Ihre Vorteile
-
Nachweis des Sicherheitsniveaus
Überprüfung der technischen und organisatorischen Informationssicherheit als Nachweis Ihres Sicherheitsniveaus.
-
Maßgeschneiderte Handlungsempfehlung
Unsere Beraterinnen und Berater bieten passgenaue Lösungen für Unternehmen unterschiedlicher Größen, Branchen und Strukturen.
-
Zertifiziertes Expertenteam
Die hochqualifizierten Consultants verfügen über weitreichende Erfahrung und Expertise in den Bereichen Informationssicherheit und IT‑Sicherheit.
Prüfung der Informations- und IT‑Sicherheit
Die Sicherheit von Informationen in Ihrem Unternehmen basiert auf vielfältigen Faktoren und Maßnahmen. Ein umfassendes Sicherheitskonzept umfasst alle Bereiche im Unternehmen und ist nicht nur ein Thema für die IT‑Abteilung, auch wenn diese mit der Implementierung von technischen Maßnahmen einen sehr wichtigen Teil dazu beiträgt. Aus diesem Grund prüfen wir im Rahmen des IT‑Security Checks nicht nur Prozesse und technische Maßnahmen Ihrer IT, sondern auch alle Bereiche und Prozesse, welche Informationen verarbeiten. Für die Durchführung des Checks prüfen wir unter anderem die vorhandene Dokumentation in Ihrem Unternehmen. Dies können z. B. Richtlinien oder IT‑Dokumentationen wie Netzwerkpläne sein.
Den Hauptanteil im IT‑Security Check bildet ein ca. eintägiges Interview mit allen für den Sicherheitsprozess relevanten Beteiligten in Ihrem Unternehmen. Insbesondere bei der Prüfung der technischen Maßnahmen kann auch auf Demonstration einzelner Systeme oder Funktionen zurückgegriffen werden. Diese Prüfmethode eignet sich insbesondere bei komplexeren Systemen oder z. B. Cloud‑Diensten. In einem Bericht werden dann alle Ergebnisse der einzelnen Prüfpunkte, Maßnahmen zur Optimierung sowie der Gesamteindruck festgehalten. Die daraus resultierenden Empfehlungen werden entsprechend priorisiert und auf Wunsch im Anschluss ausführlich besprochen.
Nicht nur aus Datenschutzgründen ist es sinnvoll, die eigenen Dienstleister auf die Erfüllung ihrer Pflichten des Auftragsverarbeitungsvertrags zu prüfen. Diese müssen entsprechende organisatorische und technische Maßnahmen zum Schutz Ihrer Daten treffen. Diese Dienstleisterkontrolle kann mittels des IT‑Security Checks durchgeführt werden. Insbesondere bei Dienstleistern, die z. B. zu Wartungszwecken auf IT‑Systeme oder Anlagen von der Ferne aus Zugriff haben, sollten regelmäßig dessen Sicherheitsmaßnahmen unabhängig geprüft werden.
Die Zahl sogenannter „Lieferkettenangriffe“, in welchen ein Angreifer über einen Dienstleister auf die Daten des eigentlichen Opfers zugreift, nehmen stetig zu. Aufgrund dessen sind solche Zugänge besonders zu schützen und entsprechende Unternehmen sorgsam, auch mit Blick auf Sicherheit, auszuwählen.
Der IT‑Security Check umfasst folgende Leistungen
- Überprüfung der organisatorischen und technischen Sicherheitsmaßnahmen
- Ermittlung von Schwachstellen
- Erstellung eines Berichts inklusive Maßnahmenempfehlungen
- Maßnahmenempfehlungen durch qualifizierte Berater in Informationssicherheit und IT‑Sicherheit
- Auch als Dienstleisterkontrolle geeignet
Häufige Fragen zum IT‑Security Check
Wir sagen Ihnen, was Sie zur IT‑Security Check wissen sollten.
