Assessment Consulting für erfolgreiche Sicherheitsstrategien

Wie kann man einen objektiven Überblick über bestehende Cyberangriffe und Schwachstellen in der IT-Infrastruktur erhalten?

Verschiedene Unternehmen - verschiedene Ausgangsszenarien: Keine Infrastruktur und kein Unternehmensrisiko sind gleich. Die gefährlichsten Cyberbedrohungen sind individuell auf die Schwachstelle des jeweiligen Unternehmens zugeschnitten. Durch unsere Expertise und regelmäßige Security Assessments erhalten Sie einen Überblick über Ihren Sicherheitsstand und die Einhaltung der bestehenden branchenspezifischen Sicherheitsstandards.

Wir unterstützen oder führen für Sie Risk Assessments, Vulnerability Assessments, Penetrations Tests und Audits durch. Hierbei greifen wir auf die neuesten Standards der ISO 31000:2018 oder B3S sowie marktführende Tools zurück.

  • Risk Assessment

    Identify, Assess, Control, Review

  • Vulnerability und Penetration Testing

    Aufdecken von Schwachstellen im Unternehmen

  • Audit / ISMS

    Pre-Audit, Planning, certification

Risk Assessment

Im Risik Assessment wird der Grundstein für eine erfolgreiche IT-Sicherheitsstrategie gelegt. Nach den gültigen Risikomanagement-Standards ISO 31000:2018 oder ISO 14971:2013 sowie den B3S und weiteren, führen wir ein viergliedriges Risiko Assessment durch:

  • Schwachstellen-Identifikation
  • Risiko-Analyse
  • Risiko-Evaluation
  • Risiko-Kontrolle

Hierbei gehen unsere Experten mit den jeweiligen Beurteilungsmethoden auf die Branche, Firmengliederung und Aufbau ein und tragen somit Rechenschaft dafür, dass es sich um ein genau auf Ihre Anforderungen erstelltes Risk Assessment handelt.

Vulnerability Management

Ein leistungsfähiges Vulnerability Management sorgt dafür, dass Unternehmen nicht mit den resultierenden Schwachstellenmeldungen überschüttet werden, sondern priorisiert diese nach ihrer Relevanz für die Sicherheit in Computersystemen, Anwendungen und Netzwerk-infrastrukturen. Es ist ein Bestandteil einer nachhaltigen IT-Sicherheitsstrategie. Unsere Verbesserungsempfehlungen formulieren wir einfach, verständlich und unabhängig von bestimmten Produkten.

Im Rahmen der Präsentation der Testergebnisse haben Sie selbstverständlich die Möglichkeit, die Empfehlungen, mögliche Alternativen und eventuelle Fragen mit uns zu diskutieren. Natürlich gestalten wir auch Ihren Abschlussbericht so einfach und verständlich, dass er Ihnen den größtmöglichen Nutzen für Ihr Management bringt. Sie profitieren dabei von den IT-Management- und Kommunikations-Skills unseres Teams. So erhalten Sie eine passende und absolut unabhängige IT-Security-Beratung mit direkt umsetzbaren Verbesserungsansätzen.

 

Schwachstellen-Report

Screenshot von Tanium zum Risk Assessment

Ablauf des Penetration Testing

Prozess Penetrationtest

Mit Durchlaufen des Pen Tests ergeben sich wertvolle strategische Hinweise für Ihre IT und zugleich rechtliche Nachweise für gesetzliche Anforderungen.

Um den Penetrationstest passend zu Ihrem System und Ihren Anforderungen durchführen zu können, stellen wir vorab mit Ihnen gemeinsam den Gesamttest aus einzelnen Test-Szenarien zusammen. Die Test-Szenarien entstammen den folgenden thematisch abgegrenzten Test-Modulen. Hierbei besprechen wir auch, ob wir ein Active Information Gathering oder ein Passive Information Gathering im Penetrationstest durchführen.

  • I.  Social Engineering Angriffe
    • Phishing E-Mails
    • Webauftritt mit und ohne Log-In
    • Telefonanrufe zur Passwortabfrage
    • Gefährdete USB-Sticks
    • Physischer Zutritt (Ausspähen)

  •  II. Interne Sicherheit
    • Internes Netzwerk ohne Benutzer-Account (Blackbox-Ansatz)
    • Wireless LAN
    • Mobile Workstation
    • Client Security (Notebooks und Desktops)
  •  III. Externe Sicherheit
    • Information Gathering
    • Port Scanning

Cyber Scoring

Der externe Blick eines Angreifers:

Das Cyber Scoring nutzt Framework und öffentlich zugängliche Daten von intelligenten Open-Source-Werkzeugen und -Techniken (OSINT) zur Erfassung von Informationen, wie sie auch Angreifer einsetzen.

Mit dem Cyber Scoring haben Sie einen Management-Report zur Hand, der Ihnen gleichzeitig als Dokumentation und Wirksamkeitsüberprüfung dient (DSGVO-konform).

