Auf einen Blick: Tipps und Erfahrungswerte von Q-Data Service
Wem bietet ihr lywand vorwiegend an?
Vorwiegend unseren Bestandskunden, doch teilweise nutzen wir das Tool auch zur Neukundenakquise.
Inwieweit ist lywand nützlich für die Neukundenakquise?
Ein Vorab-Scan bei potenziellen Neukunden - selbstverständlich nur mit deren Erlaubnis - hilft uns dabei, eine Gesprächsbasis zu schaffen und ein MSP-Angebotspaket zu schnüren, das für den Kunden nachvollziehbar und sinnvoll ist. Den Kunden erleichtert dies die Entscheidung.
Wie kann man lywand in seinem Angebot positionieren und vermarkten?
Bei uns ist lywand ein Bestandteil unserer MSP-Servicepalette. Unsere Kunden haben dadurch den Mehrwert, unsere Managed Security Services zielführender zu gestalten und effizienter einzusetzen. Im Basisangebot ist zweimal pro Monat ein externer Scan enthalten sowie unsere Verpflichtung, aus den Ergebnissen geeignete Maßnahmen abzuleiten. Eine automatische Fehlerbehebung ist nicht inkludiert. Interne Scans sind zusätzlich buchbar für Abonnenten externer Scans.
Wie sollte man mit negativen Ergebnissen eines Scans umgehen?
Transparent sein und dem Kunden detailliert erklären, wie die entdeckte Schwachstelle zu Stande kam bzw. warum diese unentdeckt blieb. Und immer im Kopf behalten: Die Scans dienen in erster Linie dazu, die Sicherheit zu verbessern und nicht dazu, dem Dienstleister Fehler nachzuweisen. Taucht ein Fehler auf, sollte man das als Chance sehen, es besser zu machen sehen. In der Tat kann es auch ein Anlass sein, das aktuelle Servicelevel grundlegend zu beurteilen und in Abstimmung mit dem Kunden anzupassen.
Die Success Story: Q-Data Service im Interview
Markus Müller und Christian Goebel, Geschäftsführer bei unserem Partner Q-Data Service GmbH, erzählen im Interview über ihre Erfahrungen mit lywand und wie sie die Lösung einsetzen, um ihr MSP-Angebot zu optimieren und die Servicequalität noch weiter zu steigern.
Vorstellung
Wer seid ihr und was macht ihr?
Ich bin Christian Göbel, seit 2007 bei Q-Data Service in Hamburg und seit 2017 einer der drei geschäftsführenden Gesellschafter. Verantwortlich bin ich für den Geschäftsbereich Projekt- und Neukunden. Und ich bin Markus Müller, ebenfalls Geschäftsführer bei Q-Data Service. Ich bin seit 2008 im Unternehmen und verantwortlich für den Bereich Bestandskunden.
Christian Göbel und Markus Müller - Geschäftsführer von Q-Data Service GmbH
Unser Systemhaus besteht seit 1979 und hat aktuell 25 Mitarbeiter. Wir bieten ganzheitliche Beratung und Konzeption in den Bereichen Informations- und Kommunikationstechnik, sowie technische Lösungen für Büro und Gewerbe und intelligente Wohnungen und Häuser. Wir sind spezialisiert auf die Betreuung von IT-Infrastrukturen kleiner und mittelständischer Unternehmen und bieten ihnen mit unseren Managed Services das gesamte Spektrum eines IT-Dienstleisters: Beratung, Planung, Implementierung und Systemadministration.
Für uns beide gilt: Wir sind begeisterte Techniker und lieben es, unsere Kunden glücklich zu machen.
Erfahrungen mit Pentest-Angeboten für KMUs
Markus, Du bist außerdem Certified Security Hacker (CSH) und hast euren Kunden in der Vergangenheit auch Security-Checks angeboten.
Ja, als CSH – wobei ich mich mittlerweile als IT-Security Professional bezeichnen würde - wollte ich unseren Kunden natürlich einen guten Service bieten. Beispielsweise habe ich vorgeschlagen, eine Netzwerkhärtung vorzunehmen, nach geleakten Daten im Darknet zu fahnden oder hier und da mal einen Pentest durchzuführen, um zu ermitteln, wie die Angriffsfläche aussieht.
