ATSP SAP COMPLIANCE AFTERNOON

Transkript

1 ATSP SAP COMPLIANCE AFTERNOON THINK SAFE WORK SAFE 1

2 RISK & COMPLIANCE 2

3 RISK & COMPLIANCE 3

4 RISK & COMPLIANCE 4

5 RISK & COMPLIANCE 5

6 RISK & COMPLIANCE get clean stay clean control & certify 6

7 1 Begrüssung und Vorstellung ATSP 2 SAST GRC Suite - SAP Security in 4D 3 SAP Security Audit & Penetration Check 4 Projektvorgehen Einführung SAST GRC Suite 5 Sorglosigkeit kann teuer werden 6 Ihre Fragen unsere Antworten: Erfahrungsaustausch 7

8 UNSERE STANDORTE SCHWEIZ Leberngasse 21 CH 4600 Olten Telefon: OLTEN INNS- BRUCK WIEN ÖSTERREICH Anton-Melzer-Straße 11 A-6020 Innsbruck Brehmstraße 12 A-1110 Wien Telefon:

9 AT SOLUTION PARTNER FACTS & FIGURES Partner Center of Expertise > 50 Berater Full Service Provider > 25 Jahre Erfahrung Partnerschaftliches Verhältnis Passgenaue Lösungen 9

10 BRANCHEN PUBLIC SECTOR GESUNDHEITSWESEN INDUSTRIE FINANZDIENSTLEISTER 10

11 UNSERE KOLLEKTION Projektmanagement SAP Beratung Prozessmanagement Business Process Outsourcing KUNDE LÖSUNG QUALITÄT Implementierung Systemintegration Systembetrieb Schulungen Application Management 11

12 WIR FÜR SIE Durchgängige und bessere Prozesse schaffen Mehrwert für Sie das ist unser Ziel! Healthcare Financials & Logistics Human Ressources Basis Services Software Development Analytics 12

13 STRATEGISCHE PARTNERSCHAFT 13

14 IT-SICHERHEIT IN 4D? Handlungsempfehlungen für einen Rundumschutz Ihrer SAP-Systeme in Echtzeit! 14

15 UNSERE GRC-SUITE 15

16 RUNDUMSCHUTZ IN ECHTZEIT FÜR IHRE SAP-SYSTEME UNSERE MODULE IM ÜBERBLICK AKQUINET GRC-Suite SAST PLATFORM SECURITY System Security Validation IDENTITY AND USER ACCESS MANAGEMENT Authorization Management Superuser Management SECURITY INTELLIGENCE Risk and Compliance Management Interface Management Role Management HCM Read Access Monitoring Security Radar Download Management Safe Go-Live Management Password Self Service Management Dashboard User Access Management 16

17 HÖCHSTER SCHUTZ AUF ALLEN EBENEN DANK SAST E chtzeitprüfung mit SAST Prä sentations- E b e n e Spionage Manipulationen Rechtemissbrauch Datendiebstahl Hackerangriffe 17

18 AUSGEZEICHNETER SCHUTZ FÜR IHRE SAP-SYSTEME Kontrolle und Überwachung der gesamten Systemkonfiguration Analyse und Absicherung von SAP-Systemschnittstellen Schutz vor Datenverlust (Download-Überwachung) Lückenlose Protokollierung von lesenden Zugriffen Mandanten- und systemübergreifendes Berechtigungskonzept Benutzer- und Berechtigungsmanagement Automatische Generierung von SAP-Rollen Management von Risiken und mitigierenden Kontrollen Management von Notfall-Usern Integrierte Lösung zur Risikoanalyse und Steuerung Self-Service für einfaches Kennwort zurück setzen SIEM-Lösung zur Echtzeitüberwachung Ihrer SAP-Systeme 18

19 UNSERE SAP SECURITY & COMPLIANCE LÖSUNGEN GRC-Consulting und Managed Services SAP SECURITY ADVISORY Penetrationstests Security and Compliance Audits TECHN. SAP SECURITY System-Härtung BERATUNG und -Optimierung SAP-Security Guidelines BERECHTIGUNGSBERATUNG Konzeption und Implementierung Berechtigungsbereinigung SOFTWARE-EINFÜHRUNG MANAGED SAP SECURITY SERVICES GRC-Suite SAST PLATFORM SECURITY System Security Validation IDENTITY AND USER ACCESS MANAGEMENT Authorization Management Superuser Management SECURITY INTELLIGENCE Risk and Compliance Management Interface Management Role Management HCM Read Access Monitoring Security Radar Download Management Safe Go-Live Management Password Self Service Management Dashboard User Access Management 19

