Wie sicher ist eine Cloud?

Viele Fir­men denken darüber nach, in Zukun­ft nicht nur auf ihre eigene Infra­struk­tur vor Ort zu set­zen, son­dern einen Teil davon als Ser­vices aus der Cloud zu beziehen. Bekan­nte Anbi­eter sind Ama­zon, Microsoft, Google und Co. Die Vorteile für die Fir­ma sind

  • Tief­ere Hard­ware-Kosten pro Standort
  • Mehr Sicher­heit vor Ausfällen
  • Kleiner­er ökol­o­gis­ch­er Fussabdruck
  • Ein­fachere Schritt-für-Schritt-Skalierung­bei Bedarf

Grosse Play­er aus den USA haben die Cloud aus dem Pub­lic-Bere­ich her­aus dominiert. Viele Fir­men schätzen die Möglichkeit, Cloud-Dien­stleis­tun­gen bequem zu beziehen, egal wo das dazuge­hörige Rechen­zen­trum ste­ht. Doch der Move in die Cloud wird nicht nur von den grossen Tech-Gigan­ten getrieben. Schweiz­er Anbi­eter haben eine äusserst gün­stige Aus­gangslage, um ihren Kun­den eine höhere Sicher­heit zu bieten. Pri­vate-Cloud Anbi­eter kön­nen viele Cloud-Bedenken entkräften.

Nehmen wir als Beispiel den Daten­schutz. Nicht alle Fir­men wollen, dass ihre Dat­en auf US-amerikanis­chen oder chi­ne­sis­chen Servern gespe­ichert wer­den. Cork, New York City oder Shang­hai? Pub­lic-Cloud Kun­den haben bei der Loka­tion kein­er­lei Mit­spracherecht. Was wenn ein Geheim­di­enst den Anbi­eter, aus welchen Grün­den auch immer auf­fordert, die Dat­en Ihres Kun­den her­auszurück­en? Dies ist ins­beson­dere bei sehr per­sön­lichen Dat­en, wie Gesund­heitsin­for­ma­tio­nen oder Bankangaben, ein sehr heik­les The­ma. Genau hier heben sich Schweiz­er Cloud-Anbi­eter von aus­ländis­chen Anbi­etern ab.

Cloud-Provider, die ihre Dien­ste aus ein­er pri­vat­en, Schweiz­er Cloud-Infra­struk­tur aus anbi­eten, kön­nen den «Swiss­ness-Fak­tor» nutzen, um sich gegen inter­na­tionale Tech-Gigan­ten durchzuset­zen. Kun­den haben bei einem Schweiz­er Pri­vate Cloud Anbi­eter die Gewis­sheit, dass ihre Dat­en auch in der Schweiz bleiben. Für viele Unternehmen ist dieser Umstand entscheidend.

Auch Bro­ker­Star kann in ein­er Pri­vate Cloud betrieben wer­den. Die meis­ten Kun­den nützen diese Dienst. Das Label Swiss Host­ing stellt sich­er, dass die Dat­en auss­chliesslich in der Schweiz bleiben. 

Cloud-Anbi­eter benöti­gen dazu ein Dat­a­cen­ter, aus welchem die ange­bote­nen Dien­stleis­tun­gen, wie Soft­ware-as-a-Ser­vice, bere­it­gestellt wird. Dazu braucht es fol­gende Komponenten.

• Vir­tu­al­isiert­er Stor­age
Spe­icherka­paz­ität wird aus mehreren physis­chen Sys­te­men zusam­men­gelegt und den Usern als einzel­ner, zen­tral steuer­bar­er Spe­ich­er ange­boten. Der physis­che Spe­ich­er wird kopiert und als virtuelles «Stor­age Attached Net­work» (vSAN) Pool zur Ver­fü­gung gestellt. Die daraus genutzten Anwen­dun­gen laufen auf virtuellen Maschi­nen (VMs).

• Vir­tu­al­isiert­er Serv­er
Bei der Servervir­tu­al­isierung wird CPU-Leis­tung statt Spe­ich­er vir­tu­al­isiert. Physis­che Serv­er wer­den mit ein­er Vir­tu­al­isierungssoft­ware in mehrere  voneinan­der getren­nte virtuelle Serverumge­bun­gen geteilt. Die User arbeit­en  auf jedem virtuellen Serv­er unabhängig.

