Sind Ihre Systeme sicher?
In unserer vernetzten Welt fällt es immer schwerer, den Durchblick zu behalten.
Angriffe von außen oder ungewollter Informationsverlust: die Risiken sind vielfältig.
IT-Notfallmanagement
IT-Notfall- und Krisenmanagement sind heute wesentliche Element zur Absicherung von kritischen Geschäftsprozessen und der langfristigen Erhaltung der IT. Immer mehr Unternehmen müssen sich aufgrund der gewachsenen Abhängigkeit von den eingesetzten IT-Lösungen mit Fragen der Kontinuitätsplanung und dem Ausfallschutz beschäftigen.
Unsere Leistungen:
- Durchführung von Business-Impact-Analysen
- Erstellung und Bewertung von Risikoanalysen (Risk Assessments)
- Identifikation von Gefährdungspotentialen, Einordnung des Schutzbedarfes
- Entwicklung von Lösungs- und Kontinuitätsstrategien
- Notfallvorsorgekonzeption, Erstellung des Notfallhandbuchs
- Begleitung von Notfallübungen, Überprüfung und Verbesserung
Risikoanalysen & Audits
Wie ist es um die Umsetzung von Datenschutz und IT-Sicherheit in Ihrem Unternehmen bestellt? Mithilfe eines externen Reviews können offene Punkte und Lücken in Ihren Systemen und Richtlinien identifiziert werden. Eine Bestandsaufnahme dokumentiert notwendigen Handlungsbedarf.
Bei der Durchführung unserer Risikoanalysen und Audits orientieren wir uns an anerkannten Standards wie ISO 27001 und IT-Grundschutz. Hier gilt es, in Abhängigkeit Ihrer Struktur und Unternehmensgröße die richtigen Rahmenparameter für eine Auditierung zu definieren. So lassen sich unsere Analysen von kurzen Check-UPs bis hin zu umfangreichen Sicherheits-Audits beliebig skalieren.
Unsere Leistungen:
- Auditierung von Risiken und Schwachstellen aus Sicht von Datenschutz und IT-Sicherheit
- Prüfung von Verträgen, internen Richtlinien und Betriebsvereinbarungen
- Verständliche Dokumentation und Diskussion der gewonnenen Erkenntnisse
- Erstellung von Prüfberichten und Maßnahmenplänen
Smartphone-Sicherheit und BYOD
Die Nutzung mobiler Geräte ist aus dem heutigen Alltag nicht mehr wegzudenken. Smartphones, Tablets und Notebooks gehören zum festen Bestandteil des täglichen Lebens. Die Nutzung mobiler Lösungen und „Apps“ spielt für immer mehr Geschäftsprozesse eine wichtige Rolle, zum Beispiel bei ambulanten Pflegediensten.
Ein weiteres Sicherheitsrisiko entsteht, wenn Unternehmen ihren Beschäftigten den Einsatz privater Endgeräte für berufliche Zwecke erlauben („Bring your own Device“ - BYOD). Dabei werden meist sensible Unternehmensinformationen und personenbezogener Daten mit Hilfe von externen Geräten verarbeitet.
Unsere Leistungen:
- Analyse bestehenden Risiken beim Einsatz von Smartphones
- Beratung zu technischen und rechtlichen Möglichkeiten von Mobile Computing
- Auswahl und Einführung von Mobile-Device-Management-Lösungen
- Erstellung von System- und Sicherheitskonzepten
- Beratung zur Gestaltung von BYOD im Unternehmen
- Entwicklung von Sicherheits- und Anwendungsrichtlinien
- Mitwirkung bei der Erstellung von Betriebsvereinbarungen
E-Mail-Verschlüsselung
Eine E-Mail ist so vertraulich wie eine Postkarte – zumindest für denjenigen, der sie auf ihrem Weg durch das Internet abfängt. Häufig werden heute sensible Unternehmensinformationen oder personenbezogene Daten unverschlüsselt per E-Mail verschickt.
Dies kann folgende Konsequenzen bedeuten:
- Personenbezogene oder vertrauliche Daten können Unbefugten in die Hände fallen
- Jede E-Mail mit sensiblen Daten stellt eine potentielle Datenpanne dar
- Vertrauliche Informationen und Geschäftsgeheimnisse verlassen das Unternehmen
- Es können haftungsrechtliche Konsequenzen für die Geschäftsleitung entstehen
Die Absenkung des Schutzniveaus ist datenschutzrechtlich nicht zulässig. Aus Sicht der Aufsichtsbehörden muss jedes Unternehmen beim Versand von „besonderen Arten personenbezogenen Daten“ nach § 3 Abs. 9 BDSG E-Mails verschlüsseln.
