Consulting Weil Sicherheit Erfahrung braucht

Ab einer bestimmten Komplexität erfordert das Management der Informationssicherheit eine durchgängige Systematik, damit man den Überblick über Anforderungen und Umsetzung behält und "vor der Bugwelle" unvermeidlicher Probleme und Herausforderungen operiert: Ausgehend von regelmäßig zu aktualisierenden Risikobewertungen müssen Verantwortlichkeiten zugeordnet, Vorgaben abgeleitet und Richtlinien umgesetzt werden - und durch Kontrollen und Audits in einen Prozess der kontinuierlichen Verbesserung überführt werden.

Genau das leistet ein Informationssicherheitsmanagementsystem (ISMS). Es verknüpft Risikobewertungen, daraus resultierende risikoreduzierende Maßnahmen, deren Umsetzung und Überprüfung zu einem strukturierten Ganzen, das für ein klar definiertes, dokumentiertes und fortlaufend verbessertes Schutzniveau im Unternehmen sorgt.

Ein solches ISMS verringert nicht nur die operationellen Risiken im Unternehmen, sondern steigert auch dessen Wert: Es ist inzwischen ein wichtiges Prüfkriterium bei Due-Diligence-Prüfungen. Durch eine Zertifizierung können Funktionsweise und Qualität des ISMS auch gegenüber Kunden und Geschäftspartnern sichtbar gemacht werden.

Secorvo hat zahlreiche Unternehmen auf eine entsprechende ISO 27001-Zertifizierung vorbereitet - meist weit unter dem ursprünglich erwarteten Aufwand und immer mit deutlichen Qualitätssteigerungen beim Sicherheitsniveau. Eine Einführung in das Thema Informationssicherheitsmanagement bietet unser Seminar ISMS verstehen und planen.

Mehr zu unseren Beratungsleistungen zum Thema Informationssichereitsmanagement finden Sie hier.

Der BSI-Grundschutz war 1994 der erste Ansatz, Maßnahmen für ein einheitliches Mindestsicherheitsniveau in Unternehmen und Behörden zu definieren. Federführend von Frau Münch (BSI) vorangetrieben, wurde aus der ursprünglichen "FAQ" über die Jahre ein am Stand der Technik ausgerichteter IT-Sicherheitsstandard, der Sicherheitsmanagement, eine Umsetzungsmethode und Maßnahmenempfehlungen umfasst. 2017 wurde das Sicherheitsmanagement im BSI-Grundschutz am Standard ISO 27001 ausgerichtet.

Die Erfüllung des IT-Grundschutz-Standards kann man vom BSI zertifizieren lassen. Voraussetzung für die Durchführung eines Zertifizierungsaudits ist ein Auditor mit Zertifizierung als "Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz". Seit 2008 hat Secorvo zahlreiche Unternehmen und Behörden erfolgreich nach IT-Grundschutz auditiert, darunter 8COM, DE-CIX, DLR, EnBW und die Lebensversicherung von 1871, sowie viele weitere bei der Umsetzung von IT-Grundschutz unterstützt.

Mehr zu unseren Beratungsleistungen zum Thema IT-Grundschutz finden Sie hier.

Datenschutz und Informationssicherheit sind eng verwandt - während die Informationssicherheit dem Schutz aller Arten von schützenswerten Daten dient, konzentriert sich der Datenschutz auf personenbezogene Informationen. Datenschutz dient dem Schutz der "freien Entfaltung der Persönlichkeit" (Art. 2 Grundgesetz). Die daraus vom Bundesverfassungsgericht 1983 abgeleitete "informationelle Selbstbestimmung" ist inzwischen selbst ein Grundrecht - 2009 verankert in Art. 8 der EU-Grundrechtscharta.

Die Umsetzung der Anforderungen des Datenschutzrechts nach DSGVO, BDSG, KDG und weiteren spezialgesetzlichen Regelungen erfordert Gestaltung, damit berechtigte Unternehmensinteressen erreicht werden und zugleich die Rechte der Betroffenen geschützt bleiben. Werden beispielsweise Löschfristen, der Umgang Auskunftsersuchen und "Privacy by Default" schon zu Beginn des Lebenszyklus einer Verarbeitung - bei der Entwicklung oder der Lösungsauswahl - mitgedacht, wird Datenschutz zu einem Wettbewerbsvorteil.

