Beratung
Informations- und IT-Sicherheit
Informationssicherheit = IT-Sicherheit? Kurz und knapp, nein! Auch wenn die IT-Sicherheit eine Teilmenge der Informationssicherheit ist, beschäftigt sich die Informationssicherheit mit wesentlich mehr Themen als nur die IT-Sicherheit. Neben der IT-bezogenen Maßnahmen, gehören Maßnahmen der Organisation/ Dokumentation, physische Sicherheitsmaßnahmen, Gesetze und Rechtsschutz, alle Maßnahmen im Zusammenhang mit externen Partnern (wie Kunden und Lieferanten), Organisationsmaßnahmen im Personalwesen und noch so Einiges dazu.
IT-Risikomanagement
Es gibt für alles eine Formel oder? Ja, auch für das IT-Risikomanagement. Dieser Formel liegen die Annahmen zugrunde, dass das Risiko umso höher ist, je größer der entstandene Schaden und je größer die Eintrittswahrscheinlichkeit ist. Die Unternehmensführung muss die Risiken kennen und managen. Obwohl die IT heute die Grundlage aller vitaler Geschäftsprozesse darstellt, haben einige Entscheider Probleme die IT-Risiken zu managen. Leider wird das IT-Risiko zu oft nicht erkannt oder als zu gering eingestuft. Viele kleinere und einige mittelständische Unternehmen schrecken ab, das IT-Risikomanagment einzuführen. Wir zeigen Ihnen, wie das IT-Risikomanagement kostengünstig und zu Unternehmensgröße passend bewältigt werden kann.
IT-Sicherheitsstrategien
Die IT-Sicherheitsstrategie muss auf jeden Fall zum Unternehmen passen! Fertige Baukästen oder “erprobte Fremdkonzepte” können gefährlich sein, den je nach Unternehmenstyp kommen unterschiedliche Sicherheitsstrategien zum Einsatz. Wir beraten Sie dahin gehend, dass Sie aus der Vielfalt verschiedener Sicherheitsstrategien, die beste für Ihr Unternehmen auswählen und im Prozess weiter betreiben und entwickeln können.
IT-Sicherheitskonzepte
Ein passendes IT-Sicherheitskonzept (nach ISO/IEC 27001 oder BSI IT-Grundschutz) orientiert sich stark an dem anzustrebenden Sicherheitsgrad und ist eng mit der IT-Risikoanalyse (ISO/IEC 27005 oder BSI-Standard 100-3) verknüpft. Ein IT-Sicherheitskonzept ist erforderlich, damit die IT-Sicherheitsstrategie und die in der IT-Sicherheitsleitlinie (auch -Richtlinien) vorgegebenen IT-Sicherheitsziele ereicht werden können. Außerdem müssen passende Maßnahmen geplant, umgesetzt und aktualisiert werden können.
IT-Sicherheitsmaßnahmen
IT-Sicherheitsmaßnahmen sind Vorgehensweisen, Verfahren, Mechanismen und Prozeduren zum Schutz der Informationen und allgemein der IT-Infrastruktur vor Gefahren und Bedrohungen. Die Festlegung erfolgt auf der Basis der Ergebnisse von Risiko-, Schwachstellen- und Bedrohungsanalysen sowie der Schutzbedarfsermittlung. Bei der Auswahl der verfügbaren und geeigneten IT-Sicherheitsmaßnahmen ist eine strukturierte Vorgehensweise notwendig.
IT-Sicherheitbewusstsein
Die größte Schwachstelle in der Informationssicherheit ist nicht immer die Technik, sondern sehr häufig der Benutzer (Security Awareness). Unwissenheit, mangelndes Verständnis und ungenügendes Verantwortungsbewusstsein können einen ungewollten Abfluss kritischer Daten, technische Probleme und Ausfälle zur Folge haben. Dadurch können erhebliche Schäden entstehen. Die sicherste Informationstechnik kann ihren Schutz nur dann entfalten, wenn weder Mitarbeiter noch Führungskräfte fahrlässig agieren.
IT-Compliance
Die IT-Compliance umfasst sämtliche Maßnahmen zur Einhaltung von Gesetzen und Richtlinien im Unternehmen. Sie dient der verantwortungsvollen Unternehmenssteuerung durch die Geschäftsführung. Einen wesentlichen Beitrag zur IT-Compliance kann die IT-Sicherheit leisten. Externe Regelungen wie zum Beispiel das Bundesdatenschutzgesetz, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, Basel II oder das IT-Sicherheitsgesetz fordern von Unternehmen die Ergreifung von geeigneten Maßnahmen, damit Daten sicher sind und Risiken, auch im Hinblick auf die IT, rechtzeitig erkannt werden. Neben den externen Regelungen können auch interne Regelungen wie zum Beispiel unternehmensinterne Richtlinien und Arbeitsanweisungen für die Einhaltung von IT-Compliance relevant sein. Bei der Einhaltung der Gesetze und Regelungen greifen sowohl technische als auch organisatorische Maßnahmen, denn nicht immer ist die Technik die Ursache für Datenverlust oder Datenabfluss, sondern auch der Faktor Mensch spielt eine entscheidende Rolle.
Prüfung
Schwachstellenanalyse
Wenn ein Prozess entwickelt oder verändert wird – zum Beispiel neue Software oder besondere Bestandteile einer Cloud – wird zunächst alles theoretisch entworfen. Auf der Grundlage der Ergebnisse der IST-Analyse werden nun die Schwachstellen ermittelt, die Voraussetzungen für das Entstehen von Bedrohungen sind. Nach ISO/IEC 13335 sind Schwachstellen Sicherheitslücken eines Objekts oder Prozesses, durch die es zu Bedrohungen kommen kann. Die Bedrohungen ihrerseits können Schäden verursachen. Schwachstellen können zur Bedrohung werden, wenn andere Faktoren wie Angriffspfade und Auslöser hinzukommen.
Web-Applikationsprüfung
Die heutigen Web-Anwendungen sind vielseitig und haben eine enorme Durchdringung und Komplexität. Deshalb sind sie ein konstantes Angriffsziel für Hacker, Bot-Netze und leider auch Skriptkiddie’s. IDS/IPS, Next Generation Firewalls (auch tausende andere gut klingende “Marketingbezeichnungen”) und andere traditionelle Netzwerksicherheitslösungen können diese webbasierten Bedrohungen nicht stoppen! Ganz im Gegenteil – sie wiegen die Verantwortlichen in eine trügerische Sicherheit. Das Risiko und die Anfälligkeit eines jedes Unternehmens für kostspielige und destruktive Datenzugriffsverletzungen und Ausfallzeiten muss auf ein vertretbares Minimum reduziert werden.
Mobile-Applikationsprüfung
Vorbei sind die Zeiten, wo die “mobilen Geräte und App’s” klar ab- und ausgegerenzt werden konnten. Private und geschäftliche Nutzung ist heute nicht mehr trennbar – fast alle Endgeräte sind “mobil”, WiFi-fähig und omnipräsent. Sie Steuern Haus- und Industrieanlagen, sind in Fahr- und Flugzeugen als Kommunikationszentren, als Bezahleinheit (und Kreditkarte), Identitätsträger (Zugangskarte) und noch mehr. Weitere und weitreichendere Funktionen und Dienste sind im Zuge des IoT bald Realität. Die meisten IT-Sicherheitsprozesse und -strategien berücksichtigen fahrlässigerweise die Mobile Sicherheit unzureichend oder arbeiten mit “veralteten Vorstellungen”. Die Folgen können fatal sein. Wir entwickeln und stärken mit Ihnen ihre Mobile Sicherheit – überall.
Reifegradanalyse
Wie leistungsfähig sind die IT-Sicherheitsprozesse wirklich? Mit der Gestaltung der IT-Sicherheitsprozesse, selbst wenn sie sich aus Standards (wie beispielsweise ISO/IEC 27001 oder BSI IT-Grundschutz) und Best-Practices ableiten, werden nicht zwangsläufig die Anforderungen und Strategien optimal abgebildet. Erschwerend hinzukommen viele Einflüsse von Innen und Außen, wie beispielsweise Änderungen der Anforderungen im Unternehmen selbst oder Gesetzesänderungen. Wie lässt sich ein Überblick zur aktuellen Leistungsfähigkeit der IT-Sicherheitsprozesse schaffen und die Frage klären, ob die Anforderungen verlässlich und nachweisbar erfüllt werden können? Welche Defizite bestehen und wie können Verbesserungsaktivitäten mit Blick auf den schnellsten und breitesten Nutzen priorisiert werden? Diese Fragen lassen sich nur über eine systematische Bewertung der relevanten IT-Sicherheitsprozesse beantworten, wie wir sie mit unserer objektiven Prozessreifegradanalyse bieten.
