Informationssicherheit

Wir unterstützen Sie bei der Konzeption, Implementierung und dem Betrieb von individuell auf Ihre Anforderungen zugeschnittenen IT-Sicherheitsarchitekturen. Dabei orientieren wir uns an etablierten Standards zum Aufbau eines Information Security Management System (BSI Grundschutz, ISO27k, VdS 10000). Durch die Einführung und Verbesserung geeigneter technischer und organisatorischer Maßnahmen (TOM) können wir in den meisten Projekten schon nach kurzer Analyse die größten Sicherheitsrisiken beseitigen und so schnell für messbar mehr Sicherheit sorgen.

Bei der Planung und Konzeption von sichernden Maßnahmen berücksichtigen wir immer auch die Risikolage Ihres Unternehmens.

Sie profitieren dabei von der langjährigen Erfahrung unserer Mitarbeiter mit RZ-Infrastrukturen verschiedenster Größe und unserer profunden Kenntnis etablierter Best Practices im Bereich IT-Sicherheit. Neben der Beratung und Konzepterstellung übernehmen wir die Beschaffung und Implementierung geeigneter IT-Sicherheits-Produkte (inklusive Lizenzberatung) und bieten bei Bedarf Betriebsunterstützung sowie Support (Remote oder vor Ort) an.

Zur Stärkung der IT-Sicherheit bieten wir Ihnen Dienstleistungen in den folgenden Bereichen:

  • Erstellen und Umsetzen eines individuell zugeschnittenen IT-Sicherheitskonzepts
  • Unterstützung beim Aufbau und Betrieb eines Security Operation Center (SOC) und/oder SIEM

Risikomanagement

Das Risikomanagement stellt die Grundlage aller Sicherheitsmaßnahmen dar. Ein adäquates Risikomanagement ermöglicht:

  • die strukturierte Erfassung operativer Risiken (Gefährdungen, gefährdete Assets des Unternehmens, Auswirkungen und Eintrittswahrscheinlichkeiten) und bewerteter Ausfallszenarien von Businessprozessen
  • die Analyse des Einflusses aller geplanten und durchgeführten Gegenmaßnahmen auf das monetär bewertete Gesamtrisiko

Die Bewertung umfasst dabei nicht nur IT-Risiken, sondern ist auf die Risiken aller Unternehmensbereiche wie zum Beispiel Compliance, HR und Finance anwendbar.

Damit werden unterschiedliche Sichtweisen der Fachabteilungen, der IT und des Managements auf einen Nenner gebracht. Das Ergebnis sind automatisiert erstellte Management-Reports, die Handlungsbedarf verständlich aufzeigen und auch die Bewertung innerhalb des Gesamtkontexts ermöglichen. Maßnahmen und deren Auswirkungen werden damit übersichtlich und vergleichbar.

Zielgruppe der Lösung sind Unternehmen mit mittlerem bis hohem Anforderungsniveau an Compliance und mit Bedarf an strukturiertem Risikomanagement.

Zur Reduzierung der hohen Aufwände durch ein dezentrales oder unstrukturiertes Risikomanagement kann die Software Silver Bullet Risk eingesetzt werden. Gerne richten wir Ihnen den Zugang zu einer kostenlosen Online Demoversion ein. Schicken Sie uns bei Interesse einfach eine kurze Nachricht über unser Kontaktformular. Der zuständige Consultant wird sich zeitnah mit Ihnen in Verbindung setzen um alles Weitere zu besprechen.

Wenn Sie mehr über unsere Leistungen im Bereich Risikomanagement oder das Produkt Silver Bullet Risk erfahren wollen, sprechen sie uns gerne an. Wir freuen uns, Ihnen unsere Lösung vorstellen zu können und Ihnen die Anpassungsmöglichkeiten an Ihre Anforderungen und Prozesse zu demonstrieren.

Initiales Informationssicherheits-Assessment

Informationen sind von hoher Bedeutung für Unternehmen und müssen daher angemessen geschützt werden. Hierbei müssen gesetzliche Anforderungen sowie technische und organisatorische Aspekte berücksichtigt werden.
In einem initialen Assessment ermitteln wir anhand eines Fragenkatalogs den Informationssicherheits-Status Ihres Unternehmens und empfehlen konkrete Maßnahmen zur Verbesserung des Sicherheitsniveaus. Durch diese können insbesondere die im Workshop ermittelten, potenziell geschäftsbedrohenden Risiken minimiert werden. Außerdem erhalten Sie wertvolle Informationen für die Kommunikation mit Ihrer Versicherung. Beim Assessment orientieren wir uns an den Vorgaben der ISO 27001 und der VdS-Richtline 10000.

