Das gezahlt wird, kommt häufiger vor als man denkt. 

Ja, aber nur die großen haben damit Erfolg. Das geht auch nicht nur mit einer einfachen Überweisung, da werden auch noch diverse Spezialisten hinzugezogen.

Es sind wohl nur 50% der "großen" die auch die Lösegelder zahlen (ab ca. 3 Mio. € aufwärts), davon sollen aber nur 17% Erfolg haben und die Daten werden wieder freigegeben. Dies sind aber nur die bekannten Zahlen, eine Dunkelziffer besteht.

Meine Schlussfolgerung: Bei einem 30-mann/frau/sonstiges Unternehmen juckt es die Erpresser eiskalt überhaupt nicht, nach Eingang des Geldes genauso eiskalt gar nix zu machen......  

... mal eine kurze Frage aus Anwendersicht

Kennt jemand ein gutes Lern-/Schulungs-Video zum Thema "IT-Sicherheit", das man in einer Kanzlei zur Sensibilisierung der Mitarbeiter einsetzen könnte ?

Vielleicht hat ja sogar die Datev etwas Passendes 'im Ärmel'

... wie gesagt:

kein Crashkurs für IT-Spezialisten, IT-Forensiker etc. sondern ein allgemein verständliches, praxisnahes Video oder Lernvideo auf Augenhöhe eines reinen Anwenders ohne den Anspruch, die (IT-)Welt erklären oder verstehen zu wollen

https://www.youtube.com/watch?v=mXB7qqoylYA

https://www.youtube.com/watch?v=J46YkEQbxJE

https://www.youtube.com/watch?v=30ZkMCxo4yQ

@LS4B , danke !

   Diese Videos und noch ein paar weitere Videos dieses Anbieters gehen schon stark in die Richtung, die ich mir vorstelle, nämlich wenige Minuten, wichtige Stichwörter, typische Szenarien ...

   Noch perfekter wären interaktive Lernvideos mit Aufgaben, Übungen, Fragen und Antworten etc. als eine Art Vorbereitung zur "Führerscheinprüfung Internet-Nutzung"

   Mit relativ wenig Aufwand an Zeit und Geld könnte man hier einige schwache Glieder in der Sicherheits-Kette verstärken, nämlich die Anwender.

   Wer oder was tatsächlich das schwächste Glied in der Sicherheitskette eines Unternehmens bzw. einer IT-Infrastruktur ist/war, stellt sich leider oft erst im Nachhinein, nach einem "Unfall", heraus.

Ich war schon oft das schwächste Glied. Ich habe auf Spam Links geklickt und dann überprüft was Datev Net damit macht. Es wurden bisher 100 % davon geblockt.

 Drive bei Infektionen gibt es bei Apple oder einem aktuellen gepflegten Android eigentlich nicht. D.h. die ganzen neuen Leute, die quasi zum ersten Mal mit einem Windows System konfrontiert werden, haben erstmalig das Problem, dass man einen Drive by erzeugen kann.

Ich hab dafür auch keine Lösung. Ich denke aber gerade, dass durch die technische Entwicklung, wie Apple und Android dadurch jegliche Sensibilität Verloren geht.

Ach ja:@vogtsburger Sowas such ich auch noch, gerade jetzt ganz aktuell, wenn ich Montag einer Kanzlei ihren neuen Mailsserver übergebe.

Aber nicht nur welche Gefahren eine Mail beinhalten kann, was gefaked sein kann... Phishing, gefälschte Absender, Anhänge mit Markoviren, doppelte Dateiendungen und das ganze Zeug was es so gibt.