• Vir­tu­al­isiertes Net­zw­erk
Net­zw­erkvir­tu­al­isierung sorgt dafür, dass physis­che Net­zw­erke in mehreren virtuellen Umge­bun­gen unab­hängig voneinan­der ver­wal­tet wer­den. Router oder Switche wer­den zen­tral verwaltet.

• ICT-Secu­ri­ty
Und dann braucht es jede Menge an Sicher­heit­sein­rich­tun­gen von der Fire­wall mit DMZ über Viren­schutz, Intru­sion Detec­tion u.a. kurz alle Mass­nah­men um Geräte, Soft­ware und Dat­en vor bösar­ti­gen Angrif­f­en zu schützen

Schön zu lesen…

Auf unsere Wei­h­nachts­grüsse haben wir von zahlre­ichen Kun­den und Part­nern ein Feed­back erhal­ten. Hier eine kleine Auswahl. Für das WMC-Team ein Ans­porn, auch im 2023 ein fair­er und ver­lässlich­er Part­ner zu sein.

Der Broker der Zukunft

Der Ver­sicherungs­markt wird sich in den näch­sten Jahren mas­siv verän­dern.  Marin Vlasec von der Pax hat in seinem Refer­at am Ver­sicherungs­bro­ker-Forum 2022 die Anforderun­gen an den Bro­ker der Zukun­ft aufgezeigt. Heute liegt nun ein Leit­faden vor, den WMC mit fre­undlich­er Genehmi­gung der Pax allen inter­essierten Bro­kern zur Ver­fü­gung stellt.

Dig­i­tal­en Kun­den­wert erschaf­fen
Der Ver­sicherungs­bro­ker ste­ht wegen des tech­nis­chen Wan­dels und der Konzen­tra­tion in der Branche unter Druck. Kön­nen sich kleinere unab­hängige Bro­ker gegenüber der immer gröss­er wer­den­den Konkur­renz behaupten? Hängt der Erfolg des zukün­fti­gen Bro­kers an  sein­er dig­i­tal­en Kompetenz?

Down­load Leitfaden 

1. Aktuelle Situation

Die Bro­ker­land­schaft ist von zwei Entwick­lun­gen geprägt. Zum einen kaufen grosse Bro­kerun­ternehmen kleinere auf. Dadurch wer­den die Möglichkeit­en kleiner­er und mit­tlerer Bro­ker auf dem Markt eingeschränkt. Der Druck auf sie steigt. Zum anderen wirkt sich die Dig­i­tal­isierung auf die Ange­bote und die Zugangswege zu Unternehmens- sowie Pri­vatkun­den aus. Was bedeutet das für die Zukun­ft der kleineren Gruppe. Dig­i­tal­isierung kann einen Zielkon­flikt darstellen – denn mit dieser ändern sich auch die Kun­denbedürfnisse und die Art und Weise, wie Kun­den sich über Ange­bote informieren. Durch die Nutzung dig­i­taler Zugangswege kön­nte zum Beispiel das Risiko beste­hen, dass der per­sön­liche Kon­takt mit der Kund­schaft abn­immt. Bere­its jet­zt informieren sie sich über Inter­net und Social Media inten­siv­er als noch vor eini­gen Jahren.

2. Kern­di­en­stleis­tun­gen eines Versicherungsbrokers

Die Kern­di­en­stleis­tun­gen eines Ver­sicherungs­bro­kers kön­nen in den Bere­ichen Beratung, Admin­is­tra­tion & Sup­port, Risk-Man­age­ment sowie Ver­gle­iche ange­siedelt wer­den. Durch diese Grund­di­en­stleis­tun­gen schafft der Ver­sicherungs­bro­ker einen konkreten Mehrw­ert für die Ver­sicherungsnehmer. Es han­delt  sich dabei um eine Vere­in­fachung der Dien­stleis­tun­gen und Auf­gaben, wie im Rah­men der Forschungsar­beit zur Mes­sung des Kun­den­werts aufgezeigt wurde.

  • Beratung: Deck­ungs­analy­sen und Konzepte, Empfehlun­gen zur Sicher­heit.
  • Admin­is­tra­tion & Sup­port:  Claims- Man­age­ment,  Anfra­gen beant­worten und   Infor­ma­tio­nen teilen.
  • Risk-Man­age­ment: Aufzeigen und Abwä­gen von Risiken.
  • Ver­gle­iche:  Preis- und Leis­tungsver­gle­iche,  Deck­ungsvari­anten aufzeigen.

