---

@Fassungsloser  schrieb:

Verständnisfrage:

Müssen oder müssten die ASP-Arbeitsplätze eigentlich bzgl. der Windows-Updates, der Treiber-Updates, der Security-Funktionen und -Software noch zusätzlich lokal gewartet werden

---

Ja, aber auch darauf sollten Sie Ihren Systempartner einfach mal ansprechen. Der wird sicher EDR-Lösungen anbieten.

An die "Endpunkte" hatte ich jetzt gar nicht gedacht, aber es stimmt, netzwerkfähige Peripheriegeräte  sind ja per Internet auch angreifbar (Drucker, Scanner, WebCams usw.)

Ich dachte "nur" an die normalen und häufigen und angeblich erforderlichen Software-Aktualisierungen (Windows-, Treiber-, Firmware-, Sicherheits-Software-, MS-Office-Updates usw.)

Ich hatte gehofft, dass solche Updates, aber auch Registry-Einstellungen, die netzweit gelten sollen, zentral verwaltet und auf den ASP-Arbeitsplätzen "ausgerollt" werden, so ähnlich wie in einem OnPremises-Netzwerk mit lokalem Windows-Server (Active Directory)

Ich hänge mich mal an das Thema an und formuliere die Frage etwas anders :

Wie kann ich für eine Steuer-Kanzlei eine weitgehend 'wartungsfreie' Datev-Infrastruktur nutzen ?

(oder brauche ich immer diverse lokale 'Helferlein' (Systempartner) oder entsprechendes eigenes KnowHow, um eine Datev-Kanzlei am Laufen zu halten ?)

Ich erinnere mich noch an 'alte Zeiten', als sich einzelne (ganz 'normale') Mitarbeiter einer Datev-Kanzlei als 'Discjockey' betätigt und nacheinander eine Reihe von Disketten in das FloppyDisk-Laufwerk geschoben haben, um eine bestimmte Datev-Anwendung mal auf die Schnelle zu installieren.
Anschließend ging's dann weiter im ... ähm .... in "(Datev-)Text" oder in "DESY" oder "ANLAG" oder wo auch immer ...

... und das alles, ohne Ahnung von EDV zu haben bzw. ohne Ahnung von EDV zu brauchen.

Heute traut sich kein 'normaler' Kanzlei-Mitarbeiter mehr, einen Doppelklick auf den "Datev Installationsmanager" zu machen. Man könnte ja 'die Büchse der Pandora öffnen' und die gesamte Kanzlei in's Chaos stürzen😎

Hängt ein wenig vom ASP Anbieter ab. Nur weil man in einem ASP ist, muss es ja nicht zwingend kein lokales AD mehr geben bzw. können auch die "ASP Clients" Mitglied des Active Directorys im ASP sein.

Ansonsten bietet sich hier eines der vielen Endpoint Management Systeme sowie passende Security Lösungen an. Möglicherweise wird im ASP bereits etwas aus der M365 Schiene genutzt, was man ggfs. um Intune / Defender erweitern kann bzw. sich auf M365 E3 (E5) oder M365 Business Premium (evtl. mit Microsoft 365 E5 Security Add-On).

... dann nochmal anders gefragt:

Wie ist die Standard-Infrastruktur bei einer Datev-Kanzlei im PARTNERasp...

... ohne eigenen lokalen Windows-Server

... ohne lokales Active Directory

... mit z.B. 20 Kanzleiarbeitsplätzen

... mit z.B. 5 Home-Office-Arbeitsplätzen

sind die asp-Clients 'normalerweise' Mitglied des Active Directorys im ASP ...

... und wenn ja, was wird zentral verwaltet ?

... auch die Windows-, Treiber-, Firmware-Updates der Arbeitsplätze ?

... oder interessiert sich der PARTNERasp-Dienstleister 'normalerweise' überhaupt nicht für die Wartungen und Konfigurationen der lokalen Systeme und Geräte ...

... nach dem Motto: "Hauptsache, das PARTNERasp läuft" ?

Das sollte man (idealerweise) vorher mit dem PARTNERasp Anbieter besprechen. 😉

Das lässt sich pauschal auch nicht beantworten. Es gibt PARTNERasp Partner, da sind die Clients Mitglied der "PARTNERasp Active Directory Domäne" und es gibt PARTNERasp Partner, da ist dies nicht der Fall.

Ob und in welcher Art mit welchen Leistungen die Clients dann (möglicherweise) in einer "Wartung" inkludiert sind, sollte sich aus den Verträgen ergeben bzw. sollte - wie oben erwähnt - vorher besprochen / geklärt sein. Das hängt auch nicht an einer Domänenmitgliedschaft ab. Dafür gibt es reichlich "RMM Anbieter" bzw. Endpoint Management Lösungen.

Natürlich kann man das auch im Nachgang nachbuchen oder auch anderweitig, losgelöst vom eigentlichen PARTNERasp Partner beziehen.

Ist am Ende so ein typisches "kommt drauf an" Ding und wird sehr schnell sehr individuell. "Patchmanagement" ist da ja nur ein Teil der Miete. 

---

@janm  schrieb:

Das sollte man (idealerweise) vorher mit dem PARTNERasp Anbieter besprechen. 😉

---

ja, das sollte man vorher besprechen ...

... hat nur den kleinen 'Haken', dass der Kanzleiinhaber bzw. der ASP-Kunde des Anbieters im Thema völlig neu ist, von Netzwerktechnik meist nicht viel oder gar  nichts versteht und somit also auch nicht die entscheidenden Fragen stellen kann, selbst wenn er wollte.

Je nach der 'Offenheit' und 'Fairness' des ASP-Anbieters wird dem Kunden mehr oder weniger über die 'Risiken und Nebenwirkungen' zum Umstieg auf ASP gesagt.

Der eine Anbieter erwähnt vielleicht nur das Minimum und bietet evtl. nur eine Minimalausstattung an, um den Kunden nicht mit den hohen Kosten zu erschrecken und vom Kauf abzuhalten und der Andere ist fair genug, alles zu erwähnen und zu empfehlen, was sinnvoll und wichtig ist, ohne Rücksicht auf Verluste bzw. ohne Rücksicht darauf, evt. den Auftrag zu verlieren.

Objektiv betrachtet wäre mir persönlich die zweite Variante lieber, aber ich habe schon oft das Erstere, also das permanente Nachrüsten, Nachbessern und Aufrüsten erlebt, relativ zeitnah nachdem eine neue Infrastruktur aufgebaut oder neue Geräte angeschafft wurden.

Manche Risiken schlummern vielleicht unerkannt in dem Konstrukt bis es mal tatsächlich zu einem Notfall, einem Desaster, einem Malwareangriff oder Ähnlichem kommt.

Dann kommt in der Regel das "hätte, hätte, Fahrradkette"-Motto zum Einsatz 😎

Du, @janm, scheinst einer der offenen und fairen Berater zu sein .... und das ist auch gut so ...

Wie bei so vielen "IT Dingen" sollte auch bei einem möglichen Wechsel in ein ASP ein "Anforderungskatalog" erstellt werden und mit diesem sollte man dann zwei, drei Anbieter abklappern. Damit sollte klar werden, wer was und ggfs. wie bietet.

Wenn man einem potentiellen ASP Anbieter / IT Partner keine Fragen stellt, werden die seltenst aus dem Nähkästchen plaudern. Hin und wieder werden so Dinge für beide Seiten "verschwiegen" und später heißt es dann ggfs., hat ja keiner gesagt / hat ja keiner gefragt. Manches ist für die eine Seite auch völlig logisch und für die andere nicht. Davon auszugehen, dass beide Seiten das stillschweigend identisch sehen ist halt auch ungünstig. Das Motto ist - wie so oft - einfach (vorher) miteinander reden.

IT einfach nur über den Preis zu entscheiden ist meiner Meinung nach völlig falsch. Das günstigste (Lock) Angebot kann am Ende durchaus das teuerste werden. Dürfte kein Geheimnis sein.

Gerade im Desaster Fall, dass beim Partner die Infrastruktur erfolgreich attackiert wird/wurde, würde ich (mittlerweile) dafür Sorge tragen, dass meine Daten täglich (notfalls wöchentlich) aus der ASP Infrastruktur in ein Cloudbackup geschoben werden, wo ich dann auch ohne den Partner dran komme und im Fall der Fälle "mit jedem anderen IT Partner" den Wideranlauf angehen kann.

---

@vogtsburger  schrieb:

 

Du, @janm, scheinst einer der offenen und fairen Berater zu sein .... und das ist auch gut so ...

---

Danke für die Blumen. 🙂

"Dank" des technologischen Fortschritts werden Angriffsmuster immer komplexer und erfolgreiche Zero-Day-Attacken immer häufiger. Der Ansatz mit Hilfe einer Fahndungsdatenbank (Definitionsdatenbanken) und einem Scanner den Übeltätern (Viren, Malware, Keylogger usw.) auf die Schliche zu kommen, ist daher nicht mehr zeitgemäß. Doch auch wenn die Software-Signatur sich ständig verändern mag, so ist das Ziel doch immer das gleiche: Z. B. Verschieben/Löschen/Verschlüsseln/Versenden von Daten ohne Autorisierung des Anwenders. 

Daher setzen moderne Anbieter professioneller Tools auf den Ansatz der KI-gestützten Verhaltenserkennung. Vereinfacht gesagt, verfolgt dabei ein KI-Agent in Echtzeit unter anderem das Verhalten der auf dem Client ausgeführten Befehle, aufgerufenen Internetseiten oder auszuführenden Downloads. Sobald in diesem Kontext schädliches Verhalten identifiziert wird, wird die Ausführung in Echtzeit unterbunden. Anders als bei klassischen Scannern spielt es keine Rolle, ob die verantwortliche Software dem Hersteller der Security-Lösung bereits bekannt war oder nicht. Die Software wird an weiteren Ausübungen gehindert, der User alarmiert und - viel wichtiger - der Service Provider des Kunden ebenfalls. Die Ereignisse wurden protokolliert und werden - hoffentlich, kommt wieder auf den Anbieter an - vom Dienstleister noch einmal überprüft. Bei Unklarheiten oder komplexeren Angriffsmustern, kann der IT-Service-Provider auch ein Team des Herstellers hinzuziehen oder von Beginn an die Überprüfung der Ereignisse an diesen outsourcen. Solche Lösungen werden als Endpoint Detection and Response (EDR) bezeichnet.

Unabhängig davon, ob die Clients in der ASP-Domäne sind oder nicht, hat sich die Art und Weise der IT-Nutzung verändert: Je User kommen immer öfter mehr Clients zum Einsatz und/oder Clients arbeiten von unterschiedlichen Netzwerken aus, deren Kontrolle sich der des ASP-Providers und oft auch dem Arbeitgeber entzieht (z. B. im Home-Office, Hotel-WLAN usw.). Microsoft 365-Applikationen kommen häufig auch lokal zum Einsatz (OneDrive, Teams usw.). Selbst wenn nur auf dem WTS gearbeitet werden sollte, so wird lokal mitunter gern privat gesurft (z. B. in der Mittagspause), Daten von Speichermedien des Mandanten hochgeladen; es existiert also eine Verbindung zwischen den lokalen Clients sowie der Server-Umgebung.

Doch nicht nur der Schutz der Clients auf Betriebssystemebene und im Netzwerk ist von Bedeutung, sondern auch die Verwaltung derselben. Für ein durchgängiges IT-Sicherheitskonzept, aber auch für den Komfort der Anwender sowie die präventive Behandlung vermeidbarer Service-Anfragen (z. B. Citrix- / DATEV SiPa-Updates wurden nicht installiert, User meldet sich in der Hotline), sollte das Service-Konzept des Dienstleisters auch Tools vorsehen, mit denen die Systempflege automatisiert durchgeführt werden kann und gewisse Sicherheitseinstellungen erzwungen werden können (z. B. Einrichten eines Bitlockers für Notebooks, sperren des USB-C-Ports auf dem iPhone im Sperrzustand uvm. mehr).

Der Verzicht auf eine zeitgemäße EDR-Lösung stellt daher meiner Meinung nach ein unnötiges Sicherheitsrisiko dar.

Auf diese Entwicklungen reagieren die IT-Dienstleister unserer Erfahrung nach sehr unterschiedlich: Vom Zwang zur Wahl einer bestimmten EDR-Lösung bis hin zu "Wir nehmen den Clients das Internet weg, dann lassen Sie die einfach auf WIN 10, bis die kaputtgehen. Was soll schon passieren?" ist da die gesamte Bandbreite vertreten. Manche Anbieter kehren vor diesem Thema auch einfach den Rücken und ziehen sich auf die Position "Ich hoste nur die Server." zurück.

Ich appelliere daher an alle, die sich mit dem Thema gerade befassen wollen/müssen: Vergleicht die Leistungen inhaltlich und lasst euch nicht abspeisen, wenn es um Details geht. Die Unterschiede hinsichtlich der innerhalb des ASP-Konzeptes angebotenen Leistungen sind zum Teil riesig.

Ich habe insbesondere in den 2010er Jahren erlebt, dass das technischen Interesse an unaufgefordert erläuterten technischen Sachverhalten in aller Regel nicht vorhanden war und zumeist aufgrund des Preises entschieden wurde. Heute erlebe ich, dass die Interessenten in der Regel deutlich besser informiert sind, sich zumindest bei einigen Berufskollegen und/oder in den sozialen Medien über uns erkundigt haben und gezielte Detailfragen stellen. In der Regel geht es nicht mehr darum, die günstigste, sondern die beste Lösung für die eigene IT zu finden.

Was den Preis angeht, so muss ein solches Konzept keinesfalls teurer als das eigene, seit Jahren genutzte ASP-Modell sein.