Standards & Zertifizierungen
Wir stellen in unserem Beratungsansatz eine Steigerung der technischen IT-Sicherheit als Ergebnis in den Fokus. Das heißt, wir setzen konkret an den technischen Schwachstellen mit den Lösungsansätzen an, welche wir aus einer vorgelagerten Maßnahme zur Transparenz der IT-Sicherheit (auf Basis eines Penetrationstest, IT-Audit o.ä.) ermittelt haben.
Das Abstellen der technischen Schwachstellen, die Erarbeitung von passenden technischen Lösungswegen stellt unsere Kernaufgabe dar. Die organisatorischen Aspekte, wie Richtlinien, Vorgaben und Prozesse sind als ergänzende Maßnahme anschließend zu berücksichtigen – aber nicht als Startpunkt! Unsere Devise ist, das Eintrittsrisiko durch stichhaltige Maßnahmen erst zu reduzieren, um dann an zukünftigen zusätzlichen Potenzialen zu arbeiten.
Häufig werden die beiden Begriffe Infosec und IT-Security Consulting miteinander vertauscht oder gar gleich interpretiert. Was ist aber nun der Unterschied? Informationssicherheit, für die es diverseste Standards am Markt gibt, betrachtet das völlig losgelöst von IT-Sicherheit von Informationen jeglicher Art, die schützenswert sind (sogenannte Information Assets).
Dies beinhaltet dann beispielsweise auch Papierdokumente und deren Entsorgung nach speziellen DIN-Normen, bis hin zur personellen Sicherheit, um Vorfälle wie bei Unister TOP Management in 2018 zu verhindern.
Bei IT-Security geht es lediglich um die Sicherheit von IT Systemen – sämtliche andere Assets werden grundsätzlich nicht betrachtet. Das Ziel hierbei ist es nur einen Teil von Geschäftsrisiken zu betrachten, der häufig auftritt (Hackerangriffe, Brand in Datacenter, Verlust von Smartphones durch z.B. Diebstahl etc.).
ProSec begleitet Sie auf beiden Wegen, sei es in der Informationssicherheit bei dem Weg zu einem Informationssicherheitsmanagementsystem (ISO27001 & BSI Grundschutz) oder auf der überwiegend technischeren Ebene dem IT-Security-Consulting.
Der Theorie nach ist der IT-Sicherheit eine Top-Down-Vorgehensweise vorgeschrieben. Aus unseren Praxiserfahrungen halten wir das Vorgehen nach dem Prinzip Bottom-Up für passender. Warum?
Schwachstellen als Sicherheitsrisiko entstehen in der Regel nicht in Konzepten, sondern in der Umsetzung und Aufrechterhaltung der Aktualität der IT-Umgebung.
Genau da setzen wir zuerst an, um im ersten Schritt nachhaltig das Sicherheitsniveau eines Unternehmens mittels Abstellung konkreter Schwachstellen zu verbessern. Das verschafft uns Zeit, die Konzepte, Prozesse und Vorgaben anschließend, nach Erfahrungen aus der Praxis durch die gemeinsame Behebung zu erarbeiten und zielführend zu implementieren.
Ein Cyberangriff kann nicht nur Auswirkungen auf seine IT-Systeme haben,
sondern auch auf deine Finanzen oder dein Unternehmensimage.
Derzeit (Stand Januar 2022) gibt es über 50 Informationssicherheitsmanagement Systeme am Markt. Alle bieten Vor- und Nachteile und versuchen am Ende alle das gleiche – für die jeweilige Zielgruppe des Systems Transparenz in allen Risiken zu schaffen und das Unternehmen in die Lage zu bringen, selbst Informationssicherheitslevel nachhaltig zu steigern und am Leben zu halten.
Wir begleiten grundsätzlich 3 ISMS Systeme:
ISO/IEC 27001 ist eine anerkannte internationale Norm für Informationssicherheits-Managementsysteme. Sie bestimmt die Anforderungen für die Errichtung, Einführung, den Betrieb, die Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems (ISMS).
Das ProSec ISMS grenzt sich sehr einfach von bestehenden Standards ab, wir versuchen das Rad nicht neu zu erfinden, sondern bedienen uns bewusst an all den Controls aus Systemen, die sich bewährt haben und „mischen“ funktionierende Bestandteile aus allen gängigen aber auch kommenden Systemen und das zu 100 % Transparent. Dies hat den Vorteil, dass der Aufwand für Zertifizierung von diversen Systemen geringer ist und das ISMS generisch bleibt und vor allem, dass wesentliche nicht aus den Augen verliert. Technische Risiken minimieren, diese schnell und kurz zyklisch (angelehnt an die MGMT Methode „Lean Start-up“) zu validieren und nachhaltig in unternehmensinterne Prozesse zu überführen.
Viele unserer Geschäftspartner, sei es die Bundesregierung oder der Mittelstand, begehen immer wieder den Fehler TOP Down in Form eines Management Systems (ISO/BSI, etc.) sich dem Thema Informationssicherheit anzunähern. Dies resultiert immer darin, dass bei dem QA herauskommt, dass die theoretisch aufgebauten Systeme am Ende leider zertifizier bar, aber nie einen Schutz vor beispielsweise Hackerangriffen (von uns geprüft mittels Penetration Tests) hatten oder gar in der Lage sind diese wirklich qualifiziert zu erkennen und dann entsprechend zu reagieren (vgl. Incident Response).
Genau hier setzen wir an.
Wir erarbeiten Bottom Up kommend durch Simulationen von Angriffen (Penetration Tests), Security Assessments und ähnlichen „Detektionsmethoden“ von Schwachstellen realistische Risiken und Lösungen hierfür. Basierend auf echten Findings priorisieren wir dann gemeinsam in kurzen Iterationszyklen die nächsten Arbeitspakete und Projekte, angelehnt an Agile, jedoch gemischt mit Wasserfall Planung (Hybrides Projektmanagement). Durch kurze Feedback-Schleifen und insbesondere kurze QA Prüfungen validieren wir Maßnahmen schnell. Somit vermeiden wir den jahrelangen Aufbau von theoretischen und unpraktischen Managementsystemen.
Nach einem Penetration Test sind viele unserer Geschäftspartner sensibilisiert und verfallen in Aktionismus und einen emotionalen Handlungszwang. Dieser resultiert leider immer mit erheblichen Misserfolgen und Problemen in der IT. Dazu kommt, dass der Gedanke entsteht, dass bei einem Penetration Test, der i.d.R. bei ProSec binnen 8 Prüftagen zu einer Gesamtübernahme der IT führt, der Eindruck entsteht, dass die Lösungen der Probleme genauso schnell und einfach gehen wie unsere „Hacks“. Dies ist ein Trugschluss, denn häufig ist es genau gespiegelt. Desto mehr Hacks zum Erfolg führen, desto fundamentaler sind die Probleme in der IT und desto länger und komplexer ist deren Lösung.
Vertrauen Sie uns hier bitte, da emotionaler Aktionismus und das Unterschätzen des Themas zu einer falschen Haltung im TOP Management führt – „IT-Sicherheit ist Chefsache“.