IT- und Informationssicherheit

Vertraulichkeit. Verfügbarkeit. Integrität.

Wir unterstützen Sie bei der tagtäglichen Wahrung aller Schutzziele.

Was ist Informationssicherheit?

Die Information und Daten Ihres Unternehmens - seien es personenbezogene Daten, Forschungsergebnisse oder Patente und Geschäftsgeheimnisse - sind höchst schützenswerte, immaterielle Güter. Der Zugriff auf diese muss dementsprechend am tatsächlichen Bedarf bzw. am konkreten Verwendungszweck ausgerichtet werden und als Folge individuell angepasst, beschränkt und kontrolliert sein.

Nur wenn ausschließlich autorisierte Programme, Benutzerinnen und Anwender auf die Information zugreifen, kann eine umfassende Informationssicherheit und damit der Schutz (personenbezogener) Daten vor beabsichtigten Angriffen oder auch unbeabsichtigten Verstößen gewährleistet werden. Wir helfen Ihnen dabei, die technischen und auch organisatorischen Maßnahmen Ihrer Unternehmung so aufzustellen, dass Informationssicherheit und im Speziellen auch IT-Sicherheit (die einen Unterpunkt der Informationssicherheit darstellt) entlang aller gängigen Richtlinien (ISO 27001, IT-Grundschutz oder auch technische Richtlinien des BSI) umgesetzt und dauerhaft eingehalten werden.

Schutzziele der Informationssicherheit

Aufgrund des hohen Stellenwertes von Informationen als Unternehmenswert muss die Informationssicherheit klar als Managementaufgabe verstanden werden. Um Datenverlust oder auch Datenmissbrauch zu verhindern, hilft dabei die Orientierung an den übergeordneten "Schutzzielen der Informationssicherheit". Nur: Worum genau handelt es sich dabei? Aus Sicht des BSI (Bundesamt für Sicherheit in der Informationstechnik) handelt es sich bei den drei primären Schutzzielen der Informationssicherheit um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Vertraulichkeit

Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.

Beispiele hierfür sind Kundendaten, Patente oder Forschungsdaten. Ein besonderer Schutz der Vertraulichkeit besteht zudem bei der Verarbeitung personenbezogener Daten.

Integrität

Integrität bezeichnet die Sicherstellung der Korrektheit, Unversehrtheit und Vollständigkeit von Daten und Informationen und eine korrekte Funktionsweise von Systemen.

Integritätsverlust von Informationen kann beispielsweise durch unautorisiertes Ändern, Löschen oder Einfügen von Daten eintreten (mit entsprechenden Gefahren für Betroffene).

Verfügbarkeit

Die Verfügbarkeit von Dienstleistungen, IT- Systemen/-Anwendungen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

Im Fokus stehen hier die in SLAs vereinbarte Anforderungen an Server und Rechenzentren sowie Risikoanalysen zu möglichen Ausfällen und Schadenspotentialen.

Weitere Schutzziele sind unter anderem:

  • Authentizität bzw. die Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts
  • Verbindlichkeit, also die Unmöglichkeit des Abstreitens durchgeführter Handlungen (beispielsweise durch elektronische Signaturen)
  • Zurechenbarkeit, bzw. die Zuordenbarkeit einer durchgeführten Handlung

Als ein zusätzliches, im Zuge der DSGVO etabliertes Schutzziel gilt neuerdings auch die sogenannte Resilienz. Sie bezeichnet die Widerstandsfähigkeit oder auch Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen).

Was wir für Sie tun können

Neben der Stellung eines externen Informationssicherheitsbeauftragten bieten wir Ihrem Unternehmen zusätzlich einzelfallabhängige, individuell anpassbare Beratungsleistungen rund um das Thema Informationssicherheit. Dabei passen wir uns Ihnen und Ihren Bedürfnissen situationsgerecht an, erarbeiten maßgeschneiderte Lösungen für technische und organisatorische Maßnahmen oder den Aufbau eines ISO-konformen Informationssicherheitsmanagementsystems (ISMS) und begleiten Sie und Ihr Team auf Wunsch auch gerne bei der Umsetzung.

