IT-Security Assessment: Ihr Wegweiser zur IT-Sicherheit

Security-Assessment: Ihr Wegweiser zur
IT-Sicherheit

Unternehmen stehen vor der Herausforderung, ihre IT-Sicherheit und Informationssicherheit fachgerecht zu administrieren und permanent zu überwachen. Regulatorischer Zwang erhöht den Handlungsdruck weiter.


Doch dabei stellt sich häufig die Frage:


  • Wo stehen wir 🤔?
  • Was haben wir übersehen 🤔?
  • Was können wir besser machen 🤔?
  • Wer kann uns objektiv beraten (ohne Schlangenöl zu verkaufen) 🤔?
  • Sind wir bereit, ein ISMS umzusetzen 🤔?


Neue Gesetze wie die NIS-2 Richtlinie, Anforderungen von zertifizierbaren ISMS Systemen wie der ISO/IEC 27001:2022, „klar Schiff machen“ nach einer Ransomware-Attacke oder schlicht der eigene Anspruch die Systemlandschaft durch einen unabhängigen, externen Experten bewerten zu lassen, die Gründe sind vielfältig.


Meine Dienstleistung „Ihr Wegweiser zur IT-Sicherheit“ basiert auf den vom Center for Internet Security® (CIS®) veröffentlichten Critical Security Controls® und zu Teilen auf dem BSI-Grundschutz (Stand 2023). Der Zweck dieser Dienstleistung ist es, strukturiert und mit Sachverstand, der IT sprichwörtlich „auf den Zahn zu fühlen“ und herauszufinden, wo „der Schuh drückt“. Mit der vollständigen Umsetzung und Pflege aller Maßnahmenoperiert Ihr Unternehmen nach gängigen, internationalen Best Practices und ist erheblich sicherer aufgestellt (eine 100 % Sicherheit kann es nicht geben). Als weiterer positiver Nebeneffekt ist nun auch der Anwendungsbereich (Scope) der erfolgten Analyse bereit, ein ISMS nach der ISO/IEC 27001:2022, mit relativ wenig Aufwand, umzusetzen. Alle behandelten Maßnahmen, lassen sich auf die Controls des Anhang A der ISO/IEC 27001:2022 verknüpfen.

Gray-Hat IT-Security Consulting Stephan H. Wenderlich, ist ein aktives CIS SecureSuite® Mitglied.

 

it-security assessment process

Themen Übersicht des Assessments

01 Inventarisierung und Kontrolle von Unternehmensressourcen

02 Inventarisierung und Kontrolle von Software-Assests

03 Daten-Sicherheit

04 Sichere Konfiguration von Unternehmensressourcen und Software

05 Account Management

07 Kontinuierliches
Schwachstellenmanagement

08 Audit Log Management

09 Schutz für E-Mail und Webbrowser

10 Malware-Schutz

11 Datenwiederherstellung

12 Verwaltung der Netzinfrastruktur

13 Netzwerküberwachung und -schutz

14 Security Awareness und Skills Training

15 Verwaltung von Dienstleistern

16 Sicherheit von Anwendungssoftware

17 Incident Response Management

18 Penetrationstests

19 ISMS Sicherheitsmanagement

Die Dienstleistung „Ihr Wegweiser zur IT-Sicherheit“ ist eine preisWERTE Pauschale.

Meine Dienstleistung lässt Sie nicht allein, ich stehe aktiv mit Rat und Tat an Ihrer Seite.

  • Objektiv, bodenständig und 100 % persönlich.
  • Ohne den Teufel an die Wand zu malen.
  • Fehler beim Namen nennen, Dinge genau unter die Lupe nehmen und vorausschauend arbeiten.
  • Technik und Compliance aus einer Hand.
  • Immer in Zusammenarbeit mit Ihrem IT-Team.
  • Mit tiefgreifendem IT-Security Wissen aus der Praxis.
  • Mit tiefgreifendem IT-Infrastruktur Wissen aus der Praxis.
  • Mit intensivem Know-how der ISO/IEC 27001:2022 + ISO/IEC 27002:2022.
  • Mit intensivem Know-how der CIS Critical Security Controls®.
  • Bei Bedarf, 24x7!
  • In Oberhausen/NRW ansässig, in Deutschland zu Hause.

Die übliche Vorgehensweise

Schritt-1 Kick-Off

Während eines Kick-Off Termins wird Ihr Unternehmen und Ihr Team vorgestellt, sowie der Scope der Analyse bestimmt. Anschließend wird Ihre Systemlandschaft sowie dessen Kron-Juwelen besprochen.

Schritt-2 GAP-Interview

In einem geführten Interview auf Augenhöhe werden strukturiert und hoch fokussiert die bis zu 19 Kapitel mit bis zu ~171 Fragen bearbeitet. Als "Vollblut Informatiker", mit Jahren an praktischer Erfahrung, verfolge ich ein ganz spezielles Muster und hinterfrage besonders kritisch die Gegebenheiten, zeige typische Fallstricke auf und stelle pragmatische Lösungen vor. Ich achte peinlich darauf, dass der „~rote Faden~“ nicht verloren geht und Ihre Mitarbeiter passend abgeholt werden. Mein Ziel ist eine gemeinsame Auseinandersetzung mit den jeweiligen Themengebieten. Selbstverständlich ist, dass ich mir die nötige Zeit nehme und Ihnen aktiv zuhöre. Alle Fragestellungen verfolgen einen ganzheitlichen Kontext, der neben der rein technischen Komponente auch die formale Anforderung betrachtet wie z.B.:


  • Gibt es Richtlinien? Und wenn ja, werden diese auch gelebt?
  • Wurden alle Systeme behandelt oder nur eine Teilmenge?
  • Wer ist verantwortlich?
  • Gibt es eine Evidenz, die die Aussage des Gesprächspartners belegen?

Schritt-3 Konfigurations-Assessment

Ergänzend zu dem Fach-Interview, ist eine automatisierte Konfigurationsüberprüfung von 3 Systemen inkludiert* (z.B. 1x Linux basierter Server, 1x Windows basierter Server und 1x Windows basierter Client).


Mit dieser kleinen Stichprobe ermittle ich den IST-Zustand der ausgewählten Systeme und vergleiche deren Einstellungen mit der empfohlenen SOLL-Konfiguration, die auf internationale Best Practices basieren. Gefährliche Fehleinstellungen können so aufgedeckt werden.

Der Hintergrund der Stichprobe liegt in der objektiven Beurteilung der Systeme und der damit abgeleiteten Maßnahmenempfehlungen (z.B. die Forcierung einer Baseline-Security oder der Anwendung eines ganzheitlichen Schwachstellen Managements, auch als Vulnerability Management bekannt).

* VPN und Zugänge mit erhöhten Rechten nötig.

Schritt-4 Bericht Erstellung

Nach der umfangreichen Interview-Phase bewerte ich die Ergebnisse und erstelle darauf basierend einen Bericht. Zu etwaigen Missständen gebe ich konkrete Handlungsempfehlungen, die objektiv die Lösung im Auge hat und nicht Ihren Geldbeutel.

Schritt-5 Besprechung der Ergebnisse

Die gesammelten Erkenntnisse und der Bericht werden zusammen mit der Geschäftsführung und dem IT-Team besprochen.

Kontaktieren Sie mich
Share by: