coretress: "lywand ist ein No-Brainer"

Auf einen Blick: Tipps und Erfahrungswerte von coretress

  • Wie habt ihr euren Kunden lywand vorgestellt?

    Wir haben sie über die Lösung informiert und im Rahmen einer ohnehin geplanten Preiserhöhung bei fast all unseren Kunden ausgerollt. Es gibt ein paar Ausnahmen, für die wir das Onboarding erst vollziehen, nachdem bestimmte interne Fragen geklärt sind und wir grünes Licht haben.

  • Wie setzt ihr lywand ein?

    Wir setzen lywand als Standardwerkzeug zur Qualitätssicherung unserer Managed Services ein. So kommunizieren wir dies auch gegenüber unseren Kunden.

  • Welchen Mehrwert hat lywand für eure Kunden?

    Sie profitieren von einem regelmäßigen, dokumentarischen Auditing und erhalten dadurch eine umfassende Bewertung ihrer Sicherheitslage. Auch Security-Laien können den Wert unserer Arbeit verstehen und haben bessere Ausgangsbedingungen für Zertifizierungsprozesse oder den Abschluss von Cyberversicherungen.

  • Wie kann man lywand in seinem Angebot positionieren?

    Am besten funktioniert für uns die Integration in unsere Managed Services, in den Paketen „Standard“ und „Premium“, da lywand ein wichtiger Faktor für unsere Servicequalität ist. Im Premiumpaket ist lediglich der Leistungsumfang für die Bearbeitung der Scan-Ergebnisse höher.

  • Wie kann man mit einer negativen Bewertung umgehen?

    Wir vereinbaren vertraglich mit unseren Kunden, jede Bewertung, die schlechter als „C“ ist, wieder auf C zu bringen. Außerdem legen wir einen Einstiegszeitraum von zwei Monaten fest, in dem wir zunächst die Sicherheitslage ermitteln.

 

Die Success Story: coretress im Interview

„Ist lywand für uns sinnvoll?“ Darüber musste André Schiller, Geschäftsführer der coretress GmbH, nicht lange nachdenken. Im Interview erklärt er, woran das lag, wie er die Lösung zur Optimierung seiner Managed Services einsetzt und welchen Mehrwert sie für Kunden bietet.

Warum der Einsatz von lywand ein "No-Brainer" ist

Zur Aufzeichnung

Vorstellung

Wer seid ihr und was macht ihr? Kannst du uns mehr über coretress erzählen?

Wir sind ein Managed Services Provider aus Köln im Rheinland und bedienen überwiegend regionale Kunden etwa im Radius von 50 km um Köln. Ausnahmen gibt es auch, doch prinzipiell haben wir uns für ein regionales Tätigkeitsgebiet entschieden, dass durch den Ballungsraum NRW wunderbar gegeben ist. Wir haben den Anspruch, direkter Ansprechpartner für unsere Kunden zu sein und legen Wert auf den persönlichen Kontakt.

Portrait von André Schiller, Geschäftsführer bei Coretress GmbH

Entstanden ist unsere Firma bereits 1990, angefangen hat es als Projekt neben dem Studium. Schon damals hatte ich den Bereich Security entdeckt, mit UTM-Firewalls, Antivirussoftware und auch Patch-Management, das mir seinerzeit schon sehr wichtig erschien. Diese bildeten dann die Bereiche, auf denen wir unsere Managed Services aufgebaut haben. Später kamen dann noch Managed Services für Firewall und Infrastruktur hinzu.

 

Kundenstruktur und Serviceangebot

Welche Kunden betreut ihr?

Unsere Kunden haben in der Regel gemeinsam, dass sie im Großteil Microsoft-Netzwerke verwenden Lust auf neue Themen wie Cloudifizierung, Hybride Umgebung oder Digitale Transformation haben, und deren Anspruch an IT-Sicherheit ist vergleichsweise hoch. Entweder auf Grund von regulatorischen Vorgaben, wie zum Beispiel ISAAC- und ISO-Zertifizierungen, oder durch ein hohes Bewusstsein für das Schutzerfordernis ihrer Infrastruktur. Darauf fokussieren wir uns und richten unser Angebot entsprechend aus.

