Beratung<\/p>\n\n\n\n
Informationssicherheit = IT-Sicherheit? Kurz und knapp, nein<\/strong>! Auch wenn die IT-Sicherheit eine Teilmenge der Informationssicherheit ist, besch\u00e4ftigt sich die Informationssicherheit mit wesentlich mehr Themen als nur die IT-Sicherheit. Neben der IT-bezogenen Ma\u00dfnahmen, geh\u00f6ren Ma\u00dfnahmen der Organisation\/ Dokumentation, physische Sicherheitsma\u00dfnahmen, Gesetze und Rechtsschutz, alle Ma\u00dfnahmen im Zusammenhang mit externen Partnern (wie Kunden und Lieferanten), Organisationsma\u00dfnahmen im Personalwesen und noch so Einiges dazu. <\/p>\n\n\n\n Es gibt f\u00fcr alles eine Formel oder? Ja, auch f\u00fcr das IT-Risikomanagement. Dieser Formel liegen die Annahmen zugrunde, dass das Risiko umso h\u00f6her ist, je gr\u00f6\u00dfer der entstandene Schaden und je gr\u00f6\u00dfer die Eintrittswahrscheinlichkeit ist. Die Unternehmensf\u00fchrung muss die Risiken kennen und managen. Obwohl die IT heute die Grundlage aller vitaler Gesch\u00e4ftsprozesse darstellt, haben einige Entscheider Probleme die IT-Risiken zu managen. Leider wird das IT-Risiko zu oft nicht erkannt oder als zu gering eingestuft. Viele kleinere und einige mittelst\u00e4ndische Unternehmen schrecken ab, das IT-Risikomanagment einzuf\u00fchren. Wir zeigen Ihnen, wie das IT-Risikomanagement kosteng\u00fcnstig und zu Unternehmensgr\u00f6\u00dfe passend bew\u00e4ltigt werden kann. <\/p>\n\n\n\n Die IT-Sicherheitsstrategie muss auf jeden Fall zum Unternehmen passen! Fertige Bauk\u00e4sten oder “erprobte Fremdkonzepte” k\u00f6nnen gef\u00e4hrlich sein, den je nach Unternehmenstyp kommen unterschiedliche Sicherheitsstrategien zum Einsatz. Wir beraten Sie dahin gehend, dass Sie aus der Vielfalt verschiedener Sicherheitsstrategien, die beste f\u00fcr Ihr Unternehmen ausw\u00e4hlen und im Prozess weiter betreiben und entwickeln k\u00f6nnen. <\/p>\n\n\n\n Ein passendes IT-Sicherheitskonzept (nach ISO\/IEC 27001 oder BSI IT-Grundschutz) orientiert sich stark an dem anzustrebenden Sicherheitsgrad und ist eng mit der IT-Risikoanalyse (ISO\/IEC 27005 oder BSI-Standard 100-3) verkn\u00fcpft. Ein IT-Sicherheitskonzept ist erforderlich, damit die IT-Sicherheitsstrategie und die in der IT-Sicherheitsleitlinie (auch -Richtlinien) vorgegebenen IT-Sicherheitsziele ereicht werden k\u00f6nnen. Au\u00dferdem m\u00fcssen passende Ma\u00dfnahmen geplant, umgesetzt und aktualisiert werden k\u00f6nnen. <\/p>\n\n\n\n IT-Sicherheitsma\u00dfnahmen sind Vorgehensweisen, Verfahren, Mechanismen und Prozeduren zum Schutz der Informationen und allgemein der IT-Infrastruktur vor Gefahren und Bedrohungen. Die Festlegung erfolgt auf der Basis der Ergebnisse von Risiko-, Schwachstellen- und Bedrohungsanalysen sowie der Schutzbedarfsermittlung. Bei der Auswahl der verf\u00fcgbaren und geeigneten IT-Sicherheitsma\u00dfnahmen ist eine strukturierte Vorgehensweise notwendig. <\/p>\n\n\n\n Die gr\u00f6\u00dfte Schwachstelle in der Informationssicherheit ist nicht immer die Technik, sondern sehr h\u00e4ufig der Benutzer (Security Awareness). Unwissenheit, mangelndes Verst\u00e4ndnis und