Wir stellen mit unserem Beratungsansatz eine Steigerung der technischen IT-Sicherheit als Ergebnis in den Fokus. Das heißt, wir setzten konkret an den technischen Schwachstellen an, um diese mit den passenden Lösungsansätzen an zu beheben bzw. zu minimieren. Dabei ist es essenziell, diese Schwachstellen in einer vorgelagerten Maßnahme zur Transparenz der IT-Sicherheit (auf Basis eines Penetrationstest, IT-Audit o.ä.) zu ermitteln.
Das Abstellen der technischen Schwachstellen durch die Erarbeitung von passenden technischen Lösungswegen stellt unsere Kernaufgabe in der Beratung zur IT Sicherheit dar. Die organisatorischen Aspekte wie Richtlinien, Vorgaben und Prozesse sind als ergänzende Maßnahme anschließend zu berücksichtigen – aber nicht als Startpunkt! Unsere Devise ist, zuerst das Eintrittsrisiko durch stichhaltige Maßnahmen zu reduzieren, um dann proaktiv an zusätzlichen Potenzialen zu arbeiten.
Häufig werden die beiden Begriffe Informationssicherheit und IT-Security Consulting miteinander vertauscht oder gar gleich interpretiert. Was ist aber nun der Unterschied? Informationssicherheit, für die es diverse Standards am Markt gibt, beschränkt sich nicht auf IT-Sicherheit, sondern betrachtet schützenswerte Informationen jeglicher Art (sogenannte Information Assets bzw. Informationswerte).
Informationssicherheit beinhaltet beispielsweise auch Papierdokumente und deren Entsorgung nach speziellen DIN-Normen, bis hin zur personellen Sicherheit, um Vorfälle wie beim Unister TOP Management im Jahr 2018 zu verhindern.
Bei IT-Security Consulting wiederum geht es explizit um die Sicherheit von IT-Systemen und -Komponenten – andere Assets werden prinzipiell nicht betrachtet. Das Ziel hierbei ist es, nur Geschäftsrisiken mit einer hohen Eintrittswahrscheinlichkeit zu betrachten (Hackerangriffe, Brand in Datacenter, Verlust von Smartphones durch z.B. Diebstahl etc.).
ProSec begleitet dich mit unserem Consulting auf beiden Wegen, sei es in der Informationssicherheit auf dem Weg zu einem Informationssicherheitsmanagementsystem (ISO27001 & BSI Grundschutz) oder auf der überwiegend technischeren Ebene mit dem IT-Security-Consulting.
Der Theorie nach ist der IT-Sicherheit eine Top-Down-Vorgehensweise vorgeschrieben. Aus unseren Praxiserfahrungen halten wir das Vorgehen nach dem Prinzip Bottom-Up für passender. Warum?
Schwachstellen als Sicherheitsrisiko entstehen in der Regel nicht in Konzepten, sondern in der Umsetzung und Aufrechterhaltung der Aktualität der IT-Umgebung.
Genau da setzen wir an, um im ersten Schritt nachhaltig das Sicherheitsniveau eines Unternehmens mittels Abstellung konkreter Schwachstellen zu verbessern. Das verschafft uns Zeit, die Konzepte, Prozesse und Vorgaben anschließend, nach Erfahrungen aus der Praxis, gemeinsam zu erarbeiten und zielführend zu implementieren.
Somit möchten wir zahnlose Papiertiger vermeiden und sicherstellen, dass Compliances auch so wirken, wie sie es müssen. Pragmatismus statt Bürokratie.
Ein Cyberangriff kann nicht nur Auswirkungen auf deine IT-Systeme haben,
sondern auch auf deine Finanzen oder dein Unternehmensimage.
Derzeit (Stand Januar 2022) gibt es über 50 Informationssicherheitsmanagement Systeme am Markt. Alle bieten Vor- und Nachteile und versuchen am Ende alle das gleiche – für die jeweilige Zielgruppe des Systems Transparenz in allen Risiken zu schaffen und das Unternehmen in die Lage zu bringen, selbst Informationssicherheitslevel nachhaltig zu steigern und am Leben zu halten.
Wir begleiten grundsätzlich 3 ISMS Systeme:
ISO/IEC 27001 ist eine anerkannte internationale Norm für Informationssicherheits-Managementsysteme. Sie bestimmt die Anforderungen für die Errichtung, Einführung, den Betrieb, die Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems (ISMS).
Das ProSec ISMS grenzt sich sehr einfach von bestehenden Standards ab, wir versuchen das Rad nicht neu zu erfinden, sondern bedienen uns bewusst an all den Controls aus Systemen, die sich bewährt haben und „mischen“ funktionierende Bestandteile aus allen gängigen aber auch kommenden Systemen und das zu 100 % Transparent. Dies hat den Vorteil, dass der Aufwand für Zertifizierung von diversen Systemen geringer ist und das ISMS generisch bleibt und vor allem, dass wesentliche nicht aus den Augen verliert. Technische Risiken minimieren, diese schnell und kurz zyklisch (angelehnt an die MGMT Methode „Lean Start-up“) zu validieren und nachhaltig in unternehmensinterne Prozesse zu überführen.
Viele unserer Geschäftspartner, sei es die Bundesregierung oder der Mittelstand, begehen immer wieder den Fehler TOP Down in Form eines Management Systems (ISO/BSI, etc.) sich dem Thema Informationssicherheit anzunähern. Dies resultiert immer darin, dass bei unserem Quality Assurance Prozess herauskommt, dass die theoretisch aufgebauten Systeme am Ende leider zertifizierbar, aber nie wirklich einen Schutz vor beispielsweise Hackerangriffen (von uns geprüft mittels Penetration Tests) haben oder gar in der Lage sind diese Angriffe wirklich qualifiziert zu erkennen und dann entsprechend zu reagieren (vgl. Incident Response).
Nach einem Penetration Test sind viele unserer Geschäftspartner sensibilisiert und verfallen in Aktionismus und einen emotionalen Handlungszwang. Dieser resultiert leider immer mit erheblichen Misserfolgen und Problemen in der IT. Dazu kommt, dass der Gedanke entsteht, dass bei einem Penetration Test, der i.d.R. bei ProSec binnen 8 Prüftagen zu einer Gesamtübernahme der IT führt, der Eindruck entsteht, dass die Lösungen der Probleme genauso schnell und einfach gehen wie unsere „Hacks“. Dies ist ein Trugschluss, denn häufig ist es genau gespiegelt. Desto mehr Hacks zum Erfolg führen, desto fundamentaler sind die Probleme in der IT und desto länger und komplexer ist deren Lösung.
Vertrauen Sie uns hier bitte, da emotionaler Aktionismus und das Unterschätzen des Themas zu einer falschen Haltung im TOP Management führt – „IT-Sicherheit ist Chefsache“.