 

Wie groß sind die Unternehmen eurer Kunden und welchen Service bietet ihr ihnen?

Wir haben zwei Konzepte, in deren Rahmen wir unsere Kunden betreuen: Zum einen fungieren wir – klassisch für ein Systemhaus – als externe IT-Abteilung. In der Form, in der wir dies anbieten, funktioniert das für etwa 20-150 Bildschirmarbeitsplätze ganz gut. Aktiven Vertrieb machen wir für etwa 30 Bildschirmarbeitsplätze.

Zum anderen arbeiten wir als „Trusted Advisor“ für IT-Abteilungen bei größeren Unternehmen, also 150 und mehr Mitarbeitende. In dieser Rolle greifen wir den Firmen bei Themen, die in deren Tagesgeschäft eher selten vorkommen, zum Beispiel Server-Migration, unter die Arme. Ein First Level Support bei Unternehmen mit mehreren hundert Beschäftigten käme für uns allerdings nicht in Frage. Wir suchen den Schulterschluss mit der internen IT-Abteilung, um ihnen ihre Arbeit zu erleichtern und beraten auf hohem Niveau. Diesen Ansatz verfolgen wir erst seit etwa einem Jahr, doch mit zunehmendem Erfolg.

 

Suche nach einer automatisierten Security Audit-Lösung

Wie habt ihr bislang Auditing umgesetzt?

Im vergangenen Jahr wurde uns im Zuge der Prozessberatung und Digitalisierung bewusst, dass wir ein Tool benötigen, das unsere Prozesse – also die Services, die wir leisten – auditiert. Wir verfügen zwar inhouse über Pentesting-Expertise, diese ist aber nicht beliebig skalierbar und damit auf breiter Ebene anwendbar. Alles in allem waren Pentests auch immer sehr aufwändig, so dass sie sich eher als Werkzeug für eine vertiefte Untersuchung eignen, aber weniger für regelmäßiges Auditing.

Daher habe ich mich auf die Suche nach Tools gemacht, die dieses Problem durch Automatisierung lösen können. Bislang waren wir auf diesem Gebiet komplett blank, abgesehen vom Arbeiten mit einem Nessus-Scanner. Das ist zweifelsohne ein mächtiges Tool, allerdings erstellt es ewig lange Berichte, die zwar Technikern gefallen, aber ansonsten kaum jemand lesen kann. Für das Gespräch mit einem Geschäftsführer waren diese Berichte vom Umfang eines Buches schlichtweg nicht brauchbar: viel zu detailreich und weder lesbar noch bewertbar für Menschen, die keine IT-Security-Experten sind. Insgesamt also wenig überzeugend für die Ansprechpartner auf Kundenseite.

 

Wie seid ihr auf lywand aufmerksam geworden?

Ich habe verschiedene Tools getestet und diese haben sicher ihre Daseinsberechtigung. Doch für den Einsatzzweck, den ich im Kopf hatte, nämlich Entlastung, waren sie nicht geeignet. Schließlich kam der Zufall ins Spiel: Niklas von Fokus MSP hat mich angerufen und mir lywand vorgestellt. Erhöhte IT-Sicherheit, Arbeitserleichterung, sofortiges Onboarding und lesbare Berichte auch für die Chefetage waren die Punkte, die mich neugierig gemacht haben. Ich habe mir die Produktdemo angesehen, das war etwa im August 2022, und zwei Monate später, im Oktober, haben wir die Lösung bei uns intern testweise ausgerollt. Erstes Feedback meiner Techniker war „das ist zu einfach“ (lacht).