ungen\u00fcgendes Verantwortungsbewusstsein k\u00f6nnen einen ungewollten Abfluss kritischer Daten, technische Probleme und Ausf\u00e4lle zur Folge haben. Dadurch k\u00f6nnen erhebliche Sch\u00e4den entstehen. Die sicherste Informationstechnik kann ihren Schutz nur dann entfalten, wenn weder Mitarbeiter noch F\u00fchrungskr\u00e4fte fahrl\u00e4ssig agieren. <\/p>\n\n\n\n Die IT-Compliance umfasst s\u00e4mtliche Ma\u00dfnahmen zur Einhaltung von Gesetzen und Richtlinien im Unternehmen. Sie dient der verantwortungsvollen Unternehmenssteuerung durch die Gesch\u00e4ftsf\u00fchrung. Einen wesentlichen Beitrag zur IT-Compliance kann die IT-Sicherheit leisten. Externe Regelungen wie zum Beispiel das Bundesdatenschutzgesetz, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, Basel II oder das IT-Sicherheitsgesetz fordern von Unternehmen die Ergreifung von geeigneten Ma\u00dfnahmen, damit Daten sicher sind und Risiken, auch im Hinblick auf die IT, rechtzeitig erkannt werden. Neben den externen Regelungen k\u00f6nnen auch interne Regelungen wie zum Beispiel unternehmensinterne Richtlinien und Arbeitsanweisungen f\u00fcr die Einhaltung von IT-Compliance relevant sein. Bei der Einhaltung der Gesetze und Regelungen greifen sowohl technische als auch organisatorische Ma\u00dfnahmen, denn nicht immer ist die Technik die Ursache f\u00fcr Datenverlust oder Datenabfluss, sondern auch der Faktor Mensch spielt eine entscheidende Rolle. <\/p>\n\n\n\n Pr\u00fcfung<\/p>\n\n\n\n Wenn ein Prozess entwickelt oder ver\u00e4ndert wird – zum Beispiel neue Software oder besondere Bestandteile einer Cloud – wird zun\u00e4chst alles theoretisch entworfen. Auf der Grundlage der Ergebnisse der IST-Analyse werden nun die Schwachstellen ermittelt, die Voraussetzungen f\u00fcr das Entstehen von Bedrohungen sind. Nach ISO\/IEC 13335 sind Schwachstellen Sicherheitsl\u00fccken eines Objekts oder Prozesses, durch die es zu Bedrohungen kommen kann. Die Bedrohungen ihrerseits k\u00f6nnen Sch\u00e4den verursachen. Schwachstellen k\u00f6nnen zur Bedrohung werden, wenn andere Faktoren wie Angriffspfade und Ausl\u00f6ser hinzukommen. <\/p>\n\n\n\n Die heutigen Web-Anwendungen sind vielseitig und haben eine enorme Durchdringung und Komplexit\u00e4t. Deshalb sind sie ein konstantes Angriffsziel f\u00fcr Hacker, Bot-Netze und leider auch Skriptkiddie’s. IDS\/IPS, Next Generation Firewalls (auch tausende andere gut klingende “Marketingbezeichnungen”) und andere traditionelle Netzwerksicherheitsl\u00f6sungen k\u00f6nnen diese webbasierten Bedrohungen nicht stoppen! Ganz im Gegenteil – sie wiegen die Verantwortlichen in eine tr\u00fcgerische Sicherheit. Das Risiko und die Anf\u00e4lligkeit eines jedes Unternehmens f\u00fcr kostspielige und destruktive Datenzugriffsverletzungen und Ausfallzeiten muss auf ein vertretbares Minimum reduziert werden. <\/p>\n\n\n\n Vorbei sind die Zeiten, wo die “mobilen Ger\u00e4te und App’s” klar ab- und ausgegerenzt werden konnten. Private und gesch\u00e4ftliche Nutzung ist heute nicht mehr trennbar – fast alle Endger\u00e4te sind “mobil”, WiFi-f\u00e4hig und omnipr\u00e4sent. Sie