Dirk Fox, Geschäftsführer von Secorvo, ist seit über 25 Jahren (1997) Herausgeber der im Verlag Springer Nature publizierten, monatlichen Fachzeitschrift Datenschutz und Datensicherheit (DuD) - der ältesten Datenschutz-Zeitschrift der Welt, die seit 1977 erscheint. Daher sind wir dem Thema Datenschutz seit der Gründung des Unternehmens eng verbunden.

Wir unterstützen ausgewählte Unternehmen als externer Datenschutzbeauftragter (EDSB), führen Datenschutzfolgenabschätzungen (DSFA) und Datenschutzaudits durch und helfen beim Aufbau eines Datenschutzmanagements nach einem von uns entwickelten praxisbewährten Reifegradmodell.

Mehr zu unseren Beratungsleistungen zum Thema Datenschutz finden Sie hier.

Ein wesentliches Element des Informationssicherheits- und Risikomanagements ist die regelmäßige Überprüfung der IT-Infrastruktur auf mögliche Schwachstellen. Ein Penetrationstest liefert dazu eine Momentaufnahme über das Vorhandensein bekannter Schwachstellen - das ist wichtig, aber keine Garantie für die Abwesenheit von technisch ausnutzbaren Angriffspunkten.

Eine Sicherheitsanalyse sollte daher auch das Sicherheitskonzept und die gesamte Infrastruktur in den Blick nehmen. Nur aus dieser Perspektive lässt sich feststellen, an welchen Stellen mögliche bisher unentdeckte Schwachstellen eine Bedrohung darstellen (Threat Modeling) und ob die ergriffenen Schutzmaßnahmen ausreichen, deren erfolgreiche Ausnutzung zu verhindern.

Mit unserer Erfahrung aus vielen hundert Sicherheitsaudits und unserem "unverstellten" Blick, mit dem wir Ihre Infrastruktur betrachten und analysieren, gelingt es uns immer wieder, nicht offensichtliche und bislang übersehene Schwachstellen zu identifizieren. Das ist weit mehr als Pentest alleine liefern kann, der sich naturgemäß auf die Aktualität und Konfiguration eingesetzter Systeme konzentriert, nicht aber auf deren Zusammenspiel und Abhängigkeiten sowie deren tatsächliche Bedeutung für die zentralen Geschäftsprozesse.

Mehr zu unseren Beratungsleistungen zum Thema Sicherheitsanalyse/Pentest finden Sie hier.

Software ist sicher - und die Erde eine Scheibe.

Sicherheitskritische Fehler in Software sind seit über zwei Jahrzehnten das Haupteinfallstor für Angreifer. Nicht zuletzt aufgrund der Leistungsfähigkeit moderner KIs (LLMs) hat die Zahl der entdeckten, zuvor unbemerkt ausgelieferten Software-Schwachstellen noch einmal dramatisch zugenommen. Diese wichtigste Ursache erfolgreicher Cyberangriffe auf Unternehmen und Behörden lässt sich nur über verbesserte Prozesse in der Softwareentwicklung beseitigen.

Daher engagieren wir uns seit vielen Jahren für "sichere Software-Entwicklung" - nicht nur in Projekten, in denen wir bei der Umsetzung sicherheitsorientierten Software Engineerings unterstützen, sondern auch durch die Entwicklung und Weiterentwicklung des Curriculums für das Seminar "TeleTrusT Professional for Secure Software Engineering". Seit 2006 haben wir mit diesem Seminar viele hundert Softwareentwickler mit den Prinzipien des Secure Software Engineering vertraut gemacht.

Mehr zu unseren Beratungsleistungen zum Thema Secure Software Engineering finden Sie hier.

Informationssicherheit zielt auf die Vermeidung von Sicherheitsvorfällen. Doch gänzlich ausschließen lassen sie sich nicht. Ist ein Vorfall eingetreten, haben Aufklärung und Schadensbegrenzung Priorität: Die Folgen lassen sich meist erst bewerten, wenn bekannt ist, was genau vorgefallen ist (ist eine Meldung bei einer Aufsichtsbehörde erforderlich und sind Kunden oder Geschäftspartner zu informieren?).

