Seiten

Freitag, 24. Oktober 2014

Poodle - Google findet schwere SSL-Sicherheitslücke

Google hat in der Uralt-Verschlüsselung SSL 3.0 eine schwere Sicherheitslücke entdeckt. Entsprechend ist diese Version des Protokolls anfällig für Angriffe, die beispielsweise während des Online-Bankings zum Problem werden könnten. Erschreckend ist zudem, dass SSL 3.0 noch immer in allen aktuellen Browsern verwendet wird. Deshalb sollten Nutzer ihre Browsereinstellungen jetzt ändern. 



Poodle - Google findet schwerwiegende Sicherheitslücke in SSL 3.0

 

Google hat im Verschlüsselungsprotokoll SSL 3.0 eine schwere Sicherheitslücke entdeckt. Bei diesem einst von Netscape entwickelten Standard handelt es sich zwar um ein uraltes Protokoll, welches jedoch noch heute von vielen Browsern zur Netzwerkverschlüsselung genutzt wird. Bekannt gemacht und beschrieben wurde diese Entdeckung bereits am Dienstag durch einen Beitrag im betriebseigenen Sicherheitsblog von Google. Demzufolge wird es Angreifern durch diese Schwachstelle ermöglicht, normalerweise geschützte Kommunikationsinhalte, die über https-Verbindungen übermittelt werden, auf gut Deutsch mitzulesen. Aufgrund der Bezeichnung Padding Oracle On Downgraded Legacy Encryption wird diese Sicherheitslücke von ihren Entdeckern Poodle genannt. Poodle ermöglicht es, die Cookies einer bestehenden https-Verbindung abzugreifen, was beispielsweise beim Einloggen in ein geschütztes Profil - wie etwa beim Online-Banking oder bei E-Mail-Diensten - ausgenutzt werden kann. Dies gelingt den Angreifern in der Regel durch die Störung einer aktuellen Verbindung mit dem Internet. Besteht eine derartige Störung, verwenden fast alle Browser ältere, scheinbar verlässliche Protokolle wie beispielsweise SSL 3.0 und werden damit anfällig für die Attacken von Angreifern.

Poodle-Abwehr: Was sollten Nutzer jetzt tun?

 

Grundsätzlich sollten sich Nutzer darum bemühen, stets eine aktuelle Browserversion zu nutzen. Zwar hat Google bekannt gegeben, dass der Fallback zu SSL 3.0 für den Browser Google Chrome deaktiviert wird, allerdings kann dies auch manuell eingestellt werden.
Wer vorrangig mit dem Microsoft Internet Explorer surft, kann die Nutzung von SSL 3.0 folgendermaßen deaktivieren: Zuerst auf "Einstellungen", dann auf "Internetoptionen" und schließlich im Reiter auf "Erweitert" klicken. Daraufhin wird eine relativ lange Liste angezeigt, in der der Menüpunkt "Sicherheit" aufgerufen werden muss. Dort sollten Nutzer nun einfach das Häkchen, welches sich bei SSL 3.0 befindet, wegklicken und schon ist das Protokoll deaktiviert.
Ebenso wie Google haben auch die Firefox-Browser-Macher schon reagiert. So konstatierten sie im Sicherheitsblog von Mozilla, dass sie SSL 3.0 ebenfalls abschalten werden. Zudem wird dieses Protokoll im Firefox 34, der am 25. November veröffentlicht wird, bereits standardmäßig deaktiviert sein. Sinnvoll ist es für Firefox-Nutzer also, automatische Updates zu erlauben.

Die aktuelle SSL-Sicherheitslücke ist jedoch nicht die erste ihrer Art: Bereits im April wurde die SSL-Sicherheitslücke "Heartbleed" entdeckt, die Millionen Internetnutzer zur Änderung ihrer Passwörter zwang.

Prüfen Sie genau, ob Ihre Hosts diese und weitere Schwachstellen aufweisen oder nicht:


Ob Ihre IT-Systeme und Webapplikationen aktuell von kritischen Schwachstellen wie Poodle oder Heartbleed betroffen sind, können wir erst nach eingehender Untersuchung der bei Ihnen verwendeten Technologien mit Sicherheit sagen.

Um solche Unsicherheit zukünftig zu vermeiden, können wir über einen Servicevertrag mit Technologieüberwachung solche Risiken proaktiv identifizieren und angemessen reagieren - bevor es zu Schäden kommt.

