iAP IT Security & Cyber Security

IT-Sicherheit & Cyber Security

IT-Sicherheit & Cyber Security

Unter Zuhilfenahme der Informationstechnologie (IT) werden die in den Organisationen eingesetzten Operativ-, Planungs- und Kontrollsysteme unaufhaltsam digitalisiert und miteinander vernetzt (IoT). Die mobilen und stationären Systeme digitalisierter  Unternehmen kommunizieren miteinander horizontal und vertikal über eine gemeinsame IT-Infrastruktur, um anfallende Daten als auch Informationen zu verarbeiten sowie zu speichern. Ziel ist es dabei immer, die effiziente Umsetzung der Unternehmensprozesse entlang der Wertschöpfungskette zu realisieren als auch angemessen gegen Risiken abzusichern.

Insbesondere müssen die kritischen Assets und Prozesse eines Unternehmens erkannt und bewertet werden, um sie auf sicheren Betrieb zu überwachen und gegenüber unbefugten Aktivitäten zu schützen bzw. zu verteidigen.

Logo iAP IT Security & Resilienz

IT-Sicherheit

IT-Sicherheit (ITSec) hat das Ziel die fehlerfreie Funktion und ständige Verfügbarkeit, aller an der Leistungserbringung beteiligen IT-Systeme sicherzustellen und die Integrität sowie Vertraulichkeit der digitalen Daten zu gewährleisten.

Cyber Security

Cyber Security (CySec) erweitert die Schutzmaßnahmen der IT-Sicherheit auf den die Organisationen umgehenden Cyber-Raum. Durch die notwendige Kommunikation und den Datentransfer über das Internet vergrößert sich die Angriffsfläche jedes Unternehmens. Schwerpunkte der Cyber-Sicherheit sind die Einrichtung notwendiger Methoden und Werkzeuge auf Basis einer dedizierten Analyse der Cyber-Bedrohungslandschaft. Dazu gehören verschiedene Bedrohungsarten wie z.B. Malware, Ransomware, Botnets, DDos sowie Man-in-the-Middle Angriffe und Social Engineering mit Pishing-Attacken. Außerdem werden mögliche Angreifertypen betrachtet, um deren gezielte Angriffs- und Ausspähversuche wirksam abzuwenden.

Informationssicherheit

Informationssicherheit (InfoSec) betrachtet sämt­­liche digitalen sowie analogen Daten und schließt alle technischen als auch nicht technischen Schutz­maßnahmen ein, um die Informations­schutz­ziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität (VIVA) einer Organisation zu gewährleisten. Diese technischen und organisatorischen Maßnahmen (TOM) werden durch das Informations­sicherheits­management (ISM) unter Zuhilfenahme der IT-Sicherheit sowie der Cyber-Sicherheit umgesetzt.

Risiken der Cyber-Sicherheit

Ein Risiko errechnet sich aus der Schadenswahrscheinlichkeit und der Bestimmung der Schadenshöhe für einen möglichen Cyber-Angriff. Die Betrachtung der Risiken durch Cyber-Angriffe allein reicht nicht aus. Es gilt, weiter unten bzw. oben anzufangen.

Nahezu jede Organisation hat im Zuge der Digitalisierung mit den Herausforderungen zu kämpfen, ihre sicherheitsstrategischen Ziele sowie Sicherheitsprozesse praktisch anwendbar zu definieren bzw. zu gestalten, um ungewünschte Cyber-Sicherheitsvorfälle zu vermeiden. Es besteht bei den verantwortlichen Mitarbeitern ein unzureichendes Bewusstsein über

  • relevante Compliance und Governance-Vorgaben
  • angemessene Prozess- und Strukturanalysen inklusive Aufnahme und Beschreibung der IT-Assets
  • vollumfängliche prozess- und risikobezogene Erfassung und Bewertung der Unternehmens- und Bedrohungsdaten z.B. mögliche Angreifer mit Angriffsarten und Zielen
  • tatsächliche Bedürfnisse ihrer Organisation um organisatorische sowie technische Sicherheitsmaßnahmen anzupassen und ein angemessenes Schutzniveau zu erzeugen
  • die Baseline durch insuffizientes Verständnis über die Ist- und Soll-Zustände
  • den Bedarf an Budget sowie fähigem bzw. erfahrenem Personal in allen Ebenen
  • die effiziente Auswahl, Integration und Anwendung angemessener Sicherheitswerkzeuge
  • Sicherheitsstandards z.B. ISO27XXX und 22301, BSI 200-X & C5, NIST, BAFIN, CSA, NIST 2