Auch für eine wirksame Schadensbegrenzung kann die Aufklärung bedeutsam sein (wie können verlorene Daten zurückgewonnen werden?). Die Vorfallsaufklärung mit Hilfe einer forensischen Analyse kann zudem gerichtsverwertbare Nachweise liefern und hilft bei der Auswahl von präventiven Maßnahmen zur Vermeidung zukünftiger Vorfälle.

Die Sicherung von Spuren sollte - wie in der "analogen" Forensik - möglichst schnell erfolgen, damit sie für die anschließende forensische Auswertung nicht verloren sind. Damit Spuren nicht zerstört und Schäden wirksam begrenzt werden, sollten Unternehmen zudem einen (im Idealfall eigenen) Vorfalls-Experten hinzuziehen. Dazu bilden wir nach dem Curriculum des BSI aus.

Mehr zu unseren Beratungsleistungen zum Thema IT-Forensik und forensische Analyse finden Sie hier.

Public-Key-Verfahren spielen eine zentrale Rolle in modernen IT-Infrastrukturen: für die Verschlüsselung von Nachrichten zwischen E-Mail-Servern, die Authentifizierung von Benutzern und Administratoren, die Integritätsprüfung von Softwareupdates, den Schutz von VPNs oder DKIM-Signaturen mit Domainkeys.

Seit dem Aufbau einer weltweiten PKI für die Deutsche Bank Ende der 90er Jahre haben wir zahlreiche große und mittelständische Unternehmen bem Aufbau und der Weiterentwicklung ihrer Enterprise PKIs unterstützt. Wir wirkten an der Spezifikation von E-Mail-Verschlüsselungsformaten mit, haben die European Bridge CA mit aufgebaut und das Testbed für ISIS-MTT (MailTrust) entwickelt.

Wir unterstützen bei allen Fragen rund um Public-Key Infrastrukturen - deren Konzeption und Aufbau, die Integration in das AD und die Verknüpfung mit Signatur-, Verschlüsselungs- oder Authentifikationsdiensten - und bei der Erstellung einer Cryptography Bill of Materials (CBOM), als Grundlage für die Umstellung auf Post-Quanten-Kryptografie (PQC) oder für das Risikomanagement nach NIS2.

Seit über 25 Jahren vermitteln wir mit unserem deutschlandweit einzigartigen PKI-Seminar Grundlagen und die erforderlichen Kenntnisse für den Aufbau, den Einsatz und den Betrieb von Public-Key Infrastrukturen.

Mehr über unsere Beratungsleistungen zum Thema PKI finden Sie hier.

Die Sensibilisierung der Mitarbeiter für Informationssicherheit ist eine wichtige Komponente in jedem Sicherheitsmanagement. Damit die Maßnahmen wirken ist eine messbare und präzise Zielsetzung unerlässlich: Welche Risiken und Bedrohungen erfordern ein spezifisches Verhalten der Mitarbeiter? Was müssen die Mitarbeiter dafür wissen? Wie lässt sich dieses Wissen effektiv vermitteln - und wie können nachhaltige Verhaltensänderungen bewirkt werden?

Seit 2002 unterstützen wir unsere Kunden in Awareness-Fragen. Weit über 30 große Awareness-Kampagnen und zahlreiche kleinere Projekte zur Verbesserung des Sicherheitsbewusstseins in Unternehmen haben wir seitdem konzipiert und durchgeführt oder begleitet. Zwei dieser Kampagnen wurden ausgezeichnet: die Awareness-Kampagne der EnBW (2022) und die Awareness-Kampange der T-Systems (2007) gewannen den Sicherheitspreis Baden-Württemberg.

Von großer Bedeutung ist auch die Erfolgsmessung - durch vorausgehende, anschließende und idealerweise eine kontinuierliche Bestimmung eines "Awareness-Index". Dazu haben wir zusammen mit dem Steinbeiß-Transferzentrum eine Evaluationsmethode entwickelt, die inzwischen in vielen Großunternehmen jährlich eingesetzt wird.

Mehr über unsere Beratungsleistungen zum Thema Awareness finden Sie hier.