Security Dashboard: Übersicht der internen und externen Sicherheitslage

Screenshot vom Security Dashboard

Entscheidung für lywand 

Was hat dich – und auch dein Technik-Team 😉 – schließlich von lywand überzeugt?

Den Ausschlag gab für uns ein Aha-Erlebnis: Wie uns lywands Security Scans zeigten, funktionierte das von uns betriebene Patch Management nicht so gut wie wir dachten. In unserem Patch Management Dashboard waren zwar sämtliche grünen Haken gesetzt. Doch Fehlkonfigurationen in der Software können dafür sorgen, dass ein Patch abgelehnt wird. Und dann kam uns natürlich der Gedanke: „Wenn das bei uns intern so ist, könnten auch bei unseren Kunden derartige Policy-Fehler vorhanden sein?“ Der überzeugende Vorteil von lywand war für uns also zunächst ein interner Nutzen: Wir hatten nun ein Tool, dass es uns ermöglicht, äußerst effizient zu auditieren, wie gut wir unser Leistungsversprechen gegenüber Kunden einhalten.

Die Kunden wiederum profitieren davon, dass wir mit lywand ihre IT-Umgebung einfach bereinigen und optimieren können. Beispielsweise entdecken wir Risiken durch veraltete WordPress-Versionen, eine unzureichende Härtung der Firewall oder unnötige zusätzliche Browserinstanzen. Der Einsatz von lywand war für uns einfach ein No-Brainer.

 

Positionierung von lywand im Lösungsportfolio

Wie habt ihr lywand in euer Portfolio integriert?

Wir haben es zunächst als Einzellösung in verschiedenen Paketen, z. B. für Website und Firewall, angeboten, aber schnell festgestellt, dass es für uns zu aufwändig wäre, diese zu betreuen, wenn wir sie allen Kunden anbieten würden. Auch wenn es für uns selbst einen hohen Nutzen bietet, stellt es in unserem Portfolio eben nur ein Side-Produkt dar.

Der Schlüssel zum Erfolg war, das Produkt in Managed Services zu integrieren – es ist nun Bestandteil unserer Managed Services Client Server. Dabei haben wir den Schwung der Microsoft-Preiserhöhung, die ohnehin planmäßig vorgesehen war, genutzt und unsere Preise ein klein wenig mehr erhöht, als wir ursprünglich vorhatten. Wir haben unseren Kunden gegenüber kommuniziert, dass ein zusätzliches Security-Paket für uns mittlerweile erforderlich ist, um unsere Arbeit entsprechend den Anforderungen des IT-Grundschutzes zuverlässig erledigen zu können. Für den Großteil unserer Kunden könnten wir einfach den Roll-out umsetzen, da wir über entsprechende Vereinbarungen verfügen. Bei einigen Ausnahmen sind wir noch in der Diskussion, beispielsweise mit Unternehmen, wo noch Compliance-Fragen geklärt werden müssen und zusätzliche Freigaben erforderlich sind.

Jedenfalls sind wir im Laufe eines einzigen Vormittags von 150 auf über 500 Clients gegangen. Der „Nachzug“ weiterer Kunden findet derzeit ebenfalls noch statt.

 

Du hattest ursprünglich vor, lywand ausschließlich in euer Premium-Servicepaket aufzunehmen. Warum habt ihr euch schließlich dagegen entschieden?

Wir bieten unsere Managed Services in drei Abstufungen an: Basis, Standard und Premium, wobei in etwa 95 Prozent der Kunden Standard und 5 Prozent Premium nutzen. Zunächst war ich überzeugt, dass lywand ausschließlich in unserer Premiumsparte angesiedelt sein sollte. Dagegen sprachen allerdings zwei Gründe:

  • Alles, was ich ins Premium-Paket integriere, erhöht nicht automatisch den Verkauf des Premium-Pakets, da dieses doch deutlich teurer ist.

