Cyber Security

Cyber Security
Cyber Security

Body

Ihre Herausforderung

Technisch und organisatorisch ist Ihre IT auf dem neuesten Stand und bislang waren Sie in der Lage einfache technische Angriffe auf einzelne Systeme, Server oder Software-Produkte abzuwehren. Gegen groß angelegte Angriffe technischer und sozialer Natur fühlen Sie sich jedoch nicht ausreichend geschützt oder wissen nicht, ob Ihre Mitarbeiter adäquat auf diese Bedrohungslagen vorbereitet sind.

Kriminelle nutzen heutzutage eine Vielzahl von Methoden, um sich Zugang zu Ihren Systemen zu erschleichen. Neben technischen Schwächen Ihrer Systemlandschaft nutzen sie auch menschliche Schwächen Ihrer Mitarbeiter aus.

 

Wie Protiviti Sie unterstützt

Damit Sie Ihr Unternehmen bestmöglich vor komplexen Angriffen schützen können, unterstützt Protiviti Sie dabei, die Risiken und kritischen Schwachstellen in Ihren Fach- und IT-Prozessen zu identifizieren und zu reduzieren.

In einem möglichst realitätsnahen Szenario kann unser sog. Red Team (ein Team aus verschiedenen IT-Sicherheitsexperten) Ihr Unternehmen auf sämtlichen Ebenen angreifen und dabei mögliche Sicherheitsrisiken und Schwachstellen aufdecken.

 

Unser Vorgehen

Wir stellen aus unserem Pool an IT-Sicherheitsexperten (Social Engineering, Server, Web-Applikationen, Netzwerk, etc.) ein Red Team zusammen, welches Ihr Unternehmen zielgerichtet angreift und Ihre Cyber-Sicherheit ganzheitlich überprüft.

Für einen Angriff unseres Red Teams sind verschiedene Szenarien denkbar. So könnte das Red Team einen sogenannten Blackbox-Angriff durchführen, bei dem unser Team nur den Namen Ihres Unternehmens kennt.

Oder das Team wird mit bestimmten Informationen versorgt, sofern nur bestimmte Abteilungen Ihres Unternehmens angegriffen werden sollen. In jedem Fall wird unser Team maßgeschneiderte Angriffsszenarien für Ihr Unternehmen entwickeln.

 

Dabei werden die drei Eckpfeiler Ihrer Unternehmenssicherheit betrachtet:

  • Prozesssicherheit: Fachliche Prozessbetrachtung
  • Systemsicherheit: Technische Sicherheit Ihrer Systeme
  • Sensibilität Ihrer Mitarbeiter: Bewertung Ihrer Schulungsmaßnahmen

 

Ihre Vorteile

Durch die Hilfe unseres Red Teams erhalten Sie einen direkten Einblick in Ihr Risikoprofil und können verschiedene Fragen der Cyber-Sicherheit beantworten:

  • Erkennen Sie gezielte Angriffe und sind in der Lage diese abzuwehren?
  • Wie schnell gelingt es einem Angreifer Ihre Unternehmens-IT zu kompromittieren?
  • Sind notwendige Prozesse vorhanden und werden diese gelebt?
  • Sind Ihre Mitarbeiter ausreichend geschult oder benötigen Sie in Ihrem Unternehmen weitere Awareness-Maßnahmen?

In folgenden Themengebieten führen wir Projekte durch:

IT-Sicherheitsstrategie

 

Eine umfassende und effektive IT-Sicherheitsstrategie ist auf Ihre Geschäftsstrategie abgestimmt. Sie enthält die Leitplanken für die Sicherung Ihrer Informationswerte. Eine IT, die bestmöglich auf die strategischen Zielsetzungen des Unternehmens abgestimmt ist, kann eine erfolgreiche Umsetzung dieser Ziele wirkungsvoll unterstützen. Organisation, Prozesse sowie die Infrastruktur und deren Technologieeinsatz müssen optimal auf die geschäftskritischen Erfolgsfaktoren ausgerichtet sein. Wir helfen Ihnen, die für Sie passende IT-Sicherheitsstrategie zu entwickeln.