Hätte gerne auch etwas, was  dem Anwender mal etwas näher bringt, wie das Medium E-Mail überhaupt zu nutzen ist und warum manche Dinge halt nicht funktionieren, so wie es "Anwendner XYZ" gerne möchte. So z.B.:

• Anhänge können nun mal nicht unendlich gross sein
• Warum nimmt Gegenseite z.B. keine Makro-Excels an (Kanzlei braucht mich jedes mal anrufen, es liegt nicht an uns)
• Was ist ein NoGo an Anhangstypen und wieso ist das so
• Warum Autoresponder und nicht Kopien hin-und-her weiterleiten
• Warum werden niemals SPAMs oder der Papierkorb gelöscht
• Warum nicht permant mitlesen (DSGVO) bzw. alle Mails aller Mitarbeiter in den eigenen Posteingang "einleiten"
• Warum sich Kanzlei-Intern Dateien zumailen, wenn sie eh in der Ordnerstruktur liegen, wenn sie eh nochmals in der DokOrg liegen. Alles ist drei-vierfach vorhanden.

Und so ganz grundlegende Dinge: Wie lang sollten Dateinamen sein. Wie dürfen Ordner benannt werden etc.. Jeder Serverumzug, jedes neue Mailsystem macht in mich in diesem Punkt nervlich "fertig".

Da findest Du Ordner-Strukturen ala:

Mandanten

Mandanten          Industrie

Mandanten                                      Handel

Mandanten                                                               Schausteller

Also so wie oben gezeicht werden Ornder benannt mit den ganzen Leerzeichen - damits im Explorer "hübsch" ausschaut wurde mir gesagt. Ich dachte ich falle um. Dann zu Lange Ordnernamen etc..Sowas zu Kopieren geht dann natürlich nicht mehr.

Oder jetzt gerade bei meinem aktuellen MailServer Umzug an diesem WE: Da war jemand so "clever" und hat in seiner Outlook-Ordner-Struktur ständig Klammern benutzt, also im Ordnernamen () [] {}. Den Mist bekommste mit IMAPCopy gar nicht kopiert. Ok, also wieder mannuell in das Postfach, wieder händisch eingreifen.

Das kostet alles sooooo viel Zeit.

Wenn ich was passendes als Text oder Video gefunden hab, stell ichs hier hin. Vielleicht schreib ich auch selber was zusammen... Für meine Kunden und deren kommenden Umzüge... Nach dem Motto: "Bitte so nicht, sonst hab ich keine Lust mehr..."

Platt gesagt:

• Das Mitlesen von Mails ist bei erlaubter "privaten" Nutzung des MailAccounts niemals erlaubt
• Das Mitlesen von Mails ist bei unsagter "privater" Nutzung des MailAccounts nur Stichprobenartig im konkreten Verdachtsfall/Absenheit/Krankheit erlaubt
• Automatisiertes, permantes Kopieren von Ein & Ausgang empfinde ich nicht als "Stichprobe"

StB argumentiert gerne mit Bezug auf seinen "Berufsstand": Stegt komplett über den Dingen und darf immer "alles"... So ein Quatsch. Datenschutzbeauftrager, was ist das? So sieht die Realität immer noch bei vielen aus.

Ich (Techniker) machs mir einfach: Geht technisch nicht und fertig. Wers zwingend will, bitte gerne - sucht euch wen anderes.

Private Nutzung sollte meines Erachtens immer verboten sein. Dann hat der Arbeitgeber im Zweifel immer das Problem, dass er eigentlich nicht darauf zugreifen darf.

Wenn man eine Beschlagnahme unterbinden will, wäre das natürlich eine Möglichkeit.

... so wie man die Domänen-Benutzer zwingen kann, immer wieder in bestimmten Intervallen, bis zu einem festen Stichtag, ihr Passwort zu ändern, könnte man sie auch zwingen, ein paar Verständnisfragen korrekt zu beantworten, um das evtl. 'versickerte' IT-Grundwissen immer wieder 'nachzufüllen'.

Man ist als Internet-Nutzer, zumindest im beruflichen Umfeld quasi der Fahrer eines "Gefahrgut-Transporters", die ja auch regelmäßige Prüfungen ablegen müssen, so wie z.B. auch Flugzeug-Piloten

Da die Existenz des Unternehmers bzw. Arbeitgebers vom korrekten Verhalten der Mitarbeiter in sicherheitsrelevanten Bereichen abhängt, hat er auch das Recht und z.T. sogar die Pflicht, die Kenntnisse und Fähigkeiten der Mitarbeiter zu überprüfen und so gut es geht, auf ein möglichst hohes Niveau zu bringen und dort zu halten.

