Beiträge

CISO-Office Pakete

Je nach Ihrer Branche und Unternehmensgröße wählen Sie Laufzeit und Sicherheitsstandard aus.

Für bereits etablierte Unternehmen stellen wir unser CISO-Office als Bronze, Silver oder Prime Paket zur Verfügung.

Für Start-Ups bieten wir einen Kurzläufer an. In einer umfassenden Sicherheits-Analyse untersuchen wir (je nach gewähltem Sicherheitsstandard) Ihre aktuelle Lage und geben Ihnen eine erste Einschätzung über Ihr Sicherheits-Niveau.

Darüber hinaus unterstützen wir Sie bei Änderungen an Systemen und beheben Mängel an Software und Prozessen. Also besonders interessant für neugierige Unternehmer.

Die Pakete CISO-Bronze, CISO-Silver und CISO-Prime stellen Ihnen darüber hinaus einen unserer qualifizierten Sicherheits-Manager für mindestens zwei Tage je Monat zur Verfügung. Sie binden diesen in Ihre Jour-Fixe, Sprint-Planungen oder auch CAB (Change Advisory Board) Besprechungen mit ein.

Unser CISO-Prime Paket ermöglicht durch die lange Laufzeit die Anbindung an unser IT-Sicherheits-Management und die Verbindung mit Ihrem IT-Sicherheits-Monitoring.

IT-Administratoren haben mehr Arbeit denn je

stealNOdata übernimmt nicht die Arbeit Ihrer IT-Administratoren oder Betriebsmanager!

stealNOdata übernimmt nicht die Arbeit Ihrer IT-Dienstleister!

stealNOdata managed nicht Ihre Router oder Firewalls!

 

Wir heben Ihr gesamtes Sicherheitsniveau an, denn wir sind Ihr Security Office und halten Ihre Sicherheitsziele in einer Hand. Durch Nutzung unseres CISO-Office sind wir Ihr Ansprechpartner für alle IT Sicherheits Maßnahmen in Ihrem Unternehmen.

Unser CISO-Office liefert:

  • Security Officer als persönliche Schnittstelle für Ihre Entwicklung, Produktion und Management
  • Inventarisierung Ihrer IT-Systeme
  • Verwundbarkeitsscanner, um einen Abgleich mit bekannt gewordenen Sicherheitsmängeln (Vulnerabilities) herstellen zu können
  • Informations Sicherheits Management System nach BSI 200-1 oder ISO 27001:2013
  • SIEM bzw. Security Monitoring
  • Incident Response

 

Sind Cloud Services ein Sicherheitsrisiko?

Unternehmen nutzen Cloud Dienste bereits  seit einigen Jahren. Als Privatpersonen nutzen wir sie ebenfalls, wie zum Beispiel klassische Mail- oder auch Hosting-Diensleister für Websites. Sollten Unternehmen auf mehr Cloud Services setzen?

Wir unterscheiden in drei verschiedene Typen von Cloudlösungen. Da ist zum einen die Public Cloud. Es handelt sich um Dienste die über das Internet bezogen werden können wie zum Beispiel Microsoft Office 365, Google Web und Doc sowie SAP oder DATEV Dienste. Wir sprechen von einer Private Cloud wenn wir ausschließlich in einem geschützten und privaten Netzwerk Dienste selber betreiben. Insbesondere wenn wir aufgrund der Datenschutzanforderungen nur eigenen Mitarbeitern Zugang zu skalierbaren IT-Infrastruktur-Diensten geben. Privat nutzen wir typischerweise NAS Dienste und ihre Erweiterungen wie OpenStack oder ownCloud. Die Mischform beider vorigen Typen wird als Hybrid Cloud bezeichnet. Geschäftprozesse werden in datenschutzkritische und -unkritische Workflows unterschieden und somit auf unterschiedlicher Infrastruktur betrieben.