Dadurch bieten wir unseren Kunden ein Stück mehr Sicherheit zum monatlichen Festpreis.

Sprechen Sie uns gerne darauf an.

Gehen Sie diesem Hinweis unbedingt nach. Wenn Sie sich unsicher sind melden Sie sich gerne bei uns: heartbleed@yourIT.de oder Telefon +49 (0) 7471 93010-0.

Erprobte Hilfestellungen von den yourIT-securITy-Experten:


Sie möchten einmal Ihr gesamtes Netzwerk nach Schwachstellen durchscannen lassen?
Sie wollen wissen, wie sicher Ihre Web-Applikationen sind (z.B. Ihr Webshop)?

Jetzt kostenlos Testen!


Übrigens: Für Mittelständler werden diese yourIT-Beratungsleistungen gefördert mit Mitteln aus dem Europäischen Sozialfonds ESF (siehe unter http://www.mitgroup.eu). yourIT - Wir bringen Sicherheit in allen IT-Fragen!

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele
Ralf Ströbele

Dienstag, 7. Oktober 2014

Upload von Dokumenten als PDF zu Buchungen in intercompanyWEB

intercompanyWEB ist die webbasierte Lösung zur Optimierung der Intercompany Abstimmung zwischen SAP- und Non-SAP-Tochtergesellschaften auf Salden- oder Einzelbelegbasis. Hier eine aktuelle Neuerung aus der Entwicklung.


In intercompanyWEB ist es nun möglich zu einzelnen Buchungen ein PDF Dokument zu hinterlegen. Diese Dokumente können dann von der eigenen Gesellschaft, der gegen Gesellschaft sowie der Zentrale angesehen bzw. heruntergeladen werden. In groupreportWEB war das bereits bisher möglich.

Der Upload und das Betrachten der Dokumente erfolgen über den Menüpunkt Buchungen (siehe Bild unten).

Upload von Dokumenten als PDF zu Buchungen in intercompanyWEB

Der Upload und das Löschen (Delete) von Dokumenten sind nur in einer aktiven Periode möglich. Das Betrachten (Read) der Dokumente ist weiterhin auch in inaktiven Perioden möglich.

Wenn Buchungen in eine neue Periode  übernommen werden, können über den Button [Dateien Sync] die Dokumente zu den Buchungen erneut hinzugefügt werden, sodass ein erneuter Upload der Dokumente nicht nötig ist.

Die Buchungen und Dokumente werden beim Synchronisieren über die externe Buchungsnummer abgeglichen. Dazu muss das PDF-Dokument lediglich als Dateiname die externe Buchungsnummer haben.

Ich freue mich auf Ihre Projektanfragen. Dann könnten Sie bereits die Intercompany Abstimmung für den Jahresabschluss 2014 mit intercompanyWEB optimieren.

Ihr Thomas Ströbele

Thomas Ströbele

Mittwoch, 1. Oktober 2014

Konzernweite Management-Kommentierung und IFRS-Anhangsangaben

yourIT-Kunden sind es bereits gewohnt, dass die Kommunikation zwischen den einzelnen Usern der Gesellschaften und der Konzernzentrale nicht unbedingt per E-Mail stattfinden muss. Dafür wurden eigens interne Kommentare in unsere Lösungen intercompanyWEB und groupreportWEB integriert. Nun möchten wir das Thema Kommentare auf eine andere Ebene heben und gemeinsam mit Ihnen eine neue Lösung entwickeln. Einsatzgebiete sind z.B. Management-Kommentare oder die Erfassung und das Reporting der qualitativen IFRS-Anhangsangaben.


Die Verarbeitung qualitativer Angaben in Standardprozessen des Konzernberichtswesens


Bei unseren bisherigen Recherchen zum Thema Management-Kommentare sind wir wieder auf viele Excel-Lösungen gestoßen. Berichte werden also meist in Excel erstellt und dann an die nächst höhere Ebene im Konzern weitergereicht. Dass dies immer nur ein 1st Step sein kann, berichteten wir bereits auf diesem Blog. Als Basis für diese Anforderungen bietet sich eine BPM-Suite geradezu an.

