Informationssicherheit schafft Vertrauen - für Sie und Ihre Kunden

da ist kein Platz für Angst


General News

IT-Sicherheitsexperten, die ihren Kunden Angst machen, handeln unethisch.

Leider geschieht es bis heute viel zu oft. Dabei sind Angriffe auf private Daten oder Unternehmens-IT längst ein großes und alltägliches Problem - man muß es gar nicht aufbauschen. Glücklicherweise wissen auch immer mehr Menschen, wie man ihm begegnet: Mit der richtigen Vorsorge.

Zertifizierte Informationssicherheits-Fachleute wissen, wie das geht - und die erkennt man zum Glück ganz einfach:

Der Anfang der Sicherheit liegt im Bewusstsein für Gefahren.

Der Ansatz liegt also im Erkennen, dann folgt die Betrachtung des Risikos. Darauf aufbauend werden Risiken systematisch behandelt. Die erzielten Effekte kann man messen um so die Maßnahmen immer feiner und genauer justieren. In etwa so funktioniert ein ISMS, ein Informationssicherheits-Managementsystem.

ISMS gibt es für Organisationen aller Arten und Größen - welches 'Ihr' ISMS ist, erfahren Sie hier.

Ihren Kunden und Lieferanten signalisiert ein ISMS, dass Sie Ihr eigenes Geschäft kennen, aktiv steuern und Ihre Geschäftspartner ernst nehmen. Es schafft Vertrauen und hebt Sie aus der Masse Ihrer Wettbewerber heraus.

Governance, Risk, Compliance

Verrückt: Weniger Sicherheit kostet mehr.


General News

Sie denken: "Na, diese Sprüche kennen wir schon" - stimmt; nur warum handelt dann keiner danach?
Sie antworten: "Ganz einfach, weil's so kompliziert und teuer ist." - das wiederum stimmt nicht, man muß es nur richtig anfangen.

In den 2000er Jahren wurde die strategische Bedeutung der IT für viele Unternehmen offensichtlich, und ebenso ihre Verletzlichkeit. Konsequenterweise erlebte die IT Security eine große Aufwertung, allerdings hat sie sich teilweise verselbständigt bis hin zur Behinderung der Unternehmensziele.

Die methodischen Instrumente der IT Governance sollen nun “...den optimalen Betrieb zur Erreichung der Unternehmensziele sicherzustellen und Strategien für die zukünftige Erweiterung des Geschäftsbetriebes zu schaffen.” (wikipedia).

Eng mit diesem Thema verknüpft ist das Feld der IT Compliance, bei der “...die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft” (wikipedia) im Vordergrund steht.

 

Pentesting: die gute Seite des Hackens

Praktischer Schutz für Ihr Unternehmen


General News

Hält Ihre IT-Gefahrenabwehr den Angriffen stand, für die sie konzipiert wurde? Sind Ihre Daten ausreichend gegen Missbrauch geschützt (Adresshandel, Identity Theft, Ransomware)? Und wie steht es um Ihre Steuerungssysteme?

Penetrationstests sind praktische Überprüfungen die feststellen, wie gut eine IT-Umgebung gegen Versuche gewappnet ist, sich unbefugt zu ihr Zugang zu verschaffen.

Somit stellt der Penetrationstest das Pendant dar zu den im Rahmen einer Risikoanalyse festgestellten Schwächen und den dagegen gesetzten Maßnahmen: Er prüft, ob die Analyse vollständig und die Maßnahmen wirksam waren.
Wichtig: Penetrationstests müssen regelmäßig oder anlassbezogen wiederholt werden.

Schnell zum Penetrationstest

Wählen Sie zunächst den Modus des Tests: Er beschreibt den Grad der Kenntnisse über die IT-Umgebung, die der Auftragnehmer erhält (wir nennen einen Test ohne jeglichen Hinweis „Blindtest“). Dies bestimmt in weiten Teilen die Dauer und den Aufwand des Tests. Erst dann sollte der Umfang des Tests festgelegt werden. Es werden verschiedene Leistungspakete angeboten, die individuell ergänzt werden können. Allen gemeinsam sind eine Vor- sowie eine Nachbereitungsphase (siehe unten), für die jeweils ein halber Tag (ggfs. mehr) vor Ort vorgesehen ist.

Die Leistungspakete haben folgende Umfänge:

  • PenCheck

Entspricht in seiner Durchführung weitgehend einem „Vulnerability Scan“.