Eine Studie von intel vom Februar 2017 kommt zu dem Ergebnis, dass es wichtig ist, seine Sicherheitslösungen (egal ob in-House oder Cloud) durch eine einheitliche Steuerungsebene zu überwachen. Das bedeutet das Unternehmen entweder ein eigenes Security-Management aufbauen sollten, oder unseren Service von stealNOdata nutzen können. Unser CISO-Office vereint die notwendige Technik, die notwendigen Prozesse und hat die Experten um ein ISMS, also ein Informations Sicherheits Management System zu betreiben. Dort laufen die Fäden für die Überwachung externer Dienstleister zusammen bzw. die Prüfung von Outsourcing-Verträgen, den SLAs.

Insgesamt kann man festhalten dass viele Unternehmen bereits Cloud-Services nutzen und Ihre Business-Cases darauf ausgerichtet haben. Man kann auch festhalten dass es ein hohes Maß an Verständigung mit dem Cloud-Anbieter braucht, da Risiken nicht minimiert sondern aufgeteilt werden. Insbesondere bei Nutzung mehrerer Public Cloud Services stellt die übergreifende Verteilung von Geschäftsprozessen eine neue Abhängigkeit zwischen den Cloud-Anbietern her. Der Anbieter mit den niedrigeren SLAs erzeugt die meisten Kopfzerbrechen. Vertraulichkeit, Verfügbarkeit und Integrität werden zum Produkt einer gemeinschaftlichen Anstrengung. Wir nutzen bereits viele Cloud-Lösungen. Folglich müssen wir sehr genau abwägen welche Daten und Prozesse wir in eine Public Cloud auslagern wollen. Dies hängt nicht zuletzt von unserer Datenklassifizierung ab, die sich aus einer Sicherheitsleitlinie ergibt, und diese wiederum aus den Geschäftszielen abgeleitet werden muss. Das ist der richtige Ansatz zur Planung, Durchführung und Überwachung von ausgelagerten Diensten.

 

IT-Sicherheits-Magazin für achtsame Unternehmer

Erfahrungen für KMUs aus Projekten bei DAX 30 Unternehmen. Tips für Mitarbeiter in der Unternehmensleitung, Entwicklung und Produktion.

Auch nicht-IT Unternehmungen wie z.B. Kanzleien, Einzelhandel oder Privatpersonen können profitieren.

Auf diesen Seiten finden Sie Hinweise und praktische Tips zum Schutz Ihrer sensiblen Daten. Ähnliche Methoden werden bei großen Firmen angewendet die ihre vertraulichen Daten oder IT-Systeme schützen müssen.

Damit diese Erfahrungen für andere nutzbar werden, wurde die Seite pub.stealNOdata.com aufgebaut. Sie sind wertvoll und ebenso von kleinen Unternehmen und Gewerbetreibenden anwendbar – für nahezu jede Branche.

stealNOdata

Wir kümmern uns um Ihre IT-Sicherheit!

Nahezu alle Unternehmen nutzen heute IT-Systeme. Viele davon nutzen Dienste im Internet wie Email oder einfach das Web. Doch wer macht sich Gedanken über seine Sicherheit? Zumeist der IT-Leiter, Administrator oder auch der CIO. Sie sind in der Regel damit beauftragt das Unternehmen, seine Prozesse und seine IT am Laufen zu halten. Wir alle verlassen uns darauf dass morgen noch das Licht angeht oder das Wasser aus dem Hahn kommt.

Alles beginnt bei den Daten, die IT-Systeme steuern oder die von IT-Systemen bearbeitet werden. Ist ihre Integrität sicher gestellt, so merken wir nichts von der IT. Sind Daten nicht verfügbar oder gar kompromittiert worden, dann wird es häufig spannend. Deshalb sehen wir die Kette der Abhängigkeiten folgendermaßen:

Datensicherheit >
Computersicherheit >
Cybersicherheit >
Ausfallsicherheit >
Produktionssicherheit >
Unternehmenssicherheit >
Umsatzsicherheit

Alle oben genannten Ebenen werden von unserem CISO-Office berücksichtigt.

Lassen Sie uns über Ihre IT sprechen. Davor jedoch sollten wir über Ihre eigentlichen Geschäfts-Treiber reden! Dann starten wir mit der Erfassung von Daten sowie Systemen und Netzen die sie transportieren. Das ist die Grundlage eines umfassenden Sicherheits-Managements.

Reden wir drüber!