Friendly Audit | Gutachten

Eine ISO-Zertifizierung nach ISO 27001, die Umsetzung technischer Richtlinien des BSI (bspw. für die Zulassung einer digitalen Gesundheitsanwendung, DiGA) und auch die Datenschutzgrundverordnung (DSGVO) stellen zum Teil hohe Anforderungen an die technischen und organisatorischen Maßnahmen (TOM) eines Unternehmens. Diese reichen von physisch umsetzbaren Schutzversuchen (Umzäunung des Geländes, Sicherung von Türen und Fenstern) über Maßnahmen bei Soft- und Hardware (Benutzerkonten und Passwörter, Kryptografie und biometrische Benutzeridentifikation) bis hin zu Verfahrens- und Vorgehensweisen (Handhabung der Besucheranmeldung, Arbeitsanweisungen zum Umgang mit fehlerhaften Druckerzeugnissen oder auch festgelegte Intervalle zur Stichprobenprüfung).

Mit einer strukturierten Herangehensweise sind all diese Anforderungen gut und zeitnah umsetzbar. Im Idealfall geschieht dies zusätzlich mit einem klaren Augenmaß bezüglich Ihrer persönlichen Unternehmensgröße und der damit von Behörden erwarteten Detailtiefe der Einzelmaßnahmen. Genau dieses für Sie wichtige, individuell auf Ihr Unternehmen angepasste Augenmaß bieten wir ihnen als SDG. Sie profitieren bei uns von mehr als 100 erfolgreich durchgeführten Firmenaudits in KMU, jahrelanger Projektmanagementerfahrung im Konzernumfeld sowie umfangreichem Fachwissen zu verschiedenen technischen, personalpolitischen und natürlich datenschutzrechtlichen Fragestellungen.

Penetrationstests

Es gibt Dinge, man lieber selbst herausfinden möchte, bevor es andere tun. Dazu zählen beispielsweise Schwachstellen in der unternehmenseigenen Systemlandschaft oder auch potentielle (sicherheitsrelevante) Fehler aufgrund von fehlerhafter Software-Bedienung. Hier kommen die Penetrationstests der SDG ins Spiel. Mit Hilfe derartiger Tests prüfen wir die Sicherheit möglichst aller Systembestandteile und Anwendungen Ihres Netzwerks oder Softwaresystems. Dabei nutzen wir eine Vielzahl von Techniken, Methoden und Angriffsmustern, die auch feindliche Angreifer anwenden würden, um in Ihr System einzudringen. Ziel ist es somit, die Empfindlichkeit Ihrer System gegen externe Angriffe zu untersuchen und mögliche Gefahrenpotentiale aufzudecken.

Während des gesamten, vorher mit Ihnen und Ihrer IT in Art und Umfang abgesprochenen Penetrationstests erfolgt eine genaue Protokollierung aller durchgeführten Maßnahmen. Unser abschließender Bericht beinhaltet dann nicht nur alle erkannten Schwachstellen, sondern auch konkrete Lösungsansätze zur nachhaltigen, dauerhaften Verbesserung Ihrer IT-Sicherheitsniveaus. Hinweis: Das Beseitigen der von uns identifizierten Schwachstellen und die Durchführung eventuell notwendiger Härtungsmaßnahmen ist nicht Bestandteil des eigentlichen Penetrationstests. Sollten Sie hierfür Unterstützung benötigen, kontaktieren Sie uns einfach. Gemeinsam finden wir den für Sie passenden Weg, mit allen Findings rechtssicher und Ihren Möglichkeiten entsprechend umzugehen.