Das vollautomatisierte Scoring liefert Erkenntnisse in folgenden Kategorien:

  • Cyber Security Score
  • Konkrete Gefährdungslage
  • Reputation im Cyberspace
  • Mitarbeiterverhalten im Cyberspace
  • Organisations- und Prozessrisiken
  • Länderrisiken
  • Vertrauenswürdige Verschlüsselung
  • Konfiguration der Webserver
  • Angriffsfläche im Internet

Unter dem Punkt "Organisations- und Prozessrisiken" erfahren Sie beispielsweise, wie gut ihre Dienstleister hinsichtlich gesetzlicher Vorschriften aufgestellt sind (ISO 27001, ISO 9001, DSGVO).

Audit

Standards schaffen Vertrauen.

Seit 2005 gibt es die ISO 27001, ein international anerkannter Standard, mit dem Unternehmen nicht nur hohe Anforderungen an ihre Informationssicherheit nachweisen können, sondern auch die Umsetzung konkreter IT-Grundschutz-Maßnahmen.

Die ISO 27001 ist die international führende Norm für die Bewertung der Sicherheit von Informationen und IT-Umgebungen. Zentrale Forderung der Norm ISO 27001 und Grundvoraussetzung für eine Zertifizierung ist die Einführung eines Informationssicherheits-Management-Systems, kurz ISMS. Anforderungen an Umsetzung und Dokumentation eines ISMS gibt die ISO 27001 vor. Dementsprechend definiert das ISMS Regeln und Methoden, um Informationssicherheit nicht nur gewährleisten, sondern auch optimieren zu können.

 

Consist - Informationssicherheits-Management-System - ISMS

Darstellung-des-Prozesses-des-Informationssicherheits-Management-Systems

Unternehmen profitieren in mehrfacher Hinsicht von einem ISMS:

  • Compliance-Anforderungen und gesetzliche Vorgaben werden erfüllt
  • Das Vertrauen von Stakeholdern wird gestärkt
  • Audits und Wirtschaftsprüfungen werden vereinfacht
  • Höhere Sicherheit der IT-Systeme wird systematisch erreicht

Unsere Consultants werden regelmäßig geschult und besitzen Zertifizierungen für:

  • ISACA ISMS Auditor / Lead Auditor nach ISO/IEC 27001:2013
  • Zusätzliche Prüfverfahrens-Kompetenz für §8a BSIG
  • Datenschutzbeauftragter (TÜV)
  • compTIA Security+
  • IPMA Level D (GPM)
  • Uvm.
Branchenspezifische Auditvorbereitung und Auditbegleitung
  • Ma-Risk / BaFin (Finanzen)
  • PCI-DSS /PSD2 (E-Commerce)
  • IMO Resolution MSC.428 (Schifffahrt)
  • Uvm.

Wir beraten, implementieren und unterstützen Sie bei der Einführung und Zertifizierung Ihres ISMS.

KRITIS-Unternehmen

Mit Blick auf die Betreiber kritischer Infrastrukturen (KRITIS) gibt es zwar noch keine ausdrückliche Vorgabe für die Einführung eines ISMS, allerdings müssen KRITIS-Unternehmen alle zwei Jahre Nachweise zur Informationssicherheit erbringen in Form von Sicherheitsaudits oder Zertifizierungen. Die Einführung eines ISMS nach ISO 27001 ist derzeit die beste Antwort hierauf, für Strom- und Gasnetzbetreiber ist ein solches inzwischen verpflichtend gemäß IT-Sicherheitsgesetz.

In seiner Orientierungshilfe (OH) für die Implementierung von Systemen zur Angriffserkennung (SzA) empfiehlt das Bundesamt für Sicherheit in der Informationstechnologie (BSI) aus diesem Grund die Einrichtung eines ISMS.

 

Kritis-Leistungen


Wir unterstützen oder führen in Ihrem Auftrag durch:

  • Schulung und Sensibilisierung
  • Sicherheitsaudits
  • Erstellung und Pflege des Regelwerks
  • Risikomanagement
  • Begleitung bei externen Audits
  • Unterstützung bei der Einführung eines ISMS
  • Externer ISMS-Beauftragter

Zertifizierte Consist-Experten

Die Absicherung der IT gegen Bedrohungen und reale Angriffe ist unabdingbar. Unsere Security-Berater und -Analysten entwerfen Absicherungsstrategien nach neuestem Stand der Technik sowie "Best Practices", und setzen diese für den konkreten Kundenbedarf um.

Unsere Consultants verfügen über langjährige Projekterfahrung in den Bereichen Finance, Industrie, Retail und Logistik. Kunden von Consist schätzen die Umsetzung der Security-Anforderungen resultierend aus Compliance-Vorgaben, wie z. B. BaFin und den damit verbundenen sehr individuellen Anbindungen von proprietären und bisher kaum zu überwachenden Systemen.

Ansprechpartner

Mirko Reich

Mirko Reich

Bereichsleiter Vertrieb & Marketing

Telefon: 0431 3993-614

Mobil: +49 173 4306503

Mail: reich@consist.de

Weitere Informationen