der Zeit mindestens ermüdend: “Das kenne ich doch schon”.
Und viele andere mehr.

Analogien wie diese vom kleinen Zündholz, das irrtümlich einen Vollbrand verursachen kann, ist in der ICT-Sicherheit noch nicht immer präsent. Demnach fehlt oft das Gefühl für informationstechnische oder Cyber-Risiken.

Auf die Firma zugeschnittene Massnahmen

Grössere Organisationen haben bestimmt eher eine spezielle Abteilung mit genügend Ressourcen, um die nötigen Konzepte zu erarbeiten und sich um die Umsetzung zu kümmern.

Diese personellen Mittel und die angesprochenen Puzzleteile dürften tendenziell bei derjenigen Hälfte aller Unternehmen fehlen, die zu den kleineren gehören.

Bei beiden kann beobachtet werden, dass technische nicht unbedingt eng mit organisatorischen Massnahmen verknüpft sind. Beispielsweise fehlen in der betrieblichen Realität oft Hinweise, die über Tipps wie “Mail-Anhänge nicht unbedacht öffnen” hinausgehen: Welche Verhaltensweisen werden als potenziell gefährlich eingestuft? Vor oder gegen was schützt die Technik (nicht)? Was müssen Mitarbeitende unbedingt wissen, was ist bloss wissenswert, nice to know?

Einfache, praktikable erste Schritte

Wir Sicherheitsinteressierte, -Berater/innen oder Sicherheitsökonomen sollten sich sich an die eigene Nase fassen:

Für (kleinere) KMU fehlt häufig immer noch eine praktisch umsetzbare Übersicht von Massnahmen. Melani/NCSC⁴ versucht es immerhin.
Für grössere Organisationen liegen Konzepte vor, aber praktisch anwendbare Verhaltensweisen sind wenig bekannt oder fehlen.

Anfangen könnten wir bei

der Wahl und bei den Einstellungen der Programme, die auf jedem Computer-Arbeitsplatz verwendet werden: Mail-Programm, Browser, Kommunikations-, Büro-Software usw.
konkreten Risiken, beispielsweise ausgedrückt in der Frage, “(wie) kann eine Phishingmail entdeckt werden?”
der Frage, wer für welche Software-Aktualisierungen zuständig ist (was bei grösseren Firmen meistens besser geregelt ist).
der Frage nach eventuellen Einschränkungen, die in Kauf genommen werden müssen, wenn überhaupt.
der Analyse, wie mit mässigem Aufwand ein grosser Sicherheitsgewinn zu erwarten ist (80-zu-20-Regel).
und so weiter.

Eine der Fragen, diejenige nach eventuellen Einschränkungen zugunsten der Sicherheit, wird des Öfteren verdrängt. Die Firma oder die Mitarbeitenden sollen nicht denken, man sei borniert, rückständig oder wolle die Arbeit behindern. Sind die Gründe für (technische) Beschränkungen nicht transparent und einleuchtend, kann das seltsame Blüten treiben, die womöglich kontraproduktiv sind. Solche Fragestellungen müssten unbedingt Teil der Mitarbeitenden-Schulungen sein.

Genauso wichtig müsste die Frage sein, ob “Einschränkungen” wirklich Einschränkungen sind oder nur nicht der Ansicht “das macht man doch heute so” entsprechen. Damit begeben wir uns auf ein etwas heikles Terrain: Gut denkbar, dass Gewohnheiten, was “man” angeblich “heutzutage” so macht, kein geeigneter Massstab sind – und dass durchaus gute (bessere) Arbeitsweisen, Prozesse oder Werkzeuge existieren. Diese müssten natürlich diskutiert oder zur Verfügung gestellt werden.

Damit wären wir fast bei der Innovation angelangt. Und beim Bestreben, ausserhalb des Gewohnten denken zu wollen, zumindest ein bisschen.

ICT-Sicherheit heute wie gestern: es gibt noch einiges tun.

