Nano-Comp GmbH

Die Nano-Comp electronic GmbH mit Sitz in Pulheim-Dansweiler hat ihren Schwerpunkt im Betreuen von Firmen IT Infrastruktur. Wir administrieren sowohl Unix, Linux und Windows Server als auch PC Arbeitsplätze.

Zu unserem Kundenkreis gehören Dienstleistungsunternehmen, Handelsunternehmen,  Medienunternehmen, Radiosender sowie kleine und mittlere Handwerksbetriebe.

Wir beraten, planen, installieren, reparieren und kümmern uns um Ihre IT.

Wir verkaufen und betreuen Audionachrichtensysteme und Ausspielsysteme für Radiosender und Audionachrichtendienste.


 

XRechnung, ZUGFeRD und die E-Mail Archivierung nach GoBD 27. Oktober 2024

Alle diese Begriffe werden Sie als Unternehmer sicherlich in der letzten Zeit sehr oft gehört haben. Das Wachstumschancengesetz vom 27.3.2024 beinhaltet unter anderem die Verpflichtung b2b-Rechnungen auf dem elektronischen Wege zu versenden, gewöhnlicher weise als Email. Das bedeutet aber nicht, dass Sie die Rechnung als Pdf Datei versenden, sondern in einem ganz speziellen Dateiformat, der XML Datei. XML (Extensible Markup Language) ist eine universelle Auszeichnungssprache, die verwendet wird, um strukturierte Daten darzustellen und zu speichern. Die XRechnung ist eine speziell festgelegte XML Datei. Dieses Format der Rechnung ist für Menschen nicht so einfach zu lesen, es ist für den Datenaustausch gedacht. Sie versenden die XRechnung und der Empfänger kann die XRechnung einfach in seiner Buchhaltung importieren.

ZUGFeRD Dateien, sind spezielle Pdf Dateien, die die XRechnung als Anhang haben. Dazu braucht man einen aktuellen PdfReader, der die vorhandene XRechnung abtrennen kann. Es gibt sogar Reader, die die XRechnung auch validieren können, z.B. Quba.

So weit so gut, die meisten Fakturierungs- und Buchhaltungssysteme können mittlerweile mit XRechnungen umgehen. Und ja, es gibt eine Übergangsfrist.

Das ist der leichte Teil der Umstellung. Schwierig wird es bei dem Empfang der XRechnungen. Jedes Unternehmen und jeder Selbstständige ist ab dem 1.1.2025 verpflichtet XRechnungen anzunehmen. Hier gibt es keine Übergangsfrist! Warum ist das nicht so einfach? Sie brauchen doch nur die E-Mail anzunehmen und zu buchen. Hier kommen die GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) ins Spiel, die Unternehmen seit dem 1.1.2017 dazu verpflichtet auch alle geschäftsrelevanten E-Mails im Original zu archivieren. Sie sind also zur revisionssicheren Archivierung Ihrer E-Mails verpflichtet und haben es bis jetzt nicht gemacht. In der Zukunft wird es bei der Steuerprüfung auffallen.

Was bedeutet denn nun die revisionssichere Archivierung? Sie brauchen eine Möglichkeit ihre E-Mails im Original zu archivieren. Diese Archivierung muss manipulationssicher sein und sie müssen immer und zur jeder Zeit wieder schnell an alle Daten kommen. Das ist auch der Grund warum das Archiv in Outlook, MS365 oder Thunderbird nicht ausreichen. Diese E-Mail Clients sind nicht manipulationssicher. Sie können E-Mails verändern und auch aus dem Verzeichnis Archiv wieder löschen. Die Archivierung muss vor dem E-Mail Client ansetzen. Alle E-Mails müssen durch das Archiv geleitet werden. Hierzu gibt es verschiedene Ansätze, die aber nicht unbedingt konform sind.

1. Die E-Mail wird von dem Archiv von ihrem Provider abgeholt und der Client holt es von dem Archiv ab und umgekehrt wird die ausgehende E-Mail wieder an das Archiv geleitet und das Archiv leitet sie an den Provider weiter (Archive in the middle). Bei Unternehmen, die einen eigenen E-Mailserver betreiben, ist es etwas einfacher. Der E-Mailserver leitet alle ein- und ausgehenden E-Mails durch das Archiv.

2. Das E-Mailarchiv synchronisiert sich in gewissen Zeitintervallen mit den E-Mail Clients, zum Beispiel mit Outlook. Diese Methode wird von einigen Archivsystemen so gemacht und sind angeblich revisionskonform. Wir bei NanoComp sind jedoch zu dem Schluss gekommen, dass diese Methode manipulierbar ist, da die Person vor dem Computer natürlich in dem Zeitintervall die Möglichkeit hat, Manipulationen vor zu nehmen.

