Expertise Consulting Leistungen

IT is not as complicated
as you might think.

IT is Certitude.

Unsere Expertise

In einem vernetzten und von Informationen abhängigen Geschäftsumfeld steigt das Risiko von Schäden durch den Verlust der Vertraulichkeit, Verfügbarkeit oder Integrität von Informationen. Ereignisse wie der Ausfall kritischer Ressourcen oder Cyber-Angriffe können die Fortführung der Geschäftstätigkeit gefährden. Certitude unterstützt Sie, diese Risiken zu managen, sich davor zu schützen und gleichzeitig neue Geschäftschancen optimal zu nutzen. Die wesentlichen Themen sind:

/ umfassender Schutz Ihrer Informationen und Systeme

Aufgrund der wachsenden Bedeutung und der zunehmenden Komplexität der Informations- und Kommunikationstechnologie (ICT), stellt das Management von ICT-Risiken einen klaren Wettbewerbsvorteil dar. Auch die Aufsichtsbehörden sind sich der immer bedeutender werdenden Möglichkeiten und Risiken, welche aus der Informations- und Kommunikationstechnologie resultieren, bewusst und intensivieren aufgrund der gestiegenen Risikolage die Anforderungen an das Management von ICT-Risiken.

Das ICT & Security Risk Management ist keine separate Maßnahme, sondern vielmehr ein strategisches Bündel verschiedener Grundsätze, Prozesse und Technologien. Das ICT & Security Risk Management beinhaltet unter anderem folgende Themengebiete:

>  ICT Strategie und Governance / ICT Strategie und Informationssicherheitsziele, ICT Governance- und Kontroll-Rahmen

> Schutz der ICT-Assets / Beurteilung der Kritikalität von ICT-Infrastruktur (Hard- und Software, Applikationen und Informationen), Maßnahmen und Handlungsanweisungen zum Schutz der Assets

> Technische Betriebssicherheit / Firewall-Strategie, Endpoint Protection, Netzwerksegmentierung, Konfiguration von Netzwerkkomponenten, Sicherheitspatches, GPO Audit, Active Directory

> Berechtigungsmanagement / Schutz vor missbräuchlicher Verwendung und unautorisierter Manipulation von Daten und ICT-Systemen, Berechtigungen gemäß Need-to-Know-Prinzip, Authentifikation und User-spezifische Nachverfolgbarkeit von Zugriffen

> Privilegierte Benutzer / Sicherheitsmaßnahmen und Kontrollen über privilegierten Zugriff auf Daten und ICT-Systeme, rollenbasierter Zugang, Protokollierung, Logging und Überwachung von Unregelmäßigkeiten, starke Authentifizierung

> Zugangsmanagement und Zutrittssteuerung / physischer Schutz von ICT-Systemen und Informationen, Schutz von sensiblen Bereichen, Einschränkung und Nachverfolgbarkeit des Zutritts

> Schutz von kritischen Bereichen / Schutz von Speichermedien und Betriebsmitteln, Stromversorgung, Kühlsysteme und Brandmeldeanlagen

> ICT Service Management / Governance des ICT Service Managements, ICT-Asset-Management (u.a. Konfiguration, Abhängigkeiten, Lifecycle, Backup), ICT Incident und Change Management

> Business Continuity Management / Business Impact Analyse, Business Continuity Planung, Notfall- und Krisenplan, Überprüfung der Notfall-/ Wiederanlaufplanung, Krisenkommunikation

> Auslagerungsmanagement / Vertragliche Ausgestaltung & SLAs, Prozesse zum Monitoring der Dienstleistungserbringung

Ziel des ICT & Security Risk Managements ist die Erhöhung der Widerstandsfähigkeit gegen Bedrohungen für die eigenen Informations- und Kommunikationssysteme und damit die Vermeidung möglicher wirtschaftlicher Schäden. Nutzen Sie unsere Hands-on Expertise und lassen Sie sich dabei von den Beratern von Certitude unterstützen.

/ Cyber-Risiken identifizieren und beherrschen

Cyber-Attacken kosten Unternehmen inzwischen Milliarden Euro. Cyber-Risiken stellen für viele Unternehmen ein wesentliches Risiko dar und die fortschreitende Digitalisierung vieler Branchen verschärft die Gefahrenlage zusehends. Cyber-Angriffe reichen von der Installation von Spyware über eine Phishing E-Mail an Mitarbeiter bis hin zu Versuchen, die komplette IT-Infrastruktur eines Unternehmens zu sabotieren (DDoS-Angriffe). Ein Cyber-Angriff kann zu einem mehrwöchigen Geschäftsstillstand und damit zu einem enormen finanziellen Schaden führen und durch Reputationsschäden Kundenbeziehungen auf Dauer belasten.

