IST SICHER AUCH SICHER GENUG? IT-Sicherheitslösungen vom Experten

Transkript

1 IST SICHER AUCH SICHER GENUG? IT-Sicherheitslösungen vom Experten 1

2 BRECKWOLDT GMBH EUROPEAN IT-SECURITY Die Breckwoldt GmbH ist Spezialist für Sicherheit in der Informationstechnologie. Wir sind europaweit tätig und beraten gerne auch Ihr Unternehmen herstellerunabhängig und gezielt zu allen IT-basierten Unternehmensprozessen. Unser Hauptaugenmerk liegt auf der Gesamtbetrachtung aller strategischen Ziele Ihres Unternehmens und der Erstellung speziell auf Ihr Unternehmen zugeschnittener Lösungen für Ihre IT-Sicherheit. Die Breckwoldt GmbH konzentriert sich auf die Absicherung von Unternehmen gegen Hackerangriffe Cyberkriminalität Gefahren aus dem Internet Ergänzend bietet die Breckwoldt GmbH Awareness- und Aufklärungsschulungen für Cybergefahren an, um die Mitarbeiterinnen und Mitarbeiter des Kunden für das Thema Sicherheit zu sensibilisieren. Wir bieten von der Erstellung und Implementierung eines ISMS (Information Security Management System) über die Unterstützung in allen Fragen zum Thema Prüfung und Zertifizierung 51 % aller deutschen Unternehmen sind in den vergangenen zwei Jahren Opfer digitaler Spionage, Sabotage oder von Datendiebstahl geworden. Wir empfehlen Ihnen auch Tipps und Tricks, wie sich Ihr Unternehmen vor aktuellen Cyberangriffen schützen kann. der IT-Sicherheit bis hin zur Stellung von externen Datenschutzbeauftragten alles, was Sie für Ihr Unternehmen zum Thema IT-Sicherheit benötigen. Gerne liefern wir auch nur Teilbereiche aus unserem Portfolio, um an Ihr Unternehmen angepasst, die beste Lösung zu finden. Sören Breckwoldt Geschäftsführender Gesellschafter UNSER ANGEBOT Datenschutz IT-Sicherheit ISO ESOC Seite 05 Seite 09 Seite 14 Seite

3 WAS IST IT-SICHERHEIT? DREI WICHTIGE SCHLAGWORTE VERTRAULICHKEIT Informationen dürfen nicht in falsche Hände geraten. INTEGRITÄT DATENSCHUTZ IHRE INFORMATIONEN IN SICHEREN HÄNDEN Die europaweite Datenschutz-Grundverordnung (kurz: DSGVO) gilt seit dem 25. Mai 2018 und ist für alle im EU-Binnenmarkt ansässigen Unternehmen bindend. Ihre Vorschriften regeln den Umgang, die Verarbeitung sowie die Speicherung personenbezogener Daten. Die Verordnung soll einerseits den Schutz persönlicher Informationen gewährleisten und andererseits freien Datenverkehr im europäischen Binnenmarkt ermöglichen. Eine Vielzahl von Auflagen, Richtlinien und Verpflichtungen sind daher neu und für viele Unternehmen nur sehr schwer intern abbildbar. Wir erarbeiten individuelle und an die Bedürfnisse Ihres Unternehmens angepasste Datenschutz-Prozesse. So sind Sie immer auf dem aktuellsten Stand und Ihre Daten auf der sicheren Seite. Sensible Informationen dürfen nicht veränderbar sein. VERFÜGBARKEIT Benötigte Informationen müssen zu jeder Zeit abrufbar sein. EXTERNER DATENSCHUTZBEAUFTRAGTER Gerne stehen unsere Experten als externe Datenschutzbeauftragte zur Verfügung. Sie sorgen für eine praxisnahe und dem Gesetz entsprechende Organisation des Datenschutzes in Ihrem Unternehmen. Alle Mitarbeiterinnen und Mitarbeiter in einem Unternehmen, die mit personenbezogenen Daten in Kontakt kommen oder auch nur die Möglichkeit haben, auf diese zuzugreifen, werden für den rechtskonformen Umgang mit personenbezogenen Daten geschult. 4 Unsere externen Datenschutzbeauftragten sind das koordinierende und leitende Element, das für alle Fragen zum Datenschutz Rede und Antwort steht. Wir überwachen Ihre Datenschutzmaßnahmen und beraten bei der Umsetzung oder Planung technischer und organisatorischer Maßnahmen. Unsere externen Datenschutzbeauftragten übernehmen die Ausgestaltung und Handhabung des Datenschutzes innerhalb Ihrer Organisationsstruktur. Die Mitarbeiterinnen und Mitarbeiter 5

4 Ihrer Standorte werden beraten und für den sensiblen und vertrauensvollen Umgang mit personenbezogenen Daten geschult. Darüber hinaus ist es uns ein Anliegen, Ihr Personal nachhaltig zu motivieren, ein hohes Datenschutzniveau aufrechtzuerhalten. Zudem begleiten und beraten wir IT-Abteilungen, insbesondere beim Einsatz oder der Planung Ihrer zukünftigen IT-Infrastruktur. So werden beispielsweise Softwareprodukte, die der Verarbeitung personenbezogener Informationen dienen, begutachtet und Know-how bereitgestellt, um potenzielle zukünftige Verstöße gegen Datenschutzvorschriften bereits im Vorfeld zu identifizieren und zu unterbinden. DATENSCHUTZAUDIT Alle Unternehmen mit einem Firmensitz in der EU sind verpflichtet, ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzuführen. Ein regelmäßiges Datenschutzaudit ist als geeignete Kontrollmaßnahme im Sinne dieser Vorschrift anzusehen und daher für alle Unternehmen zu empfehlen. Im Zuge des Datenschutzaudits überprüfen die Auditoren sowohl technische Systeme als auch die Einhaltung der Rechtsvorschriften. Hat Ihr Unternehmen mehr als neun Mitarbeiter? Dann besteht die gesetzliche Verpflichtung zur Bestellung und Meldung eines Datenschutzbeauftragten. Unser Audit-System wurde dafür entwickelt, dem Verantwortlichen die wirksame Umsetzung der Datenschutzgrundsätze sowie anderer Rechtsvorschriften zu ermöglichen, seine Aktivitäten zu kontrollieren und dauerhaft zu überwachen. Der Datenschutzbeauftragte muss die Überwachung der Einhaltung der Datenschutz-Grundverordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten einschließlich der diesbezüglichen Audits sicherstellen, Artikel 39 Absatz 1 (b) DSGVO. Diese Vorschrift Bianca Bödeker, Öffentlichkeitsarbeit Sören Breckwoldt, Geschäftsführer verpflichtet den Datenschutzbeauftragten zur regelmäßigen Auditierung des Verantwortlichen. UMSETZUNG DER DSGVO Mit unseren vier Phasen erfolgen Einführung und Umsetzung der DSGVO in Ihrem Unternehmen effektiv und vollkommen transparent. Für eine reibungslose Umsetzung der DSGVO in Ihrem Unternehmen haben wir einen 4-Phasen-Plan entwickelt. Phase 1 Im ersten Schritt und innerhalb weniger Stunden nach Beauftragung wird Ihnen ein fachkundiger Datenschutzbeauftragter (gem. DSGVO) benannt und Sie erhalten hierüber die Ernennungsurkunde. Phase 2 Innerhalb der ersten Woche überprüfen wir anhand eines Audits Ihre Webseite und identifizieren die notwendigen Änderungen, mit denen Sie zum Beispiel auf die veränderten Datenschutzbedingungen reagieren müssen. Ihnen werden Dokumente zur Verpflichtung Ihrer Mitarbeiter auf das Datengeheimnis bereitgestellt und Sie erhalten weitere Dokumente für Ihr Unternehmen. Phase 3 In dieser Phase erstellen wir in Ihrem Unternehmen eine IST-Analyse (Datenschutzaudit). Sie erhalten Handlungsempfehlungen und Ihnen stehen versierte Mitarbeiterinnen und Mitarbeiter zur Klärung offener Fragen rund um das Thema Datenschutz zur Verfügung. Phase 4 Sie erhalten die notwendigen Dokumentationen und Verfahrensanweisungen sowie Empfehlungen zu notwendigen Maßnahmen zur Verbesserung des Datenschutzes. 6 7

5 41 % aller deutschen Unternehmen verzeichneten Phishing-Attacken in den vergangenen 12 Monaten. IT-SICHERHEIT SCHÜTZEN SIE SICH UND IHRE DATEN Normen und Vorschriften aus dem Bereich der IT-Sicherheit wie der BSI-Grundschutz oder die ISO sollen ein höheres Bewusstsein für das Thema IT-Sicherheit schaffen. In der Praxis entsteht dadurch aber nicht zwingend auch die benötigte Sicherheit, da häufig Prozesse nicht in geeigneter Form ausgestaltet oder bei Mitarbeitern kein ausreichendes Sicherheitsbewusstsein erzeugt wurde. Die Breckwoldt GmbH hilft Ihrem Unternehmen genau hier und unterstützt Sie dabei, Ihre Mitarbeiterinnen und Mitarbeiter für dieses Thema zu sensibilisieren. Wir erstellen für Sie die passende Strategie, entwickeln IT- Sicherheitskonzepte und sorgen für umfassende Präventionsmaßnahmen, damit Sicherheitsrisiken möglichst gar nicht erst entstehen und Ausfälle von Anfang an verhindert werden. IT-SICHERHEITSAUDIT Sind Ihre Unternehmensdaten ausreichend vor Diebstahl und Missbrauch geschützt? Sind Ihre IT-Systeme auf dem neuesten Stand der Technik und ausreichend gesichert? Kennen Sie die möglichen Schwachstellen und haben Sie alle internen wie externen Unternehmensprozesse analysiert? Unser IT-Sicherheitsaudit liefert Antworten auf Ihre Fragen und zeigt Möglichkeiten, wie Sie die Prozesse in Ihrem Unternehmen optimieren können. Als Erstes informieren unsere Experten die Geschäftsführung Ihres Unternehmens hinsichtlich der gesetzlichen Grundlagen und der aktuellen Anforderungen zur Datensicherheit. Anschließend führen wir mit Ihren IT-Verantwortlichen Gespräche und erfassen so den aktuellen Status Ihrer IT-Sicherheit. Sie bestimmen dabei die Tiefe des Sicherheitsaudits, vom Basis IT-Sicherheitsaudit bis hin zum ISO konformen Sicherheitsaudit. Dabei 8 9

6 profitieren Sie von den langjährigen Erfahrungen unserer Mitarbeiter und unseren bewährten Beratungsprozessen. Nach dem Sicherheitsaudit erhalten Sie einen leicht verständlichen Bericht sowie eine Liste mit konkreten und priorisierten Handlungsempfehlungen, um die gefundenen Schwachstellen effizient auszubessern und Ihre Unternehmens-IT zu optimieren. Unsere Berater haben ihre Expertise in verschiedensten Branchen und bei Unternehmen aller Größen erworben. So sind wir es gewohnt, praktikable und individuelle Lösungen für die speziellen Anforderungen in Ihrem Unternehmen anbieten zu können. PENETRATIONSTESTS Mithilfe eines Penetrationstests versuchen unsere IT-Experten, durch gezielte Angriffe in Ihre Netzwerke oder IT-Systeme einzudringen. Hierfür verwenden wir ähnliche Methoden und Techniken, wie sie auch Hacker oder Cracker einsetzen, um unautorisiert in Ihre Systeme einzudringen. Die Geldstrafen wurden im Vergleich zum BDSG deutlich erhöht, von ehemals bis zu Euro auf jetzt bis zu 20 Millionen Euro. Hauptziel eines Penetrationstests ist es, Schwachstellen von Netzwerken und Computern auf technischer und organisatorischer Ebene zu identifizieren und sie in einem ausführlichen Bericht zu dokumentieren. Die Behebung der gefundenen Schwachstellen liegt jedoch in der Verantwortung des Auftraggebers oder des Betreibers der untersuchten IT-Systeme. Werden die empfohlenen Maßnahmen zur Beseitigung der aufgedeckten Schwachstellen umgesetzt, lässt sich die Sicherheit der untersuchten Systeme verbessern. Mögliche Behebungsmaßnahmen können Schulungen des Personals, Personalaufstockung, Abschaltung eines Systems oder das Einspielen von Updates sein. Da ein Penetrationstest keine kontinuierliche Überwachung der IT darstellt, kann er als eine Art Momentaufnahme des Sicherheitsstatus verstanden werden. Sören Breckwoldt, Geschäftsführer Jens Bosselmann, Technischer Leiter Oft sind Social-Engineering-Penetrationstests Teil der Tests. Hierbei wird mithilfe des Social Engineerings interner Mitarbeiterinnen und Mitarbeiter versucht, an Informationen oder Zugangsmöglichkeiten zu gelangen. Die Tests haben zum Ziel, Schwachstellen innerhalb des Unternehmens aufzudecken, die sich zum Beispiel durch Aufklärung und Information von Mitarbeitern auch kurzfristig beheben lassen. Mit unseren Dienstleistungen sind Sie rundum geschützt, weisen nach außen Sicherheit nach und sind auf der sicheren Seite, was Abmahnungen und Strafen angeht. Während des kompletten Penetrationstests erfolgt eine genaue Protokollierung aller durchgeführten Maßnahmen. In einem abschließenden Bericht sind die erkannten Schwachstellen und Lösungsansätze zur Verbesserung des IT-Sicherheitsniveaus aufgeführt. Der Umfang der entsprechenden Tests orientiert sich am jeweiligen Gefährdungspotenzial eines Systems, einer Anwendung oder eines Netzwerks. Systeme, die hohen Gefahren ausgesetzt sind wie öffentlich erreichbare Webserver, werden ausführlicheren Tests unterzogen als interne Anwendungen ohne große Systemrelevanz. Für die dauerhafte Überwachung Ihrer Systeme empfehlen wir Ihnen das ESOC (siehe Seite 15) der Breckwoldt GmbH. IT-SICHERHEITS- BEAUFTRAGTER Für die Zertifizierung nach ISO oder für die Einführung eines Informationssicherheits-Managementsystems (ISMS) müssen Sie einen IT-Sicherheitsbeauftragten bestellen. Dieser errichtet das ISMS und optimiert technische, organisatorische und juristische Aspekte der Informations- und IT-Sicherheit in Ihrem Unternehmen bis zur erfolgreichen Zertifizierung nach ISO/IEC Aufgrund der hohen Anforderungen an diese Position und des Fachkräftemangels empfiehlt sich für die meisten Unternehmen die Bestellung eines externen IT-Sicherheitsbeauftragten

7 Eine regelmäßige Überprüfung des Gefährdungspotenzials ist für jede Organisation zu empfehlen. Konkrete technische oder organisatorische Schwachstellen können so zeitnah identifiziert und sofort abgestellt werden

8 ISO ZERTIFIZIERTE SICHERHEIT ESOC PERMANENTE ÜBERWACHUNG Bei der DIN ISO/IEC 27001, kurz ISO 27001, handelt es sich um eine internationale Norm, mit deren Hilfe die Informationssicherheit in Organisationen wie Unternehmen, Non-Profit- Organisationen oder öffentlichen Institutionen gewährleistet werden soll. Basis der Norm bildet die Beschreibung der Anforderungen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems (ISMS). Das System ist an die Gegebenheiten der jeweiligen Organisation angepasst und berücksichtigt individuelle Besonderheiten. Neben dem Informationssicherheits-Managementsystem beschäftigt sich die ISO mit der Analyse und Behandlung von Risiken der Informationssicherheit. Im Rahmen der beschriebenen Anforderungen werden die Werte und Wertschöpfungsketten durch die Auswahl der geeigneten Sicherheitsmechanismen geschützt. Für Unternehmen bietet die ISO einen systematisch strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme. Profitieren Sie von einer ISO Zertifizierung und zeigen Sie so auch nach außen, dass Sie großen Wert auf Datensicherheit legen. VORTEILE EINER ZERTIFIZIERUNG Minimierung von Haftungsrisiken Minimierung von Geschäftsrisiken Bedrohungen im Unternehmen zuverlässig erkennen und reduzieren Schutz von vertraulichen Daten vor Missbrauch und Verlust Deutliche Senkung von Versicherungsprämien Optimierung von Prozess- und IT-Kosten Steigerung der Wettbewerbsfähigkeit Schaffung von Vertrauen bei Kunden, Geschäftspartnern und in der Öffentlichkeit Sören Breckwoldt, Geschäftsführer ESOC steht für European Security Operation Center und gilt als eine entscheidende Entwicklung im Bereich Security, um den zunehmenden und immer komplexer und raffinierter werdenden Cyberattacken entgegenzutreten. Das European Security Operation Center überwacht zentral IT-Ressourcen und Daten, sucht nach Anzeichen für Angriffe und steuert die Reaktion auf diese IT-Bedrohungen. In dem ESOC werden Sicherheitsmaßnahmen und -kompetenz gebündelt, um so den geballten Cyberangriffen geballte IT-Sicherheit entgegenzusetzen. Entsprechend entwickelte und automatisierte Verfahren suchen aus der Vielzahl der Sicherheitsmeldungen die relevanten Warnungen heraus und leiten diese an die Security-Analysten weiter. Alle notwendigen Abwehrmaßnahmen können dann von den Analysten eingeleitet werden. Je nach Wunsch informiert das ESOC zuerst den Kunden oder die verantwortliche Stelle. Das European Security Operation Center kann innerhalb eines Unternehmens oder einer Behörde betrieben werden. Es kann sich aber auch an einem separaten Ort befinden. In jedem Fall ist das ESOC mit der zu schützenden IT eng über Schnittstellen verknüpft und kann mehrere Standorte gleichzeitig überwachen. Jedes Unternehmen profitiert vom ESOC, denn IT-Sicherheit ist keine Aufgabe für Einzelkämpfer. Umfassende IT-Security kann nur im Team geleistet werden. Das European Security Operation Center unterstützt hierbei sinnvoll und zielgerichtet. Ein Blick auf die Entwicklung der Cyberattacken macht deutlich: Auch die Angreifer sind in aller Regel keine Einzeltäter mehr. Die Internetkriminalität ist hochorganisiert und hat industriellen Charakter. Das ESOC der Breckwoldt GmbH hilft Ihnen auch hier, jederzeit gut gewappnet zu sein. Fragen zum Unternehmen? Bianca Bödeker Öffentlichkeitsarbeit Bianca Bödeker, Öffentlichkeitsarbeit 14 15

9 Breckwoldt GmbH An der Treene Langstedt Büro Hamburg Königsfarn Hamburg feelsafe@eu-itsec.com 16