  • Darüber hinaus ist in Rücksprache mit meinem Team klar geworden, dass lywand schlichtweg zu bedeutend ist für die Qualitätssicherung unserer Arbeit.

Daher bieten wir lywand nun sowohl im Standard- als auch im Premiumsegment an. Angepasst haben wir lediglich den daran gebundenen Leistungsumfang: So ist die vierteljährliche Besprechung eines lywand-Renovierungsplans im Premium-Paket bereits eingeschlossen.

 

Vorteile durch lywand

Welche Vorteile bietet euch lywand?

Vorteile bestehen für mich darin, dass ich zuverlässig unsere Arbeit bewerten kann und dem Kunden gegenüber mit einer übersichtlichen, verständlichen Zusammenfassung auftreten kann. Es zeigt den Wert unserer Leistung und bietet eine belastbare Argumentationsgrundlage für weitere Maßnahmen.

Zudem ist die Lösung absolut MSP-fähig und der Aufwand ist für uns gering: Jeder Techniker, der sich lywand anguckt, weiß nach einer halben Stunde alles, was er wissen muss. Keine Schulung oder Fortbildung nötig. Noch dazu haben wir den Agent im Nullkommanix auf unsere Kunden ausgerollt, ganz einfach über unser RMM-Tool.

Alles in allem: Wir haben mit geringem Einsatz einen schnellen Nutzen für uns und unsere Kunden, in Form von verbesserter Sicherheit und Ergebniskontrolle. Zudem ist es nun einfacher für uns, zusätzliche Maßnahmen anzubieten und mit Erfolg zu verkaufen.

 

Kannst du uns ein Beispiel für die Vorteile geben?

Wie bereits erwähnt liegt unser Fokus auf Patch Management. Wir gucken nun erstmal bei jedem einzelnen Kunden, für den wir lywand nutzen, ob das Patch Management so läuft, wie wir es uns vorstellen. Wenn man nicht die aktuelle Windows 22H2 installiert hat, bekommt man bei lywand eine F-Bewertung. Das ist dann ein gutes Argument gegenüber Kunden, die nur unser Standardpaket nutzen, in dem keine Feature Updates integriert sind (im Premium Paket schon). Wir können dem Kunden dann anbieten, entweder zweimal im Jahr diesen Update Service zusätzlich zu bezahlen oder wir überführen ihn in den Premium Service.

Meist liegt bei Kunden die Installation von 22H2 in der Prioritätenliste ganz weit unten, sprich „machen wir irgendwann“. Mit der lywand-Bewertung erkennen sie nun die Notwendigkeit der Sache. Man kann sichtbar machen, warum das Update nötig ist. Microsoft hat die Unterstützung für alle Windows 10-Versionen bis 22. Juni abgekündigt, das zeigt dem Kunden einerseits die Dringlichkeit, andererseits kann man auch aufzeigen „schau mal, die Schwachstellen 1-500 sind dann mit diesem Update gefixt“. lywand ist also auch ein wunderbares Vertriebstool, wenn Leute sich schwer tun, eine Stunde Dienstleistung vom Kunden bewilligt zu bekommen.

Bewertungsskala der Sichereheitslage

Bewertunsskala im amerikanischen Schulnotensystem von A bis F

Umgang mit einer negativen Bewertung

Wie vertretet ihr negative Bewertungen vor eueren Kunden?

Ich habe beim Kunden im Vertrag stehen, dass ich alles, was unter die Bewertungsnote „C“ rutscht, mindestens wieder auf C bringe. Außerdem haben wir vertraglich für unsere Services eine „Vorlaufphase“ von zwei Monaten, in denen wir erstmal schauen, was beim Kunden evtl. nicht passt, festgeschrieben. Vor einer F-Bewertung habe ich daher keine Angst - das ist ja schließlich nichts, was wir uns ausdenken, sondern eine realistische Darstellung. Gibt es eine F-Bewertung, mache ich den Kunden also gern darauf aufmerksam. Sollte er es ablehnen, die Schwachstelle beheben zu wollen, würde ich mir das schriftlich bestätigen lassen, notfalls sogar per Einschreiben mit Rückschein. Denn ich möchte sicher gehen, dass wir damit aus der Haftung entlassen sind. In dieser Hinsicht ist lywand auch eine sehr gute Argumentationshilfe.

