IT-Strukturanalyse

Kaum einer hält es für möglich wie oft es vor kommt, dass eine Institution bzw. Unternehmen nicht genau weiß, wo welche Hard- und Software genau eingesetzt wird. Wenn Sie sich dies jetzt auch Fragen, kann ich Ihnen versichern, so geht es Ihnen nicht alleine!

Oft wird aus der Not heraus hier noch eine Maschine aufgestellt, eine Software installiert oder schnell ein Benutzer eingerichtet.
Dann fehlt die Zeit es sauber zu dokumentieren und irgendwann ist es einfach Alltag.

Hier räumt die IT-Strukturanalyse wunderbar auf und schafft für Abhilfe.
Mit dem Ziel, genaue Kenntnis über den definierten Informationsverbund einschließlich der technischen Systeme zu erhalten:
- Beschreibung wichtiger Geschäftsprozesse, Anwendungen und Informationen,
- Netzplan inkl. aller eingesetzten IT-Systemen, Kommunikationsverbindungen und externen Schnittstellen,
- Vollständige Liste der vorhandenen IT-Systeme (Server, Clients, Gateway, usw.)
- Beschreibung der räumlichen Gegebenheiten (Liegenschaften, Gebäude, Etagen, Räume)

Penetrationstest

Der bitkom-Verband hat 2018 grob geschätzt, dass über 80% der Unternehmen und Institutionen Opfer von unbemerkten Hacker-Angriffen wurden und oft noch immer unkontrolliert Daten abfließen. Dies trägt entscheidend zu den jährlichen 2stelligen Milliarden Beträge des geschätzten wirtschaftlichen Schaden durch Wirtschaftsspionage bei.

Mit Hilfe eines Penetrationstests werden die Erfolgsaussichten eines potentiellen Angreifers auf Ihre IT-Infrastruktur simuliert.
Es werden hier vorhandene Schwachstellen in Ihrem System aufgedeckt und nach genauer Analyse das Risiko kategorisiert.
Je nach Größe und Komplexität der IT-Struktur wird der Test in definierten Abschnitten unterteilt. Die Priorität der einzelnen Abschnitte wird nach dem Risiko bzw. Dringlichkeit eingestuft und abgearbeitet.
Der Umfang des Penetrationstest ist in div. Module unterteilt, die Sie einzeln oder als Paket abrufen können. Einzelne Module machen z.B. bei Wiederholungsprüfung oder Neuanschaffung von Hard- und Software Sinn. Ein individuelles Leistungs-Paket geht je nach Bedarf von der Standard-Innenprüfung (White-Box-Model) bis zur echten externen Hacker-Simulation (Black-Box-Model). Vor eine Erstprüfung Ihres IT-Systems biete ich Ihnen einen intensiven Beratungs-Workshop an. Im Anschluss erstelle ich Ihnen gerne ein individuelles, auf Ihre Bedürfnisse zugeschnittenes Leistungs-Paket.

Oft fühlt sich die interne IT-Abteilung bzw. der externe IT-Dienstleister durch so einen Test angegriffen und kontrolliert. Aber genau das Gegenteil ist der Fall! Durch einen Penetrationstest soll NICHT die IT-Abteilung bloßgestellt werden, sondern durch konstruktive Zusammenarbeit zur kontinuierlichen Verbesserung der gesamten IT-Sicherheit und -Administration beitragen.

Datenschutz-Folgenabschätzung

Werden in einer Institution Daten verarbeitet oder neue Technologien eingesetzt, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen (Betroffene) zur Folge haben, ist der Verantwortlichen nach Art. 35 DSGVO dazu verpflichtet eine Datenschutz-Folgenabschätzung durchzuführen.

Seien wir mal ehrlich, in der Praxis bewertet ein/e Unternehmer/in (Verantwortlicher) das "voraussichtliche hohe Risiko für die Rechte und Freiheiten natürlicher Personen (Betroffene)" aus einer ganz anderen (der wirtschaftlichen) Sicht. Hier geht es darum, neue Geschäftsfelder zu erobern, neuen Techniken/Verfahren einzusetzen und vieles mehr.

Nicht umsonst wird hier im Art.35 DSGVO explizit auf den Rat des Datenschutzbeauftragten verwiesen!
Durch seine Einschätzung erhält der Verantwortliche eine unabhängige und neutrale Bewertung der zu erwartenden Risiken.
Weiterhin weiß ich als Datenschutzbeauftragter, wie eine Datenschutz-Folgenabschätzung inhaltlich strukturiert sein muss und welche Anforderungen an den Inhalt zu stellen sind. Viele Verantwortliche schätzen hier meinen unabhängigen externen Rat und nehmen es gerne in Anspruch. Ich freue mich auch auf Ihre Anfrage!

