Informations­sicherheit

Vertraulichkeit, Verfügbarkeit und Integrität

Informationssicherheit gewinnt in vielen Organisationen zunehmend an Bedeutung. Dies liegt einerseits an den Anforderungen von Kunden und externen Partnern oder gesetzlichen Rahmenbedingungen, andererseits am steigenden Risiko durch Schäden im Zusammenhang mit Informationsverarbeitung. Sowohl die Eintrittswahrscheinlichkeit eines Angriffs als auch die Schadenshöhe nehmen stetig zu. Diese Abhängigkeit ist der Grund, warum Informationssicherheit nicht ausschließlich in der IT stattfinden kann (IT-Sicherheit). Die gesamte Organisation, beginnend mit dem Top-Management muss sich verändern und anpassen. Um diese Anpassung sinnvoll und zielführend zu gestalten, empfiehlt es sich ein Informationssicherheits-Managementsystem (ISMS) einzuführen. Dieses ISMS gibt interessierten Parteien das Vertrauen in eine angemessene Steuerung von Risiken und wahrt die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen.

Unsere Leistungen

Technische Unterstützung

Auf der Basis von Microsoft SharePoint Technologien bieten wir Ihnen eine Portallösung zur Dokumentenlenkung in Managementsystemen (z.B. für Qualitätsmanagement, Energiemanagement, Informationssicherheits-Management).

Elementare Voraussetzung für das Erkennen potenzieller Sicherheitsrisiken, ausgehend von der IT-Nutzung, ist eine vollständige Erfassung aller IT-Assets. Je nach Anforderungen arbeiten wir hier mit Lösungen der folgenden Hersteller:

Zur Klassifizierung und Kennzeichnung Ihrer vertraulichen Informationen unterstützt Sie die Lösung IS-FOX Classification für Microsoft Office. Sie führt Ihre Mitarbeiter durch den Klassifizierungsprozess. So werden neu erstellte Inhalte durch den Ersteller in die entsprechende Vertraulichkeitsklasse eingestuft.

Software-Werkzeuge wie 8MAN unterstützen konkrete Vorgaben des BSI-Grundschutz-Kataloges zur Vergabe von Zugriffsrechtenstellen.

Software für Schwachstellenmanagement, wie z.B. die baramundi Management Suite sorgt für das schnelle Schließen von Sicherheitslücken. Alle Clients werden automatisiert auf Schwachstellen gescannt und aktuelle Patches und Updates automatisch installiert.

In unserem Portfolio haben wir leistungsstarke Technologien für Virenschutz, Firewall und Backup. Wir unterstützen Sie bei der Einbindung dieser Lösungen in Ihr ISMS-System:

Die Lösung PRTG Network Monitor unterstützt Sie bei der einfachen und zuverlässigen Kontrolle Ihres Netzwerkes und schafft mehr Sicherheit durch frühzeitiges Bemerken auffälliger Aktivitäten.

Datenverschlüsselungssoftware, wie zum Beispiel HiCrypt™2.0 ermöglicht die Verschlüsselung von Endgeräten und Terminalservern, unterstützt individuelle Kennwortrichtlinien und gewährleistet 2-Faktor-Authentifizierung.

Eine jederzeit aktuelle, umfassende und transparente IT-Dokumentation zu haben ist eine komplexe Aufgabe, die sich nur mit einer Softwarelösung wirtschaftlich umsetzen lässt. Docusnap bietet Funktionen wie Netzwerk-Inventarisierung, IT-Dokumentation, Visualisierung, Berechtigungsanalyse und Lizenzmanagement in einem Produkt an.

Für den sicheren Austausch vertraulicher Daten mit Mitarbeitern, Kunden und Geschäftspartnern arbeiten wir mit den Lösungen nextCloud und MicroFocus Filr.

Für die angemessene Reaktionsplanung im Falle einer Störung ist es erforderlich, einen Security-Incident-Prozess zu definieren. Unsere Ticketsystem-Lösungen für IT-Störfälle auf der Basis von Microsoft SharePoint unterstützen Sie bei der Verbesserung im Umgang mit Sicherheitsvorfällen.

Beratung

Neben technischer und organisatorischer Unterstützung mit einem stetig wachsenden Portfolio an technischen Maßnahmen, welche sich im Zuge der Einführung und des Betriebs eines ISMS nach ISO 27001 oder für die Umsetzung einzelner BSI-Grundschutzanforderungen bewährt haben, bieten wir Ihnen umfassende Beratungsleistungen für die Einführung und der Verbesserung Ihres Informationssicherheits-Managementsystems.

Mit unserer Risiko- und Potenzialanalyse legen wir den Grundstein für eine an Ihre Anforderungen angepasste optimale Organisation der Informationssicherheit und eines zukunftsfähigen, sicheren IT-Betriebs.

Ziele

  • Einschätzung zur Angemessenheit der Organisation der Informationssicherheit/ des IT-Betriebs im Hinblick auf die tatsächlichen Anforderungen aus Geschäftsprozessen
  • Erarbeitung von Maßnahmen zur Risikominimierung und strategischen Ausrichtung
  • Ableitung von Handlungsempfehlungen

Die Risiko- und Potenzialanalyse erfolgt in 3 Phasen. Der Aufwand beträgt i.d.R. 3-7 Tage Dienstleistung, abhängig von Unternehmensgröße bzw. Unternehmenszweck

Ablauf

Phase 1 (ca. 50% des Gesamtaufwandes)

  • Sammeln von Informationen/Ermittlung der Anforderungen im Hinblick auf Verfügbarkeit und Vertraulichkeit
  • Interviews mit ausgewählten Abteilungsleitern vor Ort an Ihrem Standort
  • Sichten gegebenenfalls vorhandener Richtlinien und Dokumentationen
  • Überblick über den IST-Stand Ihres IT-Betriebs

Phase 2 (ca. 40% des Gesamtaufwandes)

  • Einschätzung der Angemessenheit
  • Erarbeitung von Maßnahmen sowie Ableitung von Handlungsempfehlungen durch unsere Berater
  • Gegebenenfalls Anforderung detaillierterer Informationen für einzelne Bereiche (Richtlinien/Dokumentationen) 

Phase 3 (ca. 10% des Gesamtaufwandes)

  • Präsentation der Ergebnisse und Diskussion im Kreis der Geschäftsführung

Viele mittelständische Unternehmen stehen vor der Herausforderung ein ISMS einzuführen. Ausgangspunkt dafür sind oftmals Forderungen externer Parteien, wie Kunden oder Geschäftspartner.

Ein ISMS kann nicht einfach gekauft werden. Die Einführung eines ISMS erfordert grundlegende Veränderungen im Umgang mit Informationen. Spätestens hier wird deutlich, dass das Thema keinesfalls ausschließlich in der IT-Abteilung angesiedelt werden kann.

Neben der konkreten Unterstützung bei der Erstellung geeigneter Richtlinien sowie der Umsetzung technischer Maßnahmen, liegt daher ein wesentlicher Schwerpunkt unserer Arbeit darin, das entsprechende Bewusstsein auf allen Hierarchiestufen des Unternehmens zu erzeugen.

Unser Vorgehensmodell orientiert sich an den ISO 2700X Standards. Um die Einführungskosten im Unternehmen moderat zu gestalten, achten wir darauf, vorhandene Ressourcen im Unternehmen bestmöglich einzubinden und stellen stets die Angemessenheit in den Vordergrund.

Technische und organisatorische Maßnahmen bei:

  • Patchmanagement: Richtlinie abgestimmt auf Baramundi
  • Firewall: Richtlinie abgestimmt auf Sophos
  • Backup: Richtlinie abgestimmt auf Veeam, arcserve
  • Datenklassifizierung/Verschlüsslung: Richtlinie abgestimmt auf HiCrypt

Speziell für Unternehmen aus dem Bereich der Automobilzulieferer bieten wir Unterstützung zur Erfüllung der Anforderungen gemäß VDA-Assessment.

Üblicherweise erhalten Unternehmen in einem ersten Schritt die Aufforderung zum Selbstaudit. Häufig werden jedoch die Anforderungen in der Eigenbewertung nicht korrekt interpretiert und deutlich besser bewertet, als diese tatsächlich sind.

Für die nächsten 12 Monate mag das zunächst als glücklicher Umstand wirken, denn das Thema ist damit erst einmal abgeschlossen. Jedoch erfolgt ca. 12 Monate nach dem Selbst-Assessment i.d.R. ein Vor-Ort-Assessment. Die erfahrenen Auditoren decken lückenlos Anforderungsdefizite auf und fordern kurzfristige Umsetzungen der Maßnahmen zum Erhalt der Freigabe. Meist ist es jedoch nicht möglich, binnen dieser Zeitvorgaben alle Maßnahmen sorgfältig umzusetzen. Insbesondere durch den Zeitdruck müssen nicht selten Entscheidungen getroffen werden, die mit mehr Vorlaufzeit deutlich wirtschaftlicher hätten ausgeführt werden können.

100%ige Sicherheit gibt es nicht. Selbst mit einem optimal aufgestellten Informations-Sicherheits-Management-System bleiben trotz aktueller technischer und organisatorische Maßnahmen Restrisiken für den Verlust der Vertraulichkeit oder Verfügbarkeit von Informationen. Diese Risiken können Sie entweder übernehmen oder Sie übertragen diese Risiken einem Dritten. Die Allianz Deutschland AG bietet hierzu im Rahmen der CyberSchutz Versicherung eine geeignete Möglichkeit Informationssicherheitsrisiken und damit eventuell verbundene Betriebsunterbrechungen oder Vermögensschäden abzusichern.

Nähere Informationen unter: www.business.allianz.de/cyberschutz

Gern vereinbaren wir mit Ihnen, uns und unserem Partner – der Allianz Generalvertretung Lutz Förster – einen gemeinsamen Beratungstermin.  
 
Bevor eine Cyberversicherung abgeschlossen werden kann, überprüft die Allianz im Rahmen eines Selbst-Assessments Ihr aktuelles Informations-Sicherheitsniveau. Das Ergebnis hat maßgeblichen Einfluss auf den Versicherungsbeitrag.  Gern bieten wir Ihnen hierzu, auch im Vorfeld, unsere Unterstützung zur korrekten Einschätzung an.
 

Kontakt

Michael Köllner

ISMS Spezialist
0351 / 4771 - 907

vertrieb@intraconnect.de

Kontakt aufnehmen

Sie möchten regelmäßig über unsere aktuellen Veranstaltungen und Webcasts informiert werden? Dann abonnieren Sie jetzt unsere Veranstaltungsnews.