Server/Client-Prüfung
Die meisten Computersysteme (Server, Clients, Smartphons, Drucker und vieles mehr) werden mehr oder weniger im “Standardmodus” betrieben. Immer mehr Systeme verfügen über WiFi. Im Unternehmensumfeld finden Geräte Anschluß an das Netzwerk, die bis vor ein paar Jahrern niemand dort vermuten würde. Bei der heutigen Bedrohungslage und dem Netzdurchdringungsgrad ist “Standard” bei Weitem nicht ausreichend. Die Härtung der IT-Komponeten beginnt nicht am Gerät selbst, sondern mit den IT-Sicherheitsleitlinien und -richtlinien. Unser Ziel ist es, die technische Härtung, Best-Practices, standard Methoden und IT-Sicherheitsrichtlinien für die jeweilige Organisation bestmöglich zu einem funktionierenden Prozess zu verbinden.
Social-Engineering
Preisgabe von vertraulichen Informationen durch zwischenmenschliche Beeinflussungen. Das ist nicht neu und lässt sich auf die gesamte Informationssicherheit (technische, physikalischen, logische und Prozesse) anweden. Allerdings kommen zu den “klassischen” Grundmustern von fingierten Telefonanrufen oder Emails, jetzt noch viele andere Aspekte aus den “sozialen Netzwerken” (die Liste ist lang) hinzu. Die Abwehr von Sozial-Engineering ist nicht einfach und erfordert viel Erfahrung. Bauen Sie auf uns!
IT-Forensik
Die IT-Forensik als Teilmenge der Forensik beschäftigt sich mit der Untersuchung verdächtiger Vorfälle im Zusammenhang mit der Informations- und Kommunikationstechnologie. Eine der wichtigsten Elemente ist die Gerichtsfestigkeit aller digitalen Beweismittel und festgestellten Aktivitäten. Alle Daten und Analyseschritte müssen den Anforderungen von Gerichten als Beweismittel genügen. Unsere IT-Forensiker arbeiten interdisziplinär, die mit den neuesten technischen Mitteln und mit hohem informationstechnischem Know-how forensische Analysen bei Cybercrime durchführen, um Datenspuren nachzugehen und Täter und Tatbeteiligte zu ermitteln.
Prozesse
nach ISO/IEC 27000ff native
Die ISO/IEC 27001 als internationale Norm konzentriert sich sehr stark auf den Sicherheitsprozess selbst. Die relevanten Regelungen sind sehr knapp gehalten und geeignete Verfahren und Maßnahmen müssen selbst erstellt oder gefunden werden. Die Norm stellt relativ wenige Maßnahmen zur Verfügung, die auch sehr allgemein formuliert sind. Damit bietet die native Umsetzung größere Flexibilität und mehr Spielräume, andereseits ist es nicht einfach die abstrakten Vorgaben der Norm detailliert und mit angemessnem Inhalten zu füllen, um das angemessene Schutzniveau nach eigenen Bedürfnissen zu erreichen.
nach BSI IT-Grundschutz
Auch das BSI ISO 27001 auf Basis des IT-Grundschutzes betrachtet die Sicherheitsprozesse. Die Grundschutzkataloge bewerten jedoch bereits eine Vielzahl an Gefärdungen und empfiehlt eine Menge an Maßnahmen für den “normalen” Schutzbedarf. Sollte ein höherer Schutzbedrf benötigt und festgestellt werden, wird eine separate und eigene Analyse von Gefährdungen erwartet. Hier wird ebenfalls eine separate Risikobewertung vorausgesetzt, die sich mit zusätzlichen Schutzmaßnahmen auseinandersetzt. In den bereits vordefinierten Vorgaben und Maßnahmen liegt das größte Einsparungspotenzial. Viele Eigenetwicklungen, komplexe Gesamtrisikoanalyse und die Entwicklung von eigenen Maßnahmen können mit viel weniger Aufwand erledigt werden oder man kann komplett auf den Grundschutz bauen. Durch diese Vereinfachung der Vorgehnsweise werden Fehler bei der Umsetzung des Sicherheitsprozesses vermieden.
IT-Risikomanagement
Es gibt traditionelle Bereiche der Wirtschaft. Diese brauchen keine IT – so lange diese existieren können, auch in der Zukunft nicht. Das heutige IoT (Industrie 4.0 u.ä.) braucht neue Geschäftsmodelle – die “alten” zu behalten und die Technik zu modernisieren reicht nicht aus und funktioniert nicht. Wenn jedoch aus dem Kostenfaktor plötzlich Existenzträger wird, gewinnen Begriffe wie Ausfallsicherheit, Datenmissbrauch, Datenspionage, Cyber-Angriffe bis hin zur Insolvenz eines Drittanbieters (nur um ein Paar zu nennen) eine ganz neue Bedeutung. Ohne IT geht nichts mehr! Nicht alle Gefahren lassen sich verhindern – das Ziel muss es sein, das Risiko auf ein “vertretbares” Maß zu reduzieren. In der Praxis werden Risiken der Informationstechnologie vielfach unterschätzt. Wir begleiten Sie bei der kostengünstigen Umsetzung Ihres IT-Risikomanagements!
Incident Management
Die Gefahr Opfer von IT-Sicherheitsvorfällen zu werden steigt mit der Durchdringung der IT an. Die immer größer werdende IT- Abhängigkeit potenziert die Auswirkungen der IT-Sicherheitsvorfälle und macht deutlich, wie IT-Abhängig das Unternehmen ist. Je komplexer die IT-Umgebung oder die IT- Abhängigkeit ist, umso dringender sollte pro-aktiv auf Gefährdungen reagiert werden. Das sogenannte Incident Response Management hilft frühzeitig IT-Sicherheitsvorfälle zu erkennen und die Auswirkungen zu begrenzen. Mit Schnittstellen zum IT-Risikomanagement, dem IT-Notfallmanagement und Business Continuity Management schaffen wir funktionierende Prozesse.
EU-DSGVO
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie ist am 24. Mai 2016 inkraftgetreten und wird ab dem 25. Mai 2018 angewendet.
Audit
Penetrationstest
Schon in den ’90ern beschäftigten wir uns mit Penetrationstests. Das heutige Vorgehen, um möglichst alle Aspekte der der IT-Sicherheit zu berücksichtigen, hat sich grundlegend gewandelt und verändert. Die Social-Engineering-Penetrationstests gehören neben der Zielsetzung der Identifikation von Schwachstellen, das Aufdecken potentieller Fehler und die Erhöhung der IT-Sicherheit organisatorisch als auch technisch dazu. Standards und Methodik (wie BSI, OSSTMM oder OWASP) spielen eine besondere Rolle. Dadurch gewährleisten wir die Nachvollziehbarkeit und Wiederholbarkeit unserer Penetrationstests.
Leit- und Richtlinien
Die IT-Sicherheitsleit- und -Richtlinien sind sehr wichtige und zentrale Komponenten der IT-Sicherhit. Sie beschreiben Vorgehensweisen zur Realisierung der IT-Sicherheitsstrategie und geben Regeln vor, die zur Aufrechterhaltung der IT-Sicherheit notwendig sind. Sie können organisationsweit oder abteilungsbezogen festgelegt werden. Hier werden “Spielregeln” für die gesamte Nutzung der IT unter dem Aspekt der IT-Sicherheit festgelegt und beschreiben, welches Verhalten der IT-Nutzer zulässig und welches nicht zulässig ist. Durch entsprechende Formulierungen, Verabschiedung und in Kraft Setzung durch geeignete Gremien, bergen solche Dokumente enorme “Sprengkraft” für Unternehmen. Wir begleiten Sie dabei, diese Prozesse verantwortungsvoll zu formulieren und zu gestalten.
IT-Strukturanalysen
Bestimmte Vorgehensweisen (beispielsweise nach IT-Grundschutz) erfordern, dass festgestellt wird, welcher Teil der Informationstechnik sicherheitstechnisch untersucht werden soll. Diesen “Teil” bezeichnet man auch als IT-Verbund. Er umfasst (z.B. nach IT-Grundschutz) die Gesamtheit aller infrastrukturellen, organisatorischen, personellen und technischen Komponenten die untersucht werden sollen. Es ist nicht sinnvoll, punktuell (beispielsweise nur den Webserver und dessen Anbindung ans Internet zu betrachten) zu handeln. Grundsätzlich ist es empfehlenswert, dass die gesamte eingesetzte IT Gegenstand der Untersuchung und somit Bestandteil des IT-Verbundes ist. In kleineren und mittleren Organisationen wird das auch der Fall sein. In großen Organisationen müssen Bereiche festgelegt werden, die als IT-Verbund betrachtet werden. Wir unterstützen Sie kompetent bei dieser komplexen Herausforderung.
Schutzbedarfsprüng
Die Schutzbedarfsfeststellung und Prüfung ist eine wichtige Vorgehensweise für die Erstellung eines IT-Sicherheitskonzepts und das nicht nur nach dem IT-Grundschutz. Ziel dieser Maßnahmen ist es, die Auswahl angemessener Sicherheitsmaßnahmen für die verschiedenen Komponenten des IT-Verbunds steuern zu können. Mit der Schutzbedarfsfeststellung wird entschieden, welche Abstufung des Schutzes für welche Komponenten notwendig ist. Eine nachvollziehbare Dokumentation ist ein Kriterium. Die Verbindung der Schutzbedarfsfeststellung mit anderen Sicherheitsprozessen ist nicht einfach, obwohl sie die Grundlage für diese Prozesse bildet. Wir begleiten Sie bei diesen wichtigen Schritten.