3. Schaf­fung von dig­i­talem Kundenwert

Die Unter­suchun­gen zeigen: Es beste­ht eine soge­nan­nte Bere­itschaft­slücke bei Kun­den, Ange­bote dig­i­tal zu beziehen. Das bedeutet, dass eben jene Dien­stleis­tun­gen, die ohne grossen Aufwand dig­i­tal genutzt wer­den kön­nen, einen gle­ich hohen oder höheren Kun­den­wert gener­ieren als in einem analo­gen Dia­log. Die Lücke beste­ht bei Pri­vat- und  Unternehmen­skun­den in unter­schiedlich stark­er Ausprägung.

Die Dig­i­tal­isierungs­bere­itschaft ist sowohl bei Pri­vatkun­den als auch bei Unternehmen­skun­den vorhan­den. Pri­vatkun­den sind jedoch eher dazu bere­it, Dien­stleis­tun­gen über Chats, Apps, Web- Plat­tfor­men zu beziehen, als Unternehmen­skun­den. Bei diesen ist die Bere­itschaft klein­er, über dig­i­tale Zugangswege berat­en zu wer­den, weil Ange­bote für Unternehmen kom­plex und beratungsin­ten­siv sind. Da bleibt  die direk­te Kun­den­beziehung während der Beratung – sehr wichtig.

Bei Pri­vatkun­den gibt es in der Regel eine gesunde Altersmis­chung: Ältere Leute haben eine weniger hohe Dig­i­tal­isierungs­bere­itschaft. Wer also im Pri­vatkun­denseg­ment tätig ist, muss nicht befürcht­en, dass es sich bei den Kundin­nen und Kun­den auss­chliesslich um dig­i­tal ultra­kom­pe­tente User handelt.

Auch im Bere­ich Admin­is­tra­tion & Sup­port sind Pri­vatkun­den eher bere­it, die Dien­stleis­tung über dig­i­tale Zugangswege zu beziehen. Das Verteilen von Infor­ma­tio­nen über eine dig­i­tale Plat­tform ist vorteil­haft, weil Ver­sicherungsnehmer Zeit sparen kön­nen. Das entspricht einem Mehrw­ert – genau­so wie das Erstellen von Ver­gle­ichen. Das kann zB. schnell und effizient über ein dig­i­tales Tool wie etwa Sobra­do in Verbindung mit ein­er geeigneten Bro­ker­soft­ware stat­tfind­en. Bei Lohn­sum­mendekla­ra­tio­nen und stan­dar­d­isierten Muta­tio­nen machte die Nutzung von dig­i­tal­en Zugangskanälen jedoch bei Unternehmen­skun­den Sinn, da hier Aufwand und Zeit ges­part wer­den kann.

Beratung bleibt ein Bere­ich, bei dem die Dig­i­tal­isierung wenig Rel­e­vanz aufweist. Die Unter­suchun­gen haben zum einen gezeigt, dass die Kun­den­bindung sehr wichtig ist und von Beginn an einen bedeu­ten­den Wert hat: Das heisst, sie entwick­elt sich nicht mit der Zeit, son­dern ist vom ersten Kun­denge­spräch an rel­e­vant. Das direk­te Gespräch ist nach wie vor äusserst wichtig, denn mit der Inter­ak­tion wird Ver­trauen stärk­er vermittelt.

Auch bei der Abwä­gung von Risiken ist Ver­trauen äusserst wichtig: Daher lohnt es sich, bei bei­den Kun­den­typen im Rah­men des Risk-Man­age­ments primär auf den analo­gen Kon­takt zu setzen.

4. Zusam­men­fas­sung: wo auf Dig­i­tal­isierung set­zen und wo nicht

Für Pri­vatkun­den: Der Ver­sicherungs­bro­ker ist zukün­ftig Plat­tfor­man­bi­eter mit selek­tivem, von Kun­den ges­teuertem Zugang zu per­sön­lich­er Beratung. Dabei soll dem End­kun­den die Wahl des dig­i­tal­en Zugangswegs zur Beratung gelassen wer­den. Diese sollte in erster Lin­ie in ein­er Face-to-Face-Sit­u­a­tion stat­tfind­en. Das schafft Ver­trauen. Die Beratung muss jedoch nicht ana­log erfol­gen. Es kann dabei auf Soft­ware zurück­ge­grif­f­en wer­den, die das im dig­i­tal­en Raum ermöglicht.

