IT Security Consulting
Detection. Solution. Education.

Standards & Zertifizierungen

Wie wir IT Security Consulting definieren?

Wir stellen in unserem Beratungsansatz eine Steigerung der technischen IT-Sicherheit als Ergebnis in den Fokus. Das heißt, wir setzen konkret an den technischen Schwachstellen mit den Lösungsansätzen an, welche wir aus einer vorgelagerten Maßnahme zur Transparenz der IT-Sicherheit (auf Basis eines Penetrationstest, IT-Audit o.ä.) ermittelt haben.

Das Abstellen der technischen Schwachstellen, die Erarbeitung von passenden technischen Lösungswegen stellt unsere Kernaufgabe dar. Die organisatorischen Aspekte, wie Richtlinien, Vorgaben und Prozesse sind als ergänzende Maßnahme anschließend zu berücksichtigen – aber nicht als Startpunkt! Unsere Devise ist, das Eintrittsrisiko durch stichhaltige Maßnahmen erst zu reduzieren, um dann an zukünftigen zusätzlichen Potenzialen zu arbeiten.

Informationssicherheit vs IT Security Consulting

Häufig werden die beiden Begriffe Infosec und IT-Security Consulting miteinander vertauscht oder gar gleich interpretiert. Was ist aber nun der Unterschied? Informationssicherheit, für die es diverseste Standards am Markt gibt, betrachtet das völlig losgelöst von IT-Sicherheit von Informationen jeglicher Art, die schützenswert sind (sogenannte Information Assets).

Dies beinhaltet dann beispielsweise auch Papierdokumente und deren Entsorgung nach speziellen DIN-Normen, bis hin zur personellen Sicherheit, um Vorfälle wie bei Unister TOP Management in 2018 zu verhindern.

Bei IT-Security geht es lediglich um die Sicherheit von IT Systemen – sämtliche andere Assets werden grundsätzlich nicht betrachtet. Das Ziel hierbei ist es nur einen Teil von Geschäftsrisiken zu betrachten, der häufig auftritt (Hackerangriffe, Brand in Datacenter, Verlust von Smartphones durch z.B. Diebstahl etc.).

ProSec begleitet Sie auf beiden Wegen, sei es in der Informationssicherheit bei dem Weg zu einem Informationssicherheitsmanagementsystem (ISO27001 & BSI Grundschutz) oder auf der überwiegend technischeren Ebene dem IT-Security-Consulting.

Worin unterscheiden wir uns?

Der Theorie nach ist der IT-Sicherheit eine Top-Down-Vorgehensweise vorgeschrieben. Aus unseren Praxiserfahrungen halten wir das Vorgehen nach dem Prinzip Bottom-Up für passender. Warum?

Schwachstellen als Sicherheitsrisiko entstehen in der Regel nicht in Konzepten, sondern in der Umsetzung und Aufrechterhaltung der Aktualität der IT-Umgebung.

Genau da setzen wir zuerst an, um im ersten Schritt nachhaltig das Sicherheitsniveau eines Unternehmens mittels Abstellung konkreter Schwachstellen zu verbessern. Das verschafft uns Zeit, die Konzepte, Prozesse und Vorgaben anschließend, nach Erfahrungen aus der Praxis durch die gemeinsame Behebung zu erarbeiten und zielführend zu implementieren.

Ein Cyberangriff kann nicht nur Auswirkungen auf seine IT-Systeme haben,
sondern auch auf deine Finanzen oder dein Unternehmensimage.

IT Security Consulting

Schutz vor Hackerangriffen im Fokus

Wir identifizieren verdächtige Aktivitäten und kontern mit aufeinander abgestimmte Tools und Experten

Bottom Up ohne Theorie

Aktions- und Projektpläne entstehen immer auf Basis von „Vulnerability Detection Assessments“ wie z.B. Penetration Tests oder Schwachstellenanalysen

Aus der Praxis für die Praxis

Wir erreichen dadurch eine hohe Wirtschaftlichkeit

Echtes und ehrliches Feedback

Wir sind Transparent und erwarten das auch vom Kunden

Probezeit von 6 Monaten

Kündigung von Kunden innerhalb „einer Probezeit“ von 6 Monaten ist möglich

Workshop zu Priorisierung

Die Priorisierung und das Vorgehen wird zusammen,
mit der Erstellung eines Aktionsplans ausgerichtet

Agile Abarbeitung

Wir nutzen monatlichen Iterationsschleifen (Sprint), um die definierte Menge an Arbeit zu erledigen.

Quartals- oder halbjährlicher Report

Wir erstellen Reports für mittleres- oder Top-Management

Wie unsere IT-Sicherheitsberatung funktioniert?