ISMS - Informations Sicherheits Management System

Ein ISMS - Informationssicherheits-Managementsystem ist KEIN Produkt, dass sich einfach anschließen und in Betrieb nehmen lässt.
Das ISMS ist stets auf das jeweilige Unternehmen bzw. Institution maßgefertigt. Aus diesem Grund ist ein ISMS auch mehr als ein Tool, wobei mit der richtigen Tool-Unterstützung kann sich der Aufbau und die Pflege eines ISMS vereinfachen.

Wie jedes Management-System benötigt ein ISMS grundlegende Komponenten wie Management-Prinzipien, Ressourcen, Mitarbeiter und eine Strategie. Auch muss Ihnen klar sein, dass die Informationssicherheit ein fortlaufender Prozess ist. Dieser lässt sich später wunderbar über den PDCA-Zyklus steuern und aufrecht erhalten.

Entsprechend besteht ein Informationssicherheits-Managementsystem aus einer Vielzahl von Verfahren und Prozessen, die in verschiedensten Regelungen dokumentiert gehören. Die Mindestanforderung an Dokumentation sollte folgendes aufweisen:
- Sicherheitsrichtlinie (Security Police)
- Geltungsbereich des ISMS (Scope)
- Sicherheitskonzept mit diversen Regelungen, Verfahrensbeschreibungen, Arbeitsanweisungen
- Risikoanalyse
- Erklärung der Anwendbarkeit (Statement of Applicability)
- Dokumentation zur Umsetzung von Maßnahmen
- Protokolle interner Audits
- Protokolle durchgeführter Managementbewertungen
- Protokolle für Verbesserungsmaßnahmen

Sie werden mit strukturierten Prozessen, ein höheres Maß und Qualität an IT-Sicherheit und weniger Sicherheitsvorfällen belohnt!
Auch eine spätere Zertifizierung ist möglich, womit der hohe Stellenwert der IT-Sicherheit in Ihrem Unternehmen nach Außen und den Geschäftspartner gegenüber belegt wird.

Firewall Check

Die Firewall ist die zentrale Sicherheits-Schnittstelle für Ihre Daten AUS und IN Ihr Unternehmen.
Sie hat die Aufgabe durch gezielte Filterung und Kontrolle von Datenpaketen die Weiterleitung von den "guten" Datenpakete zu erlauben und die "Bösen" zu blockieren.

Da jeglicher Datenverkehr von innen nach außen und umgekehrt durch die Firewall geleitet wird, muss die Firewall eines der Kernpunkte Ihres IT-Sicherheitskonzeptes sein!
Nun stellen sich die Fragen:
- Hat schon Jemand überprüft, ob die Firewall auch wirklich das macht was sie soll?
- Was ist wenn die Konfiguration angepasst wurde, arbeitet die Firewall jetzt immer noch richtig?
- Zeitnahe Firmware-Updates sind hier ein muss! Aber beeinflusst das Update meine Filter-Funktion?
- Wurden nach dem Update die alte Konfiguration sauber übernommen?
- Ist meine Firewall nach Jahren überhaupt noch in den Lage meine Daten und IT-Infrastruktur richtig zu schützen?

Sie merken, hier gibt es ganz viel Faktoren der Unsicherheit!
Daher ist ein regelmäßiger Check der Firewall unverzichtbar.
Ich überprüfe Ihre Firewall in ALLE Richtungen, auf Wunsch inkl. DMZ-Check.
Sprechen Sie mich an.

DSGVO-konformes Löschkonzept

Der ordnungsgemäße Umgang mit personenbezogenen Daten und die Wahrung der Sicherheitsziele nach der DSGVO sind nicht nur während der Verarbeitung der Daten wichtig, genauso muss gemäß Art. 17 DSGVO das Recht auf Löschung sichergestellt sein.

In Sachen löschen von Daten ernte ich oft ungläubige Blicke, aber die wenigstens machen sich da intensiv Gedanken.
Die DSGVO besagt ganz klar:
- Werden die Daten nicht mehr für den Zweck benötigt, müssen Sie gelöscht werden!
- Bittet der Betroffene um Löschung, müssen die Daten unverzüglich (zeitnah) gelöscht werden!
- Aber müssen die Daten dann wirklich direkt gelöscht werden?
- Was ist mit gesetzlichen Aufbewahrungsfristen?
- Muss dann wirklich alles gelöscht werden, oder darf ich noch bestimmte Details speichern?!
- Was ist mit den Daten aus den Datensicherungen?
- Wie werden digitale Datenträger DSGVO-konform gelöscht bzw. entsorgt?
- usw. usw.

Nun Fragen Sie sich bestimmt, wie machen wir das eigentlich?
Sie merken schon, hier hilft nur ein ordentliches datenschutzkonformes Löschkonzept.
Gerne erarbeite ich mit Ihnen die passende Lösung für Ihr Unternehmen.
Sprechen Sie mich an.