Cyber Security ist in Unternehmen und Organisationen auf zahlreichen Ebenen ein zentrales Thema und eine Herausforderung. Da immer mehr Informationen über digitale Kanäle fließen, sind Unternehmen auf eine sichere IT-Umgebung für den Umgang mit den sensiblen Daten ihrer Nutzer angewiesen. Ein wirksamer, effizienter Prozess aus technischen und organisatorischen Sicherheitsmaßnahmen ist die Basis für eine erfolgreiche Abwehr von Cyber-Angriffen.

Unternehmen müssen Taktiken entwickeln, durch die sie potenzielle Cyber-Attacken aufdecken und abwehren können. Außerdem müssen sie wissen, was im Falle eines Cyber-Angriffs geschehen muss. Der Aufbau einer leistungsstarken Risikoidentifikation/-beurteilung, eines in der Praxis bewährten Notfallmechanismus (Cyber Response Plan) für Ernstfälle, sowie das Verständnis aller Mitarbeiter, warum Cyber Security wichtig ist und welche Rolle sie selbst beim Schutz vor Angriffen spielen, sind die zentralen Kernelemente.

Certitude unterstützt Sie bei der Entwicklung Ihrer Strategie, die Ihre Cyber-Risiken, Ihre Schwachstellen und alle wesentlichen Anforderungen an die Cyber Security berücksichtigt. Mit unserem ganzheitlichen Ansatz und einem geeigneten Maßnahmenpaket unterstützen wir Sie dabei, Cyber-Risiken angemessen zu managen.

/ Software sicher entwickeln und betreiben

Sicherheit ist sowohl für Entwickler als auch für Nutzer der Anwendungen eine wichtige Komponente der Security Strategie.

Für Nutzer ist sie oft ein wichtiges Kaufkriterium und Sicherheitsmängel können für Entwickler große Reputationsschäden anrichten. Je früher Sicherheitsaspekte im Softwareentwicklungszyklus berücksichtigt werden, umso günstiger und effektiver ist deren Beseitigung. Leider wird Sicherheit bei der Entwicklung oft gar nicht oder sehr spät berücksichtigt und architekturelle Mängel lassen sich dann meist nur schwierig und teuer beheben.

Gerade auch für Software-as-a-Service (SaaS) Provider sollte Sicherheit ein zentrales Thema sein, da Kunden ihre sensiblen Daten den SaaS Provider anvertrauen. Die Höhe des Gesamtschadens von Hackerangriffen ist meist sehr hoch, da Auswirkung auf mehrere oder gar alle Kunden möglich sind. Auch das Risiko unzureichender Isolation zwischen verschiedenen Kunden besteht, wodurch einen Zugriff auf fremde Kundendaten ermöglicht werden könnte.

Selbst für Nutzer zugekaufter Software ist Sicherheit von Bedeutung. Da Anwendungen meist nicht, oder nicht vollständig, durch Firewalls oder andere Sicherheitsinfrastruktur geschützt werden können, sind sie ein von Angreifern oft gewähltes Ziel für einen Einbruch ins oder die Weiterverbreitung im Unternehmensnetzwerk. Selbst eine sichere Anwendung kann durch falsche Konfiguration Sicherheitslücken aufweisen. Nicht nur externe Angreifer sind dabei zu berücksichtigen, sondern auch die interne Rollenaufteilung und das Need-to-Know Prinzip müssen meist durch Anwendungen abgebildet und erzwungen werden, insbesondere in kritischen Geschäftsprozessen.

Certitude hilft Ihnen bei der Bewertung des Sicherheitsniveaus sowie beim Auffinden von Schwachstellen durch Sicherheitsüberprüfungen in Form von Bedrohungsanalysen, Penetrationstests oder Code-Reviews. Für Softwareentwicklungsprojekte empfiehlt sich vor allem eine Berücksichtigung von Sicherheitsaspekten bereits früh im Softwareentwicklungszyklus. Certitude unterstützt Sie durch die Planung einer sicheren Architektur sowie des Coachings der Entwickler zur Vermeidung häufiger Schwachstellen und Risiken und begleitet Sie während des gesamten Lifecycles zur nachhaltigen Sicherstellung der Sicherheit Ihrer Software.

/ organisatorischen und technischen Bereitschaft für Sicherheitsvorfälle

Während Angreifer oft nur eine einzige Lücke finden müssen, um Schaden anzurichten, muss ein Unternehmen alle Fronten der Informationssicherheit berücksichtigen und darf sich kaum Fehler erlauben. Obwohl umfangreiche Security Strategien und ein hoher Cyber Security Reifegrad die Wahrscheinlichkeit und das Schadensausmaß von Angriffen deutlich reduzieren können, kann ein gewisses Risiko nie vollständig ausgeschlossen werden.

Leider halten sich Angreifer im Durchschnitt mehrere Monate in Unternehmensnetzwerken auf, bis der Angriff erkannt wird. Durch die falsche Reaktion auf Sicherheitsvorfälle werden häufig Beweismittel zerstört, wodurch das Schadensausmaß nicht mehr klar festgestellt werden kann. Angreifer bauen sich gerne Hintertüren ins Unternehmensnetzwerk ein, sodass sie, falls sie erkannt und ausgesperrt werden, zu einem späteren Zeitpunkt wieder Zugriff erlangen können. Durch nicht klar geregelte Verantwortlichkeiten wird die Reaktion auf den Vorfall verzögert und durch unklare Kommunikationswege dringen möglicherweise sensible Information über den Vorfall nach außen und an Medien. Der Schaden des Angriffs wird somit durch Unwissenheit und Fehler noch weiter erhöht.

Selbst wenn ein Unternehmen umfangreiche Sicherheitsmaßnahmen implementiert hat, kann es, bei Betrachtung eines größeren Zeitraumes, Sicherheitsvorfälle keinesfalls ausschließen, sondern muss sogar damit rechnen. Aufgrund der möglichen Schadenshöhen, ist ein Return-on-Investment für die grundlegende Vorbereitung auf Sicherheitsvorfälle meist schon nach kurzer Dauer gegeben.

Certitude unterstützt Sie bei der Schaffung einer organisatorischen und technischen Bereitschaft (Readiness) für Sicherheitsvorfälle, angepasst an Ihre Rahmenbedingungen. Dies beinhaltet u.a. die Etablierung von Security Monitoring zur Erkennung von Angriffen, die Erstellung von Vorgaben und Prozessen für die Vorfallbehandlung und die Schaffung von Tools und Hilfsmitteln zur raschen Reaktion. Unser Ziel ist die Vorbereitung Ihrer Mitarbeiter, Prozesse und Technologien auf Sicherheitsvorfälle, damit Sie Angriffe zeitnah erkennen und schnell sowie angemessen reagieren können und damit Schäden begrenzen.

/ den operativen Geschäftsbetrieb sicherstellen

In jedem Unternehmen gibt es immer wieder kleine Störungen, kurzfristige Stromausfälle, Personalengpässe, Ausfälle von Applikationen oder defekte Geräte. Für derartige kurzzeitige Ausfälle von Ressourcen mit nur geringem Schaden gibt es in der Regel einfache Lösungen, die Bestandteil des Geschäftsalltags sind.

Doch wie gelingt es Ihrem Unternehmen, die Geschäftsprozesse bei schwerwiegenden Störungen und länger andauernden Ausfällen aufrecht zu erhalten? Wissen Sie über die Anfälligkeit Ihres Unternehmens sowie über mögliche Auswirkungen solcher Szenarien Bescheid und fließen diese Informationen in Ihr strategisches und operatives Management ein?

Jedes Unternehmen kann früher oder später von einem Notfall bzw. einer Krise betroffen sein. Risikobewusste Unternehmen beschäftigen sich daher präventiv mit Business Continuity Management (betriebliches Kontinuitätsmanagement), bevor es zu einem derartigen Zwischenfall kommt. Das Business Continuity Management hat das Ziel, kritische Geschäftsprozesse jederzeit aufrechtzuerhalten oder im Ernstfall die betroffenen Geschäftsprozesse schnellstmöglich wiederaufzunehmen und in den Normalbetrieb zurückzukehren. Es bezeichnet die Entwicklung von Strategien, Notfallplänen und Maßnahmen, um Tätigkeiten oder Prozesse Ihres Unternehmens, deren Unterbrechung ernsthafte Schäden oder existenzbedrohende Verluste bedeuten würde, zu schützen und alternative Abläufe zu ermöglichen. Dafür werden unternehmensgefährdende Risiken und deren Auswirkungen analysiert und minimiert.

Der BCM-Risikomanagementprozess wahrt die Aufrechterhaltung kritischer Geschäftsprozesse und verhindert dadurch Reputations-, Compliance- oder finanzielle Verluste. Certitude unterstützt Sie Hands-on bei Aufbau und Weiterentwicklung Ihres Business Continuity Managements.

