Wesentliches Kriterium für eine funktionsfähige IT/OT-Sicherheit, Informationssicherheit, Cybersecurity, Datensicherheit und dgl., ist die Sicherheitsstrategie. Darauf aufbauend müssen die zentralen, messbaren und kontrollierbaren Ziele den IT-Verantwortlichen von der Unternehmensleitung (Managementverantwortung) vorgegeben werden. Nur so ist zu erwarten, dass bekannt ist wohin die Reise gehen soll. Während größere Organisationen mit entsprechenden Ressourcen (Personal, Kapital, Zeit) sehr wahrscheinlich auf ein vollwertiges Informations-Sicherheitsmanagement-System nach ISO 27001 vertrauen, werden kleinere Unternehmen eher einfachere Konzepte implementieren.
Ein ordentliches Informationssicherheitsmanagement berücksichtigt auch Strategien, Ziele und Maßnahmen um Sicherheitsvorfälle unvoreingenommen aufzuarbeiten. Dabei sind standardisierte Vorgehensweisen
einzuhalten. Latente Spuren müssen konserviert werden, ohne Datenfragmente der Angreifer zu zerstören oder selbst Spuren zu setzen. Man nennt dies ein nicht invasives Vorgehen. Das Sichern, Aufbereiten,
Analysieren, und aus dem Gesamtbild die "richtigen Schlüsse" ziehen zu können, ist Aufgabe von erfahrenen, speziell geschulten Computerforensikern.
Aufgrund meiner langjährigen Tätigkeit als Computerforensiker kann ich Ihr Unternehmen im Anlassfall unterstützen. Hier finden Sie detaillierte Informationen zur
» Computerforensik.
Wie die Anforderungen und die reale Umsetzung der Sicherheit ihrer IT/OT-Systeme geprüft werden können, ist abhängig vom jeweiligen Kundensystem.
Die meisten Angriffe gegen die IT Ihres Unternehmens beginnen tatsächlich durch aktive oder unbewusste Mitwirkung der Computeranwender, Netzwerkdrucker, IoT Geräte und dergleichen. Ihre OT-Systeme
(Produktion/Fertigung) werden meistens über den Umweg der IT kompromittiert. Im schlimmsten Fall sind die OT-Systeme auch direkt aus dem Internet erreichbar.
Daher prüfe ich nicht ausschließlich die Sicherheit ihrer Netzwerkkomponenten, sondern analysiere neben Konfigurationsfehlern ihrer Hard- und Software, alle IT Prozesse ihres Unternehmens. Dazu
zählen beispielsweise: Sicherheits-, Risiko- und Wissensmanagement, Fehlerkultur, Gebäudeschutz, Brandschutz, Zutrittsschutz, Backup und Archivlösungen, Dokumentation, Incident Handling, udgl.
Bei großen Organisationen orientiert sich die Sicherheitsprüfung natürlich am ISO-27000 Standard. Für mittlere und kleine Organisationen empfiehlt sich ein Vorgehen, das auf DIN Spec 27076 aufbaut.
Ich persönlich halte nicht sehr viel von den aktuell angebotenen vorgefertigten Pen-Tests auf Abo-Basis durch angelernte, rasch eingeschulte 'sales professionals'. Zudem würde ich niemals zu einem
softwarebasierten Penetrationstest gegen Ihre Live-Systeme, also die produktiven Echt-Systeme raten, obwohl diese simulierten Angriffe werbewirksam vermarktet werden. (Und wie behandelt ihre Organisation
ein solches Vorgehen im Rahmen des ISMS? Werden die zu prüfenden Systeme geclont bzw. virtualisiert?)
RM consulting bietet ausschließlich ganzheitliche IT Sicherheitsprüfungen an. Dieser Prozess ist natürlich aufwendiger und verlangt entsprechende IT-Kenntnisse und
Erfahrung auf dem Gebiet der Netzwerk- und Systemanalyse, aber auch gut entwickelte Softskills im Umgang mit Menschen. Wenn Sie unsicher sind, ob Ihre Computersysteme tatsächlich sicher konfiguriert sind,
kontaktieren Sie mich für eine kostenlose Erstberatung telefonisch
oder per E-Mail. Wir stimmen dann gemeinsam das weitere Vorgehen ab.
Seit Oktober 2024 sollten eigentlich sehr viele mittlere und große Unternehmen ein weit strengeres Sicherheitsmanagement zur Gewährleistung der Stabilität und Sicherheit ihrer IT/OT-Systeme implementiert haben, um vor sog. Cyberrisiken bestmöglich geschützt zu sein. Selbst wenn das eigene Unternehmen nicht unmittelbar im Katalog der 'wichtigen, wesentlichen oder kritischen' Infrastruktur erfasst wird, so müssen zumindest vorgelagerte und/oder nachgelagerte Prozessketten (Lieferanten, Kunden, Geschäftspartner) ein besonderes Augenmerk auf die Einhaltung der Cybersecurity und Resilienz legen. Natürlich unterstütze ich Sie auch bei Fragestellungen zu NIS2 [EU-Richtlinie 2022/2555, CELEX 32022L2555] und dem novellierten NISG (sobald dieses vorliegt), und helfe Ihnen beim Aufbau eines auf Ihre Bedürfnisse angepassten Informations-Sicherheits-Management-Systems (ISMS).
Seit Mai 2018 müssen alle natürlichen und juristischen Personen sowie öffentliche Organisationen, welche personenbezogene Daten innerhalb der EU oder für Unternehmen in der EU speichern oder
verarbeiten, die Vorgaben der europäischen Datenschutz Grundverordnung 2016/679 erfüllen.
Leider habe ich immer noch Kontakt zu Unternehmen, welche die gesetzlichen Vorgaben hinsichtlich Datenschutz und Datensicherheit nicht oder nicht korrekt umgesetzt haben. Wenn Sie bzw. Ihr
Unternehmen nicht wirklich sicher sind, auch alle rechtlichen Vorgaben korrekt zu erfüllen (aber ohne unnötiges Gold Plating), dann sollten Sie mich rasch
kontaktieren. Zumindest noch bevor Sie von der Datenschutzbehörde zur Stellungnahme eingeladen werden.
Wenn Sie mich für die Implementierung eines ISMS, mit allen notwendigen strategischen, organisatiorischen und technologischen Planungs- und Umsetzungsmaßnahmen, beauftragen, dann werde ich
das übernommene Projekt überwiegend mittels agiler Methoden durchführen. Zudem folge ich meiner persönlichen Zielvorgabe, stets nur die notwendigen Schritte umzusetzen (gem. LEAN, ohne Gold-Plating)
und mittels systemisch komplementären Beratungsmethoden, die Kundenorganisation darin zu stärken, zukünftige ähnliche Herausforderungen, selbst bewerkstelligen zu können.
Was kompliziert klingt ist in Wirklichkeit sehr einfach. Wir erarbeiten das ISMS gemeinsam, ich als ihr Fachexperte und systemischer Coach, inklusive der verantwortlichen Unternehmensführung und dem
motivierten, beigestellten Projektteam. Keinesfalls werde ich als CISO auftreten (ja, das bieten tatsächlich Mitbewerber an). Diese verantwortungsvolle Rolle ist durch die Kundenorganisation zu bestellen!
Als unabhängiger professioneller Berater sorge ich aber dafür, dass Ihnen auch die Vorteile, Chancen und Einsparungspotentiale bei der Erfüllung dieser 'Pflichten' bewusst werden. Sie können z.B. Ihren Kunden, Lieferanten, Mitarbeitern und auch Ihren Mitbewerbern nachweisen, dass Sie ein verlässlicher Partner im Geschäftsalltag sind. Vergleichen Sie dazu auch gerne die Vorgaben nach EU-Richtlinie 2022/2555 (NIS2, zukünftig novelliertes NISG), der EU-Verordnung 2022/0272 (CyberResilienceAct), der CSDDD (Lieferkettenrichtinie) oder der überarbeiteten und bald gültigen EU-Produkthaftungsrichtlinie (EU 2022/0302 COD) für Software. Schließlich rechnet sich keine Investition in zusätzliche Sicherheitsmaßnahmen, wenn Sie oder Ihr Unternehmen nicht auch den Mehrwert erkennen und schätzen.
Als zertifizierter IT- und Datenschutz-Sicherheitsexperte unterstütze ich Ihr Unternehmen auch im Rahmen der KMU.DIGITAL Förderaktion. Sie können auf meine Expertise und Unterstützung bei folgenden Maßnahmen vertrauen:
Nutzen Sie die Gelegenheit der geförderten Überprüfung ihrer » Cyber-Sicherheit mittels Quickcheck. Bis zu 8 Arbeitsstunden werden zu 100% gefördert.
Zudem werden vom TIP Nö Schwerpunktberatungen zu unterschiedlichen Themenbereichen (z.B. ISMS Projekte) gefördert. Gerne berate ich Ihr Unternehmen zu den möglichen Förderungen und unterstütze bei der
Antragstellung.
Detaillierte Informationen finden Sie auf der Webseite des TIP Nö.