Ziel des IT-Sicherheits-Checks ist es zum einen, die korrekte Umsetzung und Aufrechterhaltung der Sicherheitsmaßnahmen zu prüfen und zum anderen sicherzustellen, dass geänderte Anforderungen frühzeitig in das vorhandene Informationssicherheits-Managementsystem (kurz ISMS) eingegliedert werden und die Informationssicherheit somit jederzeit auf einem aktuellen und angemessenen Stand ist.

Wir erörtern und bewerten gemeinsam mit Ihnen in einem Workshop sämtliche sicherheitsrelevante Informationen rund um Ihr Unternehmen bezüglich der IT-Sicherheit. Der Umfang des IT-Sicherheits-Checks und dessen Prüftiefe werden mit Ihnen abgestimmt. Im Anschluss daran findet bei Ihnen vor Ort die Prüfung statt, in dem wir die getroffenen Sicherheitsmaßnahmen aufnehmen und analysieren. Die Ergebnisse werden von uns ausgewertet und dokumentiert. Zu festgestellten Risiken werden wir Ihnen angemessene Vorschläge zur Verbesserung unterbreiten. Auf Wunsch werden Ihnen die Ergebnisse und Verbesserungsvorschläge in einer Abschlusspräsentation vorgestellt.

Wir richten uns bei der Durchführung unseres IT-Sicherheits-Checks nach nationalen (z.B. IT-Grundschutz) und international anerkannten Standards zur Informationssicherheit (z.B. ISO 27001). Sollte Ihr Unternehmen eigene Unternehmensstandards für IT-Sicherheit aufgestellt haben, so werden diese in unserer Prüfung selbstverständlich berücksichtigt.

Folgende Analysen können wir hier für Sie durchführen:

Analyse der Gebäudesicherheit

Bei der Analyse der Gebäudesicherheit werden allgemeine Sicherungsmaßnahmen z.B. gegen Brand, Einbruch und Sachbeschädigung berücksichtigt. Geprüft werden die Sicherheitsmaßnahmen des Gebäudes und der IT-relevanten Räume. Dazu gehören z.B.: Serverraum, Büros der Administratoren und Geschäftsführung.

Analyse der Netzwerksicherheit

Bei der Analyse der Netzwerksicherheit wird u.a. die Gestaltung des Firmennetzwerkes, die Anbindung an das Internet inkl. Firewall und die VPN-Verbindungen berücksichtigt. Die Prüfung umfasst dabei z.B. die Firewallregeln oder die Fernwartungszugänge. Einzelne Aspekte betreffen dabei auch die Sicherheit der eingesetzten Netzwerkkomponenten (z.B. Router).

Analyse der Server- und Clientsicherheit

Bei der Analyse der Server- und Clientsicherheit wird die Sicherheit der eingesetzten Systeme analysiert; dabei werden u.a. Virenschutz, Software-Updates, Backup, Notfallplanung und die allgemeinen Administrationsverfahren sowie die vorhandene Dokumentation thematisiert. Zu den betrachteten Systemen gehören sowohl Anwendungsserver als auch Infrastruktursysteme wie z.B. Domaincontroller.

Analyse der Anwendungssicherheit

In jedem Unternehmen finden sich kritische Anwendungen, für die der ordnungsgemäße Betrieb sichergestellt werden muss. Bei der Analyse der Anwendungssicherheit werden diese besonders kritischen Anwendungen berücksichtigt. Unter diese Anwendungen fallen z.B. die Personaldaten-Verarbeitung, die Kundendaten-Verarbeitung, die Finanzbuchhaltung (FiBu), das Warenwirtschaftssystem und die Warenlagersteuerung

Analyse der beauftragten Dienstleister

Die meisten Unternehmen nutzen im IT-Bereich Dienstleister. Deren Dienstleistung kann sich von der externen Unterstützung der Administratoren, über die Fernwartung einzelner Komponenten bis zu einem Outsourcing der Server erstrecken. Bei der Analyse der beauftragten Dienstleister wird geprüft, ob die Verantwortungen vertraglich ausreichend geregelt sind, die Überwachung der Auftragnehmer angemessen ist und den gesetzlichen Anforderungen, beispielsweise des Bundesdatenschutzgesetzes (BDSG), entsprochen wird.

Analyse der organisatorischen Maßnahmen

Die organisatorische Ausrichtung der IT-Sicherheit im Unternehmen und die Einbindung der Mitarbeiter z.B. durch Regelungen zur Nutzung des Internets stellen sicher, dass die IT-Sicherheit im gesamten Unternehmen angemessen umgesetzt wird. Bei der Analyse der organisatorischen Maßnahmen werden die bestehenden Regelungen begutachtet und dahingehend bewertet, ob Sie ausreichend und angemessen sind. Die Analyse beinhaltet z.B. das Changemanagement, die Security Policy / IT-Sicherheitsleitlinie, die Mitarbeiterschulung und die Kennwortrichtlinie.

Durchführung eines Penetrationstests

Zur Ergänzung der Analyse können wir Penetrationstests durchführen, um Angriffe gegen interne oder über das Internet erreichbare Systeme zu simulieren. Diese Tests umfassen sowohl Webapplikationsüberprüfungen als auch auf die jeweilige Plattform zugeschnittene Angriffe.

Unsere IT-Experten sind beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als Auditoren für ISO 27001 auf der Basis von IT-Grundschutz anerkannt und bei der datenschutz cert GmbH als ISO 27001-Auditor lizensiert. Dies stellt sicher, dass wir uns bei der Bewertung Ihrer IT-Sicherheit an den gängigen Standards orientieren. Des Weiteren verfügen wir über jahrelange Erfahrungen in diesem Bereich.