1. Beispiel Verarbeitung Textinformationen im internen Konzernberichtswesen


Management-Kommentare im internen Konzernberichtswesen

Im Rahmen der Erfassung und Konsolidierung des Konzernabschlusses werden für die interne Steuerung zusätzlich aus Einheiten, Regionen und der Holding qualitative Zusatzinformationen (Management-Kommentare, Empfehlungen usw.) z.B. zur Geschäftsentwicklung angeliefert. Diese Textinformationen werden in den Berichten für das Management standardisiert eingezogen und ausgegeben.

2. Beispiel Verarbeitung Textinformationen im legalen Konzernberichtswesen


IFRS-Anhangsangaben im legalen Konzernberichtswesen
 
Im Rahmen der Erfassung und Konsolidierung des legalen Konzernabschluss sollen auch IFRS-Anhangsangaben berichtet werden. Dazu werden die entsprechenden Meldedaten/ Positionen aus dem Konsolidierungssystem in die Erfassung der jeweiligen Einheit eingeblendet (zur Steigerung Qualität & Komfort bei der Eingabe). Die Text-IFRS-Anhangsangaben werden pro Einheit erfasst und über alle Einheiten hinweg zusammen mit dem Konzernabschluss berichtet.


Die beiden Beispiele sind exemplarisch dargestellt. Insbesondere die Management-Kommentierung kann sehr frei ausgestaltet werden, wohingegen die Anforderungen an die IFRS-Anhangsangaben extern vorgegeben sind. Neben der technischen Lösung sollten die Prozesse mit Blick fürs Sinnvolle & Machbare gestaltet werden. Die Einführung eines solchen Lösung in Ihrem Unternehmen sollte mit geeigneten Maßnahmen unterstütz werden (z.B. Kommentierungsrichtlinie, Schulungen zur Kommentierung,…). Dazu arbeiten wir mit geeigneten Partnern zusammen.

Ihre Mithilfe und Unterstützung ist gefragt - bringen Sie sich ein


Unsere Kunden wissen es bereits zu schätzen, dass wir von yourIT unsere Lösungen wie intercompanyWEB und groupreportWEB sowie die Erweiterungsmodule immer mit mehreren Kunden und Partnern gemeinsam entwickelt haben. Schließlich kennen die sich in den Prozessen besser aus und kämpfen täglich mit den Harausforderungen.

Auch diesmal wollen wir das so halten und suchen daher interessierte Kunden, die sich und Ihre Erfahrung mit einbringen möchten. Diese profitieren wie immer in besonderem Maße von der Mitarbeit.

Besuchen Sie unser Webinar am 12.11.2014 um 10:30 Uhr


In nur 45 Minuten wollen wir gemeinsam mit einer partnerschaftlich verbundenen Unternehmensberatung unsere Ideen erklären und Sie motivieren, jetzt bei der Entwicklung mit dabei zu sein.

Hier geht es zur Anmeldung auf XING...

Ich freue mich auf Ihre Mithilfe. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

Mittwoch, 17. September 2014

Jahresabschlüsse schneller vorlegen: Wie Intercompany-Prozesse effektiver werden

Immer mehr Konzern-CFOs erkennen Optimierungsmöglichkeiten bei der Abstimmung der Intercompany-Beziehungen auf Ebene der Einzelgesellschaften (Entities). Sehr oft stellt die IC-Abstimmung einen gravierenden Engpass bei der Erstellung des Konzernabschlusses dar. Das muss so nicht sein. Durch die Optimierung von Abstimmungs-Prozessen und vorgelagerten IC-Prozessen wird der Abschlussprozess schneller. Gleichzeitig steigt die Qualität der Finanzdaten.


Bereits im  September 2008 brachte es die vielbeachtete Studie zur Optimierung von Reportingprozessen "SmartCloseSurvey" von PricewaterhouseCoopers AG (PWC) ans Tageslicht: Das größte Optimierungspotential zur Verkürzung der Abschlusszeiten liegt in der Intercompany-Abstimmung. Davon waren 49% der befragten 170 Unternehmen überzeugt. Wir berichteten.

Fast genau 6 Jahre später zeigt die Praxis, dass die Abstimmung und Konsolidierung der konzerninternen Leistungsbeziehungen in vielen Konzenen immer noch einen Hauptengpass der Abschlusserstellung in Finanzabteilungen darstellt. Häufig ist festzustellen, dass beträchtliche Personalkapazitäten sowohl auf Einzelgesellschafts- (Entity-) als auch auf Konzern-Ebene mit der Abstimmung der IC-Differenzen beschäftigt sind. Dabei ist doch jedem klar, dass diese an anderer Stelle sinnvoller und wertschöpfender eingesetzt werden könnten.