Wie haben eure Kunden darauf reagiert?
Offen gestanden war Unverständnis die häufigste Reaktion. Es folgten meist Nachfragen wie „wieso wollt ihr eure eigenen Sicherheitslösungen testen? Die sollten doch funktionieren, oder? Sowas brauche ich nicht“. Wenn ich zumindest mildes Interesse geweckt hatte, bekam ich meist zu hören „wie lange braucht ihr dafür? Was, drei Tage? Und das bei einem [seinerzeit noch üblichem] Stundensatz von etwa 180 Euro? Hm, das muss ich mir überlegen“, und so weiter.
Aber ihr habt ja doch einige Pentests durchgeführt. Wie ist eure Erfahrung damit?
Wir haben schnell festgestellt, dass wir diese nur in begrenztem Umfang verkaufen können. Die eher geringe Nachfrage auf Kundenseite war der eine Grund, der Mangel an Zeit auf unserer Seite der andere. Der Aufwand, der in diese Projekte fließt, ist immens. Man möchte den Test gewissenhaft durchführen und verbringt viel Zeit in verschiedenen Foren, um Skripte zu prüfen, Anpassungen vorzunehmen und Dinge nochmal nachzulesen. Allein damit kann man Tage verbringen.
Hat man die Testphase abgeschlossen, muss man alle Ergebnisse in einem Dokument, dem Cyber-Report, zusammenfassen. In vielen Fällen ist es so, dass man bei der Aufbereitung der Ergebnisse verschiedene Entscheidungsträger im Unternehmen berücksichtigen muss.
Ein IT-Verantwortlicher wünscht sich womöglich einen technisch detaillierteren Bericht, die Geschäftsführung hingegen bevorzugt eine einfach verständliche, aber schlüssige Darstellung. Je nach Größe der überprüften Netzwerkumgebung und der Zahl der Ansprechpartner, mit denen man sich beim Reporting abstimmen musste, verging mindestens eine bis hin zu mehreren Wochen, bis ein Projekt abgeschlossen war. Etwas überspitzt könnte man unsere Erfahrung mit Pentests in etwa so auf den Punkt bringen: Keine Zeit, kein Geld und kein Verständnis.
Wie häufig in etwa habt ihr bislang Pentests durchgeführt?
Eher sporadisch. Etwa alle drei Jahre habe ich mal einen umfangreicheren durchgeführt, natürlich auch intern bei uns, um in Übung zu bleiben, ansonsten habe ich regelmäßig Laborversuche gemacht. Die Tools, die man dafür verwendet, sind zugeschnitten auf Enterprise-Umgebungen und haben sicherlich ihre Daseinsberechtigung, aber wir konnten die dafür anfallenden Kosten nicht in ein attraktives Angebot für KMUs packen. Daher haben wir Pentests bislang nicht aktiv an Kunden verkauft. Das hat sich jedoch geändert, als wir lywand entdeckt haben.
Integration ins Portfolio und Einführung bei Kunden
Wie seid ihr auf lywand aufmerksam geworden?
Es war so etwa Ende 2021, da ist mir ein Artikel in der IT-Business aufgefallen, mit dem Titel: „lywand renoviert die IT-Sicherheit von Unternehmen“.
Beitrag über lywand in der IT-Business
Das klang so interessant, dass ich mich direkt bei lywand für eine Testlizenz gemeldet habe. Die habe ich dann hausintern ausprobiert und getestet. Es hat mich sehr beeindruckt, was ich an Ergebnissen erhalten hatte: Im Vergleich zu den Enterprise Tools, mit denen ich die lywand-Lösung gegencheckt hatte, lieferte sie dieselben zuverlässigen Ergebnisse. Allerdings gefiel mir die Aufbereitung, also der Cyber Report, deutlich besser: Allgemein verständlich, mit optional technisch detaillierterer Ansicht. Ideal war die lywand-Lösung dann für uns, als sie über die Fokus MSP Distribution auch als MSP-Modell verfügbar wurde.