Unterstützung bei NIS2

Die neue EU NIS2-Richtlinie sorgt ab spätestens Oktober 2024 für einen einheitlichen IT-Sicherheitsstandard in Europa. Sie betrifft Unternehmen mit über 50 Mitarbeitern in kritischen Sektoren wie Energie, Verkehr, Gesundheitswesen, Bankwesen und digitale Infrastrukturen. Die Kernanforderung ist klar: Unternehmen müssen geeignete technische, operative und organisatorische Maßnahmen ergreifen, um Sicherheitsrisiken zu minimieren. Dies schließt den menschlichen Faktor und mögliche gesellschaftliche und wirtschaftliche Auswirkungen ein. In Deutschland wird die Umsetzung der NIS2-Richtlinie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz erwartet, das voraussichtlich im Frühjahr 2024 verabschiedet wird. Dieses Gesetz betont die Bedeutung des Cyberrisikomanagements und ergänzt die CER-Richtlinie sowie die DORA-Verordnung.

Eine bedeutende Neuerung betrifft die Verantwortlichkeiten der Geschäftsleitung. Diese müssen das Cyberrisikomanagement billigen und überwachen, ohne die Beauftragung Dritter. Verstöße können persönliche Haftung nach sich ziehen. Meldepflichten bei Sicherheitsvorfällen sind festgelegt und erfordern eine frühe Meldung innerhalb von 24 Stunden. Die NIS2-Richtlinie betrifft in Deutschland schätzungsweise 30.000 bis 40.000 Unternehmen. Verstöße gegen die NIS2-Richtlinie können erhebliche Konsequenzen haben, einschließlich Bußgelder von bis zu 10 Millionen Euro oder 2% des Vorjahresumsatzes sowie persönliche Haftung der Leitungsorgane. Die NIS2-Richtlinie bietet Unternehmen die Chance, ihre Cybersicherheitspraktiken zu verbessern. Kontaktieren Sie unser Team, um Ihre Betroffenheit zu prüfen und bei der Umsetzung zu unterstützen.

Mehr erfahren

Schulungen und Vorträge

Um die Einhaltung technischer wie auch datenschutzrechtlicher Vorschriften in Ihrem Unternehmen bestmöglich gewährleisten zu können, ist es entscheidend, dass auch Ihre Mitarbeiterinnen und Mitarbeiter ein Bewusstsein für den sorgsamen Umgang mit Daten und Informationen aller Art entwickeln – schließlich sind es sie, die mit diesen Daten Tag für Tag richtig umgehen müssen. Hierfür bieten Ihnen Vorträge, ein- und mehrtägige Seminare und Lehrgänge, auf denen Ihr Team die erforderliche Fachkunde erwerben kann.

Mehr erfahren

Unterstützung Ihres betrieblichen ISB

Sie haben bereits eine(n) Informationssicherheitsbeauftragte(n) (ISB) bestellt? Auf Wunsch prüfen wir die gesetzeskonforme Bestellung und stehen ihm oder ihr als kompetenter Ansprechpartner jederzeit mit Rat und Tat zur Seite. Ob Vorabkontrollen geplanter Verfahren, Schulungen der Belegschaft oder die Optimierung der allgemeinen technischen und organisatorischen Abläufe: Wir vermitteln ISBs die notwendige Fachkunde und unterstützen sie auch im Einzelfall. Sprechen Sie uns an und wir ermitteln gerne mit zusammen, welche Konstellation für Ihr Unternehmen gesamtunternehmerisch am sinnvollsten ist.

Sicherheitsportal

Unser hochmodernes Sicherheitsportal bietet fortschrittliche Schwachstellenanalyse und Echtzeit-Monitoring. Wir identifizieren potenzielle Gefahren, erkennen verdächtige Aktivitäten sofort und schützen Ihr Unternehmen proaktiv. Mit dem Fokus auf Schwachstellenanalyse bieten wir ein umfassendes Verständnis Ihrer IT-Infrastruktur, während das Echtzeit-Monitoring eine schnelle Reaktion auf potenzielle Bedrohungen ermöglicht. Unsere Lösung unterstützt zudem beim Compliance-Management, um alle rechtlichen Anforderungen zu erfüllen.

Mehr erfahren
Haben wir Ihr Interesse geweckt?
Termin vereinbaren