Responsive image

Unser Fokus: Der Schutz Ihrer Daten.




Rowing-Team


Die richtige Technik für Ihre Produktivität


Rechenzentrum, Client-Umgebungen, Cloud-Arbeitsplätze, Windows oder Mac / iOS - Umgebungen? Zusammen analysieren wir Ihre Anforderungen und finden die für sie optimale Lösung.

Selbstverständlich können wir auch Ihre jetztige Umgebung managen oder Ihnen einen professionellen Umstieg auf neue Plattformen ermöglichen.

Da wir bereits seit über 20 Jahren in Enterprise-Umgebungen mit mehr als 15.000 Clients arbeiten, kennen wir nahezu keine Grenzen und können Ihre Anforderungen gerne auf Risiken überprüfen und umsetzen. Unser Team verstärken wir bei Bedarf mit erfahrenen Experten aus den einzelnen Fachbereichen.

Full Managed Service


Auf Wunsch übernehmen wir Ihren kompletten Hardware-Lifecycle. Von der Anforderungsfindung über die Beschaffung, Einrichtung, Bereitstellung, Absicherung, über den Betrieb bis hin zur fachgerechten Entsorgung am Ende der Betriebszeit.
Auf Wunsch übernehmen wir auch Ihr Provider Management.

Support
Sollte einmal ein Problem auftauchen stehen wir bereit. Sie erreichen uns über unsere Hotline, welche bekannte Anwendungsprobleme bereits bei Erstkontakt löst. Unser Second-Level-Support steht für weitere Analysen und Fehlerbehebungen arbeitstäglich zur Verfügung.



Unter unserer Prämisse "Schutz Ihrer Daten“ gehen wir zweigleisig vor:


Auf der einen Seite helfen wir Ihnen beim technischen Aufbau einer passenden IT-Infrastruktur, indem wir unsere Expertise zur Planung, Umsetzung und Betriebsüberführung einsetzen. Parallel dazu bauen wir eine sicherheitstechnische Systemüberwachung auf, um auftretende Abweichungen sofort zu erkennen und eine passende Alarmierung anzutriggern. Dazu setzen wir auf ein Security Information and Event Management System (SIEM).





Rowing-Team

IT-Sicherheit muss nicht teuer sein

Wo sind die Lücken - und wie können Sie geschlossen werden?

Wir sind der festen Überzeugung, dass moderne Betriebssysteme mit einer optimalen Einstellung einen sehr guten Schutz bieten. Zusätzliche Sicherheitssoftware ist nicht notwendig, da diese die Angriffsfläche deutlich vergrößert.

Da die technischen Lücken durch aktuelle Betriebssysteme immer kleiner werden, ist aktuelle Schadware meistens auf die Mithilfe von Benutzern angewiesen. Diese Lücke gilt es noch zu schließen, um einen nahezu optimalen Schutz zu erhalten.

In unsererem kostenlosen Newsletter haben wir die wichtigsten Tipps zusammengestellt um Ihre Umgebung mit wenigen Schritten deutlich sicherer zu gestalten.

security@home

Benutzerfreundliche Sicherheit für Ihr Zuhause

Wir können Sie und Ihre Nutzer technisch unterstützen, indem wir in Echtzeit alle bekannten Gefahren aus dem Internet herausfiltern. Schädliche Webseiten lassen sich so nicht mehr ansurfen, Links in Spam- und Phishingmails laufen ins Leere und sie erhalten eine gesicherte Umgebung für ihre Computer und Smartphones.

Wir stellen Ihnen kostenlos die benötigte Hardware für die Dauer Ihres Abos zur Verfügung, da wir aus ökologischer Sicht nicht mehr Elektromüll produzieren wollen als unbedingt notwendig. Alle Anschlüsse sind farblich markiert und lassen sich ohne technische Kenntnisse anschließen. Sie müssen keine weiteren Einstellungen vornehmen.

Für 119.- Euro erhalten Sie ein Jahr lang unseren Echtzeitschutz, die Hardware senden wir Ihnen kostenlos zu. Unsere AGBs finden sie hier

Wir können Sie zusätzlich vor Werbung und Erwachsenen-Webseiten schützen. Da unsere Box eine eigene Netzwerkumgebung mitbringt, können Sie diese auch als "Kindernetzwerk" bei sich zu Hause nutzen.





Rowing-Team

Erweitern Sie Ihr Wissen wann und wo sie wollen. Unsere komplette Onlineschulung besteht aus erklärenden Videos, teilweise hinterlegt mit Interaktiven Übungen und kleinen Fragerunden. Wahlweise können sie die Schulung in Deutsch oder Englisch buchen. Sie haben 2 Monate lang einen vollen Zugang zu den Informationen und können diese so oft Sie wollen abrufen oder jederzeit unterbrechen und wieder an der gleichen Stelle fortsetzen. Technisch benötigen Sie nur einen aktuellen Browser, sogar auf dem Handy oder Pad können Sie die Lektionen abrufen. Sobald Sie eine Schulung gebucht haben, senden wir Ihnen innerhalb von 24 Stunden die Zugangsdaten per eMail zu.



IT-Sicherheits Onlinetraining

Holen Sie sich das KnowHow um sicher im Internet unterwegs zu sein und lernen Sie in diesem Onlinetraining alles rund um die Themen:

    Phishing in eMails erkennen und abwehren
    Sichere Passwörter erstellen und merken
    Social Engineering erkennen und abwehren
    Welche Gefahren bergen Clouddienste?
    Der sichere Umgeng mit Sozialen Netzwerken

Die Onlineschulung kostet 59.-Euro und hat eine Gesamtdauer von ca. 60 Minuten.

DSGVO und EU Datenschutz Onlinetraining

Viele sind durch das Thema verunsichert und wissen nicht wie sie damit umgehen sollen. Lernen Sie in diesem Onlinetraining alles rund um die Themen:

    Anforderungen und Grundprinzipien des Datenschutz
    Die Grundlagen des Datenschutz
    Wie kann ich meine Privatsphäre in sozialen Netzwerken schützen
    Richtiges Verhalten im Falle einer Datenschutzpanne

Die Onlineschulung kostet 59.-Euro und hat eine Gesamtdauer von ca. 40 Minuten.





Rowing-Team



In wieviel Versuchen erraten Sie ein unsicheres Passwort?
Welcher Webadresse werden Sie vertrauen?





magnifying glass

Security-Audits

Lassen Sie erfahrene White-Hats Ihre IT unter die Lupe nehmen.