Bei der 2. Methode gehen die Emails eben nicht zuerst durch das Archiv. Wie hier später Recht gesprochen wird, wird sich zeigen.

Die Firma Nano-Comp bietet eine preiswerte Lösung an, die auf der ersten Methode beruht. Die Archivierung beruht auf der quelloffenen Software Piler. Ein Upgrade auf die lizenzpflichtige Enterprise Lösung ist möglich. Das System benutzt Manticore Search als eingebaute Suchmaschine. Emails werden im Bruchteil einer Sekunde gefunden. Unser Testsystem hat über 250 Tausend E-Mails gespeichert.

Die kleinste Version hat eine Speicherkapazität von 200 GB und kostet 790 Euro zuzüglich Einrichtung und MwSt. Es folgen Ausbaustufen von 400 GB und 900 GB. Für größere Unternehmen gibt es Systeme ab 7 TB aufwärts.

Bei Interesse schreiben Sie und an info@nanocomp.com.


 

IT Sicherungskonzept 3. Juli 2024

Konzept zur Absicherung des Firmennetzwerkes durch Aufsplittung

Ein Mitarbeiter hat nicht aufgepasst, der Router bzw. die Firewall hatte nicht das letzte Update und um die Server hat sich schon lange keiner mehr gekümmert. Das ist heute in vielen Firmen Alltag. Es läuft doch alles!

Südwestfahlen-IT, Ticketmaster, Teamviewer, DZ Bank, CDU – um nur einige zu nennen. All diese Firmen bzw. Gruppen sind in der letzten Zeit Opfer eines schweren Angriffes aus dem Internet geworden mit zum Teil erheblichen wirtschaftlichen Folgen. Täglich werden große und kleine Firmen angegriffen. Alleine auf unseren Servern vermeldet die Firewalls einige hundert Angriffe und Portscans am Tag. Die meisten sind erst einmal harmlos. Es handelt sich meist um Passworterraten. Das sind Programme, die versuchen Ihre Email und sonstige Zugangsdaten zu erraten. Darum sind einfache Passwörter sehr unsicher.

Hat es ein Hacker aber erst einmal geschafft in Ihr Netzwerk einzudringen, dann ist es meist ganz einfach weiteren Schaden im Netz zu verursachen. Und hier greift die Absicherung durch Aufsplittung des Netzwerkes. Meist versucht der Hacker im Netzwerk weitere PCs und natürlich die Server anzugreifen aber desto weniger PCs in dem Netzwerk sind, desto weniger PCs sind angreifbar. Konkret sucht der Hacker oder das entsprechende Script nach PCs innerhalb der Netzwerkmaske. Sind Server und weitere PCs in einem anderen Netz, also in der eigenen Maske nicht erreichbar, so minimiert sich das Problem.

Ein Beispiel:

Ihre Firma benutzt das Netzwerk 192.168.1.0 mit der Maske 24. Sie erreichen in diesem Netzwerk also maximal 254 Computer, die potentiell bedroht sind. Teilt man aber jetzt das Netz in 4 Teile, so ist die Erreichbarkeit anderer Computer im Netzwerk natürlich kleiner. Sagen wir, jede Etage oder jede Abteilung bekommt ein Teilnetzwerk. In diesem Beispiel haben wir drei Büroetagen und einen Serverraum.

Die PCs der ersten Etage bekommen das Netzwerk 192.168.1.0/26, die zweite Etage 192.168.1.64/26 und die dritte Etage 192.168.1.128/26. Der Serverraum bekommt das Netzwerk 192.168.1.192/26. In den meisten Firmenstrukturen müssen die Netze der Büroetagen untereinander nicht agieren aber sie müssen natürlich die Server erreichen. Da die Server auch in einem anderen Netzwerk, sind benötigt man einen Router, der alle 4 Netzwerke und das Gateway ins Internet verbindet. Hier hat man dann auch direkt eine Möglichkeit eine Firewall mit zu installieren. Die Firewall schützt nicht nur vor dem Internet sondern schützt auch die Netzwerke untereinander. Auf dieser Firewall sind nur die genötigten Ports in der entsprechende Richtung offen und der ganze übrige Traffic wird gesperrt. Somit sind zum Beispiel Angriffe auf einen Fileserver erschwert. Es ist auch fast nicht möglich einen Ransomware Angriff auf dem Server zu starten. Es könnten zwar Dateien auf dem Fileserver von einem Arbeitsplatz verschlüsselt werden aber der Server selber ist nicht korrumpiert. Man kann also einfach die Datensicherung zurück spielen.

Das Beispiel zeigt, dass man mit einfachen Mitteln einen großen Beitrag zur Netzwerksicherheit erreichen kann. Als Router / Firewall Lösung bietet sich hier OPNSense an. Wer es jedoch selber machen möchte, kann auch auf SuSELinux, mit Iptables zurückgreifen. Hier muss man jedoch immer auf die Updates achten und entsprechende Änderungen vornehmen. Von einem Windowsrechner als Router wird jedoch dringend abgeraten.


 

Der große Bruder mit 6 Lan Ports 8. Februar 2024

Ab sofort gibt es bei uns den Router auch mit 6 dedizierten Lan Ports. Der FR-006-01 hat die gleichen Daten wie der FR-004-1 nur mit 6 statt 4 Lan Ports. Er ist auch in zwei Versionen verfügbar, einmal Standard und einmal für NetCologne vorbereitet. Das Zubehör, WLAN oder G4 Modem, passt auch in den neuen Router.


 

Asterisk V20.0 an nomadischem SIP Trunk von NetCologne 4. Februar 2024

NetCologne bietet einen nomadischen SIP Trunk an. Wie der Name vermuten lässt handelt es sich um einen Anschluss, der von überall aus dem Internet zur Verfügung steht. Er funktioniert aber anders als sip.netcologne.de, welcher nur über eine physikalische NetCologne Leitung zur Verfügung steht. Die wichtigsten Unterschiede sind:
1. Er nur verschlüsselt erreichbar.
2. Die User Namen bestehen aus Landesvohrwahl und Telefonnummer (+49YYYYXXXXX) und nicht wie sonst bei NetCologne üblich aus der Telefonnummer ohne der führenden 0.
3. Der Anschluss unterscheidet nicht zwischen MSN und einem Telefonanlagenanschluss mit Durchwahlnummern. Bei sip.netcologne.de hat jede einzelne Nummer einen eigenen SIP-Account, hier gibt es nur einen Account.
4. Der NameService muss via SRV Namelookup aufgelöst werde. Da der Asterisk chan-SIP dieses nur sehr rudimentär bedient, muss man PJSIP verwenden. (pbx.sip-trunk.netcologne.de. 3600 IN NAPTR 100 0 „S“ „SIPS+D2T“ „“ _sips._tcp.pbx.sip-trunk.netcologne.de.)

Wenn man eine gewachsene Asterisk Konfiguration mit chan-SIP anpassen möchte, so ist es kein Problem. Man kann chan-SIP und PJSIP gleichzeitig verwenden. Man muss nur die Registrierungsdaten zum Trunk in sip.conf löschen und verwendet für die Registrierung pjsip.conf. Da es zur Zeit von NetCologne noch keine Dokumentation hierzu gibt, gibt es hier ein Template für pjsip.conf.

[global]
type = global
keep_alive_interval = 0 ; seconds, TCP-PSH as keep-alive mechanism

[nc_registration]
type = registration
transport = nc_transport
outbound_auth = nc_auth
client_uri = sip:+49YYYYXXXXX@pbx.sip-trunk.netcologne.de
contact_user = +49YYYYXXXXX
server_uri = sip:pbx.sip-trunk.netcologne.de
line = yes ; required for „endpoint“
expiration = 3600
endpoint = nc_endpoint

[nc_transport]
type = transport
protocol = tls
ca_list_path = /etc/ssl/certs/ ; Pfad zu ISRG_Root_X1.pem
method = tlsv1_2 ; es wird TLS Version 1.2 verwendet
cos = 3
tos = cs5
bind = 0.0.0.0

[nc_auth]
type = auth
auth_type = userpass
password = YXCVB ; (hier SIP-Passwort eintragen)
username = +49YYYYXXXXX ; (hier SIP-Username eintragen)
realm = pbx.sip-trunk.netcologne.de

[nc_endpoint]
type = endpoint
from_domain = pbx.sip-trunk.netcologne.de
from_user = +49YYYYXXXXX
context = nc ; das ist der Einspringpunkt für die extensions.conf
language = de
outbound_auth = nc_auth
media_encryption = sdes
aors = my_aor ; link required for „qualify_frequency“
cos_audio = 5
tos_audio = ef
direct_media_method=invite
dtmf_mode=rfc4733
direct_media=no
disallow=all
allow=alaw
allow=ulaw

[my_aor]
type = aor
contact = sip:+49YYYYXXXXX@pbx.sip-trunk.netcologne.de
qualify_frequency = 0 ; seconds, SIP-OPTION as keep-alive mechanism

In der extensions.conf muss der Dial Befehl angepasst werden. Dial(PJSIP/${EXTEN:1}@nc_endpoint,50,t) oder so in der Art. Mit :1 wird die führende 0 (Amtsholung) entfernt.


 

Der NANOrouter FR-004-1 auch für NetCologne 2. Februar 2023

Unser Router NANOrouter FR-004-1 gibt es auch in einer Version für NetCologne. Er berücksichtigt VLAN 10 für Internet und VLAN 20 für die Telefonie. Das VLAN 20 kann für die Telefonie in das LAN geroutet werden oder auf einem extra LAN laufen. Als Option gibt es ein G.FAST oder VDSL2 Modem. G.FAST benötigt man bei NetCologne für die Produkte NetSpeed 250, NetSpeed 500 und NetSpeed 1000. Hier bietet NetCologne zur Zeit nur die Fritzbox 7583 an, da diese als einzige Fritzbox G.FAST zur Verfügung stellt.


 

Unser erster Telefon SIP / PRI Server 21. November 2022

2005 haben wie unseren ersten SIP / PRI Telefonserver aufgebaut. Er konnte 6000 Telefonnummern verwalten. Dabei war, von heutiger Sicht aus gesehen, der Server gar nicht so leistungsstark. Die CPU hatte 900 MHz und ihr standen 512 MB RAM zur Verfügung. Die Daten wurden auf 2 Stk 80 GB Festplatten gespeichert, die als Raid1 konfiguriert waren. Als Software diente Asterisk 0.99 mit vielen eigenen Patches. 17 Jahre hat die Maschine durchgehalten! Sie würde immer noch arbeiten, wenn wir sie jetzt nicht ersetzt hätten. Das kann man wohl nachhaltige IT nennen. Der neue Server läuft mit Asterisk 20.0 und hat nur noch SIP Trunking.
SIP ist das Telefonprotokoll, welches heute am meisten Verwendung findet. (Wenn man will, ist es der Nachfolger von ISDN.)
PRI (Primary Rate Interface, im deutschen hieß es Primärmultiplexanschluss) ist ein mehr Kanal, in Europa 30 kanaliger, Telefonanschluss.


 

Unser neuer Router NANOrouter FR-004-1 11. Oktober 2022

Wir haben uns umgeschaut und mussten feststellen, dass es für kleine und mittlere Unternehmen keine vernünftigen Internet Router mehr gibt. Der Markt ist mit Fritzboxen und Telekom Digitalisierungsboxen überschwemmt. Das Problem ist, dass beide Routerfamilien für den professionellen Gebrauch völlig unbrauchbar sind. Eine Firewall, die man nicht selber einstellen kann, wird schnell zum Problemfall!
Nun, wir haben den Router nicht neu erfunden, die Firmware ist von OPNsense. Es handelt sich um eine extrem flexible und universell anpassbare Routersoftware.

  • Hauptfunktionen neben dem „Routen“:
  • flexible Firewall
  • 4 frei konfigurierbare Ethernet Ports (man kann LAN, WAN, DMZ beliebig den Ports zuordnen)
  • VPN (Ipsec, OpenVPN und Wireguard)
  • Proxy
  • Spamfilter für Emails
  • Hardware Failover
  • und vieles mehr.

Angetrieben wird der Router von einer N3700 CPU mit 4 Cores, 8 GB RAM und einem 256 GB großen SSD Speicher.
Die Beschreibung und die Dokumentation finden Sie hier.


 

Zone ru und by gesperrt! 25. Februar 2022

In Anbetracht der schlimmen Lage in der Ukraine haben wir heute damit begonnen die Zone ru (Russland) und by (Belarus) in unserem DNS und Emailsystemen zu sperren. Wir sind nur eine kleine Firma und deshalb ist unser Handeln nur von symbolischer Wirkung aber wenn alle großen Provider unserem Beispiel folgen würden und auch die entsprechenden IP Blöcke sperren würden, dann wären die Kommunikationskanäle der 2 Länder zum großen Teil von dem Rest der Welt getrennt.


 

Radio Rhein FM in Rüdesheim am Rhein 25. Mai 2021

Begrüßen dürfen wir unseren neuen Kunden Radio Rhein FM. Der Radiosender ist am 21.Mai 2021 On Air gegangen und sendet auf DAB+ (Digitalradio und Nachfolger von UKW) in der Region Rheingau und dem Mittelrheintal. Radio Rhein FM benutzt unser Audionachrichtensystem und Ausspielsystem. Wir wünschen Radio Rhein FM viel Erfolg.