Weshalb steigt aktuell die Beachtung der IC-Abstimmungsprozesse im Rahmen der Abschlusserstellung durch Finanzabteilungen:

  • Immer stärker verzahnte internationale Wertschöpfungsketten führen zu einer steigenden Anzahl an IC-Transaktionen;
  • Unternehmens-Zukäufe führen zu
    • heterogenen Systemlandschaften
    • unterschiedlichen Kontenplänen
    • unterschiedlichen Accounting-Prozessen;
  • Steigende Geschäftsmodellkomplexität;
  • Zunehmender Druck von Seiten der Finanzmärkte in Richtung schnelle Jahresabschlüsse
  • Immer höhere Qualitätsanforderungen an den Konzernabschluss stellen CFOs bei der IC-Abstimmung vor große Herausforderungen.

Die althergebrachten Intercompany-Prozesse, die wir im Rahmen unserer Prozessberatung in Konzernen immer wieder feststellen müssen, können dem Ziel eines schnellen, kostengünstigen und zudem qualitativ hochwertigen Konzernabschlusses häufig nicht gerecht werden.

Folgende Schwachstellen der Intercompany-Prozesse stellen wir leider immer wieder fest:

  • Einsatz von MS Excel oder MS Access;
  • die Konzern-Zentrale übernimmt die Hauptaufgaben im Intercompany-Prozess, statt nur zu beobachten und bei Problemen mitzuhelfen;
  • vergeblicher Versuch, das Dispute Management per Telefon, E-Mail und/oder Fax abzubilden;
  • ineffiziente manuelle Abstimmungsprozesse;
  • mangelnde Transparenz auf Seiten der Konzern-Zentrale sowie der Einzelgesellschaften hinsichtlich
    • bestehender Differenzen und deren Ursachen,
    • des Realtime-Stands der Abstimmung in der aktuellen Periode,
    • der Einhaltung bereits definierter Regeln;
  • fehlende Logik der Anbindung und Integration der heterogenen ERP-Landschaft bzw. der vor- und nachgelagerten Systeme;
  • Vernachlässigung von Mitarbeiterschulungen bzw. keine intuitiv zu bedienenenden Tools

intercompanyWEB löst die Schwachstellen im IC-Prozess schnell und einfach

CFOs müssen jetzt die Abstimmungsprozesse automatisieren


Um diesen und anderen Schwachstellen zu begegnen, sollten verantwortliche CFOs der Entstehung von Intercompany-Differenzen wo möglich bereits durch die Optimierung der dem eigentlichen Abstimmungsprozess vorgelagerten Prozesse entgegenwirken. Die Entstehung von Intercompany-Differenzen lässt sich so aber nur einschränken. Eine komplette Vermeidung ist dadurch nicht möglich.

Für alle verbleibenden Differenzen sollten CFOs jetzt einen automatisierten Intercompany-Abstimmungsprozess einführen. Zur effizienten Gestaltung der IC-Prozesse bietet sich die Einführung einer webbasierten Softwarelösung wie z.B. intercompanyWEB an, die mittels nahezu automatisierter Intercompany-Abstimmung auf Salden- oder Belegebene in Transaktionswährung maßgeblich zur Beschleunigung des Abstimmungsprozesses beiträgt.

Ihr Nutzen des Einsatzes der Software intercompanyWEB?

  • Einbindung der Tochtergesellschaften in den Abstimmungsprozess,
  • automatische Abstimmung in Transaktionswährung,
  • Beibehaltung der individuellen Kontenpläne der Gesellschaften möglich,
  • uneingeschränkte Währungs- und Sprachvarianten möglich,
  • Transparenz sowohl für die Gesellschaften, als auch für den Konzern,
  • einfaches Berechtigungskonzept, intuitive Bedienung, minimaler Schulungsaufwand,
  • rein WEB-basierte Technologie,
  • Einführungszeit von wenigen Tagen, inklusive Installation und Schulung,
  • optimales Preis-Leistungsverhältnis,
  • geeignet für mittelständische bis große Konzerne.

Die intercompanyWEB-Matrix sorgt für Transparenz im Intercompany-Prozess


Unsere Referenzen zeigen: Die genannten Maßnahmen helfen CFOs dabei, Optimierungspotentiale auf dem Weg zum Fast Close oder Quality Close zu heben und somit eine Beschleunigung des Abschlussprozesses zu erreichen. Gleichzeitig verbessern Sie damit die Finanzdatenqualität erheblich.


Ich freue mich auf Ihre Projektanfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele

Thomas Ströbele

Montag, 5. Mai 2014

Neue Webinartermine zu intercompanyWEB und groupreportWEB online

Die IC-Abstimmung läuft in Ihrem Konzern noch nicht so, wie Sie sich das vorstellen? Sie sehen Verbesserungspotential und möchten dieses gerne schnell und unkompliziert umsetzen. Dann nehmen Sie jetzt an einem unserer nächsten Webinartermine teil.

Hier geht'zu unseren Webinarterminen


Wir zeigen Ihnen, wie Sie durch den Einsatz unserer webbasierten Lösungen intercompanyWEB und groupreportWEB gleich mehrere Tage bei der Konsolidierung Ihres Konzerns einsparen.

Die Teilnahme ist kostenlos. Wir freuen uns auf Sie!

Hier geht's zu den Webinarterminen...

Sonnige Grüße aus Hechingen
Thomas Ströbele

Freitag, 25. April 2014

“Heartbleed Bug” - prüfen Sie, ob Ihre Hosts gefährdet sind

Das letzte Woche veröffentlichte Update von OpenSSL hat schlechte Botschaft für alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen: Durch einen Programmierfehler kann jeder böswillige Kommunikationspartner sensible Daten auslesen, wie z. B. den Speicher der Gegenstelle. Angreifer können also Schlüssel, Passwörter und geheime Daten klauen.


Jetzt kostenlos Testen!


Der Fehler wurde in der "Heartbeat-Funktion" gefunden, daher sprechen die Entdecker auch vom Heartbleed Bug.

yourIT hilft Ihnen beim Umgang mit Heartbleed und anderen Schwachstellen


Betroffen sind alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen, wie z.B.:
  • Web-Server
  • E-Mail Server
  • VPN Server
  • Server für andere Dienste.

Diese Sofortmaßnahmen sollten Sie jetzt durchführen:


Fahren Sie jetzt schnellstmöglich Updates auf Ihre Systeme. Allo ordentlichen Hersteller sollten mittlerweile entsprechende Updates bereitgestellt haben.

Spielen Sie das Update ein und erneuern Sie die verwendeten Zertifikate und privaten Schlüssel in diesem Zuge.

Da Sie nicht kontrollieren können, ob bereits ein Zugriff auf Ihre Daten erfolgt ist, ändern Sie bitte alle Passworte ab. Wenn Sie schon dabei sind, erstellen Sie komplexe sichere Passworte und

Prüfen Sie genau, ob Ihre Hosts diese und weitere Schwachstellen aufweisen oder nicht:


Ob Ihre IT-Systeme und Webapplikationen aktuell von kritischen Schwachstellen wie Heartbleed betroffen sind, können wir erst nach eingehender Untersuchung der bei Ihnen verwendeten Technologien mit Sicherheit sagen.

Um solche Unsicherheit zukünftig zu vermeiden, können wir über einen Servicevertrag mit Technologieüberwachung solche Risiken proaktiv identifizieren und angemessen reagieren - bevor es zu Schäden kommt.

Dadurch bieten wir unseren Kunden ein Stück mehr Sicherheit zum monatlichen Festpreis.

Sprechen Sie uns gerne darauf an.

Gehen Sie diesem Hinweis unbedingt nach. Wenn Sie sich unsicher sind melden Sie sich gerne bei uns: heartbleed@yourIT.de oder Telefon +49 (0) 7471 93010-0.

Erprobte Hilfestellungen von den yourIT-securITy-Experten:


Sie möchten einmal Ihr gesamtes Netzwerk nach Schwachstellen durchscannen lassen?
Sie wollen wissen, wie sicher Ihre Web-Applikationen sind (z.B. Ihr Webshop)?

Jetzt kostenlos Testen!


Übrigens: Für Mittelständler werden diese yourIT-Beratungsleistungen gefördert mit Mitteln aus dem Europäischen Sozialfonds ESF. yourIT - Wir bringen Sicherheit in allen IT-Fragen!


Worauf warten Sie noch? Sprechen Sie mich an.

Ihr Thomas Ströbele

Thomas Ströbele