  • Kompakt-Prüfung

Erweitert den Kurzcheck um einen Test der On-Site Umgebungssicherheit, der den Zugang zu Arbeitsplätzen, Peripheriegeräten und offenen Netzwerkzugängen umfasst. Außerdem erfolgt ein Basis-Test der Cloud-Systeme und von Steuerungssystemen.

  • Voller Penetrationstest

Dieser Test erweitert die vorigen Tests um systematische Angriffe auf Verschlüsselungstechnik von Web-Servern, Cloud-Systemen und Steuerungssystemen.

Auf Wunsch werden auch „brute-force“-Methoden eingesetzt.

Der Testaufwand ist abhängig von Komplexität der Umgebung, Modus, Umfang und Tiefe der Tests. Daher wird grundsätzlich in Personentagen (PT) abgerechnet.

Nachfolgende Erfahrungswerte für Organisationsgrößen dienen als unverbindliche Hinweise. Die Werte in den zwei linken Spalten sind wahlweise zu verstehen.

 

Nutzer

Applikationen

Test-Paket

Geschätzte PT

250

50

Check

Kompakt

Voll

Check, Blindtest

Kompakt, Blindtest

Voll, Blindtest

3

7

9

5

10

12


 

Der Aufwand lässt sich zwar skalieren, allerdings ist auch bei kleineren Organisationen oder geringerer Anzahl Applikationen ein geringerer Aufwand als oben angegeben nicht realistisch.

Der Aufwand fällt nicht linear „in Vollzeit“ an, daher sind für jeden PT Aufwand ca. 3 Arbeitstage Dauer anzusetzen.

 Penetrationstests sind Vertrauenssache.
Lassen Sie sich unverbindlich beraten.

Leistungsübersicht

Niemand kann alles: aber das dürfen Sie erwarten!


General News

Angebotene Leistungen: Cloud Integration

  • IT Infrastructure-und Bottleneck-Analysen
  • Beratung, Konzepterstellung, Projektdurchführung von Server- Client- und Storagevirtualisierung inklusive
  • Begleitung von Ausschreibungen unter Berücksichtigung von Produktstandards wie Common Criteria
  • Vorbereitung und Begleitung von Datacenter Zertifizierungen
  • Erstellung und Einführung von Cloud-Strategien

 

Angebotene Leistungen: Emergency Response

  • Krisenmanagement
    Feststellung von Sachstand und Meßgrößen
    Etablieren geordneter Kommunikationswege auf technischer und dispositiver Ebene
    Sachliche Fokussierung auf erreichbare Lösungsoptionen
    Übergang zu Normalbetrieb
  • Business Continuity Planung
    inklusive
    Impact Analysis und
    Risk Analysis
  • Disaster Recovery Planung

Angebotene Leistungen: GRC / Security

Erstellung, Prüfung und Pflege von

  • IT Leitlinien,
  • IT Security Strategien,
    Sicherheitsleitlinien
  • Business Continuity Planung
    inklusive
    Impact Analysis und
    Risk Analysis
  • Begleitung bei Produktzertifizierungen nach Common Criteria

Methodische Grundlagen:

  • ITIL
  • IT Grunschutz
  • ISO 27001
  • CoBIT
  • Common Criteria

Cloud Integrated Infrastructure

Womit senkt man Kosten und Risiken? Mit geplanter Phantasie!


General News

Glauben Sie nicht? Dabei ist es tatsächlich so: Chancen und Potentiale nutzen, aber Gefahren clever umgehen - das erfordert zunächst eine Vision, im Sinne einer gedanklichen Reise in die Zukunft; im zweiten Schritt entwickelt man daraus einen Plan.

Der Begriff IT Infrastructure beschreibt “...die Gesamtheit aller technischen und logischen Elemente innerhalb einer Organisation, die zur automatisierten Informationsverarbeitung eingesetzt werden.” (wikipedia). Gerade in den letzten Jahren wurden Konzepte, die vom  Hosting abgeleitet und unter dem Oberbegriff Cloud vermarktet wurden, für Firmen jeder Größe interessant. Dabei ist sorgfältige Planung bei der Einbindung dieser Ansätze für die Stabilität und Sicherheit der Umgebungen oberstes Gebot.

 

Krisen- und Notfall-Management: mehr als ein Anruf bei der Polizei

Den Notfall als Chance nutzen


General News

Ein Notfall ist nun wirklich kein Vergnügen - dabei hat die IT selten eine bessere Gelegenheit, sich zu profilieren!