Steuern Haus- und Industrieanlagen, sind in Fahr- und Flugzeugen als Kommunikationszentren, als Bezahleinheit (und Kreditkarte), Identit\u00e4tstr\u00e4ger (Zugangskarte) und noch mehr. Weitere und weitreichendere Funktionen und Dienste sind im Zuge des IoT bald Realit\u00e4t. Die meisten IT-Sicherheitsprozesse und -strategien ber\u00fccksichtigen fahrl\u00e4ssigerweise die Mobile Sicherheit unzureichend oder arbeiten mit “veralteten Vorstellungen”. Die Folgen k\u00f6nnen fatal sein. Wir entwickeln und st\u00e4rken mit Ihnen ihre Mobile Sicherheit – \u00fcberall. <\/p>\n\n\n\n Wie leistungsf\u00e4hig sind die IT-Sicherheitsprozesse wirklich? Mit der Gestaltung der IT-Sicherheitsprozesse, selbst wenn sie sich aus Standards (wie beispielsweise ISO\/IEC 27001 oder BSI IT-Grundschutz) und Best-Practices ableiten, werden nicht zwangsl\u00e4ufig die Anforderungen und Strategien optimal abgebildet. Erschwerend hinzukommen viele Einfl\u00fcsse von Innen und Au\u00dfen, wie beispielsweise \u00c4nderungen der Anforderungen im Unternehmen selbst oder Gesetzes\u00e4nderungen. Wie l\u00e4sst sich ein \u00dcberblick zur aktuellen Leistungsf\u00e4higkeit der IT-Sicherheitsprozesse schaffen und die Frage kl\u00e4ren, ob die Anforderungen verl\u00e4sslich und nachweisbar erf\u00fcllt werden k\u00f6nnen? Welche Defizite bestehen und wie k\u00f6nnen Verbesserungsaktivit\u00e4ten mit Blick auf den schnellsten und breitesten Nutzen priorisiert werden? Diese Fragen lassen sich nur \u00fcber eine systematische Bewertung der relevanten IT-Sicherheitsprozesse beantworten, wie wir sie mit unserer objektiven Prozessreifegradanalyse bieten. <\/p>\n\n\n\n Die meisten Computersysteme (Server, Clients, Smartphons, Drucker und vieles mehr) werden mehr oder weniger im “Standardmodus” betrieben. Immer mehr Systeme verf\u00fcgen \u00fcber WiFi. Im Unternehmensumfeld finden Ger\u00e4te Anschlu\u00df an das Netzwerk, die bis vor ein paar Jahrern niemand dort vermuten w\u00fcrde. Bei der heutigen Bedrohungslage und dem Netzdurchdringungsgrad ist “Standard” bei Weitem nicht ausreichend. Die H\u00e4rtung der IT-Komponeten beginnt nicht am Ger\u00e4t selbst, sondern mit den IT-Sicherheitsleitlinien und -richtlinien. Unser Ziel ist es, die technische H\u00e4rtung, Best-Practices, standard Methoden und IT-Sicherheitsrichtlinien f\u00fcr die jeweilige Organisation bestm\u00f6glich zu einem funktionierenden Prozess zu verbinden. <\/p>\n\n\n\n Preisgabe von vertraulichen Informationen durch zwischenmenschliche Beeinflussungen. Das ist nicht neu und l\u00e4sst sich auf die gesamte Informationssicherheit (technische, physikalischen, logische und Prozesse) anweden. Allerdings kommen zu den “klassischen” Grundmustern von fingierten Telefonanrufen oder Emails, jetzt noch viele andere Aspekte aus den “sozialen Netzwerken” (die Liste ist lang) hinzu. Die Abwehr von Sozial-Engineering ist nicht einfach und erfordert viel Erfahrung. Bauen Sie auf uns! <\/p>\n\n\n\n Die IT-Forensik als Teilmenge der Forensik besch\u00e4ftigt sich mit der Untersuchung verd\u00e4chtiger Vorf\u00e4lle im Zusammenhang mit der