Wie habt ihr euren Kunden die lywand-Lösung vorgestellt?
Wir haben unsere Kunden zu einem Webinar eingeladen und allen angemeldeten Teilnehmern angeboten, vorab unverbindlich einen kostenlosen Security-Scan mit lywand für sie durchzuführen. Zum Webinar, indem wir die Lösung genauer vorgestellt haben, hatten sie dann bereits einen Kurzbericht vorliegen. Darüber sind wir dann mit unseren Kunden ins Gespräch gekommen. Die Mehrheit von ihnen war begeistert und meinte „toll, dass ihr sowas jetzt macht“ und hat sich dann für die Lösung entschieden.
Wie habt ihr lywand in euer Portfolio integriert und wie bietet ihr die Lösung an?
Wir haben im Bereich „Managed Security Audit“ für unsere Kunden ein Paket geschnürt: „Managed Security Audit extern“ beinhaltet im Basispaket bis zu zehn externe Targets und zwei Standard-Scans pro Monat. Die damit verknüpften Leistungen unsererseits umfassen die wöchentliche Überprüfung der Management Reports und das Ableiten entsprechender Aktionen.
Wenn lywand beispielsweise entdeckt, dass die WordPress-Version der Website veraltet ist und ein Update empfiehlt, treten wir mit dem für die Website verantwortlichen Dienstleister in Kontakt und prüfen nach, ob und wann der Fehler behoben wurde.
Eine unmittelbare Fehlerbehebung durch uns ist in unserem Basispaket nicht inkludiert, denn es kommt auch darauf an, welche Services der Kunde noch bei uns gebucht hat. Je nachdem wird die Fehlerbehebung in einem bestehenden Vertragsrahmen oder eben in einem separaten Projekt erledigt. Ebenso bieten wir den internen Scan an, Voraussetzung für die Buchung ist allerdings, dass der Kunde bereits den externen Scan abonniert hat.
lywand im Beratungsprozess
Wie wirkt sich lywand auf euren Beratungsprozess aus?
Für mich wird es einfacher, auf meine Ansprechpartner auf Kundenseite zuzugehen. Generell ist es mir wichtig, mit meinen Kunden eine gemeinsame Gesprächsebene zu finden und ihnen den vorliegenden Sachverhalt ohne Fachjargon so zu vermitteln, dass sie es verstehen. Der Management Report und die zusätzliche bildliche Darstellung eines Hauses mit Mängeln liefert mir einen Einstieg, dem jeder sofort folgen kann.
Vorschau des Management Reports und der Hausanalogie
Spreche ich mit einem IT-Verantwortlichen, kann ich in die technische Variante des Reports wechseln und diese mit ihm durchgehen. Ich denke, für mich reduziert sich die Mühe, beim Kunden Verständnis aufbauen zu müssen, aber gleichsam ist auch der Kunde in einer besseren Position, das Ganze zu verstehen und die für ihn relevanten Fragen zu stellen.
Wie geht ihr mit einer schlechten Sicherheitsbewertung um, bzw. wie reagieren Kunden?
Das war eins der ersten Dinge, die wir zu lywand von Kunden gehört haben: „Habt ihr denn keine Angst, Fehler von euch zu finden?“ Und wir können sagen, dass sich in der überwältigenden Mehrheit der Fälle die entdeckten Schwachstellen in Drittlösungen befanden. Oft implementiert man Dinge, die der Kunde „mal eben“ dringend braucht. Das gehört eben zum Alltag eines Dienstleisters: Wir machen den Kunden schnellstmöglich glücklich, doch bei Dringlichkeit bleibt in Ausnahmefällen vorab ein umfassendes Qualitätsmanagement auf der Strecke. Ein einziges Mal kam es bislang vor, dass eine Sicherheitslücke auf uns zurückzuführen war. Dabei handelte es sich um ein älteres Azubi-Projekt, das in der DMZ angelegt war, also ein geringeres Risiko darstellte. Dennoch waren wir uns zwei Jahre lang nicht bewusst, dass dieses noch existiert.