Unsere Leistungen:
- Beratung zu Möglichkeiten und Ansätzen der E-Mail-Verschlüsselung
- Auswahl, Implementierung und Begleitung entsprechender Lösungen
- Betrieb von E-Mail-Verschlüsselungsgateways
- Schulung und Sensibilisierung von Mitarbeitern
Firewall & Virenscanner
Für den sicheren Betrieb von IT-Systemen und Netzwerken sind zahlreiche Komponenten erforderlich. Firewalls, Virenscanner und Content-Filter stellen die gängigsten Methoden zum Schutz Ihrer Daten dar. Was ist wirklich erforderlich und wie können die einzelnen Bausteine sinnvoll aufeinander abgestimmt werden?
Wir beraten Hersteller-unabhängig und orientieren uns an Schutzbedarf, Organisationstruktur und Branchenanforderungen. Auf diese Weise finden wir für Sie die optimale Lösung für einen sicheren Betrieb Ihrer Infrastruktur.
Unsere Leistungen:
- Beratung zu strategischen, organisatorischen und technischen Fragen der IT-Sicherheit
- IT-Sicherheitskonzeption und Umsetzung eines Informationssicherheitsmanagements
- Stellung des externen IT-Sicherheitsbeauftragten oder Begleitung interner Stellen
- Sensibilisierung der Mitarbeiter, Durchführung von Schulungen und Workshops
IT-Grundschutz
ISO 27001 und die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) bieten eine wertvolle Orientierungshilfe für das Sicherheitsmanagement. Unsere Arbeit basiert auf diesen Standards und kombiniert je nach Schutzbedarf und Anforderungen die wesentlichen Elemente der Regelwerke.
Unsere Leistungen:
- Beratung zu ISO 27001 auf Basis von IT-Grundschutz
- Erstellung und Prüfung von IT-Sicherheitskonzepten
- Vorbereitung von IT-Grundschutz-Zertifizierungen
- Etablierung und Aufrechterhaltung der Prozesse im Bereich Informationssicherheit
Die Richtlinien VdS 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU) der VdS Schadenverhütung GmbH enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen. Sie sind speziell für KMU sowie für kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein angemessenes Schutzniveau zu gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern. Die Erstellung der VdS 3473 wurde vom Gesamtverband der Deutschen Versicherungswirtschaft initiiert.
Die VdS 10000 sind aufwärtskompatibel zu ISO/IEC 27001 sowie zu dem IT-Grundschutz. Sie sind 38 Seiten lang, 26 Seiten davon beinhalten konkrete Vorgaben. Sie besitzen eine eindeutige Sprachregelung für die Verbindlichkeit von Vorgaben („muss“ / „darf nicht“ / „sollte“ / „sollte nicht“ / „kann“). Um den Analyseaufwand zu minimieren, unterscheiden die VdS 10000 nur zwischen „nicht kritischen“ und „kritischen“ IT-Ressourcen. Darüber hinaus sind die Kriterien, die zur Einstufung einer IT-Ressource als "kritisch" führen sehr hoch. Für die nicht kritischen IT-Ressourcen ist ein einfacher Basisschutz definiert, der – sofern technisch möglich – umgesetzt werden muss. Wenn sich die umsetzende Organisation gegen die Implementierung einzelner Maßnahmen entscheidet, muss sie eine entsprechende Risikoanalyse und -behandlung vornehmen, um die dadurch entstehenden Risiken zu erfassen und zu behandeln. Für kritische IT-Ressourcen fordern die VdS 10000 erweiterte Sicherheitsmaßnahmen sowie eine individuelle Risikoanalyse und -behandlung.
Die VdS 10000 empfiehlt bei verschiedenen Themen (Identifizieren kritischer IT-Ressourcen, Umgebung, Datensicherung und Archivierung, Verfahren und Risikomanagement) die Implementierung etablierter Normen aus den Bereichen Business Continuity Management, physische IT-Sicherheit, Qualitäts- und Risikomanagement. Allerdings können Unternehmen eigene Vorgehensweisen definieren. Diese müssen jedoch einige wenige Kernaspekte der etablierten Normen umsetzen. Bestandteil der VdS 10000 ist die Etablierung einer Sicherheitsleitlinie, entsprechender Richtlinien und Verfahren sowie die Etablierung eines kontinuierlichen Verbesserungsprozesses.
(Quelle: Wikipedia.org)