Bedrohungs- und Risikoanalyse

 

Im Rahmen einer Bedrohungs- bzw. Risikoanalyse ermitteln wir Ihre Sicherheitsrisiken. Anhand der Ergebnisse fertigen wir speziell auf Sie angefertigte effiziente Gegenmaßnahmen an und leiten diese ein. Wesentliche Risikomanagementmaßnahmen spiegeln sich auch in IT-Prozessen und IT-Kontrollen wider. Interne Richtlinien und Standards (Policies und Guidelines) definieren Anforderungen an Systemeinstellungen, Prozesse und Kontrollen sowie an die verantwortlichen Mitarbeiter.

Für kleine und mittlere Unternehmen bieten wir ein Projektpaket an.

IT-Best Practices und IT-Zertifizierungen

 

Auf Basis vielfach bewährter IT-Standards und Best Practices wie bspw. BSI, ISO 27001, COBIT, ITIL und PCI DSS analysieren wir Ihre IT-Prozesse und IT-Landschaft und entwickeln ein angemessenes Sicherheitsrahmenwerk, zugeschnitten auf die speziellen Bedürfnisse Ihres Unternehmens. Je nach Anforderung zertifizieren wir Ihr Unternehmen im Bereich Kreditkartensicherheit (PCI DSS) oder unterstützen Sie bei der Implementierung und Zertifizierung nach ISO 27001.

Für ISO 27001 bieten wir Ihnen einen QuickScan an.

Compliance

 

Wir unterstützen Sie bei der Umsetzung und Einhaltung von Gesetzen und Richtlinien im Bereich IT-Sicherheit. Dabei stehen das BDSG sowie branchenspezifische Anforderungen (bspw. aus der MaRisk) oder internationale Vorgaben (bspw. SOX) im Mittelpunkt. Neben Prozessen und Kontrollen beinhaltet dies zudem ein Berechtigungskonzept zur Vermeidung von Funktionstrennungskonflikten.

Wir helfen Ihnen dabei, die geforderten Vorgaben effizient und kostengünstig einzuhalten.

Netzwerk- und Anwendungssicherheit

Egal ob (W)LAN, Mobile Device Management, VoIP, Videosysteme, Social Media, Webapplikationen,  SharePoint oder andere IT-Systeme - wir verfügen über umfangreiche Erfahrungen im Aufdecken von Sicherheitslücken. So stellen Sie beispielsweise sicher, dass Sie vor finanziellen und Imageschäden durch böswillige Angriffe geschützt sind. Bitte sprechen Sie uns an.

Schulungen und Wissen: Stärken Sie Ihre Mitarbeiter

 

Ihre Technik kann perfekt geschützt sein, aber sind Sie sich auch über die potenziellen IT-Gefahren bewusst oder ausreichend und regelmäßig im Umgang mit der IT geschult? Wir entwickeln mit Ihnen ein unternehmensweites Schulungskonzept oder trainieren bei Bedarf einzelne Fachbereiche in branchenspezifischen Themen. Bitte fragen Sie uns direkt nach Beispielen.

Security Incident Response

 

Wir bieten Ihnen unsere Unterstützung im gesamten Bereich der Analyse von Sicherheitsvorfällen an. Dabei sind unsere Experten in kürzester Zeit vor Ort – weltweit. Auf Basis der Analyseergebnisse helfen wir Ihnen bei der Festlegung und Implementierung von Prozessen und Richtlinien oder auch bei der Definition sinnvoller Protokollierungen Ihrer Systeme. Somit werden Abläufe und Verantwortlichkeiten klar geregelt und Sie sind für den Ernstfall gewappnet.

Social Engineering

 

Ihre IT ist auf dem neuesten Stand und Sie wehren Hackerangriffe über das Netzwerk erfolgreich ab. Doch wie gehen Ihre Mitarbeiter mit gefälschten E-Mails oder dubiosen Anrufen mit der Aufforderung zur Weitergabe von vertraulichen Daten um? Diese Daten ermöglichen es Angreifern, Ihre Kontrollen zu umgehen.

Wir ermitteln anhand eines simulierten Social Engineering-Angriffs nicht nur die Erfolgsquote solcher Versuche, sondern auch das Risikobewusstsein Ihrer Mitarbeiter. Gemeinsam mit Ihnen entwickeln wir Maßnahmen, mit denen interne Schwachstellen behoben werden können.