Assessment Consulting für erfolgreiche Sicherheitsstrategien

Wie kann man einen objektiven Überblick über bestehende Cyberangriffe und Schwachstellen in der IT-Infrastruktur erhalten?

Verschiedene Unternehmen - verschiedene Ausgangsszenarien: Keine Infrastruktur und kein Unternehmensrisiko sind gleich. Die gefährlichsten Cyberbedrohungen sind individuell auf die Schwachstelle des jeweiligen Unternehmens zugeschnitten. Durch unsere Expertise und regelmäßige Security Assessments erhalten Sie einen Überblick über Ihren Sicherheitsstand und die Einhaltung der bestehenden branchenspezifischen Sicherheitsstandards.

Wir unterstützen oder führen für Sie Risk Assessments, Vulnerability Assessments, Penetrations Tests und Audits durch. Hierbei greifen wir auf die neuesten Standards der ISO 3100:2018 oder B3S sowie marktführende Tools zurück.

  • Risk Assessment

    Identify, Assess, Control, Review

  • Vulnerability und Penetration Testing

    Aufdecken von Schwachstellen im Unternehmen

  • Audit

    Pre-Audit, Planning, certification

Risk Assessment

Im Risik Assessment wird der Grundstein für eine erfolgreiche IT-Sicherheitsstrategie gelegt. Nach den gültigen Risikomanagement-Standards ISO 31000:2018 oder ISO 14971:2013 sowie den B3S und weiteren, führen wir ein viergliedriges Risiko Assessment durch:

  • Schwachstellen-Identifikation
  • Risiko-Analyse
  • Risiko-Evaluation
  • Risiko-Kontrolle

Hierbei gehen unsere Experten mit den jeweiligen Beurteilungsmethoden auf die Branche, Firmengliederung und Aufbau ein und tragen somit Rechenschaft dafür, dass es sich um ein genau auf Ihre Anforderungen erstelltes Risk Assessment handelt.

Schwachstellen-Report

Screenshot von Tanium zum Risk Assessment

 

 

 

Vulnerability Management

Ein leistungsfähiges Vulnerability Management sorgt dafür, dass Unternehmen nicht mit den resultierenden Schwachstellenmeldungen überschüttet werden, sondern priorisiert diese nach ihrer Relevanz für die Sicherheit in Computersystemen, Anwendungen und Netzwerkinfrastrukturen. Es ist ein Bestandteil einer nachhaltigen IT-Sicherheitsstrategie. Unsere Verbesserungsempfehlungen formulieren wir einfach, verständlich und unabhängig von bestimmten Produkten.

Im Rahmen der Präsentation der Testergebnisse haben Sie selbstverständlich die Möglichkeit, die Empfehlungen, mögliche Alternativen und eventuelle Fragen mit uns zu diskutieren. Natürlich gestalten wir auch Ihren Abschlussbericht so einfach und verständlich, dass er Ihnen den größtmöglichen Nutzen für Ihr Management bringt. Sie profitieren dabei von den IT-Management- und Kommunikations-Skills unseres Teams. So erhalten Sie eine passende und absolut unabhängige IT-Security-Beratung mit direkt umsetzbaren Verbesserungsansätzen.

Ablauf des Penetration Testing

Prozess Penetrationtest

Mit Durchlaufen des Pen Tests ergeben sich wertvolle strategische Hinweise für Ihre IT und zugleich rechtliche Nachweise für gesetzliche Anforderungen.

Um den Penetrationstest passend zu Ihrem System und Ihren Anforderungen durchführen zu können, stellen wir vorab mit Ihnen gemeinsam den Gesamttest aus einzelnen Test-Szenarien zusammen. Die Test-Szenarien entstammen den folgenden thematisch abgegrenzten Test-Modulen. Hierbei besprechen wir auch, ob wir ein Active Information Gathering oder ein Passive Information Gathering im Penetrationstest durchführen.

  • I.  Social Engineering Angriffe
    • Phishing E-Mails
    • Webauftritt mit und ohne Log-In
    • Telefonanrufe zur Passwortabfrage
    • Gefährdete USB-Sticks
    • Physischer Zutritt (Ausspähen)
  •  II. Interne Sicherheit
    • Internes Netzwerk ohne Benutzer-Account (Blackbox-Ansatz)
    • Wireless LAN
    • Mobile Workstation
    • Client Security (Notebooks und Desktops)
  •  III. Externe Sicherheit
    • Information Gathering
    • Port Scanning

Audit

Standards schaffen Vertrauen.