/ nachhaltige Aufrechterhaltung der Sicherheit Ihrer Infrastruktur

Die IT-Infrastruktur von Unternehmen ist meist vielfältig und beinhaltet verschiedene Komponenten und Technologien. IT-Sicherheit muss überall bedacht und berücksichtigt werden, ansonsten kommt es möglicherweise zu ausnutzbaren Schwachstellen. Meist spielt das Microsoft Active Directory eine zentrale Rolle bei der Verwaltung von Benutzern und Geräten und muss daher besonders geschützt werden. Dies ist jedoch nicht möglich ohne eine geeignete Netzwerksicherheit, die zum Beispiel durch Netzwerksegmentierung und Sicherheitskomponenten wie Firewalls und Intrusion Detection Systeme (IDS) erreicht werden kann. Auch physische Sicherheit ist dabei unabdingbar, denn erlangt ein Angreifer einmal physischen Zugang zu Servern oder Geräten, kann Sicherheit meist nicht mehr gewährleistet werden.

Es zeigt sich also bereits die Komplexität dieses Themas. Die nachhaltige Aufrechterhaltung der Sicherheit von Infrastruktur ist daher nur mit geeigneten Betriebs- und Sicherheitsprozessen möglich, die Sicherheitsaspekte in Unternehmensabläufe integrieren. Infrastruktursicherheit ist also kein rein technisches Thema. Neben unserer Expertise im Bereich Infrastruktursicherheit, haben unsere Berater auch Erfahrung im operativen Betrieb und können Sie daher mit praxistauglichen und an Ihre Rahmenbedingungen angepassten Vorschlägen und Konzepten unterstützen.

Certitude unterstützt Sie bei der Bewertung des Sicherheitsniveaus, zum Beispiel durch Soll/Ist Abgleiche oder Penetrationstests, sowie der Planung und Umsetzung eines an Ihr Unternehmen angepassten Sicherheitskonzepts. Unser Ziel ist es eine effiziente Reduzierung der Sicherheitsrisiken durch praxistaugliche und erprobte Konzepte für Sie zu erreichen.

/ Auslagerungsrisiken beurteilen und steuern

Es gibt eine Reihe von Gründe, die IT-Infrastruktur an einen externen Dienstleister auszulagern, angefangen von der Reduktion der IT-Kosten und dem professionellen Management durch hochspezialisierte Dienstleister, dem Zugang zu innovativsten Technologien, bis zur Möglichkeit, sich voll und ganz auf das Kerngeschäft konzentrieren zu können. Aus ökonomischen Gesichtspunkten kann die Auslagerung der IT-Infrastruktur einen wesentlichen Wettbewerbsvorteil darstellen. Aber kennen Sie auch die Risiken, die daraus für Ihr Unternehmen entstehen, und viel wichtiger, beurteilen und steuern Sie diese Risiken angemessen?

Über die klassischen Auslagerungs-Risiken wie z.B. Ausfallsrisiko, Reputationsrisiko, strategisches Risiko oder Risiko der Abhängigkeit vom Dienstleister müssen bei einer Auslagerung von sensiblen oder kritischen Komponenten der IT-Infrastruktur vor allem Risiken im Zusammenhang mit der Informationssicherheit analysiert und bewertet werden. Die Ergebnisse der Analyse sind im Rahmen der Vertragsgestaltung mit dem Dienstleister zu berücksichtigen. Des Weiteren müssen die notwendigen Prozesse und Kontrollen zur angemessenen Steuerung der Risiken im Unternehmen implementiert werden. Nur so kann sichergestellt werden, dass die Auslagerung im Einklang mit den Strategien unter Berücksichtigung der Risikobewertung des Unternehmens gesteuert wird.

Das Management der Informationssicherheit im Rahmen einer Auslagerung wahrt die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen unter Anwendung eines Risikomanagementprozesses und stellt die Steuerung von Risiken sicher. Der effiziente Auf- und Ausbau Ihres Auslagerungsmanagements setzt Know-how und operative Erfahrung der IT-Infrastruktur und des Risikomanagements voraus. Nutzen Sie unsere Expertise und lassen Sie sich dabei von den Beratern von Certitude unterstützen.

/ sensible Informationen schützen

Informationen sind, unabhängig vom Geschäftsmodell, ein wesentlicher Baustein für die operative Geschäftstätigkeit. Heute steht der Erfolg jedes Unternehmens in direktem Zusammenhang mit seinem Umgang mit der Ressource Information. Die Bedeutung von Informationen und die damit verbundenen Informations- und Kommunikationstechnologien wird ohne Zweifel in Zukunft weiter steigen.

Das Informationssicherheitsmanagementsystem (ISMS) ist ein unternehmensweites Managementsystem, das die Erfüllung der Sicherheits- und Kontinuitätsziele für Informationen nachhaltig und effektiv sicherstellt. Das ISMS wahrt die Vertraulichkeit, Integrität und Verfügbarkeit von Information unter Anwendung eines Risikomanagementprozesses. Das Managementsystem umfasst alle Regelungen, Methoden und Prozesse, die für die Steuerung zur Erreichung der Informationssicherheitsziele Ihres Unternehmens sorgen.

Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar steuert. Es berücksichtigt die aktuelle Bedrohungslage und definiert auf dessen Grundlage wirksame Maßnahmen zum Schutz der Informationen.

Die Einführung eines ISMS stellt für Unternehmen eine strategische Entscheidung dar. Konzeption und Umsetzung des ISMS innerhalb Ihres Unternehmens richten sich nach den Unternehmenszielen, den Sicherheitsanforderungen, den organisatorischen Abläufen sowie nach Größe und Struktur Ihrer Organisation.

Es ist wichtig, dass das ISMS als Teil der Abläufe Ihres Unternehmens in der übergreifenden Steuerungsstruktur integriert ist und die Informationssicherheit bereits bei der Konzeption von Prozessen, Informationssystemen und Maßnahmen berücksichtigt wird. Die Umsetzung eines ISMS ist entsprechend den Bedürfnissen Ihrer Organisation zu skalieren. Die Herausforderung der Implementierung eines ISMS liegt darin, dass es entlang der gesamten Wertschöpfungskette wirkt und von allen Mitarbeitern Ihres Unternehmens bewusst angewandt werden muss.

Mit dem Anspruch, die Informationen Ihres Unternehmens zu schützen, trägt ein ISMS entscheidend zur Risikoreduktion im Falle eines Informationssicherheitsvorfalls bei. Ein funktionierendes und wirksames ISMS schützt nicht nur die Vertraulichkeit, Verfügbarkeit und Integrität kritischer Informationen, es ermöglicht aufgrund des risikoorientierten Ansatzes, Schutzmaßnahmen effizient einzusetzen, um das Schadenspotential auf ein akzeptables Niveau zu reduzieren.

Der effiziente Auf- und Ausbau Ihres ISMS setzt Know-how und operative Erfahrung mit Informationssicherheit, IT-Security, IT-Infrastruktur und Risikomanagement voraus. Nutzen Sie unsere Hands-on Expertise und lassen Sie sich dabei von den Beratern von Certitude unterstützen.

/ technische und organisatorische Maßnahmen zum Datenschutz angemessen umsetzen

Die Datenschutz-Grundverordnung ist seit dem 25. Mai 2018 die Grundlage des allgemeinen Datenschutzrechts in der EU und Österreich. Verstöße gegen Datenschutzbestimmungen können für betroffene Unternehmen und ihre Verantwortlichen drastische Folgen haben. Durch die DSGVO müssen Unternehmen nachweisen, dass sie die Vorgaben der Verordnung erfüllen - ein nicht zu unterschätzender Aufwand. Unternehmen drohen bereits für nicht datenschutzkonforme Prozesse Strafen.

Darüber hinaus können Datenschutzverstöße weitere Folgen, wie u.a. Schadensersatzansprüche Betroffener oder Geld- und Freiheitsstrafen nach sich ziehen. Auch die verantwortlichen Organe und Führungskräfte können persönlich zur Verantwortung gezogen werden, wenn sie ihren Aufsichtspflichten nicht nachkommen. Von den mit Datenschutzverstößen einhergehenden Reputationsschäden ganz zu schweigen. Eine wirksame und effektive Vermeidung von Datenschutzverstößen ist daher unerlässlich. Hierzu ist die Einrichtung eines angemessenen und wirksamen Datenschutzmanagements erforderlich.

Aufgrund der Komplexität der Materie ist ein interdisziplinärer Ansatz erforderlich, der organisatorische, juristische und technische Fragestellungen beantwortet. Certitude unterstützt Sie dabei, im Sinne Ihrer Kunden, und um rechtliche Konsequenzen zu vermeiden, die gesetzlichen Vorgaben zu technischen und organisatorischen Maßnahmen zu erkennen und korrekt umzusetzen.