Informations- und Kommunikationstechnologie. Eine der wichtigsten Elemente ist die Gerichtsfestigkeit<\/strong> aller digitalen Beweismittel und festgestellten Aktivit\u00e4ten. Alle Daten und Analyseschritte m\u00fcssen den Anforderungen von Gerichten als Beweismittel gen\u00fcgen. Unsere IT-Forensiker arbeiten interdisziplin\u00e4r, die mit den neuesten technischen Mitteln und mit hohem informationstechnischem Know-how forensische Analysen bei Cybercrime durchf\u00fchren, um Datenspuren nachzugehen und T\u00e4ter und Tatbeteiligte zu ermitteln. <\/p>\n\n\n\n Prozesse<\/p>\n\n\n\n Die ISO\/IEC 27001 als internationale Norm konzentriert sich sehr stark auf den Sicherheitsprozess selbst. Die relevanten Regelungen sind sehr knapp gehalten und geeignete Verfahren und Ma\u00dfnahmen m\u00fcssen selbst erstellt oder gefunden werden. Die Norm stellt relativ wenige Ma\u00dfnahmen zur Verf\u00fcgung, die auch sehr allgemein formuliert sind. Damit bietet die native Umsetzung gr\u00f6\u00dfere Flexibilit\u00e4t und mehr Spielr\u00e4ume, andereseits ist es nicht einfach die abstrakten Vorgaben der Norm detailliert und mit angemessnem Inhalten zu f\u00fcllen, um das angemessene Schutzniveau nach eigenen Bed\u00fcrfnissen zu erreichen. <\/p>\n\n\n\n Auch das BSI ISO 27001 auf Basis des IT-Grundschutzes betrachtet die Sicherheitsprozesse. Die Grundschutzkataloge bewerten jedoch bereits eine Vielzahl an Gef\u00e4rdungen und empfiehlt eine Menge an Ma\u00dfnahmen f\u00fcr den “normalen” Schutzbedarf. Sollte ein h\u00f6herer Schutzbedrf ben\u00f6tigt und festgestellt werden, wird eine separate und eigene Analyse von Gef\u00e4hrdungen erwartet. Hier wird ebenfalls eine separate Risikobewertung vorausgesetzt, die sich mit zus\u00e4tzlichen Schutzma\u00dfnahmen auseinandersetzt. In den bereits vordefinierten Vorgaben und Ma\u00dfnahmen liegt das gr\u00f6\u00dfte Einsparungspotenzial. Viele Eigenetwicklungen, komplexe Gesamtrisikoanalyse und die Entwicklung von eigenen Ma\u00dfnahmen k\u00f6nnen mit viel weniger Aufwand erledigt werden oder man kann komplett auf den Grundschutz bauen. Durch diese Vereinfachung der Vorgehnsweise werden Fehler bei der Umsetzung des Sicherheitsprozesses vermieden. <\/p>\n\n\n\n Es gibt traditionelle Bereiche der Wirtschaft. Diese brauchen keine IT – so lange diese existieren k\u00f6nnen, auch in der Zukunft nicht. Das heutige IoT (Industrie 4.0 u.\u00e4.) braucht neue Gesch\u00e4ftsmodelle – die “alten” zu behalten und die Technik zu modernisieren reicht nicht aus und funktioniert nicht. Wenn jedoch aus dem Kostenfaktor pl\u00f6tzlich Existenztr\u00e4ger wird, gewinnen Begriffe wie Ausfallsicherheit, Datenmissbrauch, Datenspionage, Cyber-Angriffe bis hin zur Insolvenz eines Drittanbieters (nur um ein Paar zu nennen) eine ganz neue Bedeutung. Ohne IT geht nichts mehr! Nicht alle Gefahren lassen sich verhindern – das Ziel muss es sein, das Risiko auf ein “vertretbares” Ma\u00df zu reduzieren. In der Praxis werden Risiken der Informationstechnologie vielfach untersch\u00e4tzt. Wir begleiten Sie bei der kosteng\u00fcnstigen Umsetzung Ihres