Wir verstehen uns schließlich als „Trusted Advisor“, als Partner des Kunden, und haben den Auftrag, ihm das bestmögliche an IT-Infrastruktur hinzustellen. Dazu zählt meiner Meinung nach auch, „weiße Flecken“ auf der Karte sichtbar zu machen.

 

lywands Nutzen für Cyberversicherungen

Apropos Vertrag: Viele Kunden verfügen über eine Cyberversicherung. Inwieweit spielt dies eine Rolle für das Arbeiten mit lywand?

Meistens ist es so, dass viele Kunden eine derartige Versicherung ohne Rücksprache mit uns abgeschlossen haben. Dafür erhalten sie von der Versicherung einen Auditbogen, der in vielen Fällen blind unterschrieben wird. Kunden gehen meist davon aus, dass alle Anforderungen für den Versicherungsschutz erfüllt sind – aber wenn nicht überprüft oder dokumentierbar ist, ob dem so ist, kann es womöglich Schwierigkeiten geben. Mit lywand haben wir ein regelmäßiges, dokumentarisches Auditing. Damit hat man einen Überblick, den man einer Versicherung vorlegen kann, um den bestmöglichen Tarif zu bekommen. Natürlich ist dies auch für Kunden hilfreich, die sich um gewisse Zertifizierungen bemühen. Auch im Hinblick auf NIS-2, das vielen Kunden derzeit Kopfzerbrechen bereitet, können wir als Dienstleister schon wunderbar unterstützen, indem wir ganz einfach und kostengünstig für regelmäßiges Auditing sorgen.

 

Sicht auf den MSP-Markt

Wenn du in die Glaskugel blicken könntest: Wie siehst du die Entwicklung des MSP-Markts?

Ich denke, Managed Services werden noch weiter zunehmen. Das klassische „Zeit gegen Geld“-Geschäftsmodell ist schlichtweg nicht mehr skalierbar und für uns als Systemhaus kaum noch lukrativ. Daher bin ich überzeugt, dass wir automatisierte Services benötigen, die uns Arbeit abnehmen und es uns ermöglichen, uns auf die Durchführung lukrativer Leistungen zu konzentrieren. Langfristig denke ich, wird es notwendig sein, sich über Betriebskonzepte Gedanken zu machen, mit denen man IT zum Festpreis anbietet.

 

Lieber André, herzlichen Dank für diesen interessanten Einblick und weiterhin viel Erfolg mit lywand!

Teresa Leonhartsberger

14. Juni 2023

Kategorie

Ratgeber

Das könnte Sie auch interessieren

Feature

Whitelabeling

Mit dem heiß ersehnten Feature Whitelabeling können Sie die Security Audit Plattform nach Ihrem eigenen Look & Feel anpassen. Um das neue Feature abzurunden, haben wir noch ein zusätzliches “Schmankerl” hinzugefügt: Read-Only Zugänge.

21. März 2024

Ratgeber

Alles zur NIS2-Richtlinie

Erfahren Sie alles Wichtige zur NIS2-Richtlinie in unserem Artikel: Wann ist sie in Kraft getreten, welche Unternehmen betrifft sie und welche konkreten Anforderungen müssen erfüllt werden?

13. März 2024

Feature

Bewertung der Sicherheit

Erfahren Sie in diesem Artikel, warum wir die Eintrittswahrscheinlichkeit als neuen Faktor zur Risikobewertung von Schwachstellen implementiert haben und wie die Bewertung der IT-Sicherheit in unserer Security Audit Plattform genau funktioniert.

28. Februar 2024