Der iAP Basis-Check enthält wichtige Fragen auf Basis der Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI). Ziel des iAP Basis-Checks ist es, eine Ersteinschätzung Ihrer Informationssicherheit vorzunehmen und zu bewerten, inwieweit grundlegende Anforderungen der Cyber Security erfüllt werden.

Im Fokus des iAP Basis-Check liegen:

  • Datenschutz
  • Vergabe von Berechtigungen und Passwörtern
  • Backup-Konzept
  • Erkennung sowie Behandlung von Vorfällen
  • E-Mail-Sicherheit
  • Sensibilisierung der Mitarbeiter
  • Anforderungen an die Verfügbarkeit
  • Notfallkonzept
  • Sicherheit des Onlineshops 

Der iAP Basis-Check findet i.d.R. Anwendung, wenn bewertet werden soll, inwieweit grundlegende Anforderungen der Cyber Security erfüllt werden und um sicherheitsrelevante Kritikalitäten kostengünstig zu ermitteln.

Weiterführende Informationen befinden sich in unserer Produktinformation iAP CYBER SECURITY PRÜFUNGEN (PDF).

Beim iAP Schwachstellenscan handelt es sich um die gebräuchlichste Form von Sicherheitsüberprüfungen, dem sogenannten “Vulnerability Assessment”.  Er findet Anwendung, wenn eine Untersuchung und Bewertung der IT-Infrastrukturkomponenten und Anwendungen hinsichtlich gängiger bekannter Schwachstellen gewünscht wird.

Der iAP Schwachstellenscan betrachtet:

  • Hard- und Software
  • Netzwerke
  • Betriebssysteme
  • Anwendungen
  • Konfigurationen 

Der iAP Schwachstellenscan sollte von jeder Organisation regelmäßig durchgeführt werden, und immer so bald IT-Systeme neuinstalliert bzw. massiv verändert wurden.

Weiterführende Informationen befinden sich in unserer Produktinformation iAP CYBER SECURITY PRÜFUNGEN (PDF).

Der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) ist ein komplexer Vorgang. Ziel eines ISMS ist die Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität relevanter analoger sowie digitaler Unternehmensdaten. Grundsätzlich wird ein ISMS prozessorientiert und risikobasiert gemäß den Bedarfen einer Organisation in mehreren Phasen entlang des PDCA etabliert, welche sich abstrakt wie folgt darstellen lassen:

  • Basisplanung mit Definition der Unternehmensziele und Anforderungen mit Festlegung des Geltungsbereichs und einer gewünschten Zertifizierung z.B. nach BSI-Grundschutz, ISO 27001 oder TISAX
  • Initialisierung durch das Management, Voraussetzungen schaffen und Ressourcen freigeben
  • Organisation, Aufbau und Ablauf mit Erstellung der ISMS-Leitlinie sowie der Organisationsstruktur mit Verantwortlichkeiten, Kompetenzen und Kommunikationswegen, der Mitarbeitereinbindung und Informationsdokumentation sowie Lenkung
  • Strukturanalyse relevanter Informationen, Prozesse und der IT-Systemlandschaft
  • Risikomanagement mit Schutzbedarfsfeststellung, Risikoanalyse, Ermittlung und Modellierung angemessener Schutzmaßnahmen in einem Sicherheitskonzept unter Zuhilfenahme der IT-Sicherheit und Cyber-Sicherheit
  • Etablierung der Schutzmaßnahmen mit Umsetzungsplanung und Konsolidierung sowie deren Monitoring mit Metriken und Reporting
  • Überwachung und Steuerung zur Feststellung der Wirksamkeit der Schutzmaßnahmen gemäß nötiger KPIs mittels interner sowie externer Audits und Penetrationstests
  • Optimierung und kontinuierliches Schließen von Sicherheitslücken durch Korrekturmaßnahmen

