Previous
Next

Standards & Zertifizierungen

Wie wir IT-Security Consulting und IT-Sicherheit Beratung definieren?

Wir stellen in unserem Beratungsansatz eine Steigerung der technischen IT-Sicherheit als Ergebnis in den Fokus. Das heißt, wir setzten konkret an den technischen Schwachstellen mit den Lösungsansätzen an, welche wir aus einer vorgelagerten Maßnahme zur Transparenz der IT-Sicherheit (auf Basis eines Penetrationstest, IT-Audit o.ä.) ermittelt haben.

Das Abstellen der technischen Schwachstellen, die Erarbeitung von passenden technischen Lösungswegen stellt unsere Kernaufgabe in der IT-Sicherheit Beratung dar. Die organisatorischen Aspekte, wie Richtlinien, Vorgaben und Prozesse sind als ergänzende Maßnahme anschließend zu berücksichtigen – aber nicht als Startpunkt! Unsere Devise ist, das Eintrittsrisiko durch stichhaltige Maßnahmen erst zu reduzieren, um dann an zukünftigen zusätzlichen Potenzialen zu arbeiten.

Informationssicherheit vs. IT-Security Consulting

Häufig werden die beiden Begriffe Infosec und IT-Security Consulting miteinander vertauscht oder gar gleich interpretiert. Was ist aber nun der Unterschied? Informationssicherheit, für die es diverseste Standards am Markt gibt, betrachtet das völlig losgelöst von IT-Sicherheit von Informationen jeglicher Art, die schützenswert sind (sogenannte Information Assets).

Dies beinhaltet dann beispielsweise auch Papierdokumente und deren Entsorgung nach speziellen DIN-Normen, bis hin zur personellen Sicherheit, um Vorfälle wie beim Unister TOP Management in 2018 zu verhindern.

Bei IT-Security geht es lediglich um die Sicherheit von IT Systemen – sämtliche andere Assets werden grundsätzlich nicht betrachtet. Das Ziel hierbei ist es nur einen Teil von Geschäftsrisiken zu betrachten, die eine hohe Eintrittswahrscheinlichkeit haben (Hackerangriffe, Brand in Datacenter, Verlust von Smartphones durch z.B. Diebstahl etc.).

ProSec begleitet dich mit der IT-Sicherheit Beratung auf beiden Wegen, sei es in der Informationssicherheit auf dem Weg zu einem Informationssicherheitsmanagementsystem (ISO27001 & BSI Grundschutz) oder auf der überwiegend technischeren Ebene, dem IT-Security-Consulting.

Worin unterscheiden wir uns mit unserer
IT-Sicherheit Beratung?

Der Theorie nach ist der IT-Sicherheit eine Top-Down-Vorgehensweise vorgeschrieben. Aus unseren Praxiserfahrungen halten wir das Vorgehen nach dem Prinzip Bottom-Up für passender. Warum?

Schwachstellen als Sicherheitsrisiko entstehen in der Regel nicht in Konzepten, sondern in der Umsetzung und Aufrechterhaltung der Aktualität der IT-Umgebung.

Mit IT-Security Beratung das Sicherheitsniveau verbessern

Genau da setzen wir zuerst an, um im ersten Schritt nachhaltig das Sicherheitsniveau eines Unternehmens mittels Abstellung konkreter Schwachstellen zu verbessern. Das verschafft uns Zeit, die Konzepte, Prozesse und Vorgaben anschließend, nach Erfahrungen aus der Praxis durch die gemeinsame Behebung zu erarbeiten und zielführend zu implementieren.

Somit möchten wir zahnlose Papiertiger vermieden und sicherstellen, dass Compliance auch so wirken, wie Sie es müssen. Pragmatismus statt Bürokratie.

Ein Cyberangriff kann nicht nur Auswirkungen auf deine IT-Systeme haben,
sondern auch auf deine Finanzen oder dein Unternehmensimage.

IT-Security Consulting

Schutz vor Hackerangriffen im Fokus

Wir identifizieren verdächtige Aktivitäten und kontern mit aufeinander abgestimmten Tools und dem viel wichtigeren Know-how

Bottom Up ohne Theorie

Aktions- und Projektpläne entstehen immer auf Basis von „Vulnerability Detection Assessments“ wie z.B. Penetration Tests oder Schwachstellenanalysen

Aus der Praxis für die Praxis

Wir erreichen durch die Kombination von Bottum-up zu Top Down eine hohe Wirtschaftlichkeit und vermeiden Fehlinvestitionen im Infosec Bereich

Echtes und ehrliches Feedback

Wir sind Transparent und erwarten das auch vom Kunden

Probezeit von 6 Monaten

Häufig kündigen wir Kundenverträge in den ersten 6 Monaten, da Kunden kein ehrliches Interesse an Sicherheit haben, die Kündigungsfrist ist beidseitig, wir nehmen unsere Arbeit ernst!

Workshop zu Priorisierung

Die Priorisierung und das Vorgehen wird zusammen,
mit der Erstellung eines Aktionsplans ausgerichtet

Agile Abarbeitung

Wir nutzen monatlichen Iterationsschleifen (Sprint), um die definierte Menge an Arbeit zu erledigen.

Quartals- oder halbjährlicher Report

Wir erstellen Reports für mittleres- oder Top-Management

Aufbau eines Informationssicherheitsmanagement Systems

Derzeit (Stand Januar 2022) gibt es über 50 Informationssicherheitsmanagement Systeme am Markt. Alle bieten Vor- und Nachteile und versuchen am Ende alle das gleiche – für die jeweilige Zielgruppe des Systems Transparenz in allen Risiken zu schaffen und das Unternehmen in die Lage zu bringen, selbst Informationssicherheitslevel nachhaltig zu steigern und am Leben zu halten.

Wir begleiten grundsätzlich 3 ISMS Systeme:

ISO/IEC 27001 ist eine anerkannte internationale Norm für Informationssicherheits-Managementsysteme. Sie bestimmt die Anforderungen für die Errichtung, Einführung, den Betrieb, die Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems (ISMS).

Das ProSec ISMS grenzt sich sehr einfach von bestehenden Standards ab, wir versuchen das Rad nicht neu zu erfinden, sondern bedienen uns bewusst an all den Controls aus Systemen, die sich bewährt haben und „mischen“ funktionierende Bestandteile aus allen gängigen aber auch kommenden Systemen und das zu 100 % Transparent. Dies hat den Vorteil, dass der Aufwand für Zertifizierung von diversen Systemen geringer ist und das ISMS generisch bleibt und vor allem, dass wesentliche nicht aus den Augen verliert. Technische Risiken minimieren, diese schnell und kurz zyklisch (angelehnt an die MGMT Methode „Lean Start-up“) zu validieren und nachhaltig in unternehmensinterne Prozesse zu überführen.

Häufiger Irrtum in der Praxis

Viele unserer Geschäftspartner, sei es die Bundesregierung oder der Mittelstand, begehen immer wieder den Fehler TOP Down in Form eines Management Systems (ISO/BSI, etc.) sich dem Thema Informationssicherheit anzunähern. Dies resultiert immer darin, dass bei unserem Quality Assurance Prozess herauskommt, dass die theoretisch aufgebauten Systeme am Ende leider zertifizierbar, aber nie wirklich einen Schutz vor beispielsweise Hackerangriffen (von uns geprüft mittels Penetration Tests) haben oder gar in der Lage sind diese Angriffe wirklich qualifiziert zu erkennen und dann entsprechend zu reagieren (vgl. Incident Response).

Nach einem Penetration Test sind viele unserer Geschäftspartner sensibilisiert und verfallen in Aktionismus und einen emotionalen Handlungszwang. Dieser resultiert leider immer mit erheblichen Misserfolgen und Problemen in der IT. Dazu kommt, dass der Gedanke entsteht, dass bei einem Penetration Test, der i.d.R. bei ProSec binnen 8 Prüftagen zu einer Gesamtübernahme der IT führt, der Eindruck entsteht, dass die Lösungen der Probleme genauso schnell und einfach gehen wie unsere „Hacks“. Dies ist ein Trugschluss, denn häufig ist es genau gespiegelt. Desto mehr Hacks zum Erfolg führen, desto fundamentaler sind die Probleme in der IT und desto länger und komplexer ist deren Lösung.

Vertrauen Sie uns hier bitte, da emotionaler Aktionismus und das Unterschätzen des Themas zu einer falschen Haltung im TOP Management führt – „IT-Sicherheit ist Chefsache“. 

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.