IT-Risikomanagements! <\/p>\n\n\n\n Die Gefahr Opfer von IT-Sicherheitsvorf\u00e4llen zu werden steigt mit der Durchdringung der IT an. Die immer gr\u00f6\u00dfer werdende IT- Abh\u00e4ngigkeit potenziert die Auswirkungen der IT-Sicherheitsvorf\u00e4lle und macht deutlich, wie IT-Abh\u00e4ngig das Unternehmen ist. Je komplexer die IT-Umgebung oder die IT- Abh\u00e4ngigkeit ist, umso dringender sollte pro-aktiv auf Gef\u00e4hrdungen reagiert werden. Das sogenannte Incident Response Management hilft fr\u00fchzeitig IT-Sicherheitsvorf\u00e4lle zu erkennen und die Auswirkungen zu begrenzen. Mit Schnittstellen zum IT-Risikomanagement, dem IT-Notfallmanagement und Business Continuity Management schaffen wir funktionierende Prozesse. <\/p>\n\n\n\n Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europ\u00e4ischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und \u00f6ffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europ\u00e4ischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europ\u00e4ischen Binnenmarktes gew\u00e4hrleistet werden. Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95\/46\/EG zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie ist am 24. Mai 2016 inkraftgetreten und wird ab dem 25. Mai 2018 angewendet. <\/p>\n\n\n\n Audit<\/p>\n\n\n\n Schon in den ’90ern besch\u00e4ftigten wir uns mit Penetrationstests. Das heutige Vorgehen, um m\u00f6glichst alle Aspekte der der IT-Sicherheit zu ber\u00fccksichtigen, hat sich grundlegend gewandelt und ver\u00e4ndert. Die Social-Engineering-Penetrationstests geh\u00f6ren neben der Zielsetzung der Identifikation von Schwachstellen, das Aufdecken potentieller Fehler und die Erh\u00f6hung der IT-Sicherheit organisatorisch als auch technisch dazu. Standards und Methodik (wie BSI, OSSTMM oder OWASP) spielen eine besondere Rolle. Dadurch gew\u00e4hrleisten wir die Nachvollziehbarkeit und Wiederholbarkeit unserer Penetrationstests. <\/p>\n\n\n\n Die IT-Sicherheitsleit- und -Richtlinien sind sehr wichtige und zentrale Komponenten der IT-Sicherhit. Sie beschreiben Vorgehensweisen zur Realisierung der IT-Sicherheitsstrategie und geben Regeln vor, die zur Aufrechterhaltung der IT-Sicherheit notwendig sind. Sie k\u00f6nnen organisationsweit oder abteilungsbezogen festgelegt werden. Hier werden “Spielregeln” f\u00fcr die gesamte Nutzung der IT unter dem Aspekt der IT-Sicherheit festgelegt und beschreiben, welches Verhalten der IT-Nutzer zul\u00e4ssig und welches nicht zul\u00e4ssig ist. Durch entsprechende Formulierungen, Verabschiedung und in Kraft Setzung durch geeignete Gremien, bergen solche Dokumente enorme “Sprengkraft” f\u00fcr Unternehmen. Wir begleiten Sie dabei, diese Prozesse verantwortungsvoll zu formulieren und zu gestalten. <\/p>\n\n\n\n Bestimmte Vorgehensweisen (beispielsweise nach IT-Grundschutz) erfordern, dass festgestellt wird, welcher Teil der Informationstechnik sicherheitstechnisch untersucht werden soll. Diesen “Teil” bezeichnet man auch als IT-Verbund. Er umfasst (z.B. nach IT-Grundschutz) die Gesamtheit aller infrastrukturellen, organisatorischen, personellen und technischen Komponenten