Die Dauer der Einführung eines ISMS ist z.B. abhängig von der Unternehmensgröße, dem angestrebten Sicherheitsniveau, dem Ist-Zustand der Informationsbasis und bereits vorhandener Schutzmaßnahmen, sowie mandantenseitiger finanzieller und personeller Ressourcen mit Know-How und eingesetzter Management-Tools. Für die Etablierung eines resilienten ISMS müssen deshalb erfahrungsgemäß einige Monate bis zu 2 Jahren und mehr eingeplant werden. Die iAP steht allen Kunden vollumfänglich bei dem Aufbau, der Optimierung und Auditierung mit Zertifizierung zur Seite.

Nutzen Sie unser Formular, um Kontakt für eine Erstberatung mit uns aufnehmen.

Die Ermittlung und Umsetzung nötiger Maßnahmen zur Erzeugung einer angemessenen Cyber-Resilienz stellt Unternehmen vor besonderen Herausforderungen. Selten sind in einer Organisation alle benötigten Kompetenzen und technischen Infrastrukturen vorhanden, um das mögliche Schutzpotential vollumfänglich zu nutzen. Es scheitert bereits oft an hinreichendem Bewusstsein für den tatsächlichen Bedarf an Mitarbeitern, Prozessen, Technologien, relevanter Compliance und Governance Vorgaben, um die angestrebten Sicherheitsziele effizient zu erreichen. Aus diesem Mangel werden ineffektive Ableitungen getroffen in Bezug darauf, welche Sicherheitsmaßnahmen eine Organisation selbst umsetzen kann und ob bzw. welche Sicherheitsdienstleistungen extern beschafft werden müssen. iAP empfiehlt dafür ein methodisch strukturiertes Vorgehen zur Etablierung einer Cyber-Sicherheitstrategie, dazu zählen neben anderen:

  • Aufnahme der zu schützenden Unternehmensgüter wie z.B. kritische Prozesse und die mit ihnen verbundenen IT-Systemen und Schnittstellen zum Cyber-Raum
  • Ermittlung des tatsächlichen Schutzbedarfs anhand einer Kritikalitätsbewertung
  • Festlegung des gewünschten Soll-Zustands mit relevanten Metriken auf Basis einer Security-Baseline
  • Analyse der Cyber-Bedrohungslandschaft mit Bedrohungsarten und Angreifertypen
  • Erarbeitung proaktiver sowie reaktiver Sicherheitsmaßnahmen mit automatisierten und manuellen Echtzeit-Überwachungs- & Reaktionsprozessen
  • Feststellung welche Sicherheitsmaßnahmen die Organisation selbst übernehmen kann und welche extern beschafft werden müssen

Ist eine Organisation an diesem Punkt angekommen, startet der Beschaffungsprozess mit der Formulierung eines Lastenheftes an mögliche Dienstleister. Diese Dienstleister sind in der Regel Betreiber von Security Operation Center (SOC) oder sogenannte Managed Security Service Provider (MSSP). iAP ist auch an dieser Stelle ein kompetenter Partner, um Ausschreibungen bzw. Beschaffungen effizient zu gestalten und bei der Auswahl eines strategischen Partners zu begleiten.

Ausgelagerte Cyber-Sicherheitsdienstleistungen sind häufig:

  • Cyber Security Engineering & Architecture
  • Beratung & Führung zur Auswahl
  • Endpoint Detection & Response (EDR)
  • Extended Detection & Response (XDR)
  • Security Incident & Event Management (SIEM)
  • Tier 1-4 Tätigkeiten eines SOC
  • Live & postmortale Digital Forensic
  • Technische Sicherheitsüberprüfungen wie z.B. OSINT-Analysen, Schwachstellenscans & Penetrationtests

Die iAP OSINT Analyse ermittelt im Internet, Deep Web sowie Darknet online zugängliche Informationen über ihr Unternehmen aus Sicht eines Cyberkriminellen, um zu bewerten, ob diese auf Sicherheitslücken und mögliche Angriffspunkte hinweisen. Aktuelle Bedrohungen wie z.B. DDoS, Phishing, Exploits und Data Breaches werden dabei berücksichtigt.