Was mich oft ärgert, sind die Proforma-Zertifikate und -Weiterbildungs-Nachweise, nach dem Motto:

"Herr/Frau XYZ hat erfolgreich am 08/15-Seminar teilgenommen"

Die Datev hätte allerbeste Möglichkeiten, das IT-Sicherheitsniveau in Kanzleien auch auf dem Gebiet "Mitarbeiter-Schulung zur sicheren Internet-Nutzung" stark zu verbessern, wenn sie wirklich daran interessiert wäre.

Anstatt sehr hochpreisige Consulting-Angebote zu machen, sollte die Datev besser 'preislich niedrigschwellige' Schulungsangebote machen, z.B. in Form von zusätzlichen, praxisnahen bzw. praxisnäheren Lernvideos

Es gibt eben erfahrungsgemäß 'Schwellenangst', wenn man grundsätzlich einen mittleren 3-stelligen Betrag oder gar einen 4-stelligen Betrag 'auf den grünen Tisch des Hauses Datev' legen muss.

Diese 'Hemmschwelle' ist der Datev ja schon lange bekannt.
Die Angebote für die Datev-Lernvideos sind ja sicher aus diesem Grund 'kaufpsychologisch besonders wertvoll' (niedriger als 3-stellig)🤣

Wenn sie dann auch noch fachlich und didaktisch wertvoll sind, bin ich gerne dabei.

Bei mir und offenbar allgemein bei uns in der Kanzlei ist die 'Präsenz-Affinität' bei Seminaren und Schulungen nur sehr schwach entwickelt 😉

Wir betreiben das Gehirn-Jogging lieber in der eigenen, individuellen Geschwindigkeit und nicht so gern in der 'Kohorde' 😉

---

@vogtsburger  schrieb:

😉

Wir betreiben das Gehirn-Jogging lieber in der eigenen, individuellen Geschwindigkeit und nicht so gern in der 'Kohorde' 😉

 

---

Die gibts nur in Franken 😉

Hallo @Koppelfeld ,

mich würde mal interessieren, was aus Ihrem Problem mit dem Verschlüsselungstrojaner bzw. mit dem Problem des Kunden geworden ist

Wahrscheinlich ist man in der eigenen Kanzlei nur ein Klick entfernt von einer ähnlichen Situation.

Manche E-Mails sind so gut gemacht, z.B. mit persönlicher Anrede, mit real existierenden Absendernamen, mit korrekter Orthograhie, mit plausiblem Text, ggfs. sogar mit Bezug auf eine tatsächliche Kommunikation, dass auch routinierte Mitarbeiter oder man selbst hereinfallen könnte.

Ich gehe davon aus, dass evtl. schon ein einziger falscher Klick reicht, um das gesamte eigene LAN zu infizieren.

Laienhaft gefragt, wäre eine tägliche Onlinedatensicherung für den lokalen Server einen Lösung zur Verhinderung des Problems mit Verschlüsselungstrojanern?

Falls ja, welche Anbieter sind sicher und bezahlbar? Hat hier jemand Tipps. Die Datev bietet Datensicherung online leider nicht mehr an. 

---

@vogtsburger  schrieb:

 

Hallo @Koppelfeld ,

 

mich würde mal interessieren, was aus Ihrem Problem mit dem Verschlüsselungstrojaner bzw. mit dem Problem des Kunden geworden ist

Unschön.

Alles nach "Hörensagen":

Viele Mandanten der "befallenen" Kanzlei haben sich m.E. zu Recht abgewendet, weil sie nicht über den ernsthaften Sabotagefall informiert wurden.  Intern haben sich die Kanzleibesitzer wohl nicht geeinigt, wie die Kommunikation stattzufinden habe.

Wiederherstellung der Daten ist nicht erfolgt.   Es war wohl der "Zeppelin" - Trojaner, der überhaupt keine Wiederherstellung vorsieht.

Dann haben sich die Partner untereinander zerstritten, beim Mandanten "die Kanzlei" als Schuldigen hingestellt und die jeweils betreuten Mandanten "mitgenommen" in eine wie auch immer geartete Selbständigkeit.

Wenn man. in einem Boot sitzend, in einer sehr kritischen Situation nicht zusammenhält, dann sehe ich da keine "Partnerschaft".    Da kann man auch nicht helfen.   Natürlich sollte man den "Schuldigen" suchen und ein, zwei Tage kräftig "grillen".   Das ist zwar nicht vernünftig, aber notwendig, um die Rachegelüste zu stillen.   DANN ABER kann es nur heißen, "Wie kriegen wir jetzt die Kuh vom Eis" ?

Wahrscheinlich ist man in der eigenen Kanzlei nur ein Klick entfernt von einer ähnlichen Situation.

 

Manche E-Mails sind so gut gemacht, z.B. mit persönlicher Anrede, mit real existierenden Absendernamen, mit korrekter Orthograhie, mit plausiblem Text, ggfs. sogar mit Bezug auf eine tatsächliche Kommunikation, dass auch routinierte Mitarbeiter oder man selbst hereinfallen könnte.

 

Mir auch schon.   Beim Kunden warten wir auf eine DHL-Sendung aus der Tschechoslovakei (wie auch immer das jetzt heißt).

Dann kommt zeitlich koinzident eine  - personalisierte -  vorgebliche DHL-Mail an.   ICH habe der rückfragenden Buchhalterin gesagt, sie solle die Mail öffnen, war also verantwortlich.

Die Ortografi war furchtbar, aber das ist man ja bei den "Millenials" gewohnt.

Folge:   Ein Schadprogramm kam zur Ausführung und exportierte entweder das umfangreiche "Outlook" - Adreßbuch oder "erntete" im Mailbestand.

Wochenlang beschwerten sich Kunden, daß sie im Namen des Unternehmens häßliche Schadmails zugeschickt bekämen.   Die wurden dann nicht von uns verschickt, sondern aus Ghana.   Aber "Outlook" zeigt wohl nicht die Mailadresse des Senders an, sondern nur den "gefakten" Namen.

War nicht lustig, und für mich schon gar nicht.

Ich gehe davon aus, dass evtl. schon ein einziger falscher Klick reicht, um das gesamte eigene LAN zu infizieren.

Unter "günstigen Umständen":   Ja.

Ich bin ja sehr angetan von den Aktivitäten des Teilnehmers @LS4B, weil der m.E. weiß, wovon er spricht.   Man könnte vielleicht einmal überlegen, ein kleines "Online-Seminar" zu veranstalten, in dem einige elementare Hinweise gegeben werden.   Ggfs. vorher die Agenda abstimmen, mit Interessierten hier.   Ggfs. noch andere beteiligen z.B. den Herrn @metalposaunist .

Vorschläge:

1.)

Zum Beispiel kann man sich überlegen, ob man "SPF" nutzt.   Da geben Sie im DNS mit, welcher "Einlieferer" überhaupt berechtigt ist, für z.B. Ihre Kanzlei Mails abzuliefern.

Ein "Spamfilter" auf der "Gegenseite" prüft dann:

- endet der 'reverse lookup' im DNS auf die "einliefernde" IP mit dem Domänennamen der Kanzlei ?

- befindet sich die IP in der "SPF-Liste", welche im DNS unter dem Domänennamen hinterlegt ist ?

Das ganze hat den Vorteil, daß es sogar kontenlos ist, sofern man schon über eine ordentliche Infrastruktur verfügt.

2.)

Sicherungen:

Seit etwa 45 Jahren betreiben wir EDV-Systeme.  Und bisher haben alle Datensicherungen versagt AUSSER Bandsicherungen.   Bandsicherungen sind vor allen Dingen dateisystemunabhängig, d.h., die Daten aller Dateien landen schön seriell auf dem Band.   Zum anderen sind die Daten natürlich nicht von "Trojanern" erreichbar.

Zuguterletzt kann man ein Band in der Jackentasche mit nach Hause nehmen.

3.)

LAN - Trennung:

Auf gar keinen Fall "DATEV-Core" und Arbeitsplätze ins gleiche Netz !

Damit ein Zwischenfall lokal begrenzt wird.

4.)

Da will ich noch nichts drüber sagen, die gute Idee stammt von einem weiteren Forumsteilnehmer.  Coming soon, momentan sind wir ziemlich "unter Wasser" wegen Nachwirkungen der Sturmschäden bei Kunden.

5.) Vorschläge ?

---

@merchantofdoubt  schrieb:

Laienhaft gefragt, wäre eine tägliche Onlinedatensicherung für den lokalen Server einen Lösung zur Verhinderung des Problems mit Verschlüsselungstrojanern?

Falls ja, welche Anbieter sind sicher und bezahlbar? Hat hier jemand Tipps. Die Datev bietet Datensicherung online leider nicht mehr an. 

---

Siehe meine Antwort auf @vogtsburger.   Band, Band, Band.

Die "Online-Sicherung", in Verbindung mit einem gammeligen "Synology", bieten  "vertrauensvolle Systemhäuser" in Verbindung mit einem Kennenlernvertrag mit der Laufzeit von nur drei Jahren.   Heise hat dazu aktuell etwas, NAS: Sicherheitslücke in Synology DSM erlaubt Ausführen beliebiger Befehle .

Und hier dann die Preisstellung, ich kopiere jetzt aus Faulheit meine eigene Stellungnahme aus März 2021:

Pos. 12+13: "Synology NAS"
Ein doppelter Tusch bitte: Zum einen, um den Linux-Server
Nummer DREI im Ensemble zu begrüßen, zum anderen:
Jedes unterirdisch schlechte Angebot enthält so eine Schrott-
kiste, der eine Studi-WG nicht einmal ihre Pornosammlung an-
vertrauen würde.
Es gibt Menschen, die haben einen geistigen Horizont mit dem
Radius Null und nennen ihn "ihren Standpunkt". Aber wie
bescheuert muß man sein, Festplatten auf danebenstehenden
Festplatten zu sichern ????????
Das Wichtigste bei einer Datensicherung ist es, daß man die
gesicherten Datenträger entfernen und sicher lagern kann.

Denn was passiert im Falle von Vandalismus, Blitzeinschlag
oder sonstigen ungeplanten Ereignissen ?
Warum eine erstklassige Bandstation (das Gehäuse ist alt,
aber das eingebaute Gerät aktuell) wegwerfen ?

Die Studi-WG, die etwas auf sich hält, nutzt übrigens
"TrueNAS". Und sichert diese Station noch extern.

Ein Serverbetreiber nutzt LTO-Bänder, so wie wir.

 

Stattdessen wird angeboten:

Investition: 673,-- Linux-Server "Synology" plus Festplatten gemäß Angebot
Einmalkosten: 160,-- Einrichtung, zwei Stunden
Summe: 833,--

 

Pos. 14-17: Die Herren sehen sich als "Farmer" und bauen Ihnen eine
schöne Farm, die sie gegen monatliche Gebühr pflegen
willen. Es fehlen noch einige "Farmmitglieder", die trage
ich nach.

Investition: 0,-- Fürchte die Danaer, auch wenn sie Geschenke geben,
denn die Abrechnung ist monatlich ...
Einmalkosten: 840,-- Einrichtung der "Agenten" auf den "Farmservern"
und den 30 "Workstations"
Jährlich: 1.562,40 Jährliche Kosten für 30 "Workstations" (nicht 15)
und die "Server"

Summe: 3.963,-- GÜNSTIG ! Aber das ist noch nicht alles !

Pos. 18+19: Tja, was macht man, wenn man eine "echte" Datensicherung
zerstört und stattdessen eine peinliche Amateurkiste hinge-
stellt hat? Man verkauft "on top" noch einen "Backup-
Vertrag", auf monatlicher Basis, für schlappe 161,--,
mit der Kennenlern - Einstiegslaufzeit von 36 Monaten.
Deswegen mußte ich die zwei-Jahres-Kosten auch entsprechend
anheben.