Seit 2005 gibt es die ISO 27001, ein international anerkannter Standard, mit dem Unternehmen nicht nur hohe Anforderungen an ihre Informationssicherheit nachweisen können, sondern auch die Umsetzung konkreter IT-Grundschutz-Maßnahmen.

Die ISO 27001 ist die international führende Norm für die Bewertung der Sicherheit von Informationen und IT-Umgebungen. Zentrale Forderung der Norm ISO 27001 und Grundvoraussetzung für eine Zertifizierung ist die Einführung eines Informationssicherheits-Management-Systems, kurz ISMS. Anforderungen an Umsetzung und Dokumentation eines ISMS gibt die ISO 27001 vor. Dementsprechend definiert das ISMS Regeln und Methoden, um Informationssicherheit nicht nur gewährleisten, sondern auch optimieren zu können.

 

Consist - Informationssicherheits-Management-System - ISMS

Darstellung-des-Prozesses-des-Informationssicherheits-Management-Systems

Unternehmen profitieren in mehrfacher Hinsicht von einem Informationssicherheits-Management-System:

  • Gesetzliche Anforderungen wie Compliance-Regelungen werden erfüllt
  • Das Vertrauen von Stakeholdern wird gestärkt
  • Wirtschaftsprüfungen werden vereinfacht
  • Höhere Sicherheit und Performance der IT-Systeme werden erreicht

Unsere Consultants werden regelmäßig geschult und besitzen persönliche Zertifizierungen für:

  • ISACA ISMS Auditor / Lead Auditor nach ISO/IEC 27001:2013
  • Zusätzliche Prüfverfahrens-Kompetenz für §8a BSIG
  • Datenschutzbeauftragter (TÜV)
  • compTIA Security+
  • IPMA Level D (GPM)

Wir beraten, implementieren und unterstützen Sie bei der Einführung und Zertifizierung des ISMS.

KRITIS-Unternehmen

Mit Blick auf die Betreiber kritischer Infrastrukturen (KRITIS) gibt es zwar noch keine ausdrückliche Vorgabe für die Einführung eines ISMS, allerdings müssen KRITIS-Unternehmen alle zwei Jahre Nachweise zur Informationssicherheit erbringen in Form von Sicherheitsaudits oder Zertifizierungen. Die Einführung eines ISMS nach ISO 27001 ist derzeit die beste Antwort hierauf, für Strom- und Gasnetzbetreiber ist ein solches inzwischen verpflichtend gemäß IT-Sicherheitsgesetz.



Wir unterstützen oder führen in Ihrem Auftrag durch:

  • Schulung und Sensibilisierung
  • Sicherheitsaudits
  • Erstellung und Pflege des Regelwerks
  • Risikomanagement
  • Begleitung bei externen Audits
  • Unterstützung bei der Einführung eines ISMS
  • Externer ISMS-Beauftragter

Zertifizierte Consist-Experten

Die Absicherung der IT gegen Bedrohungen und reale Angriffe ist unabdingbar. Unsere Security-Berater und -Analysten entwerfen Absicherungsstrategien nach neuestem Stand der Technik sowie "Best Practices", und setzen diese für den konkreten Kundenbedarf um.

Unsere Consultants verfügen über langjährige Projekterfahrung in den Bereichen Finance, Industrie, Retail und Logistik. Kunden von Consist schätzen die Umsetzung der Security-Anforderungen resultierend aus Compliance-Vorgaben, wie z. B. BaFin und den damit verbundenen sehr individuellen Anbindungen von proprietären und bisher kaum zu überwachenden Systemen.

Ansprechpartner

Florian Baitz

Florian Baitz

Sales Manager IT Security

Telefon: 0431 3993-567

Mobil: +49 173 2836768

Mail: baitz@consist.de

Asmus Hammer

Asmus Hammer

Sales Manager Projects

Telefon: 0431 3993-637

Mobil: +49 172 6816706

Mail: hammer@consist.de