Wie von Ross Anderson, University of Cambridge, um nur ein Beispiel zu nennen: Incentives seien bezüglich IT-Sicherheit mindestens so bedeutend wie Technologie. Diese Thematik wird oft unter Information Security Economics (ähnlich: Sicherheitsökonomik) behandelt, siehe auch <https://www.cl.cam.ac.uk/~rja14/econsec.html> ↩
“Marktwirtschaftliche Unternehmen und Beschäftigte nach Grössenklassen im 2018.” BFS, Neuchâtel, <https://www.bfs.admin.ch/bfs/de/home/statistiken/industrie-dienstleistungen/unternehmen-beschaeftigte/wirtschaftsstruktur-unternehmen/kmu.html> ↩
Oder “Digitalisierung der Landwirtschaft” oder “Landwirtschaft 4.0”, wie es beispielsweise der Schweizer Bauernverband umschreibt. <https://www.sbv-usp.ch/de/schlagworte/digitalisierung/>, u. a. mit “SBV Bericht Digitalisierung” vom 12.04.2017. ↩
Melani ist heute unter dem Namen “Nationales Zentrum für Cybersicherheit NCSC” bekannt. ↩

Informations- und Kommunikationstechnologie – Beiträge zu IKT/ICT bleiben auf wuergler-it.ch

Tue, 10 Jan 2017 00:00:00 +0100

Infos, Fragen von Kundinnen und Kunden oder Tipps zu IKT- bzw. ICT-Fragen werden weiterhin in losen Folgen auf wuergler-it.ch besprochen.

Auf dieser Site hingegen wird voraussichtlich noch seltener eine eher allgemeine Frage zu einem Thema unserer Dienstleistungen aufgegriffen. Nicht dass es keine Themen gäbe, im Gegenteil:

Organisationsarchitektur und weitere, nicht identische, aber verwandte Begriffe wie Unternehmensarchitektur, Organisations-Design, Unternehmensstruktur, Organisationsstrategie, Unternehmensstrategie … welche wohl zu den meist unterschätzten Schlüsselthemen zählen, die es als Erfolgsbasis zu erarbeiten gilt.
Gesundheitswesen
Sicherheit, Privatshäre, Datenschutz, Datenschutzgesetz
u. v. a. m.

Ein einigermassen fundierter Beitrag benötigt einiges an Zeit. Das ist nicht zu unterschätzen. Wenn Sie Vorschläge haben, bitte gerne mitteilen!

Link:

» Beiträge auf wuergler-it.ch.

Informatik-Nischen- und Qualitätsprodukte – Auf wuergler-it.ch wird der Webshop eröffnet

Mon, 09 Jan 2017 00:00:00 +0100

Vor über 12 Jahren verkauften wir erstmals ICT-Nischen- und Qualitätsprodukte, die wir selber zu schätzen wussten. Diese gibt es ab sofort im Webshop auf wuergler-it.ch.

Vorgesehen ist, in loser Folge auf wuergler-it.ch Tipps und Tricks zu ICT allgemein aufzugreifen. Das können bespielsweise Fragen sein, die von Kundinnen und Kunden gerade auftauchen.

Link:

» Ankündigung Webshop auf wuergler-it.ch.

Würgler Consulting GmbHWürgler Consulting GmbH - Beratung, Projekte, Analysen

Jahreswechsel 2023 – Viele gute Wünsche für 2023

Zum noch jungen Jahr – Rückblick mit Dank — Ausblick mit Hoffnungen im 2022

Danke!

Ausblick auf das Jahr 2022

Nach dem Verkaufsende von F-PROT – Bemerkungen zu IT-Sicherheit in KMU

Links

Definitives Ende von F-PROT – F-PROT: Cyren kündigt Verkaufsende an

Sicherheitsökonomik – ICT-Sicherheit: Die beste technische Lösung ist vielleicht nur teuer

Produkt “löst alle Sicherheits-Probleme”

Organisatorische und technische Massnahmen

Praxisfremde organisatorische Massnahmen

Ausfall wegen Cyberangriffen?

Wahrnehmung mit fehlenden Puzzleteilen

Auf die Firma zugeschnittene Massnahmen

Einfache, praktikable erste Schritte

Informations- und Kommunikationstechnologie – Beiträge zu IKT/ICT bleiben auf wuergler-it.ch

Informatik-Nischen- und Qualitätsprodukte – Auf wuergler-it.ch wird der Webshop eröffnet