Investition: 0,-- Die Unterschrift unter den Vertrag ist kostenlos.
Einmalkosten: 420,-- Die "Agenten" müssen eingerichtet werden.
Jährlich: 1.932,-- Zusätzlich zur Datensicherung, pro Jahr ...
Summe: 6.216,-- für zwei Jahre, beachte Mindestlaufzeit 36 Monate.

Macht über drei Jahre ziemlich genau 10.000,-- und hat prinzipbedingt massive Nachteile.  Gut, es gibt auch bestimmt "seriöse" Softwarehäuser, aber mit einem Band hat man es preisgünstiger und sicherer.

Hallo @Koppelfeld ,

danke für die ausführliche Antwort

Ich selbst sehe E-Mail in einer 'schmuddeligen Sackgasse ohne Wendemöglichkeit'.

Die mir als einzig sinnvoll erscheinende Lösung für Datenaustausch im B2B-Bereich ist eine auf den Austausch spezialisierte und haptisch optimierte Online-Plattform.

... nur auf das wirklich Notwendige reduziert, sicher bzgl. DSGVO, mit Verschlüsselungsmöglichkeiten, mandantenfähig, Kundenbindung durch passgenaue Leistungen und Funktionen und nicht durch eine lange Mindestvertragslaufzeit etc.

Mir ist das ganze Thema mit Mails & Co. so auf den Keks gegangen (aber auch noch andere Dinge, wie die komplette Missachtung von: Wie gestallte ich Dateinamen, Ordnernamen, wie kann meinen Desktop maximal zumüllen etc. => so dass der Dienstleister/Admin eine maximale Kriese beim Serverumzug bekommt), dass ich wirklich mal ein paar Dinge zusammengesucht habe und aufgeschrieben hab.

Das ist teils Copy-/Paste ohne korrektes zitieren und ohne Quellenangabe. Dann möglichst "platt" formuliert, damit es nicht zu fachlich wird und teils auch überspitzt. Es soll sensibilisieren - mehr nicht!

Stelle zumindest den Teil, wo es um Mails hier gerne hin.

---

@vogtsburger  schrieb:

 

Danke für die ausführliche Antwort

 

Ich selbst sehe E-Mail in einer Sackgasse ohne Wendemöglichkeit.

 

Die mir als einzig sinnvolle erscheinende Lösung für Datenaustausch im B2B-Bereich ist eine auf den Austausch spezialisierte und haptisch optimierte Online-Plattform.

 

... nur auf das wirklich Notwendige reduziert, sicher bzgl. DSGVO, mit Verschlüsselungsmöglichkeiten, mandantenfähig, Kundenbindung per Leistung und nicht per Vertragslaufzeit etc.

 

---

Das war ein Vollzitat wert.

Es kommen ja noch weitere E-Mail - Probleme hinzu.   Viele Provider sagen:   "Mails von Dir lehne ich ab und lasse sie auf den Boden fallen".   Viele "Spamfilter" sagen, "diese Mail von Coralie Westermann stecke ich jetzt in "Quarantäne", weil im Namen "oral" vorkommt.   JA, das ist passiert, den Nachnamen habe ich allerdings verändert.

Sie haben noch vergessen:   Einbindung in DATEV - DMS und DATEV - Dokorg.

Geduld, vielleicht gibt es da ganz kurzfristig etwas dazu,

Möchte nur ergänzen, es muss aus meiner Sicht nicht zwingend LTO sein. Meinetwegen RDX oder ganz billig auch HDD an USB im Wechsel => Hauptsache etwas, was ich ABZIEHEN & WEGLEGEN kann. Wenigstens als sekundäre Sicherung z.B. einmal die Woche für den Super-Gau (besser noch täglich).

Online-Sicherungen per Agent. Ich bin da vielleicht zu konservativ für, ich halte da nichts von (zumindest wenn ich das als einzige Sicherung nutze). Wie lange will ich denn Stillstand haben, wenn ich erst alle Daten mühevoll aus dem Netz zurück holen muss. Haben diese inkrementellen Sicherungen wirklich funktioniert?

Ne, besser Alte-Schule => jeden Tag eine Vollsicherungen als Image, mit welchem Produkt ist bestimmt Geschmacksache. Auf nem Blech komm ich damit in ein paar Stunden zurück.

Virtuelle Maschinen sichere ich ebenfall einmal "unten drunter" aber auch innerhalb der VM mittels Image. Das "unten drunter" auf nen NAS das Image auf nen RDX.

---

@Gelöschter Nutzer  schrieb:

 

rdx ist schon besser.. allein schon wegen der schreibsperre.

---

Kriegen Sie bei LTO6 und höher ebenso hin:

Beispielsweise mit WORM - Bändern, "write-once-read-many", die dann auch noch die E-Mail - Archivierung erschlagen.   Die LTO-Technik ist mittlerweile grundsolide.

RDX haben wir einmal verwendet, um eine denkmalgeschützte Ruine auf dem kurzen Dienstweg zu beseitigen.   Gewiß, RDX ist veraltet, hat aber den Vorteil, daß es zwar nicht so brisant ist wie bspw. TNT, aber eine hohe Arbeitsleistung freisetzt.   "Das schafft 'was weg".   Ideal, wenn es 'mal schnell gehen muß.

Es soll jetzt auch Sicherungsmedien mit dem gleichen Namen geben, aber das sind in Wirklichkeit -- gammelige Platten.   Einen mittelbaren Blitzeinschlag überlebt die Elektronik nicht,  ein Band schon.

Ich würde auch nicht unbedingt "nur" Images sichern, es reicht ein einziges Schadprogramm, um ein "NTFS" kaputtzumachen.   Unter Umständen wird der Defekt erst Wochen später bemerkt und dann sind alle Sicherungen überschrieben oder veraltet.

Das es Kanzleien gibt, die nichts ins RZ schicken kann ich gar nicht nachvollziehen. Die Kosten trägt der Mandant, wo ist das Problem? Ich denke, die betroffenden MD werden sich nicht noch einmal so einen StB suchen, der nichts zur Datev schickt. Es hätte je schon größtenteils genügt, die Rewe Daten ins RZ zu senden. Aber das sind dann auch die Berater, wo man die Datenüberträge 2 mal machen muss, da beim ersten mal gar nichts kommt oder die Hälfte der der Rewe Daten nicht da ist, weil vergessen wurde diese vorher zu senden... 

Wir hatten vor Jahren auch innerhalb kurzer Zeit 2 Trojaner (Bewerbungsmails), aber die Datensicherung hat funktioniert auch wenn jeweils ein halber Arbeitstag verloren war, waren wir am nächsten Tag wieder Arbeitsfähig (und ich um Jahre gealtert 😞 ). Es wird bei uns auch jeden Tag die Sicherung auf wechselnde USB Platten kopiert. Aber selbst wenn das nicht mehr gehen sollte, so haben wir wenigstens einen Großteil der Daten noch im RZ liegen.

Zum Thema User-Sensibilisierung: Ein, zwei Tage Frontalbeschallung für bazilliarden Euros durch einen tollen Business-Consultant sind für den erzielten Effekt viel zu teuer. Die Vergessensquote der User ist viel zu hoch, der ein oder andere kann nicht teilnehmen und die für den eigentliche Lerneffekt benötigte Wiederholung bleibt aus.

Bei vielen Cyber-Versicherungen gehören entsprechende Video-Trainings zum Leistungsumfang. Viel Content zum Thema findet sich auch auf youtube usw. Fachmagazine wie c´t, heise.de, golem.de usw. beschäftigen sich regelmäßig mit dem Thema und veröffentlichen FAQ etc. dazu.

Wem das alles nicht reicht, der kann über seinen IT-Dienstleister häufig solche Services bekommen. Wir machen das z. B. mit unserem Firewall-Partner zusammen: Online-Akademie mit Selbstlern-Inhalten. Parallel setzen wir die Kanzlei echten Angriffen aus (z. B. vermeintliche Anfragen potentieller Neu-Mandanten/Bewerber, dumme Nachfragen seitens der Finanzverwaltung, Social Engineering-Tests etc.). Begeht ein User einen Fehler, wird aber natürlich kein Schaden angerichtet, sondern es erscheint eine Meldung, dass er hereingefallen ist. Ihm wird erklärt, was er falsch gemacht hat und entsprechender Content in der Online-Akademie verlinkt, der thematisch passt.

Ansonsten gilt wie immer in der IT: "Kein Backup? Kein Mitleid." Mandanten-Daten bei DATEV halten ist eine Option. Es gibt aber noch unzählige Lösungen für elegante Cloud-Backups - bezahlbar, DSGVO-konform und unabhängig von den verwendeten Geräten nutzbar.

Am besten fragen Sie dazu mal Ihre IT-Partner. Die haben dazu in der Regel entsprechende Lösungen in der Schublade.

Phishing

Ransomware

Social Engineering

End Point-Protection

Datenschutz-Grundlagen

Zu diesen Themen sollte eigentlich schon in der Schule unterrichtet werden.. 

---

@Howie  schrieb:

 

Wem das alles nicht reicht, der kann über seinen IT-Dienstleister häufig solche Services bekommen. Wir machen das z. B. mit unserem Firewall-Partner zusammen: Online-Akademie mit Selbstlern-Inhalten.

Verstehe ich das richtig?  Also, bei dem Dienstleister, der mir ein unsicheres Mailsystem hingestellt hat, soll ich jetzt Schutzmaßnahmen kaufen ?   Das kann ich mir ja gleich vom Einbrecherkönig einen "Schutzbrief" ausstellen lassen ...

Parallel setzen wir die Kanzlei echten Angriffen aus (z. B. vermeintliche Anfragen potentieller Neu-Mandanten/Bewerber, dumme Nachfragen seitens der Finanzverwaltung,

Eine Bewerbungsmail, eine Mandantenanfrage oder eine Nachfrage der Finanzverwaltung sind Angriffe ???

Wie wäre es denn:

1.

Der "IT-Dienstleister" stellt den Kunden ein System hin, das bei bestimmungsgemäßem Gebrauch keine massiven Schäden anrichten kann.

2.

Der "IT-Dienstleister" trifft Vorkehrungen für den Fall eines Schadens, indem er die Ausbreitung lokal begrenzt.  Beispiel:  Arbeitsplatzrechner und DATEV-Server in getrennte Netze.

Die Mitarbeiter des Steuerberaters sollen ungestört und sorgenfrei arbeiten können.

Als ob die nicht schon genug "Belehrungen" und "Weiterbildungen" um die Ohren hätten.

Am besten fragen Sie dazu mal Ihre IT-Partner. Die haben dazu in der Regel entsprechende Lösungen in der Schublade.

Das, was aus diesen Schubladen bei den Endkunden abgekippt wird, sehe ich regelmäßig.  Immer wieder sind vier Punkte einschlägig:

a)

Die "Sicherheitstechnik" selbst spannt eine große Angriffsfläche auf.

Schon die Römer wußten, "quis custodiet ipsos custodes ?"

b)

Keinerlei "security in depth" oder "security by redundancy".   Versagt die "Firewall", ist Polen offen.

c)

Die reguläre Arbeit wird massiv behindert, sei es durch Verlangsamung oder gar durch "Abfangen" erwünschter Kommunikationsinhalte.

d)

Der typische "IT-Dienstleister", wie ich ihn regelmäßig erlebe,

- gehört zu 30% zur Gruppe "weiß nix",

- zu 30% zur Gruppe "weiß nix und will auch nix wissen" und

- zu 30% zur Gruppe "denkt, er wüßte alles".

- die verbleibenden 10% beschäftigen sich nicht mit "Windows", denn wer so intelligent ist, es zu verstehen, ist auch intelligent genug, es zu meiden.

Die dritte Gruppe richtet den größten Schaden an.  In der bekannten Klassifikation des Militärtheoretikers Kurt von Hammerstein ist das der Soldatentypus "fleißig und dumm".

Da halte ich es mit dem Herrn Vogtsburger, der sinngemäß empfiehlt, E-Mail als Sackgasse anzusehen und folglich zu meiden.