Für Unternehmen­skun­den: Der Ver­sicherungs­bro­ker ist ein Prob­lem­lös­er und sollte in den Bere­ichen Beratung und Risk-Man­age­ment stark indi­vid­u­al­isierte Dien­stleis­tun­gen anbi­eten. Intel­li­gente Reports unter­stützen ihn dabei. Bei Admin­is­tra­tion und Ver­gle­ichen darf er  auf dig­i­tale Tools zurück­greifen und so effizient einen Wert für Unternehmen­skun­den schaffen.

 

Quellen: Pax Ver­sicherun­gen, 2022; The Bro­ker 2022

Die neue QR-Rechnung

Die QR-Rech­nung erset­zt nicht bloss den Ein­zahlungss­chein. Im QR-Code kön­nen zusät­zliche Infor­ma­tio­nen in struk­turi­ert­er Form gespe­ichert wer­den, welche die automa­tis­che Ver­ar­beitung beim Rech­nungsempfänger erhe­blich vereinfachen.

Wer küm­mert sich in Ihrem Unternehmen um den Postein­gang und wer bezahlt die Rech­nun­gen frist­gerecht? Gut, wenn diese Prozesse dig­i­tal­isiert sind und immer zuver­läs­sig ablaufen. Die elek­tro­n­is­che Rech­nung und der dig­i­tale Kred­i­toren­prozess sind mehr denn je unverzicht­bare Werkzeuge für alle Unternehmen. Wichtig ist dabei, die indi­vidu­ell passende Lösung zu finden.

Auf den ersten Blick erscheint die QR Rech­nung wenig inter­es­sant. Doch  eröffnet sie neue Möglichkeit­en für die automa­tis­che Rech­nungsver­ar­beitung beim Empfänger. Da alle rel­e­van­ten Infor­ma­tio­nen für die Zahlungsab­wick­lung im QR-Code in struk­turi­ert­er Form enthal­ten sind, ist ein automa­tis­ch­er Abgle­ich mit den vorhan­de­nen Kred­i­toren­dat­en ein­fach­er zu real­isieren. Ausle­se­fehler gehören der Ver­gan­gen­heit an und manuelle Eingaben sind nicht mehr notwendig.

Die QR-Rech­nung bietet auch ein Fre­i­t­extfeld, das für zusät­zliche Infor­ma­tio­nen an den Rech­nungsempfänger genutzt wer­den kann. Dort lassen sich Dat­en, welche die automa­tis­che Ver­ar­beitung der Rech­nung weit­er unter­stützen, hin­ter­legen. Ide­al­er­weise geschieht dies in stan­dar­d­isiert­er Form, sodass die Dat­en in ein­heitlich­er Form vor­liegen, egal von welchem Rech­nungssteller. Darum hat ein Experten­gremi­um ver­schieden­er Ver­bände einen Stan­dard definiert, welch­er für die Zuord­nung und Ver­ar­beitung der Rech­nung rel­e­van­ten Dat­en enthält  So kön­nen Kun­den­ref­erenz, Zahlungskon­di­tio­nen, Mehrw­ert­s­teuerde­tails in der vordefinierten Struk­tur abge­bildet wer­den. Einen vorge­druck­ten Ein­zahlungss­chein braucht es nicht mehr und die struk­turi­erten Rech­nungs­dat­en, lassen sich auch in eine PDF-Datei inte­gri­eren unkom­pliziert per E‑Mail versenden.

Quelle, Top­soft, 2021

 

Weit­er­führende Links:

 

So perfide gehen die Cybererpresser vor

Schad­soft­ware als Bewer­bung getarnt.
Angriffe über das Inter­net häufen sich. Gisela Kipfer vom Nationalen Zen­trum für Cyber­sicher­heit ken­nt die Maschen der Täter.

Frau Kipfer, wer kann Opfer eines Cyberan­griffs werden?