Sicherheit von Servern

Wieviel Geld sollte ich in die Sicherheit unserer Server investieren?

Ich behaupte so viel wie nötig und so wenig wie möglich. Ein Spagat? Absolut!

Der Invest in Sicherheits­maßnahmen hängt in erster Linie von den Aufgaben ab die ein Server für den Betrieb erfüllt. Außerdem hängt es natürlich von dem Wert der Informationen ab die auf diesem Server abgelegt werden.

Wie kann man diesen Wert bestimmen?

Es gibt sicherlich mehrere Möglichkeiten das heraus zu finden.

Man könnte davon ausgehen dass 100%ige Sicherheit durch maximal hohe Investitionen erreicht wird. Das ist ein Trugschluß! Totale Sicherheit wird es niemals geben (grüne Kurve).

Einleuchtend ist auch dass Kosten durch Schäden je höher ausfallen umso niedriger das Sicherheitsniveau ist (blaue Kurve). Beide Kurven schneiden sich in einem Punkt bei dem Investitionskosten genauso hoch sind wie die Kosten die durch Schäden entstehen würden. Dieser Schnittpunkt stellt den Punkt der niedrigsten Ausgaben dar. Ob er nun bei einem Sicherheitsniveau von 30% oder von 60% optimal ist, hängt vom eigentlichen zu schützenden Sicherheitswert ab.

Was ist ein Sicherheitswert?

Bei einem Serverausfall lässt sich die zu erwartende Schadenshöhe von dem entgangenen Gewinn ableiten. Der Sicherheitswert ist in diesem Fall „Verfügbarkeit„. Sofern der besagte Server nicht verfügbar ist kann er nicht mehr in der Produktion verwendet werden. Eine SachbearbeiterIn könnte ihre Aufgabe nicht mehr erfüllen und folglich ihren Auftrag nicht erfüllen. Die Schadenshöhe könnte daraus abgeleitet werden.

Veränderte Zahlen oder verfälschte Meßergebnisse können zu falschen Schlussfolgerungen führen. Im schlimmsten Fall führt dies sogar zu fehlerhafter Produktion die unter Umständen zu Problemen beim Endkunden führen kann. Der Sicherheitswert in diesem Fall ist die „Integrität

Der dritte Sicherheitswert ist die „Vertraulichkeit“ der Daten auf dem besagten Server. Die Kosten die entstehen, wenn ein geheimes Rezept, ein Konstruktionsplan oder eine neue Software in falsche Hände gerät, könnten ein Unternehmen bis in die Insolvenz führen.

Weitere unter Umständen schützenswerte Sicherheitswerte sind „Authentizität“ bzw. „Echtheit“ und „Verbindlichkeit“. Unter Authentizität versteht man z.B. das Vertrauen in die Identität einer Person die sich durch einen Ausweis oder ein Zertifikat ausweisen muss. Verbindlichkeit kann durch eine digitale Unterschrift erzeugt werden. Dadurch kann eine rechtskräftige Absichtserklärung erfolgen. Wurde ein digitales Zertifikat bzw. ein privater Schlüssel von einem Angreifer abgefangen, so kann der digitalen Unterschrift nicht mehr vertraut werden bzw. keine Verbindlichkeit garantiert werden.

Unklar bleibt jedoch welcher der Werte welche Relevanz für Ihr Unternehmen hat. Vielleicht ist es auch eine Kombination der Werte die für Ihren Betrieb eine Rolle spielen. Man kann demnach nicht erkennen wie genau investiert werden muss.

Konkrete Maßnahmen durch Risikoanalyse

Helfen kann eine Risikoanalyse mit deren Ergebnis die Investitionen richtig verteilt werden könnten. Das Ergebnis zeigt wie wichtig ein Server, ein System, ein Netzwerk, eine Maschine, ein Mensch oder auch ein Prozess ist. Daraus ergeben sich Sicherheits-Maßnahmen welche die gefundenen Schwachstellen kosteneffizient mindern. Das Ergebnis einer Risikoanalyse bietet weitaus mehr als nur einen Hinweis wieviel Geld „investiert“ werden sollte.

