IT-Security Consulting
Detection. Solution. Education.

Standards & Zertifizierungen

Wie wir IT-Security Consulting und IT-Sicherheit Beratung definieren?

IT-Security Consulting
Wir stellen mit unserem Beratungsansatz eine Steigerung der technischen IT-Sicherheit als Ergebnis in den Fokus. Das heißt, wir setzten konkret an den technischen Schwachstellen an, um diese mit den passenden Lösungsansätzen zu beheben bzw. zu minimieren. Dabei ist es essenziell, diese Schwachstellen in einer vorgelagerten Maßnahme zur Transparenz der IT-Sicherheit (auf Basis eines Penetrationstest, IT-Audit o.ä.) zu ermitteln.

Kernaufgabe des IT-Security Consulting Team ist es, technische Schwachstellen und Sicherheitslücken durch die Erarbeitung von passenden Lösungswegen gemeinsam mit unserem Kunden abzustellen.
Organisatorische Aspekte wie Richtlinien, Vorgaben und Prozesse sind anschließend als ergänzende Maßnahme zu berücksichtigen.
Unsere Devise lautet, zuerst das Eintrittsrisiko durch konkrete Maßnahmen zu reduzieren, um dadurch proaktiv an weiteren Ideen und Möglichkeiten zum Thema Sicherheit zu arbeiten.

Informationssicherheit vs. IT-Security Consulting

Häufig werden die beiden Begriffe Informationssicherheit und IT-Security Consulting miteinander vertauscht oder gar gleich interpretiert. Was ist aber nun der Unterschied? Informationssicherheit, für die es diverse Standards am Markt gibt, beschränkt sich nicht auf IT-Sicherheit, sondern betrachtet schützenswerte Informationen jeglicher Art (sogenannte Information Assets bzw. Informationswerte).

Informationssicherheit beinhaltet beispielsweise auch Papierdokumente und deren Entsorgung nach speziellen DIN-Normen, bis hin zur personellen Sicherheit, um Vorfälle wie beim Unister TOP Management im Jahr 2018 zu verhindern.

Bei IT-Security Consulting wiederum geht es explizit um die Sicherheit von IT-Systemen und -Komponenten – andere Assets werden prinzipiell nicht betrachtet. Das Ziel hierbei ist es, nur Geschäftsrisiken mit einer hohen Eintrittswahrscheinlichkeit zu betrachten (Hackerangriffe, Brand in Datacenter, Verlust von Smartphones durch z.B. Diebstahl etc.).

ProSec begleitet dich mit unserem Consulting auf beiden Wegen, sei es in der Informationssicherheit auf dem Weg zu einem Informationssicherheitsmanagementsystem (ISO27001 & BSI Grundschutz) oder auf der überwiegend technischeren Ebene mit dem IT-Security-Consulting.

Worin unterscheiden wir uns mit unserer
IT-Sicherheit Beratung?

Der Theorie nach ist der IT-Sicherheit eine Top-Down-Vorgehensweise vorgeschrieben. Aus unseren Praxiserfahrungen halten wir das Vorgehen nach dem Prinzip Bottom-Up für passender. Warum?

Schwachstellen als Sicherheitsrisiko entstehen in der Regel nicht in Konzepten, sondern in der Umsetzung und Aufrechterhaltung der Aktualität der IT-Umgebung.

Mit IT-Security Beratung das Sicherheitsniveau verbessern

Genau da setzen wir an, um im ersten Schritt nachhaltig das Sicherheitsniveau eines Unternehmens mittels Abstellung konkreter Schwachstellen zu verbessern. Das verschafft uns Zeit, die Konzepte, Prozesse und Vorgaben anschließend, nach Erfahrungen aus der Praxis, gemeinsam zu erarbeiten und zielführend zu implementieren.

Somit möchten wir zahnlose Papiertiger vermeiden und sicherstellen, dass Compliances auch so wirken, wie sie es müssen. Pragmatismus statt Bürokratie.

ProSec IT-Security Consultant beim Audit

Ein Cyberangriff kann nicht nur Auswirkungen auf deine IT-Systeme haben,
sondern auch auf deine Finanzen oder dein Unternehmensimage.

IT-Security Consulting

Schutz vor Hackerangriffen im Fokus

Wir identifizieren verdächtige Aktivitäten und kontern mit aufeinander abgestimmten Tools und dem viel wichtigeren Know-how

Bottom Up ohne Theorie

Aktions- und Projektpläne entstehen immer auf Basis von „Vulnerability Detection Assessments“ wie z.B. Penetration Tests oder Schwachstellenanalysen

Aus der Praxis für die Praxis

Wir erreichen durch die Kombination von Bottum-up zu Top Down eine hohe Wirtschaftlichkeit und vermeiden Fehlinvestitionen im Infosec Bereich

Echtes und ehrliches Feedback

Wir sind Transparent und erwarten das auch vom Kunden

Probezeit von 6 Monaten

Häufig kündigen wir Kundenverträge in den ersten 6 Monaten, da Kunden kein ehrliches Interesse an Sicherheit haben, die Kündigungsfrist ist beidseitig, wir nehmen unsere Arbeit ernst!

Workshop zu Priorisierung

Die Priorisierung und das Vorgehen wird zusammen,
mit der Erstellung eines Aktionsplans ausgerichtet

Agile Abarbeitung

Wir nutzen monatlichen Iterationsschleifen (Sprint), um die definierte Menge an Arbeit zu erledigen.

Quartals- oder halbjährlicher Report

Wir erstellen Reports für mittleres- oder Top-Management

Aufbau eines Informationssicherheitsmanagement Systems

Derzeit (Stand Januar 2022) gibt es über 50 Informationssicherheitsmanagement Systeme am Markt. Alle bieten Vor- und Nachteile und versuchen am Ende alle das gleiche – für die jeweilige Zielgruppe des Systems Transparenz in allen Risiken zu schaffen und das Unternehmen in die Lage zu bringen, selbst Informationssicherheitslevel nachhaltig zu steigern und am Leben zu halten.

Wir begleiten grundsätzlich 3 ISMS Systeme:

ISO/IEC 27001 ist eine anerkannte internationale Norm für Informationssicherheits-Managementsysteme. Sie bestimmt die Anforderungen für die Errichtung, Einführung, den Betrieb, die Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems (ISMS).

Das ProSec ISMS grenzt sich sehr einfach von bestehenden Standards ab, wir versuchen das Rad nicht neu zu erfinden, sondern bedienen uns bewusst an all den Controls aus Systemen, die sich bewährt haben und „mischen“ funktionierende Bestandteile aus allen gängigen aber auch kommenden Systemen und das zu 100 % Transparent. Dies hat den Vorteil, dass der Aufwand für Zertifizierung von diversen Systemen geringer ist und das ISMS generisch bleibt und vor allem, dass wesentliche nicht aus den Augen verliert. Technische Risiken minimieren, diese schnell und kurz zyklisch (angelehnt an die MGMT Methode „Lean Start-up“) zu validieren und nachhaltig in unternehmensinterne Prozesse zu überführen.

Häufiger Irrtum in der Praxis

Viele unserer Geschäftspartner, sei es die Bundesregierung oder der Mittelstand, begehen immer wieder den Fehler TOP Down in Form eines Management Systems (ISO/BSI, etc.) sich dem Thema Informationssicherheit anzunähern. Dies resultiert immer darin, dass bei unserem Quality Assurance Prozess herauskommt, dass die theoretisch aufgebauten Systeme am Ende leider zertifizierbar, aber nie wirklich einen Schutz vor beispielsweise Hackerangriffen (von uns geprüft mittels Penetration Tests) haben oder gar in der Lage sind diese Angriffe wirklich qualifiziert zu erkennen und dann entsprechend zu reagieren (vgl. Incident Response).

Nach einem Penetration Test sind viele unserer Geschäftspartner sensibilisiert und verfallen in Aktionismus und einen emotionalen Handlungszwang. Dieser resultiert leider immer mit erheblichen Misserfolgen und Problemen in der IT. Dazu kommt, dass der Gedanke entsteht, dass bei einem Penetration Test, der i.d.R. bei ProSec binnen 8 Prüftagen zu einer Gesamtübernahme der IT führt, der Eindruck entsteht, dass die Lösungen der Probleme genauso schnell und einfach gehen wie unsere „Hacks“. Dies ist ein Trugschluss, denn häufig ist es genau gespiegelt. Desto mehr Hacks zum Erfolg führen, desto fundamentaler sind die Probleme in der IT und desto länger und komplexer ist deren Lösung.

Vertrauen Sie uns hier bitte, da emotionaler Aktionismus und das Unterschätzen des Themas zu einer falschen Haltung im TOP Management führt – „IT-Sicherheit ist Chefsache“.