IT-Sicherheit und Audits

Das gesamte Verfahren wird dem Auftrageber transparent gemacht. Es werden nach Möglichkeit keine versteckten Annahmen gemacht, die z.B. dazu führen, dass Bedrohungen unbetrachtet bleiben. Alle Bewertungen werden begründet, um subjektive Einflüsse zu erkennen und so weit wie möglich zu vermeiden. Alle Schritte werden so dokumentiert, dass sie später auch für andere nachvollziehbar sind. Ein derartiges Vorgehen erleichtert auch eine spätere Überarbeitung des IT-Sicherheitskonzeptes.

Zu Beginn erfolgt eine Analyse der aufgenommen Prozesse und der Security-Infrastruktur. Die erkannten Risiken werden aufgezeigt und in ihrer Bedrohung eingestuft. Daran schließt sich die Durchführung einer Bedrohungsanalyse für das Gesamtsystem (inkl. Ermittlung des Schadenumfangs und der Schadenskosten bei Eintritt eines Risikos) an. Abschließend erfolgt die Ermittlung des Sicherheitsbedarfs des Kunden.

Bei einem Penetrationstest testen wir den Schutz eines Systems auf seine Wirksamkeit, z.B. durch Durchdringen oder Umgehen der Firewallkonfiguration, Lahmlegen eines Servers oder Dienstes, Einsehen oder Kopieren von vertraulichen Daten, Verändern von Bestandsdaten, unberechtigtes Anmelden z.B. als Systemadministrator, Ausbrechen aus Anwendungsgrenzen etc..

Aus dem durchgeführten Audit, den vorgenommenen Tests und der gesichteten Kundendokumentation fertigen wir einen aussagefähigen und detaillierten Bericht, der Ihnen zeigt, wo Ihr Unternehmen steht. Wir bewerten individuell nach Kundenbedürfnis und gehen auf Ihre spezielle Situation ein. Dabei achten wir darauf, dass unsere Empfehlungen nicht vom Wunsch nach „Anschlussgeschäften“ beeinflußt sind, sondern wirklich für Sie hilfreich und lohnend sind.

Für technische Sicherheitslösungen kann man selbstverständlich sehr hohen Aufwand betreiben. Wir finden: Der Aufwand für die Konzeption, Einführung und den Betrieb der Lösung sollte dem Unternehmen angemessen sein.