Im Fokus der Angreifer ste­hen alle ver­wund­baren Sys­teme, unab­hängig ob es sich um Unternehmen, Behör­den oder Pri­vat­per­so­n­en han­delt. Ziel der Angreifer ist stets, mit möglichst wenig Aufwand möglichst hohen Gewinn zu erzie­len. Bei Ran­somware ist ausser­dem zu beacht­en, dass es aus Angreifer­sicht keine Rolle spielt, welche Dat­en ver­schlüs­selt wer­den: Han­delt es sich um Dat­en, die für das Opfer einen wirtschaftlichen oder per­sön­lichen Wert haben, wird das Opfer ver­mut­lich bere­it sein, auf die Lösegeld­forderung einzugehen.

Die E‑Mails mit Schad­soft­ware kom­men immer per­son­al­isiert­er daher, etwa als Bewer­bun­gen oder Offer­ten. Wie bere­it­en die Täter einen Angriff vor?

Oft suchen die Angreifer auf der Web­site der poten­ziellen Opfer nach hil­fre­ichen Infor­ma­tio­nen wie Jahres­bericht­en der Unternehmen oder Infor­ma­tio­nen zu Mitar­bei­t­en­den.  

Wie kann sich ein Unternehmen vor Cyberan­grif­f­en schützen?

Wenn die wichtig­sten Grun­dregeln befol­gt wer­den, lässt sich die Gefahr von Ran­somware-Angrif­f­en oder generell Cyberan­grif­f­en aber den­noch senken. Dazu gehört die Umset­zung des Grund­schutzes, zum Beispiel regelmäs­siges Dat­en-Back-up, Updates, Fire­walls, Viren­schutz und mehr. Darüber hin­aus müssen organ­isatorische Mass­nah­men getrof­fen wer­den, beispiel­sweise im Bere­ich Krisen­man­age­ment und Krisenkom­mu­nika­tion. Die stete Sen­si­bil­isierung der Mitar­bei­t­en­den spielt aber eine eben­so grosse Rolle. Organ­isatorische und tech­nis­che Mass­nah­men greifen nur dann im gewün­scht­en Rah­men, wenn die Mitar­bei­t­en­den ver­ste­hen, warum sie gewisse Dinge berück­sichti­gen müssen. 

«Sollte keine Alter­na­tive zu ein­er Lösegeld­bezahlung beste­hen, unter­stützen die Strafver­fol­gungs­be­hör­den bei den Ver­hand­lun­gen mit den Kriminellen.»

Was kann man tun, wenn trotz allem ein Angriff passiert ist?

Die infizierten Sys­teme soll­ten umge­hend vom Netz getren­nt wer­den. Back-ups soll­ten schnell­st­möglich gesichert wer­den, sofern diese noch vorhan­den sind beziehungsweise noch nicht ver­schlüs­selt wur­den. Und diese müssen raschest­möglich physisch vom infizierten Net­zw­erk getren­nt wer­den. Sicherungskopi­en soll­ten ohne­hin nach jedem Back-up-Vor­gang vom Computer/Netzwerk getren­nt wer­den. Wur­den die Dat­en ver­schlüs­selt und ist kein Back-up vorhan­den, bietet die Web­site https://www.nomoreransom.org/ hil­fre­iche Tipps, um die Schad­soft­ware zu iden­ti­fizieren, und die Möglichkeit, bere­its bekan­nte Schlüs­sel herunterzuladen. 

Wie hoch sind die geforderten Lösegeldsummen?

Eine Schätzung betr­e­f­fend Lösegeld­sum­men ist sehr schwierig, da dem NCSC in den wenig­sten Fällen mit­geteilt wird, ob Lösegeld bezahlt wurde. Die Erfahrung zeigt, dass die Höhe der geforderten Sum­men oft­mals an die finanziellen Möglichkeit­en der Opfer angepasst werden.

Was bringt mehr: die Polizei ein­schal­ten oder ein­fach bezahlen?

Das Nationale Zen­trum für Cyber­sicher­heit rät von der Zahlung eines Lösegeldes ab. In jedem Fall sollte aber eine Strafanzeige bei der zuständi­gen Polizeibehörde ein­gere­icht wer­den. Diese berät die Opfer bezüglich des weit­eren Vorge­hens ins­beson­dere in Bezug auf die Kom­mu­nika­tion mit der Täter­schaft und das Ver­hal­ten gegenüber dieser. Sollte ausser­dem keine Alter­na­tive zu ein­er Lösegeld­bezahlung beste­hen, unter­stützen die Strafver­fol­gungs­be­hör­den bei den Ver­hand­lun­gen mit den Krim­inellen mit dem Ziel, dass möglichst wenig Lösegeld bezahlt wird.