Grundsätzlich ist es für jedes Unternehmen sinnvoll, regelmäßig die eigenen Sicherheitsmaßnahmen überprüfen zu lassen. Der Check überprüft, ob die entsprechenden Maßnahmen im Unternehmen implementiert und dokumentiert wurden. Dabei richtet sich der Check an alle Unternehmen unabhängig davon, ob sie sich nach einer konkreten Norm (wie bspw. der ISO 27001) ausrichten und wie sich interne Prozesse zur Informationssicherheit und IT‑Sicherheit gestalten.
Im Rahmen des Checks werden verschiedene organisatorische und technische Sicherheitsmaßnahmen überprüft, die jedes Unternehmen implementiert haben sollte, um ein zufriedenstellendes Sicherheitsniveau zu erreichen. Weiterhin ist der IT‑Security Check auch als Dienstleisterkontrolle geeignet, damit Sie überprüfen können, dass ihre Geschäftspartner die Ihnen anvertrauten Daten auch sicher speichern und verarbeiten.
Die IT‑Schwachstellenanalyse ist eine technische Überprüfung Ihrer in das Internet exponierten IT‑Systeme. Dabei werden die betroffenen Systeme aktiv technischen Tests ausgesetzt. Dies ist beim Security Check nicht der Fall. Hier werden keine Tools o.Ä. zum Testen Ihrer IT‑Systeme verwendet. Der IT-Security Check umfasst aber im Gegensatz zur IT‑Schwachstellenanalyse die gesamte IT-Infrastruktur bzw. die hierfür getroffenen Sicherheitsmaßnahmen und nicht nur die, für die aus dem Internet erreichbaren Systeme. Zudem werden auch organisatorische Maßnahmen und das Thema Informationssicherheit an sich in Ihrem Unternehmen geprüft und bewertet.
Möchte das Unternehmen sich gegen einen bestimmten Standard wie die ISO 27001 oder das IT‑Grundschutzkompendium vom BSI prüfen lassen, ist eine GAP‑Analyse besser geeignet. Insbesondere wenn eine Zertifizierung angestrebt wird. Ziel ist es, die Punkte zu identifizieren, die vom Standard abweichen und somit einer erfolgreichen Zertifizierung im Wege stehen. Eine solche detaillierte Analyse ergibt dann Sinn, wenn Sie eine Zertifizierung nach dem dementsprechenden Standard anstreben.
Der Prüfkatalog wurde u.a. auf Basis des IT‑Grundschutzkompendiums des Bundesamtes für Sicherheit in der Informationstechnik sowie der ISO 27001 Norm erstellt. Die wichtigsten Aspekte für ein gutes Sicherheitsniveau wurden aus den Standards entnommen und umfassen sowohl die Informationssicherheit als auch die IT‑Sicherheit. Weiterhin ist die Expertise aus jahrelanger Erfahrung mit Informations-, und IT‑Sicherheit sowie der Behandlung von IT‑Sicherheitsvorfällen miteingeflossen. Aus diesem Grund werden für den Check verschiedene Parteien u.a. aus dem Bereichen IT, HR oder Gebäudemanagement interviewt, um einen umfassendend Eindruck zu bekommen.
Die Bewertung der Ergebnisse erfolgt abhängig davon, ob relevante Maßnahmen umgesetzt, teilweise umgesetzt oder gar nicht umgesetzt wurden. Sofern Potential zur weiteren Verbesserung vorhanden ist, werden Maßnahmen empfohlen, unabhängig von der im Bericht getroffenen Einstufung. Zusätzlich werden die Maßnahmen entsprechend priorisiert.
Spezialisierte Consultants für Ihre IT‑Sicherheit
- BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
- ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
- GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
- IT-Sicherheitsbeauftragte (TÜV)
- Business Continuity Manager (TÜV)
- Informatiker und Wirtschaftsinformatiker
- Master of Science Informationsmanagement
- Bachelor of Science Informatik
- Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
- Cloud Information Security (ISO 27017/27018)
- Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
- Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
- Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
- Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
- ISO 27701 Lead Implementer
- TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
- Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
- IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
- Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)
Referenzen
Standorte
Kontaktieren Sie uns
PDF-Download