Aber: Mit dem dauerhaften Einsatz von lywand bemerken wir derartige „Flüchtigkeitsfehler“ früher als sonst und gewinnen hilfreiche Erkenntnisse für unsere künftige Arbeit. Es ist einerseits ein Tool zur Qualitätsprüfung unserer Arbeit – und erfreulicherweise bestätigt es uns regelmäßig in unserer Überzeugung, gute IT zu machen – aber auch zur langfristigen Qualitätssteigerung. Und dem Kunden gegenüber zeigt es Gewissenhaftigkeit und unsere Verpflichtung, das bestmögliche Ergebnis zu erzielen. Und die Benotung durch die Lösung hilft ebenfalls, denn meist sagt der Kunde: „Was müssen wir machen? Ich will hier ein A, oder zumindest ein B.“ Also, wenn man weiß, man hat gut gearbeitet, hat man nichts zu befürchten. Und entdeckte Schwachstellen sollte man eher als Chance sehen, noch besser zu werden.
Wie unterstützt lywand eure tägliche Arbeit?
Die Automatisierung hilft uns, unsere Abläufe zu verschlanken und zu beschleunigen. Die Bedienung des Tools bedarf keinerlei Schulung, jeder unserer Mitarbeiter kann damit umgehen. Die Ergebnisse des Scans verraten ihnen nicht nur, wo es welche „Baustellen“ bei unseren Kunden gibt, sondern durch den Maßnahmenplan auch, was getan werden muss und welche „Werkzeuge“ dafür nötig sind.
Sie können also einfach loslegen, indem sie ihr Können und das Handwerk anwenden, das sie bereits hervorragend beherrschen. Wir können direkt zur Tat schreiten, ohne unserer Belegschaft vertiefte Kenntnisse in der Security-Analyse vermitteln zu müssen oder Fachpersonal zu rekrutieren. Wir mussten organisatorisch also nichts ändern, allerdings können wir nun viel häufiger Security-Checks durchführen und effizienter daran arbeiten, Sicherheitslücken bei unseren Kunden zu schließen.
lywand als Sales-Tool
Inwieweit unterstützt lywand euren Sales-Prozess?
In erster Linie bieten wir lywand unseren Bestandskunden an. Unsere Kunden beziehen die Lösung monatlich und wir besprechen einmal pro Quartal in ihnen in einem persönlichen Termin Management Reports. Je nachdem, welche Schwachstellen wir entdeckt haben, können wir mit dem Kunden gemeinsam diskutieren, welche Serviceerweiterungen für ihn noch sinnvoll wären. Es hilft uns auch dabei, unser Serviceangebot für unsere Kunden verständlicher und schlüssiger zu machen. Die lywand-Lösung sozusagen das letzte Kuchenstück, das unser Servicepaket vollendet.
Managed Security Audit mit lywand im "MSSP-Rad"
Wir haben lywand außerdem schon mehrmals für das Neukundengeschäft genutzt, was an sich ja eine mühevolle Sache ist: Man stellt dort nach bestem Wissen und Gewissen seine Konzepte vor und während des Gesprächs ist alles wunderbar, doch nachdem man aus der Tür ist, hört man oft nichts mehr vom Interessenten. Oder es gibt Nachfragen oder Änderungswünsche und schnell hat man zwei bis drei Termine mit dem Kunden gemacht – diese investierte Zeit geht aber meist zu Lasten der Produktmarge.
Nun fragen wir Interessenten, ob wir vorab einen lywand-Scan durchführen dürfen. So können wir ermitteln, welche Baustellen der Kunde hat und können dann zielführend über ein passendes Servicepaket sprechen – und zwar so, dass auch der Kunde genau versteht, worum es geht. Ich denke, auf diese Weise gehen beide Seiten mit einer höheren Zufriedenheit aus dem Gespräch, weil man das Gefühl hat, gemeinsam eine geeignete Lösung zu entwickeln.
Lieber Christian, lieber Markus, vielen Dank für den Erfahrungsbericht und weiterhin viel Erfolg mit lywand!