Wir untersuchen Ihre IT-Infrasturktur auf Schwachstellen, erstellen Reports und geben Ihnen einen Action-Plan in die Hand um die gefundenen Lücken zu schließen. Für unsere Kunden erstellen wir regelmäßig Security-Audits für komplette Domainen. Dabei arbeiten wir sowohl mit Whitebox-Tests (Code und Einstellungsaudits) als auch Blackbox-Tests (Pen-Tests) um ein umfassendes Sicherheitsbild Ihrer Umgebung zu erhalten.

Datenschutz-Audits

Der korrekte und praxisnahe Umgang mit digitalen Daten.

Wie muss ich meine Datenhaltung und Sicherung anpassen? Welche Daten sind betroffen und wie kann ich diese erkennen? Welche zusätzlichen Maßnahmen muss ich ergreifen um DSGVO-Konform zu sein? Wir prüfen Ihren Umgang mit Daten und erstellen Ihnen einen konkreten Maßnahmenkatalog zur Behebung der gefundenen Lücken.




Prozess-Audits

Agile Methoden? klassisches Projektmanagement?
Modernes Arbeiten? Wie werden wir produktiver?

Wir analysieren Ihre Arbeitsmethoden und Prozesse. Mit Ihnen zusammen entwickeln wir ein Zielbild und erarbeiten die notwendigen Schritte. Dabei wählen wir die für Ihr Unternehmen passenden Methoden aus und vermitteln diese gerne Ihren Multiplikatoren oder Ihrem gesamten Team.

Wir kommen aus dem klassischen Projektmanagement und haben die Vorteile von Agilen Methoden in unsere Arbeitswelt erfolgreich integriert. Allerdings muss der Mix zwischen "Alt" und "Neu" passen und Ihre Mitarbeiter müssen erreicht und mitgenommen werden.





Rowing-Team

IT-Projekte

Haben Sie aussagekräftige Kennzahlen? Ist Ihr Projektplan vollständig? Wie kann das Projektziel noch erreicht werden?

Unsere Projektmanager arbeiten seit vielen Jahren in verschiedenen IT-Projekten bei Großunternehmen. Durch unsere externen Sichtweisen können wir zum Projekterfolg beitragen. Wir beraten und unterstützen Ihren Projektleiter bei seinen Tätigkeiten und begleiten Sie gerne von Beginn an, stehen aber auch im Kriesenfall ad hoc zur Verfügung.

Projektteam

Sind Ihre Mitarbeiter auf dem richtigen Weg und wollen gemeinsam das Projektziel erreichen?

Ihre Projekterfolge sind in hohem Maße von der Motivation Ihrer Mitarbeiter abhängig. Wir vermitteln Ihnen bewährte Methoden um Ihre Mitarbeiter einerseits auf ein Projektziel zu fokussieren und anderseits sich selber weiterzuentwickeln.





magnifying glass

Security-Showcases

Gefahren erleben - in einer sicheren Umgebung

Mit Ihnen zusammen erstellen wir einen Security-Showcase um Ihre Anwender zu sensibilisieren.
Wir testen das Sicherheitsniveau Ihres Unternehmens und erstellen einen konkreten Maßnahmenkatalog. Die Erkennung und Vermeidung von Spam- und Phishingmails und Social Engineering können in einer geschützen Umgebung erlernt werden.

Agiles Projektmanagement

Roboter bauen und programmieren

Auf spielerische Weise lernen Sie in unserem Mehrtages-Event Agile Methoden kennen um ein komplexes Ziel zu erreichen.
Vordergründig geht es um Design Thinking, Kompexitätsmanagement, Aufwandsschätzungen, Teamaufstellungen, Scrum, Kanban, Kennzahlen und Projektfortschritte. Zusätzlich erleben die Teilnehmer agile Werte, finden sich als Person und als Team und lernen eine neue Fehlerkultur kennen. Dieses Training ist gerade auch für nicht-IT-Techniker spannend!





magnifying glass

Daten sind immer zu schützen

Wenn Daten während derer Verarbeitung nicht geschützt sind bzw. bleiben, sind diese für verschiedene Angriffe anfällig. Genau diesen Sachverhalt schaut sich dieser Artikel einmal genauer an und benennt Auswege aus dieser Problematik.


Unabhängig zum Vorhaben sucht der Mensch stets den bequemen Weg. In der IT spricht man hier gelegentlich auch vom Drücken des „Easy Buttons“. Dieser soll uns helfen, Aufgaben zeitnah, effizient und mit geringstem Aufwand zu erledigen.

Angreifer bzw. Cyber-Kriminelle arbeiten hier nicht anders. Um unsere Daten zu stehlen suchen auch diese den einfachsten Weg, also den „Easy Button“. Dieser ist jedoch nicht immer leicht zu finden. Schließlich sind heute die prominentesten Schwachstellenpunkte meist ausreichend bis gut geschützt. Dabei wird jedoch der Weg des geringsten Widerstandes für den Angreifer, oft übersehen und unterschätzt. Die Datenverarbeitungsschicht! Auch wenn es meist etwas mehr Geschicklichkeit erfordert auf diese zuzugreifen, ist diese meist alle Mühen wert. Und Angreifer haben heute meist viel Zeit, Geduld und kreative kriminelle Energie.

Unternehmen sind sich heutzutage darüber bewusst, dass ihre Daten zu schützen sind. Ruhende Daten werden zugriffsgeschützt und Übertragungen sind verschlüsselt. Aber was ist mit der Geheimhaltung während der Verarbeitung? Die Datenver- bzw. bearbeitung erfordert, dass eben diese in entschlüsselt und frei von Beschränkungen zur Verfügung stehen? Daten befinden sich immer in einem der folgenden Status: Data at Rest, Data in Transit, Data in Use. In der letzten Zeit lässt sich ein vermehrter Angriff auf „Data in Use“ beobachten. Kein Wunder, hat man für die Teile Data at Rest und Data in Transit heute bereits gute Werkzeuge. So oder so besteht der dringende Bedarf, zu jedem Zeitpunkt einen potentiellen Bruch der Sicherheit auszuschließen oder mindestens rechtzeitig zu erkennen. Nur so kann sichergestellt werden, dass sensible Vermögenswerte wie geistiges Eigentum und andere Compliance-kritische Daten während des gesamten Verarbeitungszyklus geschützt werden.

Die IT-Sicherheitsindustrie basiert bisher auf der Grundannahme, dass es bestimmte grundlegende Schutzmaßnahmen gibt, die einfach sicher sind. Computer- und Betriebssystemhersteller nähren den Glauben, dass deren Kernelemente (wie Kernelspeicher, BIOS, UEFI) sicher sind. Die Offenlegungen von Intel und anderen zu Chipfehlern im vergangenen Jahr haben dieses grundlegende Verständnis grundlegend erschüttert. Programme und Daten sind heute auf einer viel tiefergehenden Ebene angreifbar. Der Sicherheitsexperte Bruce Schneier schreibt in deinen Blog die Bedrohung auf diese Weise (freie Übersetzung aus dem englischen):

„Spectre and Meltdown aren't anomalies. They represent a new area to look for vulnerabilities and a new avenue of attack. They're the future of security – and it doesn't look good for the defenders.”
„Spectre und Meltdown sind keine Anomalien. Sie stellen ein neues Betrachtungsgebiet auf Schwachstellen und somit einen neuen Angriffsweg dar. Sie sind die Zukunft der Sicherheit - und es sieht für die Verteidiger nicht gut aus."

Solange die Daten während ihrer Bearbeitung ungeschützt sind, sind diese angreifbar. Auch wenn die Hersteller inzwischen auf die aktuellen Bedrohungen reagiert haben, wird diese Angriffsart nicht die letzte bleiben. Gerade diese Verwundbarkeit hat allen (Verteidigern wie auch Angreifern) einen vollkommen neuen Weg gezeigt der Angreifbarkeit gezeigt. Das Grundvertrauen in die Computerwelt ist erschüttert. Es besteht ein großer Bedarf der Branche, diesen Verfall zu erkennen und die Lücke in der Datensicherheit zu schließen. Die Daten sind auch während ihrer Nutzung zu schützen. Nur so bleiben die Vermögenswerte geschützt.

Zum Glück sind Angriffe auf diesem tiefen Niveau bisher nur als Proof of Concept gelungen und die Werkzeuge hierzu noch nicht in die Hände von Kriminellen gelangt. Aber auch dies ist nur eine Frage der Zeit.

Wir sollten uns also vorbereiten! Was kann getan werden, um „Data in Use“ als geringsten Widerstand für den Angreifer zu bekämpfen?
Unternehmen sollten zunächst drei Schritte unternehmen, um die Grundlagen für den Schutz zu schaffen:
 
  1. Kennen Sie Ihre Daten
    Wo sind / liegen sie? Warum werden die Daten gespeichert? Wer hat Zugang? Was ist der Wert der Daten?
    Der Schutz Ihrer gesamten Datenumgebung sollte das oberste Ziel sein. Kronjuweldaten müssen identifiziert und priorisiert werden.
    Die Verwaltung der Basisdaten sollte somit der erste Schritt sein, um potenzielle Herausforderungen zu identifizieren. Es sind die Daten nach dem erforderlichen Sicherheitsniveau zu ordnen und das Budget entsprechend zu verteilen.
     
  2. Bewertung aktueller Schutzmaßnahmen
    Was wird derzeit, wenn überhaupt, zum Schutz der Daten während der Verarbeitung unternommen? Sind die Abwehrmaßnahmen am Perimeter vorhanden? Grundlegende Zugangskontrollen? Data in Use Sicherheitslösungen? Identifizieren Sie die Stärken und Schwächen Ihrer Sicherheitslage in Bezug auf Data in Use in Ihrer gesamten Sicherheitsstrategie. Stellen Sie sicher, dass der Schutz der verwendeten Daten regelmäßig im Rahmen zukünftiger Risikobewertungen bewertet wird.
     
  3. Kennen Sie Ihre Optionen
    Es gibt eine Vielzahl von technischen Methoden, die verwendet werden, um die Schwachstelle der Data in Use zu bekämpfen. Während einige Systemänderungen erfordern, sind andere mit der bestehenden Infrastruktur kompatibel und können sich nahtlos in Ihre zugrunde liegende Umgebung integrieren.

Heutige Sicherheitswerkzeuge verändern sich ständig. Es stellt eine große Herausforderung dar, mit neuen Bedrohungen und Angriffsoberflächen Schritt zu halten. Die Bewertung Ihres Sicherheitsprofils, mit einem datenzentrierten Fokus (Data at Rest, Data in Transit, Data in Use), kann dazu beitragen, häufig übersehene Schwachstellen zu beseitigen. Es steht zu viel auf dem Spiel, um das Geschäft wie gewohnt fortzusetzen.

Um Netzwerke für die Zukunft vorzubereiten, müssen Unternehmen ihre heutigen Sicherheitswerkzeuge radikal überdenken.

Eines der herausforderndsten Themen der digitalen Entwicklung waren die Netzanbindungen! Klassische Netzwerke liefen früher meist isoliert und hatten keine Schnittstellen zur Außenwelt. Inzwischen leben wir in einer vermaschten, eng vernetzten Welt. Die Grenzen von LAN, WAN, Internet und Intranet scheinen sich immer mehr aufzulösen und ineinander zu verschmelzen. Die zunehmende Verbreitung von mobilen Benutzern, Cloud-Services, IoT, … erfordern zwingend neue Sicherheitsmodelle. Diese müssen schnell die neuen Technologien und Paradigmen unterstützen und sich leicht sowie flexibel erweitern lassen.



Edge Computing
Unter Edge Computing wird allgemein eine verteilte, offene IT-Architektur verstanden, die sich durch dezentralisierte Verarbeitungsleistung auszeichnet. Sie stellt somit die Grundlagen für Mobile Computing und IoT-Technologien (Internet der Dinge). Beim Edge Computing werden die Daten vom Gerät selbst (oder von einem direkt dahinterliegenden lokalen Computer) verarbeitet und nicht an ein Rechenzentrum übertragen.
Edge Computing bringt gerade für Unternehmen besondere Vorteile. Die Daten werden an den Stellen verarbeitet, an denen diese anfallen bzw. benötigt werden. Ein Transport, quer durch das Netzwerk bis hin zum Rechenzentrum kann entfallen. Es wird leichter auf Echtzeitereignisse zu reagieren - eine Anforderung für viele Branchen, darunter Gesundheitswesen, Telekommunikation, Fertigung und Finanzen – oder gar bei Smart Cars. Gerade letztere müssen alle eintreffenden Ereignisse erfassen und verarbeiten. Dies kann nur über eine entsprechende Rechenleistung vor Ort (also im Smart Car) oder über eine enorme Netzwerk-Bandbreitenmengen (z.B.: das neue G5-Funknetz) realisiert werden. Das Stichwort ist hierbei: „Echtzeit-Reaktion und –Verarbeitung“. Dies bedeutet in letzter Konsequenz, dass autonome Entscheidungen zu treffen sind, da eine Verarbeitung über eine zentrales Rechenzentrum zu langsam ist.