IT-Sicherheit nach BSI-Grundschutz / ISO 27001

Für den Aufbau einer strukturierten IT-Sicherheit in Ihrem Unternehmen müssen Sie das Rad nicht neu erfinden.
Hierfür existieren zwei hervorragende Standards, der BSI-Grundschutz und die ISO/IEC 27001.

Der ISO/IEC 27001 Standard ist international gültig und wird vorwiegend von global agierenden Unternehmen / Konzernen umgesetzt. Eine Zertifizierung nach ISO/IEC 27001 ist möglich, in manchen Bereichen (z.B. KRITIS) ein muss, womit sich ein objektiver Nachweis einer hohen strukturierten IT-Sicherheit gegenüber Dritter erbringen lässt.
Als nationaler Standard hat sich der BSI-Grundschutz mit seinen wunderbaren Umsetzungshinweisen im BSI-IT-Grundschutz-Kompendium durchgesetzt. Auch hier wird eine Zertifizierung angeboten, welche von nationaler Relevanz ist, und von öffentlichen Stellen und Behörden nachgefragt wird.

Beiden Standards gemein ist, dass Informationssicherheit heutzutage als Prozess aufgefasst wird und Informationssicherheit mehr ist als IT-Sicherheit. Mit Beiden lässt sich wunderbar ein ISMS aufbauen und aufrecht erhalten.
Mit seinen detaillierten Umsetzungshinweisen und 3stufigen Ansatz des Sicherheitsniveaus (Basis, Standard + erhöhtem Schutzbedarf) lässt sich mit dem BSI-Grundschutz in kurzer Zeit eine hohe Grundsicherung erreichen. Zudem gibt es unterschiedliche Lösungsansätze je nach Unternehmensgröße, sodass der BSI-Grundschutz auch für den KMU-Bereich sehr interessant ist.
Wenn Sie wissen wollen ob einer dieser Standards für Ihr Unternehmen in Frage kommt, berate ich Sie gerne.

NSM - Network Security Monitoring

Das NSM-System implementiert IDS-Sensoren an zentralen Punkten Ihrer IT-Infrastruktur, um den aktuellen realen Netzwerkverkehr zu analysieren. Dabei in es der Lage, Datenpakete in Echtzeit auf z.B. Inhalt, Herkunft, uvm. auszuwerten.

Die IDS-Sensoren sind in der Lage:
- Cyberangriffe zu erkennen und melden
- Unterstützen bei der Analyse von Cyberangriffen
- Datenverkehr kann genau überwacht werden
- Datenabflüssen können ermittelt und analysiert werden
- Aktive Backdoors / Trojaner können ermittelt werden

Ein NSM-System ist einer der effizientesten Methoden einen vielleicht schon laufenden Hacker-Angriff zu erkennen und schnellstmöglich Gegenmaßnahmen einzuleiten! Bei über 50% der angegriffenen Unternehmen in unserem Land wird der Datenabfluss / Datenklau NICHT bemerkt. Selbst langfristige Angriffe bleiben oft unbemerkt.
Sind Sie sich 100% sicher, dass in Ihrem Unternehmen keine sensiblen Daten unkontrolliert abfließen?
Wenn NICHT, sprechen Sie mich an, wir gehen dem genau nach.

Krisenmanagement im Datenschutz

Mal ehrlich......haben Sie sich schon überlegt was zu tun ist, wenn es wirklich einen Datenschutzvorfall in Ihrem Unternehmen gibt?
Oder es tauchen plötzlich sensible Kundendaten Ihres Unternehmen im Internet auf!

An dieses Szenario möchte Sie als Verantwortlicher bestimmt nicht denken, aber leider bleibt Ihnen da keine Wahl!
An vielen Stellen der DSGVO wird deutlich, dass der Risikoaspekt eine zentrale Rolle spielt. Daher ist es wichtig die Mitarbeiter zu sensibilisieren, die technischen und organisatorischen Maßnahmen so effektiv wie möglich umzusetzen und einen ständigen Verbesserungsprozess einzuführen, um sich schnell an neue Gegebenheiten anzupassen.

Trotzdem kann es aus unerklärlichen und unglücklichen Zusammenhängen zu einem Datenschutzvorfall kommen. Auf diese Situation müssen Sie als Verantwortlicher und Ihre Mitarbeiter vorbereitet sein.
Gibt es z.B ein Regelwerk zum Thema Datenschutz?
Sind die Mitarbeiter, besonders die Entscheidungsträger für das Thema sensibilisiert?
Wurde der Ernstfall geprobt?
Gibt es Kontaktadressen zu den Spezialisten und/oder Partnern?

Wenn in Ihrem Unternehmen noch nicht über die Krise durch einen Datenschutzvorfall nachgedacht wurde, oder Sie mehr über das Thema erfahren wollen, weil noch kein Datenschutz-Krisenmanagement in Ihrem Haus existiert, sollten Sie sich schnellstmöglich melden!
Sprechen Sie mich an, Sie sind ein Klick von der Lösung entfernt.