In Deutschland gibt das Bundesdatenschutzgesetz NEU (BDSG NEU) (in Österreich Datenschutzgesetz 2000, hier vor allem §14) an, nach welchen Regeln persönliche Daten verwaltet, gehalten, gespeichert und verarbeitet werden müssen. Relevant sind vor allem die in §9 aufgeführten Sicherheits- und Schutzanforderungen. Hier werden die physischen Anforderungen (Brandschutz, Backups, etc.), aber vor allem auch Datenschutz spezifische Anforderungen, wie die sichere Haltung und Übertragung (verschlüsselt) von Daten, aufgeführt. Des Weiteren fordert die neue Regelung des Bundesdatenschutzgesetzes die Tests der Belastbarkeit der Netze.

Bei schwerwiegenden Verletzungen ist mit Geld- und Freiheitsstrafen zu rechnen.

Sollten Daten zum Beispiel von innen oder außen entwendet werden, findet diese Regelung Anwendung.

Um einen größtmöglichen Schutz der Daten zu gewährleisten, muss die IT-Sicherheit auf dem Stand der aktuellen Technik sein, sowohl physisch als auch in Bezug auf Verschlüsselung, Firewalls, Anti-Viren-Software, etc. Damit dies sichergestellt sein kann, müssen die Systeme, das Netzwerk, Zugänge von innen und außen überprüft und evaluiert werden. Somit können Schwachstellen identifiziert und folgerichtig behoben werden. Wie zahlreiche Beiträge, Nachrichten und Artikel der letzten Jahre zeigten, sind die Gefahren allgegenwärtig. Ob Versicherungsunternehmen, Energiekonzerne, unzählige Behörden und staatliche Einrichtungen und auch kleine, sowie mittelständige Unternehmen. Jedes Unternehmen, jede Einrichtung kann betroffen sein, meist sogar unbewusst.

Der Schlüssel ist die Schwachstellenanalyse von innen, von außen und auf Web-Applikationen die zur Verfügung gestellt werden (FTP-Dateidienste, Mail, Webseite, Kontaktformulare, etc.).

Wir bieten Ihnen, je nach Anforderungen,

  • interne Audits
  • externe Audits
  • Web-Analyse

Unsere angesetzten Audits, die Schwachstellenanalyse, der Schwachstellenscan samt Evaluierung und daraus folgende Lösungsansätze, laufen standardisiert nach Verfahren ab, welche auch im internationalen Umfeld in öffentlichen Einrichtungen, Behörden, Regierungsbehörden, übergeordneten Behörden, sowie militärischen Einrichtungen angewandt werden. Dies stellen wir durch den Einsatz hoch professioneller Werkzeuge (Analysetools), geschulten und erfahrenen Personals (aus Behördenkreisen, mit tiefgründiger IT-Sicherheitsausbildung) und der nötigen Netzwerk- und Systemressourcen, sicher.

Unsere Berufung ist Ihre Sicherheit

Ständig Up-to-Date können wir Ihnen tagesaktuell im Rahmen der IT-Sicherheit all umfänglich zur Seite stehen.

Interne Audits

Interne Software- und Infrastruktur-Schwachstellenanalyse unter Berücksichtigung von Counter Terrorism, Bewusstsein in Bezug auf kritische Infrastrukturen und Energiesicherheit, sowie Informationssicherheit.

  • Softwareschwachstellenanalyse
    • Versionierung
    • Sicherheitsupdates
    • Counter Terrorism (AV-Software)
  • Infrastrukturschwachstellenanalyse
    • Domäne
    • Filesysteme
    • Authentifizierung- und Autorisierungsverfahren/-strategien – sinnvolle Nutzerverwaltung (User und ihre Privilegien), sowie Compliance
    • Topologie Analyse
    • physische Analyse -> Standorte von Systemen, Redundanzen, Brandschutz, Risikoanalyse
    • Identifizieren von Shadow-IT
    • Prüfen der Netzwerkinfrastruktur, HW und SW Versionierung sowie Überprüfung der eingestellten Sicherheitsstandards unter Bezug auf Hardening-Guides – Incident Response und Handling
    • Backupstrategien prüfen
    • Prüfend des Incident Handling Prozess (sind alle Enabler die benötigt werden im benötigten Umfang vorhanden/zur Verfügung gestellt und werden diese zielgerichtet, ausgerichtet an den UN-Zielen, eingesetzt)
    • Prüfung des Incident Managements (Incident Response[RACI] Eskalation).

Externe Audits

Hierbei werden Techniken eingesetzt, die überwiegend aus dem militärischen Umfeld stammen. Die Schwierigkeit hierbei ist nicht das ermitteln der Daten, sondern die Interpretation der selbigen, sowie das erneute und weitergehende Einsetzen tiefer gehenden Analysen. Somit wird aus scheinbar Zusammenhangslosen Daten, ein umfassendes Bild des Unternehmens, der Mitarbeiter und der Umgebung. (quasi Intelligence)

Umfang:

  • Informationen
    • öffentlich zugängliche Informationen,
    • sowie Informationen, welche öffentlich zugänglich sind aber geschützt sein sollten
  • Schwachstellenanalyse,
    • physisch (geolokal),
    • identifizieren und auswerten von Metadaten,
    • identifizieren von Infrastruktur und sich daraus ableitender möglicher Angriffe
    • Abgleich mit Schwachstellen-Datenbanken der bekannten CERTs (Computer Emergency Response Teams, der NATO, der Wirtschaft, deutscher und europäischer Behörden)
    • Compliance (wenn durch Sicherheitsrichtlinien im Unternehmen ein bestimmter Umgang mit sensiblen Daten vorgeschrieben wird)

Mehrwert eines externen Audits

  • Compliance Management, identifizieren ob mit internen Informationen nach außen so umgegangen wird, wie es in internen Sicherheitsrichtlinien beschrieben wird
  • oder es existiert derzeit keine solche Regelung und es soll identifiziert werden in wie fern bereits Daten nach außen gedrungen sind. bzw. nach außen dringen
  • Bewusstsein einzelner Personen bezüglich des Umgangs mit Firmendaten sensibilisieren
  • Personen im Unternehmensbereich identifizieren, die möglicherweise bevorzugt Opfer von Angriffen, wie zum Beispiel Spear-Fishing-Angriffen, werden könnten
  • Angriffspunkte der Unternehmensinfrastruktur von außen identifizieren
  • OSINT (Open-Source-Inteligence) – Analyse

Web-Analyse

  • Überprüfung und Analyse der:
    • Architektur
      • Browserebene
      • Applikationslogik am Applikationsserver
      • Datenbanken im Hintergrund als Persistenz Schicht
    • Komponenten der Webanwendungen, wie:
      • Webserver
      • eingesetzte Programmiersprachen
      • Frameworks
      • gegebenenfalls eigener Code
      • Datenbank-Server
    • Authentifizierung und Autorisierung
      • Authentifizierungen an Web-Applikationen
      • Web-Sessions und Session Management