Edge Devices
Ein Edge Device ist eine Netzwerkkomponente, die sich am Übergang zu anderen Netzwerken befindet. Man spricht hierbei auch oft vom sogenannten Netzwerkrand. Die Edge Devices sind für den Zugang zu Kernnetz (LAN) eines Unternehmens oder eines Service Providers zuständig. Diese Geräte werden zunehmend mit Intelligenz ausgestattet und unterstützen diverse Services wie die Dienstgüte (QoS) oder Multi-Service-Funktionen für unterschiedlichen Datenverkehr. Es kann es sich um einen Edge-Router, ein Edge-Gateway oder einen Edge-Server handeln, über den der Übergang von einem Weitverkehrsnetz (WAN) zu einem lokalen Netz (LAN) oder einem Anschlussbereich realisiert wird.
(Prominente Beispiele sind hier die Internetrouter Fritz!Box von AVM oder der Speedport der Telekom. Sie ermöglichen abgesicherte Netzwerkzugänge und bieten zusätzlich eine Reihe von Mehrwertdiensten) Wie hierbei nachzuvollziehen ist, kann die Verbindung von einem Edge Device zurück zum Kernnetzwerk oder zu zentralen Ressourcen verschiedene Formen annehmen. Ein einzelnes Smart Device kann einfach eine verschlüsselte VPN-Verbindung zurück ins Firmennetzwerk erzeugen. Komplexere Systeme, wie z.B. ein lokales LAN, das in einem Einzelhandelsgeschäft oder einer Filiale eingesetzt werden, können komplexere Edge Devices nutzen (siehe obige Auflistung). Selbst Container in der Cloud haben einzigartige „kantenbasierte“ Anforderungen. Unabhängig davon müssen Edge Devices zusammenarbeiten, um leistungsfähige und sorgfältig verwaltete Einstiegspunkte in Kernnetzwerke von Unternehmen oder Dienstanbietern zu schaffen.
Wann immer sich ein Endpunkt, ein IoT-Gerät, ein Cloud-Container, mobiler Mitarbeiter oder ggf. eine Niederlassung / Außenstelle wieder mit einer Kernumgebung verbinden muss (um Daten auszutauschen), haben Sie einen Mehrwert geschaffen.

Absicherung von Edge Devices
Aus Sicherheitssicht sind alle Ausprägungen von Edge Device schutzbedürftig. Analog zu einem bekannten Sprichwort: Ein Unternehmens ist nur so gut abgesichert wie sein schwächstes Glied. Anwendungen, kritische Ressourcen, sensible Transaktionen sowie andere Daten fließen oft über Verbindungen, welche über Edge-Devices bereitgestellt werden. Unternehmen tragen eine finanzielle und zunehmend rechtliche Verantwortung für die Sicherung dieser Informationen.

Hierbei bleibt jedoch zu beachten, dass nicht alle Edge Devices gleich arbeiten. Je nach Geschäftsfall (Vernetzung von eines Zweigstellennetz über das öffentlichen Internet oder Videokonferenz-Verbindung für entfernte Entwicklungs-Ingenieure) differieren die Anforderungen teils erheblich. Für Unternehmen liegt die Kunst darin, ein vernünftiges Gleichgewicht zwischen der Sicherung kritischer Daten und der Verwaltung begrenzter Ressourcen (wie Bandbreite und technischem Overhead) zu finden.
 

Erstellen von Vertrauensebenen
Wie stellen Sie sicher, dass jede neue Edge-Verbindung die erforderliche Sicherheit erhält? (Zu beachten gilt hierbei, dass die Anzahl der Geräte, die Zugriff auf das expandierende und zunehmend vernetzte Netzwerk benötigen, weiter steigt.)

Dies erfordert den Aufbau einer abgestuften Sicherheitsstrategie mit sechs Leittechnologien:
  1. Verschlüsselte Verbindungen / VPN zur Sicherung von Daten und Verbindungen

    Von Anfang an, muss eine Verschlüsselung als Grundvoraussetzung etabliert sein. Insbesondere für Geräte, die über ein öffentlich zugängliches Netzwerk verbunden sind. Die Wahl der Verschlüsselungstechnologie richtet sich nach dem Schutzbedarf der Daten. Hierbei ist es sehr wichtig, dass ich das Unternehmen fortlaufend den aktuellen Verschlüsselungstechnologischen und wartungstechnischen Herausforderungen stellt.

    (Beispiel: Ich möchte verhindern, dass Fremde meine übertragenen Daten mitlesen)

     
  2. NAC (Network Access Control) für die Festlegung von Identität und Durchsetzung von Zugriffsregeln (Policy)
    Geräte, die einen Netzwerkzugang anstreben, müssen zum Zeitpunkt der Verbindung eindeutig identifiziert und mit einer angemessenen Policy belegt sein. Dies erfolgt anhand der authentifizierten Identität des Geräts, des Benutzers, den Ressourcen auf die sie (Anwender) zugreifen wollen, des Ortes von dem aus sie versuchen Zugriff zu nehmen, die Uhrzeit und anderen relevanten Daten.

    Beispiel: Ich möchte verhindern, dass sich fremde Geräte in meinem Netzwerk befinden)

     
  3. Segmentierung und Mikrosegmentierung zum Schutz.

    Das gesamte Netzwerk ist in Teilabschnitte unterteilt. Die Unterteilung orientiert sich an Kriterien wie: „Verfügbarkeit“, „Schutzbedarf der darin verarbeiteten Daten“, „Art der angeschlossenen Netzwerkgeräte“. Sobald ein Gerät identifiziert und eine entsprechende Zugriffsrichtlinie zugewiesen wurde (siehe Punkt 2), ist dieses dynamisch einem bestimmten Netzwerksegment zuzuordnen. Dort kann es überwacht werden. Erfolgen nicht autorisierte Zugriffsversuche, so wird es in Quarantäne gestellt.

     
  4. Physische und Cloud-basierte Sicherheit kann die Daten anzeigen, verwalten und überprüfen.

    Verbindungen müssen nicht nur gesichert, sondern auch die darin enthaltenen Anwendungen und Daten überprüft werden. Das bedeutet, dass die Sicherheitswerkzeuge in der Lage sein müssen:
    a. Eine „Deep Inspection“ durchzuführen, ohne dabei das Netzwerk auszubremsen.
    b. Die Sicherheitslösungen (NGFW, IDS/IPS, ContentFilter, Sandboxing, etc.) müssen in der Lage sein, alle Ebenen einer Verbindung (ISO/OSI Netzwerkstack) abzudecken.
    c. Erkannte Sicherheitsereignisse müssen eine direkte, angemessene Reaktion im gesamten verteilten Netzwerk auslösen.

     
  5. Zentralisierte Verwaltung für Transparenz und Kontrolle.
    Geräte müssen in der Lage sein, Bedrohungsinformationen über eine einzige, zentralisierte Management- und Orchestrierungslösung gemeinsam zu nutzen und zu korrelieren. Richtlinien sind konsistent zu verteilen, anomale Verhaltensweisen zu identifizieren und eine konsistente Reaktion durch enge Korrelation zwischen Sicherheitslösungen zu orchestrieren.

     
  6. SD-WAN für anspruchsvolle Abzweigverbindungen.
       (SD-WAN = Software defined WAN)
    Der Netzwerkübergang an einem Unternehmensstandort erfordert eine komplexe Integration von fortschrittlichen Netzwerkfunktionen, einer breiten Palette von Sicherheitslösungen und einer tiefen Vernetzung zwischen den „Außen- bzw. Übergangspunkten“ durch ein dynamisches, vernetztes VPN-Overlay.
 

Fazit
Durch die weitere Zunahme von sogenannten „Edge Geräten“ und Computern wird sich die heutige Netzwerkwelt völlig ändern! Die bevorstehende Bereitstellung von 5G wird diese Transformation nur noch schneller und weiter vorantreiben. Bei der Vorhersage zur digitalen Transformation sind bereits heute zwei Dinge sicher:
 
a. die bisherigen Sicherheitslösungen, die uns zu diesem Punkt gebracht haben, können uns nicht viel weiter bringen, und

b. ein einheitlicher Ansatz für die Kantensicherheit wird sicherlich scheitern.
 
Um Netzwerke für die Zukunft vorzubereiten, müssen Unternehmen ihre heutigen Sicherheitswerkzeuge, radikal überdenken.
 

Du kennst dich doch mit Computern aus…

So fangen bei mir meistens Anfragen an, ob ich einen komplett verbogenen und vergammelten Rechner schnell mal wieder flott bekomme. Kennen Sie das auch? In diesem Artikel habe ich meine Vorgehensweise für ein Windows-System skizziert.


Sobald der Verdacht auf einen Virenvorfall besteht, sollte der Rechner neu installiert werden. Eine Entfernung des Virus kann nicht mit Sicherheit garantiert werden.

1. Benutzerdaten sichern - es ist ja hoffentlich eine Datensicherung vorhanden. Am Besten auf eine externe SSD, das ist am schnellsten.
2. Festplatte formatieren (eine große Partition)
3. Windows 10 installieren (von einem vorbereiteten USB-Stick / alle anderen Windows Versionen sollten nicht mehr benutzt werden!)
4. Admin-User und Benutzer einrichten, ab jetzt sollten Sie sich nur noch mit dem Benutzer anmelden.
5. Automatische Updates aktivieren und alle verfügbaren Patche installieren
6. Windows-Defender-Einstellungen überprüfen (weitere AV-Software ist nicht notwendig und erhöht nur die Angriffsfläche)
7. Nur die dringend benötigte Software installieren - jede Software weniger ist ein deutlicher Sicherheitsgewinn. Und Software die nicht mehr regelmäßig Herstellerpatche erhält sollte gar nicht mehr installiert werden.
8. Backuplösung einrichten
9. Benutzerdaten zurückspielen

In unserem kostenlosen Newsletter vertiefen wir die einzelnen Schritte und erläutern unsere Hintergründe für diese Vorgehensweise.

Indicators of Compromise (IoC) helfen bei der Risikominimierung

Als Betreiber einer IT-Infrastruktur sind sie ununterbrochen in der Not, festzustellen ob ihre Infrastruktur mit einer Schadsoftware befallen ist. Dabei ist es in einem ersten Schritt erst einmal unerheblich wie es diese Software auf Ihr System geschafft hat – sie muss erkannt und beseitigt werden. Genau hier liegt haben wir bereits das erste Problem benannt. Moderne Schadsoftware bleibt oft über Monate hinweg unbemerkt in fremden Firmennetzen versteckt. In dieser Zeit haben die Angreifer die Gelegenheit das Firmennetzt zu erkunden, immer tiefer in dieses vorzudringen sowie unbemerkt Daten und Informationen zu stehen.


Während es früher für Unternehmen ein peinliches Geheimnis war von einem Cyberangriff betroffen gewesen zu sein, teilen heute viele Unternehmen deren Erfahrungen. Die Bekanntgabe dieser Erfahrungen haben durchaus einen praktischen Wert. Sie werden in Berichten zusammengefasst und enthalten folgende Informationen:

· Opfer der Attacke und die Ziele, die die Cyberverbrecher verfolgen
· Zeiten, in denen die schädlichen Komponenten aktiv sind
· aktuelle Aktivität der Schadkomponenten und/oder der cyberkriminellen Gruppen
· detaillierte Beschreibung der Tools und Schadkomponenten, die zu Einsatz kommen
· Beschreibung der C&C-Infrastruktur (Command and Control Server)
· Kompromittierungsindikatoren (Indicators of Compromise – IoC, YARA-Rules usw.).

Von besonderer Bedeutung sind hier die Kompromittierungsindikatoren. Je besser deren Beschreibung ist, desto leichter haben es andere Unternehmen, in deren Netzwerk nach dieser Bedrohung zu suchen. Diese Kompromittierungsindikatoren nennt mach auch Indicators of Compromise (IoC). Diese enthalten Detailinformationen, anhand derer man feststellen kann, ob die eigene Infrastruktur von einer Bedrohung betroffen ist. Darüber hinaus finden sich darin auch Beschreibungen, wie ein potentiell erfolgter Angriff zu erkennen ist. Natürlich geeignete Fachkenntnis und Werkzeuge vorausgesetzt.

Agile Teams - Grundlagen und Aufgabenfelder

Ein agiler Führungsstil ist dort sinnvoll, wo planbare Strukturen an Ihre Grenze kommen. Waren in der Vergangenheit die Prozesse im Vordergrund, um diese möglichst zu automatisieren und dadurch effizienter zu werden, ist bei der agilen Führung der Mensch als Person im Vordergrund. Durch diesen Perspektivenwechsel ergeben sich neue Möglichkeiten und Herausforderungen.


Bei geplanten Strukturen kommt es immer wieder zu folgenden Problemen:
· fehlender Fokus - Die Mitarbeiter arbeiten gleichzeitig an mehreren Themen und werden durch zusätzliche Aufgaben gebunden
· mangelnde Leidenschaft - Die Mitarbeiten bekommen ihre Ziele vorgegeben und können sich nur bedingt einbringen
· lange Entscheidungswege und zuviele Regeln behindern neuartige Lösungen und Prozesse
· durch Silodenken kommen einsame Entscheidungen zustande, es fehlt die Kundenorientierung

Daraus abgeleitet ergeben sich für agile Teams folgende Aufgabenfelder:
· Informationen werden direkt von den Kunden / Stackholdern zusammengetragen
· Prototypen zeigen das geplante Ergebnis besser als umfangreiche Dokumentationen
· Lösungswege werden im Team kreativ und offen erarbeitet
· Entscheidungen werden nicht mehr von Einzelpersonen, sondern vom Team getroffen
· Ergebnisse werden durch alle Teammitglieder gemeinsam verantwortet
· Es wird bewußt an wenigen Themen gearbeitet, Unterbrechungen werden nach Möglichkeit minimiert

Die Führung von agilen Teams verlangt ein neues Vorgehen
· Die Gruppenziele und Rahmenbedingungen müssen transparent aufbereitet werden und stehen jedem zur Verfügung
· Erstellen Sie einen Geschützen Raum indem sich die Mitglieder wohl fühlen können.
· Sie sind der Ansprechpartner bei Problemen von Aussen
· Leben Sie mit Offenheit und intrinsischer Motivation
· Setzen Sie die richtigen Methoden zum richtigen Zeitpunkt ein
· Stellen Sie sicher, dass das Lernen aus den Fehlern systematisch und explizit stattfindet
· Moderation ergebnisoffener Prozesse
· Einbindung in bestehende Hierarchien als T-Shape Manager - mit allen Konsequenzen

Das Team ist eine Gemeinschaft
· Nach aussen tritt das Team gemeinsam auf, nach innen wird ehrlich und offen kommuniziert
· Erstellen Sie gemeinsame Werte - und leben Sie diese
· Identifizieren Sie Lernmöglichkeiten, Messpunkte und Feedbackloops
· Gehen Sie überlebbare Risiken ein und lernen Sie daraus.

Es gibt keine vorgefertigte Schablone für ein agiles Team. Es ist eine Reise voller Versuche in der Fehler auftreten werden. Durch diese Fehler besteht die Chance das alle Beteiligten daraus etwas lernen. Je eher und öfter wir scheitern, desto größer ist unsere Chance auf eine gute Lösung.

Durchbrechen Sie die tägliche Routine mit Priorisierung und Fokussierung

Wäre es nicht toll, sich als Sicherheitsexperte auf eine Sache nach der anderen konzentrieren zu können? Wäre es nicht toll zu wissen, dass man sich auf die richtigen Dinge konzentriert um das Unternehmen zu schützen?


Für IT-Spezialisten beginnt der Tag häufig mit der Auswertung von Systembenachrichtigungen. Warn- und Vorfallsmeldungen begrüßen den Administrator und wollen bearbeitet werden. Leider werden diese Benachrichtigungen in der Regel durch allgemeine, globale Risikowerte bestimmt und nicht durch unternehmensspezifische Werte. Diese allgemeinen Risikowerte (gelegentlich als einfache Priorität abgebildet) können jedoch keinesfalls sicherstellen, dass Sie Ihre verfügbaren Ressourcen auf die richtigen Aufgaben fokussieren.

Sicherheitsexperten haben eine Aufgabe: „Den Schutz des Unternehmens“. Wir arbeiten jedoch in einer Welt, die uns allen einem Überfluss an Daten und Aufgaben beschert. Ereignisse, Warnungen und Vorfälle fallen in einem immer schneller werdenden, rasanten Tempo an. Ganz zu schweigen von den ängstlichen Anrufen der Führungskräfte, die gerade in den Nachrichten von der neuesten Cyberbedrohung gehört haben und nun wissen müssen, ob das Unternehmen sicher ist. Woher soll ein Sicherheitsexperte nun wissen, wo sie anfangen sollen? Erwischt er in all den Vorfallsmeldungen wirklich den kritischsten Eintrag oder konzentriert er sich ausschließlich auf die Anfrage einer Führungskraft?

Es ist an der Zeit, eingefahrene Routine zu brechen und die Dinge anders zu machen. Sie müssen sich dazu befähigen, große Datenmengen kontextsensitiv zu durchsuchen. Erst dann können die die Zusammenhänge erfassen und notwendige Maßnahmen richtig priorisieren. Es ist wichtig, sich SCHNELL auf die richtigen Dinge konzentrieren zu können.

Mit einem zentralen Repository (Aufbewahrungsort) können Sie interne Bedrohungs- und Ereignisdaten mit externen Bedrohungsinformationen im Zusammenhang betrachten. Durch die Korrelation von Ereignissen aus den zugehörigen Umgebungsindikatoren (z.B. aus Quellen wie dem „Security Information and Event Management“ (SIEM)-System, Log Management Repository, Case Management Systems und Security Infrastructure) erhält man ein umfassendes Bild zum bestehenden Sicherheitsniveau. Erfolgt derzeit ein Angriff? Welche Methoden werden eingesetzt? Wer greift uns gerade an? Diese und weitere Fragen lassen sich beantworten.

Ab jetzt sind sie in der Lage, alle Ereignisse individuell nach Unternehmensrelevanz zu priorisieren. Was für ein Unternehmen von hoher Relevant ist, ist für ein anderes Unternehmen weniger interessant. Genau aus diesem Grund benötigen Sie die Möglichkeit, Risikowerte basierend auf Ihrem eigenen Satz von Bewertungsparametern anzupassen.

Wann immer zusätzliche neue Daten vorliegen, können weitere Zusammenhänge und Erkenntnisse ermittelt werden. Auf dieser Basis findet in Folge eine Priorisierung und ggf. Neupriorisierung, statt. Von nun an können aus Ihrem ineffektiven Alltagstrott auszubrechen und die verfügbaren Ressourcen auf die größten Risiken konzentrieren.

Die Priorisierung gilt für jeden Anwendungsfall innerhalb eines Security Operations Centers.

Hier ist nur ein kleines Beispiel im Umfeld des Schwachstellenmanagement:
Eine zielgerichtete Priorisierung hilft bei der Reihenfolgenentscheidung einer Schwachstellenbehebung. Nehmen wir einmal an, Sie untersuchen eine Schwachstelle, die im Zusammenhang mit einem bestimmten Angriffsmuster in Verbindung steht. Hierzu untersuchen Sie mit Hilfe von „Indicators of compromise (IoC)“ ihre IT-Infrastruktur. Nehmen wir weiter an, dass eine Lücke aus einer IoC-Beschreibung genau auf Ihr Unternehmen bzw. Infrastruktur passt. Somit ist leicht nachzuvollziehen, dass diese Lücke mit einer deutlich höhere Priorität zu bearbeiten ist, als eine, welche nur in ihrer speziellen Infrastruktur besteht. Erst recht dann, verdächtige Ereignisse (wie im IoC beschrieben) in ihren SIEM- oder Ticketing-System zu erkennen sind. Sicherheitslücken, die ausschließlich bei Ihnen bestehen und noch in keinem IoC beschrieben sind, haben also eine kleinere Priorität als jene, die oben beschrieben sind.