Ablauf:

  • Halbtägiger Workshop zur Bestandsaufnahme im Bereich IT-Sicherheit mit den verantwortlichen Ansprechpartnern Ihres Unternehmens   
  • Erstellung der Dokumentation, falls erforderlich mit Hinweisen und Empfehlungen weiterführender Maßnahmen zur Verbesserung Ihrer IT Sicherheit  
  • Präsentation der Ergebnisse sowie der empfohlenen technischen und organisatorischen Maßnahmen

Die Informationserhebung im Rahmen des Workshops umfasst organisatorische und technische Anforderungen aus der VdS 10000. Die folgende Liste gibt einen Überblick über enthaltene Themen:

  • Organisation der Informationssicherheit  
  • Leitlinie zur Informationssicherheit  
  • Richtlinien  
  • Identifikation kritischer IT-Ressourcen  
  • IT-Systeme  

    • Inventarisierung  
    • Lebenszyklus  
    • Basisschutz  
    • Zusätzliche Maßnahmen für mobile IT-Systeme  
    • Zusätzliche Maßnahmen für kritische IT-Systeme  

  • Netzwerke und Verbindungen  

    • Netzwerkplan  
    • Basisschutz  
    • Zusätzliche Maßnahmen für kritische Verbindungen  

  • IT Outsourcing und Cloud Computing  
  • Zugänge und Zugriffsrechte  
  • Datensicherung und Archivierung  
  • Behandlung von Störungen und Ausfällen  
  • Umgang mit Sicherheitsvorfällen

Kontaktieren Sie uns für ein Angebot. 

Schulungen und Trainings

Zu den Lösungen der von uns angebotenen Security-Produkte und zu weiteren Themen der IT-Sicherheit bieten wir deutschlandweit Schulungen inhouse oder in unseren Trainingsräumen an. Durch die enge Zusammenarbeit mit unserem verbundenen Unternehmen, der niwis consulting GmbH, hat sich unser Angebot im Bereich Security nochmals erweitert.

Unsere Schulungen und Workshops zeichnen sich durch unsere Trainer mit umfangreichen Praxiserfahrungen aus und werden individuell auf Ihre Umgebung und Anforderungen angepasst.
Zudem bieten wir:

  • regelmäßige Webinare
  • mehrtägige Schulungen
  • offizielle Hersteller-Schulungen

Informationen zu den Terminen der Standardveranstaltungen erhalten Sie im Veranstaltungskalender der niwis consulting oder kontaktieren Sie uns für weitere Informationen.

Patchmanagement

Die meisten Angriffe durch Schadsoftware sind erfolgreich, weil Sicherheitslücken in installierter Software ausgenutzt werden. Dazu kommt es häufig, obwohl Patches zur Behebung der Sicherheitslücken oftmals vor Bekanntwerden der Lücken veröffentlicht werden. Es gibt also immer einen guten Grund, warum Hersteller Patches bereitstellen. Werden diese nicht eingespielt, ergibt sich eine größere Angriffsfläche für Schadsoftware und ein höheres Datenschutzrisiko.
Kann die IT-Abteilung die nötigen Ressourcen nicht zeitnah und regelmäßig bereitstellen, vergrößern sich die Angriffsfläche und das Zeitfenster der Verwundbarkeit.

Die häufigsten Gründe für das vernachlässigen des Patchen:

  • fehlende Informationen über Updates, Patches und Workarounds
  • fehlende Zeit um die Arbeiten auszuführen
  • zu wenige Wartungsfenster (mit genehmigter Nichtverfügbarkeit von Systemen)
  • schlechte Erfahrungen mit eingespielten Updates, die Probleme an Systemen zur Folge hatten, die zuvor störungsfrei liefen

Um der Notlage fehlender Ressourcen zu entkommen bietet anykey ihren Kunden und Partnern das Patchmanagement als Managed Service an. Die Consultants der anykey bringen Erfahrungen aus vielen unterschiedlichen Umgebungen mit und können so schnell und sicher beurteilen, ob ein Patch relevant und stabil ist. Natürlich ist jede Umgebung anders und im Zusammenspiel verschiedener Dienste ergeben sich individuelle Aufgabenstellungen. Daher ist es wichtig, dass der Patchmanagement-Prozess ordentlich ausgearbeitet und dokumentiert wird - was zur besonderen Expertise der anykey zählt.

Gerade für KMUs lohnt sich das Outsourcing des Patchmanagements. Soll der Prozess ganz oder teilweise automatisiert werden, fallen keine hohen Lizenzkosten für eine Management Suit an. In jedem Fall kann das Einstellen von hoch spezialisierten Fachkräften vermieden werden. In großen Umgebungen bietet sich eventuell die Betreuung der eigenen Lizenz durch externe Experten, oder auch die Unterstützung bei der Integration eines eigenen Dienstes an.

Sollte der Vulnerability Report aufzeigen, dass Ihre Umgebung keine oder nur wenige Sicherheitslücken aufweist, haben Sie ein funktionierendes Patchmanagement. In allen anderen Fällen funktioniert der Prozess offensichtlich nicht wie gewünscht und wir sollten gemeinsam über Lösungsmöglichkeiten sprechen.

Vulnerability Scan

Der Vulnerability Scan ist einer der ersten Schritte bei der Absicherung Ihres Unternehmensnetzwerks. Er hilft Schwachstellen (verwundbare Stellen, engl. Vulnerabilities) in Ihrem System zu identifizieren, die ein Angreifer ausnutzen könnte. Im Idealfall erkennen Sie durch den rechtzeitigen Scan die Sicherheitslücken, bevor jemand anderes diese ausnutzt.

Ziel ist es, die Dienste und Geräte zu identifizieren, die Sicherheitslücken aufweisen. Diese werden in einem Report ausführlich dokumentiert. Die anykey-Consultants analysieren den Report und besprechen mit Ihnen die Behebung der bestehenden Schwachstellen. Sofern gewünscht erhalten Sie natürlich auch hierbei fachliche Unterstützung.

Hochwertige und leistungsfähige Scanner kosten mehrere tausend Euro an Lizenzkosten und es braucht eine gewisse Qualifikation und Erfahrung, um diese Tools erfolgreich bedienen zu können. Eine sinnvolle Interpretation des Reports erfordert ebenfalls entsprechendes Know-how. Viele Unternehmer lassen sich durch die anfallenden Kosten abschrecken. anykey bringt das nötige Know-how, die langjährige Erfahrung und die stets aktuelle Zusammenstellung passender Werkzeuge mit.

Sie müssen so Ihr Budget weder mit Lizenzkosten noch mit der Bereitstellung von Ressourcen belasten und bekommen den Scan nach bewährten Methoden sowie eine aussagekräftige Zusammenfassung zu einem verbindlich vereinbarten Preis.

Im gemeinsamen Gespräch definieren wir den gewünschten Umfang (WAN-/LAN-seitig, einmalig/regelmäßig) und dokumentieren die Rahmenparameter. Auch wenn ein solcher Scan grundsätzlich keine besonderen Nebeneffekte hat und in der Regel während des normalen Tagesgeschäftes erfolgen kann, gilt jedoch: Je gründlicher der Scan, umso eher wird ein System darauf reagieren, wodurch es durchaus Performanceauswirkungen geben kann. Sollten Sie um besondere Lastzeiten ihrer Systeme wissen (z.B. ein Shopsystem), müssen Zeit und Umfang des Scans für solche Umgebungen sorgfältig geplant werden. Der Scan erfolgt nach den besprochenen Richtlinien. Der zuständige Consultant wertet die Ergebnisse aus und erstellt einen Bericht. Es ist nun definiert, welche Mängel zu beheben sind. Falls gewünscht, beheben wir gemeinsam alle gefundenen Mängel und dokumentieren mit Ihnen das erreichte Sicherheitsniveau durch einen erneuten Scan mit abschließendem Report.

Um das erreichte Sicherheitsniveau auch zukünftig zu halten, unterstützen wir Sie auf Wunsch bei Ihrem Patchmanagement oder einem regelmäßigen Vulnerability Scan als Managed Service. Empfehlenswert ist der Vulnerability Scan grundsätzlich nach jeder relevanten Veränderung der Systeme und im Idealfall in einem festgelegten Intervall. Wir helfen Ihnen auch dabei einen nachhaltigen Prozess aufzusetzen, zu implementieren und diesen nach gängigen Standards zu dokumentieren. 

Hardening

Das Härten von Systemen ist das Entfernen oder Deaktivieren aller nicht benötigten Softwarebestandteile und Funktionen eines Systems sowie die Prüfung, ob die bereitgestellten Dienste als sicher konfiguriert einzustufen sind. Dabei werden Dienste entfernt, die für die Funktion des Systems nicht notwendig oder nicht ausreichend sicher sind. Dadurch stehen diese potenziellen Angreifern nicht mehr als Angriffspunkte zur Verfügung. Zudem werden die Rechte für Benutzerkonten und Dateisystemzugriffe auf das Nötigste beschränkt.

Da Angriffe oftmals durch eine Kombination verschiedener Methoden erfolgreich sind, lässt sich die Sicherheit der Systeme durch das Hardening in der Regel deutlich steigern. Als positiver Nebeneffekt wird der Umfang des Patch- und Schwachstellenmanagements verringert.

Eine Systemhärtung setzt eine dokumentierte Vorgabe des Soll-Zustands voraus. Diese Vorgabe beschreibt für jedes Betriebssystem die zu deaktivierenden Komponenten sowie die zu implementierenden Abweichungen vom Standard des Betriebssystems (Configuration Baseline). Der Soll-Zustand muss auf jedem System hergestellt und regelmäßig überprüft werden. Im laufenden Betrieb müssen Abweichungen vom vorgegebenen Zustand erkannt, gemeldet und korrigiert werden. Idealerweise wird das Hardening beim Aufsetzen jedes neuen Systems automatisch durchgeführt. Die Baseline ist also Teil der Standardinstallation für das jeweilige Betriebssystem. Für Systeme mit zusätzlichen Anforderungen müssen Ausnahmen beschrieben werden. Bei der Ausgestaltung und Umsetzung der Hardening-Richtlinie orientieren wir uns an den etablierten Vorgaben des CIS und der ISO7002:2013.

Die Vorgaben für die Härtung der eingesetzten Betriebssysteme entwickeln wir gemeinsam mit den EDV-Verantwortlichen Ihres Unternehmens. Hierbei gehen wir von den Benchmarks des Center for Internet Security aus und passen die Vorgaben an die Gegebenheiten Ihrer Umgebung an. Die Richtlinien enthalten konkrete und überprüfbare Vorgaben für jede Betriebssystemvariante. Bestenfalls definieren wir gemeinsam die Schnittstellen des Hardening-Prozesses zum Konfigurationsmanagement und zum Changemanagement.

Wir prüfen den aktuellen Stand der Systeme auf Compliance mit der Hardening-Richtlinie und dokumentieren die Abweichungen. Hierzu entwickeln wir für Sie Skripte, die eine automatische Überprüfung der Systeme ermöglichen. Die eigentliche Prüfung kann dann mittels vorhandener System-Management-Tools erfolgen (z.B. BladeLogic).

Sofern bereits ein Risikomanagement eingeführt ist, kann das geprüfte Hardening dort positiv vermerkt werden.

Weiterführende Links:
CIS CSC 3
ISO 27002:2013

Datenschutz

Datenschutz, Informationssicherheit und IT-Sicherheit, diese Begriffe stehen für leicht unterschiedliche Sichtweisen auf eine zentrale Aufgabe: Das Informationssicherheitsmanagement. Die anykey bietet sowohl Expertise zu den technischen, als auch zu den organisatorischen Aspekten des Datenschutzes. Wir helfen Kunden bei der Vorbereitung auf Audits (ISO 27000'er, BaFin MaRisk und BAIT, BSI Grundschutz sowie anderen Sicherheitsstandards), beim Implementieren von Compliance und Security Controls, von Sicherheitsprozessen sowie bei der Durchführung von technischen Maßnahmen zur Erhöhung des Sicherheitsniveaus.

Hier erhalten Sie weitere Informationen zur Datenschutz Grundverordnung (EU-DSGV).