20 BEI UNS DREHT SICH ALLES UM IHRE SICHERHEIT UND DAS IN ECHTZEIT

21 SAP SECURITY AND COMPLIANCE: MAKE OR BUY? SIE BRAUCHEN EINEN SICHERHEITSMANAGEMENT-PROZESS Verhindern Erkennen Reagieren Bewältigen Lernen und verbessern 21

22 SAP SECURITY AND COMPLIANCE: MAKE OR BUY? SIE MÜSSEN DIE ÜBERW ACHUNG DER SCHW ACHSTELLEN UND BEDROHUNGEN SICHERSTELLEN Schwachstellen- und Berechtigungssuche Konfiguration SAP-Landschaft Benutzer und Berechtigungen Zyklisch Vorgangs- und Änderungs- Management Protokoll- und Verhaltens- Analysen Echtzeit Bedrohungserkennung in Echtzeit 22

23 Intelligente Filterung UNSERE MANAGED SAP SECURITY SERVICES Update Positiv-/ Negativ- Liste falsch-positive Treffer Ereignisse Untersuchungen AKQUINET SOC-Team! Sicherheitsvorfall Kundeninformation 1 Mio Sec-Logs Ereignisse 10 Untersuchungen 2 Vorfälle 23

24 UNSERE MANAGED SAP SECURITY SERVICES RUNDUMÜBERWACHUNG IHRER SAP-SYSTEME IN ECHTZEIT AKQUINET GRC-Suite SAST Überwachung System Konfigurationen SAP ERP SAP BI SAP CRM SAP SCM Netweaver Extraktion relevanter Log-Daten Sicherheits- Regeln Schwachstellen & Compliance Scan User- und Rollen-Management Funktionstrennungs-Analysen (SoD) Überwachung der Superuser Download Protokollierung Reports und Analysen SIEM Integration SAST Management Dashboard IBM QRadar

25 IDENTITY & USER ACCESS MANAGEMENT PLATFORM SECURITY UNSERE MANAGED SAP SECURITY SERVICES UNSER LEISTUNGSUMFANG FÜR SIE: Härtung der SAP-Systeme und fortlaufender Health-Check. Kontinuierliches Monitoring kritischer System-Konfigurationen. Permanente Analysen von Bedrohungen und Schwachstellen-Scans. Verhinderung kritischer Transaktionen und Reports, Systemänderungen, etc. Protokollierung unerwünschter Downloads aus den Systemen. Fortlaufende Unterstützung im Berechtigungsmanagement. User Antrags- und Änderungs-Workflows. Verhinderung von Funktionstrennungs-Konflikten. Unterstützung beim Rollenbau und Teilautomatisierung des Rollenmanagements mit Hilfe umfassende Template-Rollen für alle Branchen komplett SoD-frei

26 UNSERE MANAGED SAP SECURITY SERVICES VOLLE TRANSPARENZ FÜR SIE: Verlässliche Service-Level. Abgestimmte Reaktionszeiten je nach Schweregrad der Ereignisse. Information bei hochkritischen Events innerhalb von 60 Minuten. Support-Zeiten: Montag bis Freitag von 9:00 bis 17:00 Uhr (Ausweitung möglich) Regelmäßige Reports über alle eingetretene Vorfälle und erfolgte Prüfungen

27 IT-SECURITY IN 4D FÜNF PUNKTE, DIE SIE MITNEHMEN SOLLTEN: Security Monitoring bedeutet viel mehr als die Auswertung von Berechtigungen. Angriffserkennung benötigt Wissen, Tools und eine Organisation. Ressourcen für den Aufbau eines eigenen Security-Teams sind rar und teuer. Managed SAP Security Services sind dank Skalierung günstiger und effizienter AKQUINET ist der einzige Managed Security Service-Provider mit SAP-Schwerpunkt

28 SAP SECURITY AUDIT AND PENETRATION TESTS Wie Sie Schwachstellen in Ihren SAP-Systemen zuverlässig aufdecken. 28

29 AGENDA Einführung Begriffsdefinition Prüfungsfokus und Ablauf des Audits Ergebnisse 29

30 Simulierte Angriffe von uns sind fast immer erfolgreich. Die Sicherheit von SAP-Systemen wird viel zu häufig sträflich vernachlässigt. Bei 94% unserer Penetrationstests konnten wir uns erfolgreich Zugriff auf die lokalen Systeme verschaffen und fast immer auch in angeschlossene Systeme. In der Regel war unser Eindringen in < 1 Stunde erfolgreich. Keiner unserer Einbruchsversuche wurde von den eingesetzten Monitoring-Systemen erkannt! Ralf Kempf Geschäftsführer und Architekt der SAST-Suite 30

31 TRÜGERISCHE SICHERHEIT KANN SCHLIMME FOLGEN HABEN Solution Manager Wir konnten unentdeckt in ALLE angeschlossenen Systeme eindringen. B2B Portal Es waren bereits unentdeckte Administrator Accounts durch Hacker angelegt. Finanzsystem ABAP Backdoor wurde für Code-Manipulationen verwendet. Keiner der Einbrüche wurde durch die eingesetzten Monitoring-Systeme erkannt! 31

32 SAP SECURITY AUDITS UND PENTESTS MÜSSEN ALLE TECHNOLOGIEBEREICHE ABDECKEN. Echtzeitprüfung mit SAST Prä s e n t a t i o n s - E b e n e Spionage Manipulationen Rechtemissbrauch Datendiebstahl Hackerangriffe 32

33 4D IT-SECURITY: RUNDUMSCHUTZ IN ECHTZEIT! DAS AKQUINET-VORGEHENSMODELL Sicherheitslevel prüfen Security Assessment / Audit Penetration Test System- Härtung Härtung der Systeme auf ALLEN Ebenen Betriebssystem / Netzwerk / Datenbanken Basissystem / Berechtigungen / Konfigurierbare Kontrollen Anwendungen und Transaktionen Security Monitoring Überwachung der Zugriffe auf ALLEN Ebenen Betriebssystem / Netzwerk / Datenbanken Basissystem / Berechtigungen / Konfigurierbare Kontrollen Anwendungen und Transaktionen 33

34 Quelle: Gartner, Watchfire WARUM VULNERABILITY ASSESSMENT / PENETRATION TEST? BESONDERS WEB-ANWENDUNGEN SIND GEFÄHRDET. % ANGRIFFE % AUSGABEN 75% 25% Web- Applications Network- Server 10% 90% 75% 75% aller Angriffe auf Informationssicherheit finden im Web-Application Layer statt. aller Web-Anwendungen sind gefährdet. 34

35 Quelle: Bitkom Research 2017 WELCHE UNTERNEHMEN WAREN IN DEN LETZTEN 2 JAHREN VON DATENDIEBSTAHL, INDUSTRIESPIONAGE ODER SABOTAGE BETROFFEN? Ob KMU oder DAX-Konzern, mehr als jedes zweite Unternehmen war bereits betroffen. 35

36 Quelle: Bitkom Research 2017 WELCHE SCHÄDEN HABEN DATENDIEBSTAHL, INDUSTRIESPIONAGE ODER SABOTAGE VERURSACHT?. Fast 55 Millionen Euro pro Jahr (Selbsteinschätzung) 36

37 Quelle: Corporate Trust WELCHE KONKRETEN HANDLUNGEN FANDEN STATT? (MEHRFACHNENNUNGEN MÖGLICH) Bewusste Informations- oder Datenweitergabe durch eigene Mitarbeiter Abfluss von Daten durch externe Dritte wie Zulieferer, Dienstleister oder Berater Hackerangriffe auf IT-Systeme und Geräte (Server, Laptops, Tablets, Smartphones) Diebstahl von IT- und Telekommunikationsgeräten Social Engineering (geschicktes Ausfragen von Mitarbeitern) Informationsabfluss außerhalb des Firmengeländes (Homeoffice, Cloud Services) Abhören und Mitlesen elektronischer Kommunikation (z.b. s) Einbruch in Gebäude bzw. Diebstahl von Dokumenten, Unterlagen, Bauteilen, etc. Abhören von Besprechungen, Telefonaten, Abfangen von Faxnachrichten 47,8 % 46,8 % 42,4 % 32,7 % 22,7 % 15,5 % 12,2 % 11,2 % 6,5 % 37

38 AGENDA Einführung Begriffsdefinition Prüfungsfokus und Ablauf des Audits Ergebnisse 38

39 ABGRENZUNG DER BEGRIFFE IT Security und Compliance Audit Soll/Ist-Abgleich des Prüfobjekts gegen interne oder externe Richtlinien (BSI, ISO, SOX, PCI) bzw. Stand der Technik Analyse des Prüfobjekts auf Sicherheitsmängel und Normabweichungen Ziel: Prüfung von Prozessen, Dokumentation und Systemen gegen Richtlinien Security / Vulnerability Assessment Analyse des Prüfobjekts auf Sicherheitsmängel Nutzung automatisierter Tools Ziel: ALLE möglichen Schwachstellen aufzeigen Penetration Test Prüfung von IT-Komponenten hinsichtlich der Existenz und Wirksamkeit von Sicherheits-maßnahmen und aktive Ausnutzung von Schwachstellen Ziel: Analyse des Systems und Einbruch durch aktive Nutzung von Schwachstellen 39

40 ABLAUF EINES SECURITY AUDITS / VULNERABILITY ASSESSMENTS optionale Prüfbereiche 40 -

41 CONFIGURATION SCAN Intranet CONFIGURATION SCAN VS. APPLICATION SECURITY SCAN APPLICATION SECURITY SCAN Internet Anwendung und Konfiguration Benutzer und Berechtigungen Sicheres Anwendungsdesign und Coding Sichere System-, DB- und Netz-Konfiguration 41

42 TESTMETHODEN EINORDNUNG ETHICAL HACKING / PENETRATION TESTING Ethical Hacking Weiterführende Techniken Penetration Testing Ausnutzung von Schwachstellen Vulnerability Scanning Ausnutzung von Schwachstellen Prüfung auf Schwachstellen Portscanning Prüfung auf bekannte Schwachstellen Prüfung auf bekannte Schwachstellen Identifikation laufende Dienste Identifikation laufende Dienste Identifikation laufende Dienste Identifikation laufende Dienste Identifikation Server im Netzwerk 42

43 AGENDA Einführung Begriffsdefinition Prüfungsfokus und Ablauf des Audits Ergebnisse 43

44 PRÜFUNGSFOKUS UND ABLAUF DES AUDITS BETRACHTUNG ALLER EBENEN Echtzeitprüfung mit SAST Prä s e n t a t i o n s - E b e n e Mit unseren Prüfungshandlungen betrachten wir alle Ebenen um eine weitreichende Sicherheitsanalyse bewerkstelligen zu können. 44

45 PRÜFUNGSFOKUS UND ABLAUF DES AUDITS DER PRÜFUNGSFOKUS GLIEDERT SICH IN FOLGENDE BEREICHE: Kritische Berechtigungen Kritische Profile und Benutzerstamm Kritische Berechtigungen SoD-Analyse ABAP-Entwicklung und -Customizing Kritische ABAP-Statements Programme ohne Berechtigungschecks Kritische Berechtigungen von Entwicklern Diverse Customizing Einstellungen Systemkonfiguration und Betrieb Betriebssystem und Datenbanken Update Status der SAP-Systeme Diverse sicherheitsrelevante SAP-Paramater Entwicklung/ Customizing Berechtigungen Systemkonfiguration 45

46 PRÜFUNGSFOKUS UND ABLAUF DES AUDITS DIE VORTEILER BEI EINER PRÜFUNG MIT DER SAST-SUITE: Umfassende Prüfung der Systemeinstellungen Über Checks im Standardlieferumfang Automatisierte Prüfung sicherheitsrelevanter Parameter und Einstellungen Analysen auf sämtlichen Basis-Plattformen Umfassende Berechtigungsprüfung mit zertifiziertem Regelwerk Mandanten- und systemübergreifendes Berechtigungskonzept Prüfung der Benutzerstammdaten Funktionstrennungsprüfungen für Benutzer, Profile und Rollen in Echtzeit Vordefinierte Regelwerte für SoD-Verstöße und vertrauliche Zugriffe Stets aktuelle Regelwerke auf Basis der SAP Security Guides, BSI, DSAG-Prüfleitfaden Gegenüberstellung der IST-Werte gegen die aktuellen Leading Practice-Werte Security Report mit klaren Vorgaben für die Behebung von Schwachstellen 46

47 PRÜFUNGSFOKUS UND ABLAUF DES AUDITS DAUER UND ABLAUFSCHRITTE Installation Auswertungen am System IST-Analyse Empfehlungen und Next Steps Dokumentation/ Präsentation 0,5 PT* 1,0 PT* 1,0 PT* 0,5 PT* 0,5 PT* Einspielen von Transporten am System (durch den Kunden) Erstkonfiguration von SAST Auführung von verschiedenen Analysen direkt am System Analyse der Auswertungen Identifizieren von Feststellungen Sortierung nach Kritikalität Identifizieren von Empfehlungen Formulierung der Next Steps Erstellung der Ergebnisspräsentation mit den wichtigsten Themen * Abweichender Aufwand bei einer erhöhten Anzahl von Systemen oder Sonderwünschen. 47

48 PRÜFUNGSFOKUS UND ABLAUF DES AUDITS PROFITEURE Berechtigungen Entwicklung/ Customizing Systemkonfig./ Betrieb Fachbereiche Durch umfangreiche Analysen der kritischen Berechtigungen und der Funktionstrennungskonflikte in verschiedenen Modulen und Prozessen (HR, FI/CO, P2P, O2C, etc.) können Missstände im Berechtigungswesen gefunden und im Nachgang, um den gesetzlichen und internen Anforderungen zu genügen, beseitigt werden. Basis / IT-Abteilung Durch den SAST-Quick Check werden Berechtigungen im Umfeld der IT-Basis näher betrachtet und auf Funktionstrennungskonflikte untersucht. Neben den sicherheitsrelevanten Systemeinstellungen und Parametern werden auch diverse Entwicklungen und Customizing Einstellung im Hinblick auf ihre Systemsicherheit überprüft. Kontrollinstanzen Analysen durch den SAST-Quick Check können unterschiedliche Kontrollinstanzen wie interne oder externe Audits unterstützen und zu Kosteneinsparungen führen. 48

49 AGENDA Einführung Begriffsdefinition Prüfungsfokus und Ablauf des Audits Ergebnisse 49

50 MANAGEMENT SUMMARY UND DETAILREPORT PRÜFBERICHT: SICHERHEITSAUDIT UND PENETRATIONSTEST 50

51 MANAGEMENT SUMMARY UND DETAILREPORT SYSTEMKONFIGURATION 51

52 MANAGEMENT SUMMARY UND DETAILREPORT ABAP-ENTWICKLUNGEN Es wurden insgesamt 280 Z-Programme mit mindestens einem kritischen ABAP-Statement identifiziert. Insgesamt identifizierte Z-Programme ohne Berechtigungsprüfung 760 von (ca. 50%) wurden seit mindestens 10 Jahren nicht mehr verändert von (ca. 70%) wurden seit mindestens 5 Jahren nicht mehr verändert. 52

53 MANAGEMENT SUMMARY UND DETAILREPORT KRITISCHE BERECHTIGUNGEN UND FUNKTIONSTRENNUNGSKONFLIKTE 53

54 MANAGEMENT SUMMARY UND DETAILREPORT AUSZUG AUS EINEM SAP SECURITY AUDIT BERICHT 54

55 WIE KÖNNEN SIE VON DER SAST-SUITE PROFITIEREN? Die komplette Integration der GRC-Suite SAST bietet Einen permanenten Überblick über den Sicherheitszustand Ihrer SAP-Systeme durch Echtzeit-Analysen. Eine sehr kurze Einarbeitungs- und Schulungsphase Ihrer Mitarbeiter Einsparung zusätzlicher Systeme und Rechner Verringerung des Berechtigungsaufwands durch vorkonfigurierte Prüfregelsätze und Templates In einem kombinierten Security Audit / Penetration Test erhalten Sie eine komplette Schwachstellenanalyse Ihrer SAP-Landschaft einschließlich einem ausgereiftem Tool zur ständigen Sicherheitsoptimierung

56 SIE HABEN FRAGEN? WIR ANTWORTEN. MIT SICHERHEIT. RALF KEMPF Geschäftsführung Über 20 Jahre Erfahrung im Bereich SAP-Security-Services und Software-Entwicklung. Spezialisiert auf die Sicherheitsanalyse und die Prüfung komplexer SAP-Systeme. Architekt der AKQUINET GRC-Suite SAST. Mobil: Web: Copyright AKQUINET AG. Alle Rechte vorbehalten. Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte, insbesondere das Recht der Vervielfältigung und Verbreitung sowie die Übersetzung, bleiben vorbehalten. Kein Teil der Dokumentation darf in irgendeiner Form (durch Fotokopie, Mikrofilm oder ein anderes Verfahren) ohne vorherige schriftliche Zustimmung von AKQUINET AG reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. Die in dieser Publikation erwähnten Bezeichnungen sind teilweise auch eingetragene Warenzeichen der jeweiligen Anbieter und unterliegen als solche den gesetzlichen Bestimmungen. Die Informationen in dieser Publikation sind mit größter Sorgfalt zusammengestellt worden. Es kann jedoch keine Garantie für die Verwendbarkeit, Richtigkeit und Vollständigkeit übernommen werden. Für Schäden, die aus der Anwendung der Informationen entstehen können, übernimmt die AKQUINET AG keine Haftung. 56

57 57

58 UNWAHRSCHEINLICHER FALL? 26. März

59 UNWAHRSCHEINLICHER FALL? 18. Juni

60 UNWAHRSCHEINLICHER FALL? 16. Oktober

61 UNWAHRSCHEINLICHER FALL? 20. September

62 UNWAHRSCHEINLICHER FALL? 15. Februar

63 UNWAHRSCHEINLICHER FALL? 24. Juni

64 UNWAHRSCHEINLICHER FALL? 26. Oktober

65 UNWAHRSCHEINLICHER FALL? 19. Februar

66 RANSOMWARE AUF DEM VORMARSCH Quelle: microsoft.com 66

67 RANSOMWARE AUF DEM VORMARSCH Quelle: Symantec Internet Security Threat Report

68 BEISPIEL EINER RANSOMWARE 68

69 BEISPIEL EINER RANSOMWARE 69

70 BEISPIEL EINER RANSOMWARE 70

71 BEISPIEL EINER RANSOMWARE 71

72 BEISPIEL EINER RANSOMWARE 72

73 Quelle: ISB / NDB Melde- und Analysestelle Informationssicherung MELANI RANSOMWARE DIE AKTEURE 73

74 DREI FAKTEN IT-Verbrecher machen auch vor kleinen Firmen nicht halt Es geht um Geld, um viel Geld um Ihr Geld Der Mensch steht im Fokus der Angriffe 74

75 WER WIRD ANGEGRIFFEN? Quelle: Symantec Internet Security Threat Report

76 ES GEHT UM IHR GELD Quelle: Schweizer Familie 40/11 76

77 DER MENSCH IM VISIER 77

78 DER MENSCH IM VISIER 78

79 DER MENSCH IM VISIER Die zehn führenden Kategorien von Schad-Webseiten Quelle: TechNewsDaily 79

80 INFORMIEREN SIE SICH! Infoseite zu den Gefahren im Internet Infoseite für sicheres e-banking Infoseite zu den Gefahren im Internet Sichere Websites für ein sicheres Internet 80

81 SCHÜTZEN SIE SICH! Regelmässige Updates des Betriebssystems und der vorhandenen Applikationen Antiviren-Programm nutzen und aktuell halten Ohne administrative Rechte arbeiten Gesunder Menschenverstand Jeden Link überprüfen Skriptblocker einsetzen Backup, Backup, Backup 81

82 MEIN GESCHENK ebook im Wert von 30 Franken. 82

83 EXPERTEN FÜR IHRE IT-SICHERHEIT A. Wisler Th. Furrer S. Müller C. Mäder C. Canova A. Kulhanek M. Hamborgstrøm M. Hennet A. Zlateva S. Murati 83

84 ANDREAS WISLER - GOSECURITY CSMO, CHAIRMAN OF THE BOARD Im Jahre 2001 habe ich meinen Beruf zugunsten meines Hobbys aufgegeben. Seit dieser Zeit widme ich mich leidenschaftlich meiner Firma, die ich im Jahre 1999 mit zwei Studienkollegen gegründet hatte. Als Mehrheitsteilhaber, CEO, Verkaufsleiter und Senior Security Consultant ist mein Aufgabenbereich abwechslungsreich und spannend. Die Begleitung von kleinen bis mittelgrossen Firmen zur ISO Zertifizierung erfüllt mich ganz besonders und spornt mich immer wieder zu Höchstleistungen an. Zudem gebe ich mein umfassendes Security-Know-how und meine grosse Erfahrung als Dozent an der FHNW an (wissens-) durstige Studenten weiter. Für diverse Online- und Print-Medien schrieb ich schon unzählige Artikel zum Thema IT-Security. Des Weiteren bin ich Autor und Co-Autor von mehreren Büchern. Für Sie als Kunde, für meine Mitarbeiter und für meine Firma gebe ich jeden Tag 120%. 84

85 KONTAKT Schweiz GmbH David Riner Mitglied der Geschäftsleitung Leberngasse 21, CH-4600 Olten Telefon: