YOUR PARTNER IN IT-SECURITY INFORMATIONSSICHERHEIT COMPLIANCE IT-SECURITY RISIKOMANAGEMENT
INDIVIDUELLE IT-LÖSUNGEN BWS IT-SECURITY IHR PARTNER IN DER INFORMATIONS- SICHERHEIT IT-SICHERHEIT IST GRUNDLAGE FÜR VERTRAUEN UND AKZEPTANZ IN DER VERNETZTEN, DIGITALEN WELT. Wir sind ein spezialisiertes Unternehmen mit Fokus auf IT- und Informationssicherheit und beraten unsere Kunden im deutschsprachigen Raum. Unser BWS-Team zeichnet sich dabei durch seine zahlreichen Experten aus, zu denen im Umfeld der BWS auch Buchautoren oder Referenten internationaler Kongresse gehören. Dabei beraten wir den Kunden individuell und mit technischem sowie strategischem Sachverstand. Darüber hinaus verfügt die BWS IT-Securtity Consulting über langjährige Erfahrung in der Konzeption und Integration von Sicherheitsprodukten in komplexen Umgebungen. 2 2
DAS LEISTUNGSSPEKTRUM UMFASST DIE BEREICHE: Konzepte, Reviews und Analysen IT-Sicherheitsmanagementberatung (ISO 27001, Risikomanagement, Erstellung von Prozessen, Policies, Richtlinien) Durchführung von Audits und Penetrationstests Incident Response und Forensik Trainings Konzeption, neutrale Evaluationen und Implementation von Produkten und Lösungen TYPISCHE THEMEN IM UMFELD VON PRODUKTEN UND LÖSUNGEN SIND: Moderne Schutzmaßnahmen für Unternehmen (z. B. WAFs, Schutz vor DDoS und gezielten Angriffen) WIR BERATEN UNABHÄNGIG, TRANSPARENT UND BRANCHENÜBERGREIFEND Sicherheit im internen Netz (z. B. LAN-Zugangskontrolle, 802.1x, NAC/NAP, IPS) Bring your own Device, Mobile/Wireless Security Werkzeuge für ISMS, Verwundbarkeits- und Risikomanagement Nachvollziehbarkeit administrativer Zugriffe 3 3
ISMS PLAN Scope Sicherheitsrichtlinie Aufbau Sicherheitsorganisation Risikoanalyse Auswahl von Maßnahmen DO Umsetzung der Maßnahmen Schulungen/Awareness Incident Management CHECK Sicherheitsmonitoring Technische und organisatorische Audits Messung der Wirksamkeit der Maßnahmen Überprüfung der Risikoeinschätzungen Überprüfung der Einhaltung von Vorgaben ACT Umsetzung identifizierter Verbesserungen Berücksichtigung von Best Practices Es geht in einem ISMS jedoch nicht nur darum, Sicherheitsmaßnahmen ausschließlich risikoorientiert aus IT-Bedrohungen herzuleiten, welche die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen bzw. informationsverarbeitenden Systemen gefährden. Zusätzlich ist es erforderlich, die gesetzlichen, regulatorischen und sonstigen internen und externen Anforderungen zu kennen und die daraus gegebenenfalls resultierenden Sicherheitsmaßnahmen einzuleiten. Selbst dann, wenn die herkömmliche Bedrohungs-und Risikoanalyse diese Compliance-Maßnahme möglicherweise nichtnaheliegend erscheinen lässt. In der Praxis kommt der zuletzt genannte Bereich häufig zu kurz. Oft existiert im Unternehmen nicht einmal eine nachvollziehbare Ermittlung der relevanten gesetzlichen und regulatorischen Anforderungen mit Bezug zur Informationssicherheit. BWS IT-Security begleitet Sie bei der Einführung, Standortbestimmung, Verbesserung oder Überprüfung Ihres Informationssicherheitsund Risikomanagementprozesses unter Berücksichtigung Ihrer organisatorischen Rahmenbedingungen, Ihrer Unternehmenskultur und vorhandenen Prozesse sowie der für Ihr Unternehmen relevanten Compliance- Anforderungen. 4 6
WERKZEUGE WERKZEUGE ZUR UNTERSTÜT- ZUNG DES INFORMATIONS- SICHERHEITS-, RISIKO- UND COMPLIANCE-MANAGEMENTS Eines der Ziele des Risikomanagements in der IT ist die transparente und nachvollziehbare Ermittlung von Risiken, welche durch den Einsatz von IT entstehen. Nur so kann dem Management eine solide Entscheidungsgrundlage geliefert werden, ob ein Risiko akzeptiert werden kann oder ob entsprechende Gegenmaßnahmen ergriffen werden müssen und wie die Umsetzung dieser Maßnahmen zu priorisieren ist. In diesem Ziel ist man sich in der Praxis überall einig. Große Unterschiede bestehen in den Unternehmen jedoch in der Vorgehensweise bei der Maßnahmenermittlung, insbesondere wenn es um tatsächliche oder gefühlte IT-Sicherheitsrisiken geht. Häufig wird hier immer noch ohne eine vorherige und strukturierte Ermittlung der vorhandenen Bedrohungen über Sicherheitsmaßnahmen entschieden. Leider bleibt bei dieser bauchgetriebenen Vorgehensweise in der Regel unklar, ob die Maßnahmen wirklich ausreichend sind, dem Risiko angemessen entgegenzuwirken. Umgekehrt ist unklar, ob der Umfang der ergriffenen Maßnahmen tatsächlich notwendig ist und somit möglicherweise an der falschen Stelle investiert wurde. Die Umsetzung ist oft ein steiniger Weg und mit vielen Problemen behaftet. GRC-Werkzeuge versprechen hier eine Vereinfachung und Qualitätssteigerung. Ein weiteres verbreitetes großes Problem im täglichen Risiko- und Compliance-Management ist die Verwendung von hierfür nur eingeschränkt geeigneten Werkzeugen wie zum Beispiel dem Programm Excel. Solche Tools unterstützen beispielsweise keine Workflowgestützte Vorgehensweise mit mehreren beteiligten Gruppen und individuellen Sichten auf die Daten (von einer granularen Vergabe von Berechtigungen oder einer Nachvollziehbarkeit von Änderungen ganz zu schweigen) und führen zu einer Unmenge von Dateien, die, wenn überhaupt, nur sehr schwer übergreifend ausgewertet werden können. Viele dieser Probleme können heute mit dem Einsatz von IT-GRC Werkzeugen gemindert oder gar vollständig beseitigt werden. BWS zeigt Ihnen die Möglichkeiten, Einsatzbereiche, aber auch Grenzen solcher Governance-, Risk-Management- und Compliance-Werkzeuge in Ihrem Unternehmensumfeld auf,ermittelt gemeinsam mit Ihnen Ihre Anforderungen und unterstützt Sie als herstellerunabhängiger Berater bei der Auswahl der für Sie am besten geeigneten Lösung. ISO 27001, RISIKO- UND COMPLIANCE-MANAGEMENT, PROZESSE, POLICIES, RICHTLINIEN Die meisten Informationen werden heutzutage mit Mitteln der Informationstechnik verarbeitet und gespeichert. Auch die Geschäftsprozesse im Unternehmen sind heute in der Regelmaßgeblich von einer funktionierenden IT abhängig. Um die aus dem Einsatz von Informationen und IT resultierenden Risiken zu erkennen, transparent zu machen, und um ein bedarfsgerechtes Schutzniveau zu erreichen, wird ein professionelles Informationssicherheits- und Risikomanagement benötigt. Dieses muss von der Unternehmensführung getragen, im gesamten Unternehmen als Prozess gelebt und in das unternehmensweite Sicherheitsmanagement verankert werden. 7 8
IT-GRUNDSCHUTZ ANGEBOT Wendet Ihr Unternehmen die IT Grundschutz-Vorgehensweise des BSI an, unterstützen wir Sie bei allen Schritten der Sicherheitskonzeption nach BSI-Grundschutz: LEISTUNGEN DER BWS IT-SECURITY IM EINZELNEN TRAININGS- UND AWARENESSMASSNAHMEN Trainings- und Awareness-Maßnahmen sind ein wesentlicher Teil eines ISMS, weil ein Sicherheitsprozess nur dann funktionieren und gelebt werden kann, wenn die Notwendigkeit für Sicherheitsmaßnahmen auf allen Ebenen im Unternehmen erkannt und akzeptiert worden ist. Strukturanalyse Schutzbedarfsermittlung Modellierung des IT-Verbunds Basis-Sicherheitscheck (Soll-Ist-Vergleich) Ergänzende Sicherheitsanalyse Realisierungsplanung CERTIFIED INFORMATION SECURITY OFFICER Nach dem erfolgreichen Abschluss des ISO 27001 Foundationlevels besteht die Möglichkeit, auf dem Professionallevel die erworbenen Kenntnisse zu vertiefen und die TÜV-Zertifizierung Information Security Officer nach ISO27001 zu erwerben. Hier unterstützt Sie BWS unter anderem bei: Entwicklung des übergreifenden AwarnessKonzepts Durchführung von Awareness-Maßnahmen, z.b. in Form von Vorträgen oder Live-Hacking-Vorführungen Durchführung von Schulungen, z. B. die Trainings aus unserer Hacking-Extrem-Serie Messung der Wirksamkeit durchgeführter Awareness- und Schulungsmaßnahmen Die Teilnehmer erlernen anschaulich die Planung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS auf Basis ISO/IEC 27001. AUSBILDUNG ISO 27001 FOUNDATIONLEVEL WERKZEUGE ZUR UNTERSTÜTZUNG DES INFORMATIONSSICHERHEITS-, COMPLIANCE- UND RISIKOMANAGEMENTS Die ISO 27001 Grundlagenausbildung der BWS vermittelt das Basiswissen zum Thema Security Management Systeme nach ISO 27001. Diese Schulung ist im Prinzip ein Muss für Security-Verantwortliche im eigenen Unternehmen, Sicherheitsberater beim Kunden oder Security Auditoren. Wir zeigen Ihnen die Möglichkeiten, Einsatzbereiche, aber auch Grenzen so genannter Governance-, Risikomanagement- und ComplianceWerkzeuge in Ihrem Unternehmensumfeld auf und unterstützen Sie als herstellerunabhängiger Berater bei der Auswahl der für Sie am besten geeigneten Lösung mit folgenden Dienstleistungen: Die Teilnehmer erwerben in diesem zertifizierten Training außerdem umfassende Kenntnisse über die Best-Practices bei der Implementierung von Kontrollmechanismen für die Informationssicherheit aus allen Bereichen des Standards ISO 27002. Potentialanalyse zur Ermittlung des zu erwartenden Mehrwerts eines GRC-Werkzeugs Anforderungsermittlung und -analyse Produktvorauswahl Produktevaluierung anhand eines Prototyps Produkteinführung 10
BEISPIELSWEISE GEHÖREN HIERZU: Was ist der Schwerpunkt der Überprüfung? Welche Aspekte der Sicherheit sind zu beachten? Mit welchen Methoden darf/soll geprüft werden? Auf welchen Ebenen werden die Komponenten untersucht? Von welchen Zugängen aus sollen Prüfungen durchgeführt werden? WAS KÖNNEN WIR FÜR SIE TUN? Wir verfügen über detaillierte Kenntnisse der aktuellen Angriffstechniken und -methoden sowie über langjährige Erfahrung im Bereich von Audits und Penetrationtests. Dadurch ist es uns möglich, Ihre IT-Lösungen nicht nur auf der konzeptionellen Ebene auf potenzielle Sicherheitsrisiken hin zu untersuchen, sondern auch tatsächlich vorhandene, technische und organisatorische Schwachstellen zu finden und zu bewerten. Sicherheitsüberprüfungen sind ein sehr individuelles Thema, bei dem es keine Universalrezepte gibt. Deshalb müssen vor einer Sicherheitsüberprüfung der Rahmen und der Fokus der Untersuchung abgestimmt werden. Wir beraten Sie schon im Vorfeld, welche Bereiche und Prüfungen im Einzelfall für Sie sinnvoll sind.
UNSERE LEISTUNGEN IM DETAIL UNSERE VORGEHENSWEISE DER ABLAUF EINER SICHERHEITSÜBERPRÜFUNG LÄSST SICH IN DREI PHASEN GLIEDERN. WIR BIETEN IHNEN UMFASSENDE TECHNISCHE, KONZEPTIONELLE BZW. ORGANISATORISCHE UNTERSUCHUNGEN DER SICHERHEIT IHRER ANWENDUNGEN, SYSTEME, INFRASTRUKTUREN ODER PRO- ZESSE AN. VORBEREITUNG UND ABSTIMMUNG DER VORGEHENSWEISE DURCHFÜHRUNG DER PRÜFUNGEN DOKUMENTATION UND PRÄSENTATION DER ERGEB- NISSE Die technischen Untersuchungen können sich dabei sowohl auf Bestandteile der Infrastruktur (z.b. Server, Netzwerkkomponenten, Firewalls, VPNs oder IDS) und Endgeräte als auch auf Anwendungen und deren Komponenten (z.b. Web Application Server) erstrecken. Das Spektrum reicht von Social Engineering, Applikationsuntersuchungen, Quellcodeprüfungen und Konfigurationsanalysen bis hin zu Reverse Engineering. Auch auf der organisatorischen Ebene der Informationssicherheit ist immer wieder zu agement, die vorhandenen Richtlinien zur Informationssicherheit oder die sicherheitsrelevanten Betriebsprozesse (z.b. Security Incident Handling, Berechtigungsvergabe, Schwachstellenmanagement) noch den Anforderungen entsprechen und der Bedrohungslage angemessen sind. Unsere langjährige Erfahrung, die Orientierung an relevanten Standards und unsere eigenen Qualitätsziele sorgen dafür, dass die Ergebnisse verständlich, nachvollziehbar und für das Management verwertbar dargestellt werden. In der ersten Phase werden die eventuell vorhandenen Risiken für den laufenden Betrieb diskutiert. Darüber hinaus besprechen wir mit Ihnen, welche Komponenten in welchem Zeitfenster zu prüfen sind. Diese Phase der Prüfung definiert die Basis für alle weiteren Schritte. Die Durchführung der Prüfungen erfolgt anhand der festgelegten Vorgehensweise, wobei technische, organisatorische und physikalische Prüfungen sequenziell oder auch parallel vorgenommen werden können. Dies findet selbstverständlich in enger Abstimmung mit Ihnen statt. Auf Wunsch werden Ihnen schwerwiegende Befunde schon während der Prüfung gemeldet. Nach Abschluss der Überprüfung werden die Ergebnisse für die jeweiligen Zielgruppen aufbereitet und auf Wunsch präsentiert. Entscheidend für erfolgreiche Audits und Penetrationtests sind einerseits die kompetente und professionelle Durchführung der Prüfungen und andererseits die angemessene Bewertung und Präsentation der Ergebnisse für die jeweilige Zielgruppe. Für beide Aspekte ist BWS bekannt. überprüfen, ob das Informationssicherheitsmanagementsystem (ISMS), das Risikoman- Gerne diskutieren wir mit Ihnen auch die Umsetzung nachhaltiger Gegenmaßnahmen und unterstützen Sie bei der Realisierung.
BWS IT-SECURITY BEISPIELE AUSGEWÄHLTE BEISPIELE FÜR MODULE VON IT-SICHERHEITSÜBERPRÜFUNGEN Untersuchung von Web-Applikationen bezüglich Manipulations- und Einbruchsmöglichkeiten auf Anwendungsebene Überprüfung von Bürogeräten mit Netzwerkanschluss (beispielsweise Multifunktionsdrucker, die ins Netzwerk eingebunden sind) Betrachtung der Sicherheit mobiler Arbeitsplätze, Smartphones oder Tablets Manuelle technische Prüfung von Sicherheitskomponenten (wie beispielsweise Firewalls, Virenschutz oder IDS) hinsichtlich ihrer korrekten und vollständigen Konfiguration, ihrer Effektivität bzw. Möglichkeiten zur Umgehung Analyse von Apps für Smartphones oder Tablets Überprüfung von Datenbanken bezüglich Access Control und Manipulationsmöglichkeiten Technische Überprüfung der über das Internet sichtbaren Systeme mit Hilfe automatisierter Scanner und manueller Methoden auf Netzwerkebene Technische Überprüfung interner Systeme mit Hilfe automatisierter Scanner und manueller Methoden auf Netzwerkebene Manuelle technische Überprüfung definierter Systeme hinsichtlich ihrer Konfiguration und Härtung auf Systemebene Konzeptionelle Überprüfung der strukturellen Sicherheit einzelner Bereiche wie beispielsweise Angemessenheit der Wahl von Netzwerkzonen 3 STANDORTE BWS IT-SECURITY CONSULTING UNTERSTÜTZT UNTERNEHMEN DABEI, HOHE INFORMATIONSSICHERHEIT AUF BASIS WELTWEIT ANERKANNTER STANDARDS EINZUFÜHREN. Betrachtung der Sensibilisierung und Kooperation der Mitarbeiter in Bezug auf IT-Sicherheit INFORMATIONSSICHERHEIT RISIKOMANAGEMENT COMPLIANCE IT-SECURITY Reverse Engineering zum Auffinden von Schwachstellen in Softwareprodukten oder Embeded-Geräten IT-EXPERTEN PENETRATIONSTESTER LEAD-AUDITOREN REFERENTEN Innentäter- bzw. Insider-Threat-Analysen Überprüfung der WLAN-Infrastruktur Suche nach unbekannten externen Verbindungen (Internet, Telefoneinwahl, WLAN) i DATENSCHUTZ SCHULUNG / TRAINING ISO-27001 IT-GRUNDSCHUTZ
YOUR PARTNER IN IT-SECURITY BWS-IT-Security-Consulting unterstützt Unternehmen dabei, hohe Informationssicherheit auf Basis weltweit anerkannter Standards einzuführen. Von Wolfsburg aus beraten wir Kunden deutschlandweit und bieten Firmen ein umfangreiches Leistungsportfolio mit Fokus auf IT-Sicherheit und Forensik. Frei nach dem Motto Hilfe zur Selbsthilfe bieten wir in Zusammenarbeit mit der Cyber Akademie GmbH Schulungen und Trainings an, um Unternehmen die Themen BSI-Grundschutz und Datenschutz näher zu bringen. BWS IT-Security Consulting beschäftigt eine breit gefächerte Auswahl an IT-Experten, welche sich mit der Vorbeugung, Bekämpfung und Aufklärung von Sicherheitsvorfällen im Bereich Informationstechnologie beschäftigen. AUDITS UND PENETRATIONTESTS, TRAINING, SEMINARE, WORKSHOPS WWW.BWS-IT-SECURITY.DE
BWS IT-Security Consulting Major-Hirst-Str. 11 38442 Wolfsburg T +49 5361 897 6600 F +49 5361 897 6619 www.bws-it-security.de Eine Marke der BWS Automotive Consulting GmbH