Bitte warten, Content wird geladen … 😉

50%

Aufbau eines Informationssicherheitsmanagement Systems

Derzeit (Stand Januar 2022) gibt es über 50 Informationssicherheitsmanagement Systeme am Markt. Alle bieten Vor- und Nachteile und versuchen am Ende alle das gleiche – für die jeweilige Zielgruppe des Systems Transparenz in allen Risiken zu schaffen und das Unternehmen in die Lage zu bringen, selbst Informationssicherheitslevel nachhaltig zu steigern und am Leben zu halten.

Wir begleiten grundsätzlich 3 ISMS Systeme:

ISO/IEC 27001 ist eine anerkannte internationale Norm für Informationssicherheits-Managementsysteme. Sie bestimmt die Anforderungen für die Errichtung, Einführung, den Betrieb, die Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems (ISMS).

Der IT-Grundschutz bietet eine solide fachliche Grundlage und ist ein umfassendes Arbeitsinstrument. Er ist eine Methode, Anleitung, und Empfehlung zur Selbsthilfe für Behörden, Unternehmen und Institutionen, die sich mit der Sicherheit ihrer Systeme, Daten und Informationen befassen. Dabei werden neben technischen Aspekten auch infrastrukturelle, organisatorische und personelle Aspekte berücksichtigt. Ein Informationssicherheits-Managementsystem (ISMS) kann in einer Institution auf Basis der drei Ansätze Basis-, Standard- und Kernsicherheit implementiert werden.
 

Das ProSec ISMS grenzt sich sehr einfach von bestehenden Standards ab, wir versuchen das Rad nicht neu zu erfinden, sondern bedienen uns bewusst an all den Controls aus Systemen, die sich bewährt haben und „mischen“ funktionierende Bestandteile aus allen gängigen aber auch kommenden Systemen und das zu 100 % Transparent. Dies hat den Vorteil, dass der Aufwand für Zertifizierung von diversen Systemen geringer ist und das ISMS generisch bleibt und vor allem, dass wesentliche nicht aus den Augen verliert. Technische Risiken minimieren, diese schnell und kurz zyklisch (angelehnt an die MGMT Methode „Lean Start-up“) zu validieren und nachhaltig in unternehmensinterne Prozesse zu überführen.

Häufiger Irrtum in der Praxis

Viele unserer Geschäftspartner, sei es die Bundesregierung oder der Mittelstand, begehen immer wieder den Fehler TOP Down in Form eines Management Systems (ISO/BSI, etc.) sich dem Thema Informationssicherheit anzunähern. Dies resultiert immer darin, dass bei dem QA herauskommt, dass die theoretisch aufgebauten Systeme am Ende leider zertifizier bar, aber nie einen Schutz vor beispielsweise Hackerangriffen (von uns geprüft mittels Penetration Tests) hatten oder gar in der Lage sind diese wirklich qualifiziert zu erkennen und dann entsprechend zu reagieren (vgl. Incident Response).

Genau hier setzen wir an.

Wir erarbeiten Bottom Up kommend durch Simulationen von Angriffen (Penetration Tests), Security Assessments und ähnlichen „Detektionsmethoden“ von Schwachstellen realistische Risiken und Lösungen hierfür. Basierend auf echten Findings priorisieren wir dann gemeinsam in kurzen Iterationszyklen die nächsten Arbeitspakete und Projekte, angelehnt an Agile, jedoch gemischt mit Wasserfall Planung (Hybrides Projektmanagement). Durch kurze Feedback-Schleifen und insbesondere kurze QA Prüfungen validieren wir Maßnahmen schnell. Somit vermeiden wir den jahrelangen Aufbau von theoretischen und unpraktischen Managementsystemen.

Nach einem Penetration Test sind viele unserer Geschäftspartner sensibilisiert und verfallen in Aktionismus und einen emotionalen Handlungszwang. Dieser resultiert leider immer mit erheblichen Misserfolgen und Problemen in der IT. Dazu kommt, dass der Gedanke entsteht, dass bei einem Penetration Test, der i.d.R. bei ProSec binnen 8 Prüftagen zu einer Gesamtübernahme der IT führt, der Eindruck entsteht, dass die Lösungen der Probleme genauso schnell und einfach gehen wie unsere „Hacks“. Dies ist ein Trugschluss, denn häufig ist es genau gespiegelt. Desto mehr Hacks zum Erfolg führen, desto fundamentaler sind die Probleme in der IT und desto länger und komplexer ist deren Lösung.

Vertrauen Sie uns hier bitte, da emotionaler Aktionismus und das Unterschätzen des Themas zu einer falschen Haltung im TOP Management führt – „IT-Sicherheit ist Chefsache“. 

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.