Die iAP OSINT Analyse betrachtet:

  • Angriffsoberfläche
  • Infrastrukturstabilität
  • Weiterleitung von Benutzerdaten #
  • Konfiguration der DNS-Infrastruktur
  • Verschlüsselung der Mailserver

Die iAP OSINT Analyse sollte von jedem Unternehmen durchgeführt werden, da sie eine sehr kostengünstige Dienstleistung darstellt, um die für erfahrene Hacker sichtbaren Schwachstellen aufzulisten.

Weiterführende Informationen befinden sich in unserer Produktinformation iAP CYBER SECURITY PRÜFUNGEN (PDF).

Die iAP Penetrationstests gibt es zweckgebunden in unterschiedlichen Ausführungen gemäß den tatsächlichen Bedarfen der Auftraggeber. Es handelt sich um individuelle sowie tiefgehende Analysen der IT-Systeme inklusive eines Schwachstellenscans.

Einsatzgebiete für iAP Penetrationstests:

  • Netzwerke 
  • Webanwendungen
  • Cloud
  • WLAN
  • Mitarbeiter
  • Physische Sicherheitseinrichtungen

iAP Penetrationstests finden Anwendung, wenn eine zielgerichtete Überprüfung der IT-Sicherheitseinrichtungen in ihrer Existenz, Angemessenheit und Wirksamkeit gewünscht wird. Sie können als “White Tests” mit genauen System-Informationen, “Grey Tests” mit eingeschränkten System-Informationen oder “Black Tests” ohne Zugangsinformationen durchgeführt werden.

Weiterführende Informationen befinden sich in unserer Produktinformation iAP CYBER SECURITY PRÜFUNGEN (PDF).

Ein dediziertes Business Continuity Management (BCM) oder auch Notfallmanagement ist ein vitaler Aspekt einer jeden Unternehmung. Ziel des BCM ist die angemessene Absicherung kritischer Geschäftsprozesse, d.h. die Betriebskontinuität bei außergewöhnlichen Belastungen kontrolliert zu managen und dadurch aufrecht zu erhalten. Das BCM gibt Organisationen Transparenz sowie die Sicherheit der Verfügbarkeit, nicht nur in einem Notfall oder einer Krise.

Ein BCM mit der Notfallplanung und Desaster Recovery kann nur effektiv sein, wenn es vollumfänglich prozessorientiert und risikobasiert sowie aktuell ist. Es bedarf einer Strategie mit alternativen Handlungsplänen, welche durch das Personal und die Infrastruktur umsetzbar sind, um Schäden und Verluste für die Organisation in einem Notfall effizient abzuwenden oder zu mildern. BCM werden schrittweise und individuell konzeptioniert. Dabei können BCM-Standards wie die ISO 22301 oder BSI 200-4 helfen, denn es gibt viele Dinge zu beachten:

  • Definition und Abgrenzung zu bestehenden Managementsystemen
  • Betrachtung der individuellen Rahmenbedingungen mit internen und externen Anforderungen sowie Einflussfaktoren, Schnittstellen und Kommunikationswegen
  • Ermittlung der betriebliche Kontinuitätsanforderungen an Prozesse, Informationen und verbundene IT-Systeme für z.B. Wiederanlaufzeiten bzw. maximale Ausfallzeiten
  • Durchführen einer dedizierten Risiko- und Business Impact Analyse mit einem Soll-Ist Abgleich
  • Erarbeiten der Business Continuity Strategie mit Lösungen
  • Planung der Geschäftsfortführung 
  • Erstellen eines Risikobehandlungsplan mit Maßnahmen und Methoden zur Vorfallbewältigung bzw. Wiederanlauf und Wiederherstellung
  • Einrichten benötigter Ressourcen und Einsatz von fähigem Personal
  • Umsetzungs-Trainings und Erprobung- bzw. Anwendungstests durchführen

Ohne ein dediziertes BCM ist eine Organisation bei schwerwiegenden und zeitkritischen Schadensereignissen handlungsunfähig bzw. von Unsicherheit geprägt. Es werden unnötig Kosten verursacht, und es kann schließlich auch zum ungewollten Kollaps des Geschäftsbetriebs führen. iAP ist kompetenter Partner bei allen Fragen rund um das BCM.

Kontrollsysteme dienen der Prozesssicherheit. Risiken sind transparent und werden durch das IKS kontrolliert. Mit den Cloud-Anwendungen ergeben sich neue Herausforderungen. Das BSI hat einen aktuellen Standard herausgegeben – Cloud Criteria C5. Wir führen Sie durch die Implementierung und Prüfung. Wir unterstützen Sie bei der Herstellung von Cloud-Security nach den Vorgaben der einschlägigen Cloud Security Standards sowie der Absicherung der Compliance.

Durch eine Risikoanalyse werden Cyber-Risiken ermittelt und die Wahrscheinlichkeiten ihres Eintretens und der Umfang ihrer Auswirkungen bewertet. Diese Risiken werden akzeptiert, reduziert, vermieden oder auch an einen Risikonehmer transferiert. Dabei handelt es sich um eine sogenannte Cyber-Insurance bzw. Cyber-Risikoversicherung, welche das bei Schadenseintritt entstehende monetäre Risiko übernimmt und bei dem Versicherten ausgleicht. Dieser Risikotransfer ist an Vorgaben des Versicherers gebunden.

Cyber-Insurance Readiness bedeutet, dass der Versicherungsnehmer die Vorgaben des Versicherers erfüllt.
Wir unterstützen Sie bei der Umsetzung der Vorgaben und Anforderungen Ihrer individuellen Versicherungspolice.

iAP Cyber Security Prüfungen

Überlassen Sie ihre Sicherheit nicht dem Zufall. Verschaffen Sie sich einen realistischen Überblick über ihr Sicherheitsniveau. Vertrauen ist gut – Kontrolle ist besser!

Basis-Check, OSINT-Analyse,
Schwachstellenscan, Penetrationstests

Die iAP Cyber Security-Dienstleistungen richten sich nach den tatsächlichen Bedarfen einer Institution. Sie sind einzeln anwendbar, bauen aber grundsätzlich aufeinander auf und werden in der Regel kombiniert.

Es handelt sich um proaktive Sicherheitsmaßnahmen, welche sich an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren.

Die IT-Systeme der Auftraggeber werden gemäß den jeweiligen Anforderungen sowie Zweck auf verschiedene Art von innen, außen oder kombiniert untersucht, um Sicherheitslücken aufzudecken, bevor diese von Cyber-Kriminellen ausgenutzt werden können.

Der Fokus liegt dabei auf Überprüfung der IT-Systeme, welche zur Umsetzung kritischer Unternehmensprozesse relevant sind, um deren Verfügbarkeit, Vertraulichkeit und Integrität sicherzustellen.

Die iAP Cyber Security-Dienstleistungen sind eine evidenzbasierte Investition zur Erhöhung des Sicherheitsniveau der Unternehmens IT Infrastruktur.

8 Gründe für iAP-Sicherheitsüberprüfungen

  1. Sicherheitslücken und Risiken ermitteln sowie beseitigen
  2. Kritische Unternehmensprozesse schützen
  3. Geschäftskontinuität wahren
  4. Informationsschutzziele gewährleisten: Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität (VIVA)
  5. Cyber-Attacken und deren Auswirkungen verhindern
  6. Immense Kosten durch Produktionsausfälle, Reputationsverlust, Schadenersatzleistungen, Lösegelderpressungen, Know How-Abfluss, Datenbankmanipulationen vermeiden
  7. Compliance-Vorgaben einhalten
  8. Cyberversicherungs-Police reduzieren

Ihnen fehlt die Orientierung? Wir helfen Ihnen, die Richtung zu finden!