Aber wenn's mal "scheppert" und aller Augen auf die IT gerichtet sind - da kann man mal zeigen, was man wirklich drauf hat!

Die Informationstechnik moderner Unternehmen leistet einen substanziellen Beitrag zur Wertschöpfung; die Gefahr eines Ausfall rückt in zunehmendem Maße in das Blickfeld der Geschäftsleitungen. Sollte der IT-Notfall eintreten, sind die vorhandenen Planungen gerade im Mittelstand oftmals nicht ausreichend, um des Problems Herr zu werden. Hilfe von erfahrenen Fachleuten kann sowohl im Vorfeld als auch in der konkreten Situation helfen, den Schaden zu begrenzen.

 

Was bedeuten Zertifizierungen von ISC² und ISACA?

Expertenwissen 'geprüft und bestätigt'


General News

Das Bundesamt für Sicherheit in der Informationstechnik schrieb 2015 dazu:

Zertifizierung von Personen

Sollen IT-Dienstleistungen oder Sicherheitsdienstleistungen wie beispielsweise Beratungen zur Verbesserung eines Sicherheitsmanagementsystems beauftragt werden, sollte überlegt werden, hierfür auf entsprechend zertifizierte Personen zurückzugreifen.

Es gibt eine Vielzahl von Zertifikaten, mit denen Personen ihre Qualifikation in bestimmten Bereichen nachweisen können. Dabei gibt es diverse Personenzertifizierungen, die sich speziell an den Bereich Informationssicherheit bzw. Datenschutz richten. Hierzu gehören beispielsweise

  • CISSP (Certified Information Systems Security Professional) und weitere Personenzertifikate von (ISC)², einer unabhängigen Vereinigung von Sicherheitsexperten weltweit
  • TISP (TeleTrusT Information Security Professional), ein auf den deutschsprachigen Markt fokussiertes Expertenzertifikat von TeleTrusT, einem deutschen Sicherheitsverband
  • CISA (Certified Information Systems Auditor) und CISM (Certified Information Security Manager) sind Zertifikate von ISACA, eines Berufsverbandes der IT-Revisoren und Sicherheitsmanager
  • IT Security Coordinator nach ISO 17024
  • Für die deutschen Behörden zertifiziert die Bundesakademie für öffentliche Verwaltung (BAköV) in Zusammenarbeit mit dem BSI "IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung".

Diese Zertifikate genießen insgesamt eine relativ hohe Anerkennung, da für deren Erwerb klar definierte, praxisnahe und nachvollziehbare Kompetenzen und Qualifikationen nachzuweisen sind. Im Vorfeld der Zertifizierung muss das hierfür notwendige Wissen durch Ausbildung und Berufserfahrung erworben werden, für die Aufrechterhaltung des Zertifikates muss außerdem nachgewiesen werden, dass sich die Inhaber regelmäßig in ihrem Fachgebiet weiterbilden.

 

Quelle: //www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02066.html

 

 

English Summary

Information Security and IT Infrastructure Expertise that Matters


General News

Come and seek for the support of a certified, experienced IT security and infrastructure expert and auditor, operating locally in Germany, but as well in Europe and abroad. The offered services include, but are not limited to, datacenter infrastructure strategy consulting with respect to contemporary challenges like cloud strategy or Software-Defined Datacenters, IT Security consulting with an ISO27001 background, following CoBIT methodology, IT Security product certification consulting and selection based on Common Criteria and IT Crisis Management for global players.

Why are Penetration Tests Important?


General News

Penetration Tests (or Pentests, to make it short) are mainly performed after a risk analysis has determined that there is a certain level of probability and potential damage connected to the possibility of an attack against the IT resources an organization.


The attacks are targeting one or more of the following:  

  • intentionally visible IT services of the organization (for instance the web site)  
  • normally invisible interfaces to the IT infrastructure (like remote admin access portals)  
  • internal (user) access interfaces and IT resources (e.g. the WLAN)  

So Pentests try to identify all of them either like a normal attacker would (or they start from a certain background information level) and to find out practically what the vulnerabilities and weaknesses or those exposed parts of the IT infrastructure might be. The aim of the Pentest is not to actually bring down IT resources or steal data, usually it is a rather noiseless test that stops as soon as there is a solid proof that a real attack would be possible. Yet a good Pentest does not stop there, in the next steps the issue is analyzed and put in the risk analysis context - finally, suggestions are made for remediations or mitigations.