Risiko überwachen durch Risikomanagement

Wer eine Risikoanalyse erstellt, davon Maßnahmen ableitet und umsetzt, erlebt anschließend ein verändertes Risikoprofil. Deswegen bewertet man Risiken erneut nach Anwendung von Maßnahmen (siehe hierzu auch Deming Cycle: Plan, Do, Check, Act). Schließlich ändert sich auch der Markt, die Ansprüche oder die Produktionsgeschwindigkeit. Der Anspruch an Vertraulichkeit von Daten nimmt eventuell mit der Zeit sogar ab oder die Integrität eines Konstruktionsplanes ist nicht mehr so wichtig nachdem die Produktion selbständig funktioniert. Die Sicherheit bzw. die Risiken werden regelmäßig neu bewertet. Dazu führen wir einen so genannten Lebenszyklus bzw. ein Lifecycle von Risikoanalysen ein – genannt Risikomanagement.

Professionalität ist also angesagt bei der Betrachtung und Behandlung von Sicherheitsrisiken. Werkzeuge dazu sind bekannt – wir Sicherheits-Manager wenden diese regelmäßig an um Betriebe sicherer zu machen.

Neugierig geworden? Wir kommen gerne zu Ihnen und erklären wie wir IT-Sicherheit für Sie aufrecht erhalten werden. Wir helfen bei der Implementierung der ermittelten Sicherheitsmaßnahmen, kontrollieren regelmäßig auf Funktion, berichten dem Management und helfen dabei Ihre Serversicherheit zu erhalten.

ANFRAGE STELLEN

Investitionen Rechtfertigen

Werden die Investitionen für IT-Sicherheitsmaßnahmen erhöht, so steigt auch das Sicherheitsniveau. Es wird jedoch niemals 100%ige Sicherheit geben. Andererseits werden die Folgekosten durch Sicherheitsvorfälle bei sehr hohem Sicherheitsniveau sehr niedrig sein. Sicher ist dass ohne Sicherheitsmaßnahmen die Folgekosten extrem hoch sein können. Das Ziel ist es also Budgets für IT-Sicherheitsmaßnahmen richtig zu planen.

Minimalprinzip

Je nach Unternehmen lassen sich mit 5% Aufwand bis zu 95% Sicherheit gewinnen. Das ist eine gewagte Aussage! Doch es ist unser Erfahrungswert.

Häufig werden Projekte vom IT-Betrieb gestartet die keinen ganzheitlichen Ansatz bzw. den Blick auf Ihr komplettes Unternehmen haben. Auch finden wir Firmen in denen mehrere Projekte ähnliche Lösungen erarbeiten.

Wir meinen das Budget-Entscheidungen immer durch Risikoreduzierung gerechtfertigt werden müssen.

Mit unserem Service JustifySecCost berechnen wir für Sie die minimal notwendigen Kosten für sinnvolle IT-Sicherheitsmaßnahmen.

Wie geht das?

Durch gezielte Risikoanalyse ermitteln wir einerseits wichtige Sicherheitsmaßnahmen und gleichzeitig rechtfertigen wir die Höhe der Investitionen.

Wir ermitteln die minimal notwendigen Maßnahmen für Ihre individuellen Werte durch die Bestimmung der Verhältnisse von Bedrohung, Schwachstellen und dem jeweiligen verminderten Risiko.

Das verminderte Risiko ist eine relative Größe und hängt von Ihrer Risikobereitschaft ab.

Brücken bauen!

Wir bauen zwischen Ihrer Produktion, dem IT-Betrieb, dem Einkauf und Ihrem Management Brücken. Einfach und nachvollziehbar rechtfertigen wir Ausgaben für IT-Sicherheitsmaßnahmen. Meßbar und kosteneffizient halten Sie langfristig die IT-Risiken und Ihren Gewinn in Balance.

Wir entkoppeln die Investitionen Ihrer IT-Sicherheitsmaßnahmen von Ihrem Umsatz indem wir die kritischsten Unternehmenswerte analysieren und uns dort auf die Bedrohungen und Schwachstellen fokussieren.

Ihr Management konzentriert sich auf das Kerngeschäft – wir konzentrieren uns auf Ihre IT-Sicherheit.