die untersucht werden sollen. Es ist nicht sinnvoll, punktuell (beispielsweise nur den Webserver und dessen Anbindung ans Internet zu betrachten) zu handeln. Grunds\u00e4tzlich ist es empfehlenswert, dass die gesamte eingesetzte IT Gegenstand der Untersuchung und somit Bestandteil des IT-Verbundes ist. In kleineren und mittleren Organisationen wird das auch der Fall sein. In gro\u00dfen Organisationen m\u00fcssen Bereiche festgelegt werden, die als IT-Verbund betrachtet werden. Wir unterst\u00fctzen Sie kompetent bei dieser komplexen Herausforderung. <\/p>\n\n\n\n Die Schutzbedarfsfeststellung und Pr\u00fcfung ist eine wichtige Vorgehensweise f\u00fcr die Erstellung eines IT-Sicherheitskonzepts und das nicht nur nach dem IT-Grundschutz. Ziel dieser Ma\u00dfnahmen ist es, die Auswahl angemessener Sicherheitsma\u00dfnahmen f\u00fcr die verschiedenen Komponenten des IT-Verbunds steuern zu k\u00f6nnen. Mit der Schutzbedarfsfeststellung wird entschieden, welche Abstufung des Schutzes f\u00fcr welche Komponenten notwendig ist. Eine nachvollziehbare Dokumentation ist ein Kriterium. Die Verbindung der Schutzbedarfsfeststellung mit anderen Sicherheitsprozessen ist nicht einfach, obwohl sie die Grundlage f\u00fcr diese Prozesse bildet. Wir begleiten Sie bei diesen wichtigen Schritten.\n\n<\/p>\n","protected":false},"excerpt":{"rendered":" Beratung \u00a0Informations- und IT-Sicherheit Informationssicherheit = IT-Sicherheit? Kurz und knapp, nein! Auch wenn die IT-Sicherheit eine Teilmenge der Informationssicherheit ist, besch\u00e4ftigt sich die Informationssicherheit mit wesentlich mehr Themen als nur die IT-Sicherheit. Neben der IT-bezogenen Ma\u00dfnahmen, geh\u00f6ren Ma\u00dfnahmen der Organisation\/ Dokumentation, physische Sicherheitsma\u00dfnahmen, Gesetze und Rechtsschutz, alle Ma\u00dfnahmen im Zusammenhang mit externen Partnern (wie Kunden und … <\/p>\n\u00a0IT-Risikomanagement<\/strong><\/a><\/h4>\n\n\n\n
\u00a0IT-Sicherheitsstrategien<\/strong><\/a><\/h4>\n\n\n\n
\u00a0IT-Sicherheitskonzepte<\/strong><\/a><\/h4>\n\n\n\n
\u00a0IT-Sicherheitsma\u00dfnahmen<\/strong><\/a><\/h4>\n\n\n\n
\u00a0IT-Sicherheitbewusstsein<\/strong><\/a><\/h4>\n\n\n\n
\u00a0IT-Compliance<\/strong><\/a><\/h4>\n\n\n\n
\u00a0Schwachstellenanalyse<\/strong><\/a><\/h4>\n\n\n\n
\u00a0Web-Applikationspr\u00fcfung<\/strong><\/a><\/h4>\n\n\n\n
\u00a0Mobile-Applikationspr\u00fcfung<\/strong><\/a><\/h4>\n\n\n\n
\u00a0Reifegradanalyse<\/strong><\/a><\/h4>\n\n\n\n
\u00a0Server\/Client-Pr\u00fcfung<\/strong><\/a><\/h4>\n\n\n\n
\u00a0Social-Engineering<\/strong><\/a><\/h4>\n\n\n\n
\u00a0IT-Forensik<\/strong><\/a><\/h4>\n\n\n\n
\u00a0nach ISO\/IEC 27000ff native<\/strong><\/a><\/h4>\n\n\n\n
\u00a0nach BSI IT-Grundschutz<\/strong><\/a><\/h4>\n\n\n\n
\u00a0IT-Risikomanagement<\/strong><\/a><\/h4>\n\n\n\n
Incident Management<\/strong><\/a><\/h4>\n\n\n\n
\u00a0EU-DSGVO<\/strong><\/a><\/h4>\n\n\n\n
Penetrationstest<\/strong><\/a><\/h4>\n\n\n\n
Leit- und Richtlinien<\/strong><\/a><\/h4>\n\n\n\n
\u00a0IT-Strukturanalysen<\/strong><\/a><\/h4>\n\n\n\n
Schutzbedarfspr\u00fcng<\/strong><\/a><\/h4>\n\n\n\n