Definieren Sie möglichst frühzeitig Prozesse, welche die Vorgehensweise im Ernstfall beschreiben und testen Sie diese regelmäßig.

Unternehmen müssen ihre Umgebung verstehen und in der Lage sein, sofort zu reagieren wenn etwas nicht stimmt

Nicht nur das private, sondern auch das industrielle IoT (IIoT) stehen der ständigen Gefahr gegenüber, dass durch fehlerhaftes Systemmanagements beteiligter Dritter die Sicherheit gefährdet ist. Täglich kommen neue IoT-Geräte und -Sensoren auf den Markt. Deren betriebliche Zuständigkeit liegt nicht mehr beim Betreiber selbst, sondern vielmehr bei irgendeinem Service-Anbieter. Dies öffnet Tür und Tor für absichtliche und unbeabsichtigte Bedrohungen.


Wie gehen wir also mit Sicherheitsprobleme um, die ein Ökosystem von Drittanbietern entspringen?

Das Drittanbieterrisiko
Um die Risiken durch Drittanbietern besser zu verstehen, betrachten wir einmal die Wartung und den Support der IIoT-Geräte. Es ist also sichergestellt, dass die betreffenden Systeme ein regelmäßiges Softwareupdate erfahren und notwendige Wartungsarbeiten erfolgen. Das bedeutet, dass Drittanbieter möglicherweise Zugriff auf Ihr Netzwerk und damit ggf. auf sensible Daten haben. Der Drittanbieter hat hierbei mit sehr hoher Wahrscheinlichkeit sogar Administratorrechte. Und dies über Fernzugriff.

Und alles ohne Aufsicht
Ihr Wartungs- und Support-Dienstleister, kann sich aus der Ferne, nach belieben an- und abmelden und auf den Systemen frei bewegen. Natürlich auch nach Ihrem Dienstschluss. Dabei hat er die volle Bewegungsfreiheit auf dem IIoT-System. Er kann tun und lassen was er will. Wenn Sie und Ihr Dienstleister keine klare Risiko-Management-Richtlinie haben, können scheinbar harmlosen Ereignisse schnell zu operativen und geschäftlichen Albträumen führen.
Dabei ist dies keinesfalls hypothetisch! Bekannte Unternehmen wurden bereits über den hier beschriebenen Weg gehackt. Hacker können die Infrastruktur Dritter als Sprungbrett nutzen, um so zum eigentlichen Ziel vorzudringen. In Ihre Infrastruktur!
Wie das Wall Street Journal letzten Sommer berichtete (freie englische Übersetzung):
Das Departement of Homeland Security bestätigt:
Eine geheime russische, staatlich geförderte Hackergruppe (Dragonfly / Energetic Bear) brach auf einfache Art und Weise in vermeintlich sichere Netzwerke von Versorgungsunternehmen ein. Hierzu drangen diese zuerst in das Netzwerk eines Zulieferunternehmens ein, welches ein netzwerktechnisches Vertrauensverhältnis zur Energieversorgungsunternehmen inne hatte. (Quelle: https://www.wsj.com/articles/russian-hackers-reach-u-s-utility-control-rooms-homeland-security-officials-say-1532388110)

Es bedurfte also nur eines sorglosen Drittanbieters, um ein kritisches Dienstprogramm zu kompromittieren. Im Falle eines Abbruchs wäre ein weit verbreitetes Chaos entstanden. Glücklicherweise reicht bereits eine gewisse Sorgfaltspflicht aus, um dieses Risiko zu minimieren.

Minderung des Risikos von Ökosystemen Dritter:
Beginnen Sie, indem Sie Ihre „Exposition" verstehen!
· Was macht Ihr Unternehmen oder Ihre Organisation zu einem attraktiven Ziel?
· Unterliegen alle Assets den richtigen Standards, Governance- und Überwachungsprozessen?
· Haben Sie eine Übersicht über alle Ihre Abhängigkeiten von Drittanbietern?

Können Sie diese Fragen beantworten? Dann definieren Sie die richtigen Sicherheitsschritte. Wenn nicht, haben Sie schon Ihr erstes Problem erkannt. Wenn sie ihre "potenziellen Risiken" kennen, können Sie anhand der "potenziellen Auswirkungen" der entsprechenden Gefährdungen festlegen. Anhand der Gefährdungen lässt sich bestimmen, welche Systeme zu schützen sind. Dies hilft Ihnen bei der Erstellung eines Maßnahmenkatalogs.

Neben der Anlagenkontrolle und -verwaltung konzentrieren Sie sich auch im Speziellen auf Berechtigungen und Zugangsdaten. In IoT-Umgebungen werden Anmeldeinformationen oft ohne großen Sicherheitsschutz eingerichtet. Es besteht zwar die Absicht Berechtigungen sicher zu überprüfen, aber es passiert fast nie. Manchmal bleiben diese Anmeldedaten Monate oder Jahre gültig, selbst nachdem diese nicht mehr verwendet werden. Ja, sogar dann, wenn der Lieferant und / oder Hersteller vom Markt verschwunden sind.

Achten Sie besonders darauf, welche Geräte und Anwendungen ein Anbieter in Ihr Netzwerk einbringen darf. Entwickeln Sie eine Kontrollrichtlinie, errichten sie technische Absicherungen oder verweigern Sie den Zugriff auf die betroffene Komponente. Projekte, Zeitdruck oder andere Einflussfaktoren dürfen die Sicherheit weder negativ beeinflussen noch umgehen.

Letztendlich kommt es auf eine klare Überwachung und der daraus resultierenden Kontrolle an. Generell gilt: Kein System oder Prozess ist vollkommen sicher. Sie können jedoch sicherstellen, dass Sie ihre eigene Umgebung vollständig verstehen und bei ungewöhnlichen Ereignissen sofort Maßnahmen einleiten.

Agilität - ein Weg in die Zukunft

Agile Zusammenarbeit ist ein komplexes und vielschichtiges Unterfangen, welches es nicht von der Stange gibt. Damit es im Unternehmen einen Nutzen ergibt, benötigt man eine qualifizierte Entwicklung und eine Anpassung an die bestehenden Kulturen und Prozesse. Welche Vorteile kann man sich durch diesen anspruchsvollen Changeprozess erhoffen?