Quelle: Basler Zeitung, 06.01.2022

 
 
 

Secu­ri­ty bei WMC

Die Bedro­hun­gen aus dem Inter­net nehmen gemäss dem Nationale Zen­trum für Cyber­sicher­heit (NCSC) des Bun­des ständig zu .

WMC ist seit Jahren auf IT-Secu­ri­ty fokussiert und unter­stützt Kun­den mit Sicher­heit­slö­sun­gen. Das gilt auch für den Schutz von Bro­ker­Star-Dat­en, die durch WMC gehostet wer­den. Erneut wur­den die Mass­nah­men  mas­siv aus­ge­baut. Zudem wird die gesamte IT-Infra­struk­tur  durch eine zuge­lassene Audit-Fir­ma laufend geprüft.

Ab 2021 wird allen Kun­den ein indi­vidu­elles Audit Zer­ti­fikat aus­ge­händigt. Dieses dient  als Ausweis  für Com­pli­ance im Rah­men des inter­nen Kon­troll­sys­tems (IKS).

Security for you

Cyber­se­cu­ri­ty Talks – Experten im Gespräch

Calendar27. – 30. Sep­tem­ber 2021   |   11:00 – 11:45 Uhr  |  kostenfrei
Mehr Infor­ma­tio­nen und Anmeldung

Sehr geehrte Damen und Herren,

ver­passen Sie nicht die Sophos Secu­ri­ty SOS Week zu aktuellen The­men wie Mal­ware, Sup­ply-Chain-Angrif­f­en, Cyberver­sicherun­gen und effek­tive Vertei­di­gungsstrate­gien gegen Cyberkriminelle.

Die Top-Sicher­heit­sex­perten Sascha Pfeif­fer und Michael Veit teilen ihr Fach­wis­sen in ein­er Rei­he von täglichen 45-minüti­gen Inter­views.

Die The­men im Überblick:

27. Sep­tem­ber 2021

28. Sep­tem­ber 2021

29. Sep­tem­ber 2021

30. Sep­tem­ber 2021

Mal­ware – Die unendliche Geschichte

Wie kön­nen Sie sich vor Sup­ply Chain Attack­en schützen?

Die Rolle der Cyberver­sicherun­gen bei der Online-Kriminalität

IT-Sicher­heit in der Zukunft

Mehr Infor­ma­tio­nen und Anmeldung

Darüber hin­aus haben Sie die Gele­gen­heit, live im Chat den Sophos-Experten Ihre Fra­gen
zu stellen und mehr zu erfahren.

Mit fre­undlichen Grüßen
Ihr IT Secu­ri­ty Team

Hin­weis: Soll­ten Sie aus zeitlichen Grün­den nicht teil­nehmen kön­nen, melden Sie sich bitte den­noch  an für die Sophos Secu­ri­ty SOS Week. Sie erhal­ten im Nach­hinein so automa­tisch den Link zur Aufze­ich­nung von uns per E‑Mail. Das Webi­nar ist kosten­frei; es kön­nen lediglich Tele­fonge­bühren für Sie anfallen.

  

Dieser Anlass wird Ihnen präsen­tiert von WMC IT Solu­tions AG und SOPHOS

Ihr neuer Webauftritt

Web­site by WMC

Seit über 20 Jahren erstellt WMC Home­pages, Web­por­tale, Web­shops. Dafür wer­den soge­nan­nte Con­tent Man­age­ment Sys­teme (CMS) einge­set­zt. Das sind vorge­fer­tigte Sys­teme auf Open Source Basis, die nach­her vom Kun­den selb­st gepflegt wer­den kön­nen. Die bei­den wichtig­sten Sys­teme sind Word­Press und Typo3. Selb­stver­ständlich sind Gestal­tung und Struk­tur völ­lig indi­vidu­ell und die Anzeige ist respon­sive, dh. sie passt sich dem Endgerät an.


Lesen Sie mehr in unseren Broschüren.

Broschüre
PDF Document