Der interne und externe Kunde steht im Mittelpunkt der Ausrichtung. Durch iterative Prozesse wird der Kunde frühzeitig in die Entwicklung eingebunden und kann das Ergebnis durch sein Feedback beeinflussen. Teure Fehlentwicklungen sollen dadurch erkannt und gestoppt werden. Es gibt eine differenzierte Aufgabenklärung in Form einer Themenliste (Backlog) und vereinbarte Arbeitsintervalle (Sprints), in denen eine Teilleistung für den Kunden erbracht wird. Der Kunde nimmt diese Teillieferung ab und spricht Mängel an, die im nächsten Arbeitsintervall behoben werden sollen (Review). Die Aufgaben im Backlog werden immer wieder überdacht, verändert und neu priorisiert. Der Product Owner ist ein zentraler Ansprechpartner für das Entwicklungsteam und sollte Rückfragen schnell und kompetent im Sinne des Kunden beantworten.

Es herrscht eine hohe Selbstverantwortung des Teams. Dies zeichnet sich durch die schrittweise Einführung von Gruppenentscheidungen aus, in denen beliebige Themen benannt, geclustert, priorisiert und bearbeitet werden. Auch Themen wie interne Abläufe, die Teamaufstellung, Einteilung in Arbeitsschichten und benötigte Schulungen können Teamintern entschieden werden. Fortgeschrittene Teams binden externe Stabsstellen beratend ein, um so einen noch größeren selbstbestimmten Arbeitsradius zu erhalten. Um die Teammitglieder auf diese Mitbestimmung hinzuführen, bedarf es Zeit, intensiver Schulungen und gutem Coaching durch den Teamleiter.

Agile Vorgehensweisen und Werkzeuge unterstützen die Ziele von excellenter Qualität und schnelleren Durchlaufzeiten. Die Absprachen mit dem Kunden werden in einzelne Aufgaben gegliedert und der Bearbeitungsaufwand vom Team geschätzt. Ein Kanban-Board kann helfen die Arbeitsprozesse und die Schnelligkeit der Bearbeitung für das Team, den Kunden und die Führungskräfte transparent darzustellen. Die Effizienz eines Teams erhöht sich, wenn jedes Teammitglied konzentriert an einer Aufgabe arbeitet und nach dem Pullprinzip seine Aufgaben selber aus dem Arbeitsvorrat holt. Störungen sollten minimiert werden. In den täglichen Kurzbesprechungen vernetzt sich das Team und informiert sich über tagesaktuelle Entwicklungen. Hindernisse werden von der Führung aufgenommen und möglichst zeitnah gelöst (Servant Leader), da die Teammitglieder ihre Zeit für den Wertschöpfungsprozess nutzen sollen. Nach jedem Sprint setzt sich das Team in einer Retrospektive zusammen um herauszufinden was in der Leistungserbringung gut gegangen ist, und was verbessert werden soll. Daraus werden Maßnahmen entwickelt und gemeinsam umgesetzt. Agilität ist ein evolutionäres Arbeiten, das sich durch regelmäßige Reviews auf mehreren Ebenen ständig selbst verbessert.

Die agile Arbeitsweise macht das Unternehmen für Mitarbeiter attraktiver. Diese können Aufgaben und Prozesse mitgehalten und ihre Meinung zählt. Dadurch kann eine höhere Identifikation mit der Aufgabe und eine höhere Selbstmotivation entstehen. Um einen Mehrwert zu schaffen, sind bestimmte Werte und Verhaltensweisen aller Beteiligten notwendig. Wesentliche Werte sind: Offenheit, Mut zum kalkulierten Risiko, eigene Meinung vertreten, Transparenz der Leistung, Commitment zu exzellenten Leistungen für die Kunden, Unterstützung der Kolleginnen und Kollegen, Respekt, Vertrauen, Kommunikation und Feedback. Das Team und die Führungskraft achten immer wieder darauf, dass diese Werte konkret gelebt werden, geben sich dazu gegenseitig Feedback und schaffen ein konstruktives Leistungsklima. Damit sich die Teammitglieder tief mit diesen Werten identifizieren können, sollten diese in einem Workshop gemeinsam erarbeitet und committed werden. Aufgetretene Fehler werden nicht als Makel gesehen, sondern als Möglichkeiten sich zu verbessern.

Agile Teams brauchen eine neue Art der Führung. Der Teamleiter oder Scrum Master arbeitet mehr am System, als im System und versteht sich als dienende Führungskraft. Er reflektiert „aus der Vogelperspektive“ die Zusammenarbeit und Leistungserbringung, verstärkt durch Lob. Durch kritische Fragen bringt er die Mitarbeiter zum Nachdenken und zu Verbesserungen. Er hilft bei der Umsetzung einer ständig verbesserten agilen Zusammenarbeit und an der Weiterentwicklung der Organisation. Er moderiert Besprechungen mit dem Kunden oder die täglichen Teammeetings, klärt aktuelle Arbeitshindernisse der Mitarbeiter und gibt dem Team und Einzelpersonen Rückmeldungen zu deren selbstverantwortlichen Arbeitsweisen, damit diese noch besser werden. Er coacht Mitarbeiter in ihrer Effektivität und Bereitschaft Verantwortung zu übernehmen, klärt Konflikte und gibt Rückmeldung zur Umsetzung der Werte. Die Führungskraft betreibt ein aktives Stakeholdermanagement, hat evtl. noch die Budgetverantwortung und berichtet dem Topmanagement über die Ergebnisse des Teams.


Eine aktive Einbindung des Kunden um bessere Produkte zu erstellen und der Perspektivenwechsel weg von den Prozessen, hin zu den Menschen machen diesen Changeprozess menschlich und wertvoll. Durch die evolutionäre Vorgehensweise mit regelmäßigen Reviews und schnellen Kurskorrekturen sind die Arbeitsabläufe und Mitarbeiter flexibel und können sich an geänderte Rahmenbedingungen gut anpassen (Resilienz).
Daher halte ich diesen Change für notwendig und zukunftsweisend.

PH







CEO
listos UG (haftungsbeschr.)
Paul-Michael Hartlaub
Geschäftsführer / CEO
Tel. +49 6173-391080-00
mail (at) listos.de


Wir sind ein junges Unternehmen aus IT-Spezialisten. Seit über 20 Jahren sammeln wir Erfahrungen als Programmierer, Systemingenieure und Projektleiter in Enterprise-Umgebungen mit mehr als 15.000 Clients. Dabei haben wir Informationen aus der Netzwerk-Ecke, IT-Sicherheit und des Client-Management-Umfeldes zusammengetragen und kennen nahezu keine technischen Grenzen. Wir überprüfen Ihre Anforderungen gerne auf Risiken um diese dann professionell umzusetzen. Für unsere Kunden im Klein- und Mittelstand adaptieren wir erfolgreiche Enterprise-Lösungen und Prozesse.

Unser Team verstärken wir bei Bedarf mit erfahrenen Experten aus den einzelnen Fachbereichen.



listo [ˈlisto] spanisch, Adj. geschickt, aufgeweckt, bereit
¡Listo!      Erledigt!

Waiting for Contact


logo