IT-Sicherheit

Sichere IT.
Verlässliche Prozesse.

Wenn Sie sich in Ihrem Unternehmen auf eine sichere IT verlassen wollen, dann müssen Sie zwei Fragen mit „Ja“ beantworten können: 1. „Ist unsere IT vor potenziellen cyberkriminellen Angriffen sicher? und 2. „Ist unsere IT so aufgestellt, dass ein kostspieliger Systemausfall nicht eintritt?“. Um das zu können, sind wir der richtige Partner.

Bild 1 ohne Hintergrund
Bild 2

Unser Portfolio

Sicherheitslücken identifizieren & schließen

Mit unseren Sicherheits- und Infrastruktur-Checks überprüfen wir Ihre IT oder Teile davon. So finden wir heraus, ob Ihr System relevante Sicherheitslücken aufweist. Teil der Checks ist nicht nur die Überprüfung an sich, sondern auch ein detaillierter Bericht mit klaren Handlungsempfehlungen. Dafür verfügen wir über eine separate Spezialisten-Abteilung, die mit unserem sonstigen Geschäft keine Berührungspunkte hat.

Module

Individuell zusammenstellbar:

Awareness
Sensibilisierung für cyberkriminelle Einbruchsversuche

Damit Ihre Mitarbeiter sensibilisiert werden, welche Methoden Cyberkriminelle nutzen und dementsprechend verantwortlich mit Internet und E-Mails umgehen, bieten wir verschiedene Maßnahmen an. Zum Beispiel versenden wir speziell präparierte Mails, um den Umgang Ihrer Mitarbeiterinnen und Mitarbeiter mit gefälschten E-Mail-Inhalten zu testen und ihn im Sinne der Unternehmenssicherheit zu optimieren. Zudem können Sie über eine E-Learning-Plattform regelmäßige und aufeinander aufbauende Onlineschulungen mit anschließendem Multiple-Choice-Test buchen.

Backup & Recovery
Überprüfung der Wiederherstellbarkeit von Dateien und Systemen

Wir untersuchen Ihre Datensicherung hinsichtlich der zugrundeliegenden Infrastruktur und Backupsoftware. Wir ermitteln sowohl, welche Restore- und Recovery-Zeiten auf dieser Grundlage möglich sind, als auch, welche Datenmengen unterstützt werden. Zudem prüfen wir, ob die Planung der Backupjobs optimiert werden kann oder gar muss und ob die zur Verfügung stehenden Hardwareressourcen ausgenutzt werden.

Compliance & Organization
Überprüfung Ihrer Sicherheitsstandards

Zunächst sprechen wir darüber, welchen Sicherheitslevel Sie für Ihr Unternehmen erreichen möchten – ob er zum Beispiel der Norm ISO 27001 entsprechen soll. Dann ermitteln wir, welche Sicherheitsvorgaben in Ihrem Unternehmen bereits existieren und wie sie eingehalten werden. Darüber hinaus wird geprüft, welche Vorgaben noch fehlen und welche angepasst werden müssen, um dem zuvor definierten Sicherheitslevel zu entsprechen.

Data-Center
Überprüfung von Räumlichkeiten auf Tauglichkeit als Rechenzentrum

Wir begutachten die Räume, die Sie als Standort für Ihr Rechenzentrum oder Ihre Rechenzentren in Betracht ziehen und bewerten, wie sicher sie sind. Dabei betrachten wir sowohl technische als auch organisatorische Faktoren, unter anderem Brandschutz, Klimatisierung, Verkabelung oder die Flächenkonzeption. Für alle relevanten Aspekte erfolgt eine übersichtliche Einteilung nach Sicherheitsklassen. Als Basis dient der Leitfaden „Betriebssichere Rechenzentren“ des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e. V. – kurz BITKOM.

Internal Privacy
Test der „von innen“ erreichbaren Systeme und Anlagen

Wir prüfen, ob und wie Ihr System aus dem Unternehmen heraus angegriffen werden kann. Dafür schlüpfen wir in die Rolle eines unzufriedenen Mitarbeiters, eines überinteressierten Azubis oder eines Gastes mit Spionage-Hintergrund. Wir testen, ob der Zugang zu wenig eingeschränkt ist, Berechtigungen zu weit gefasst oder entscheidende Zugangsdaten zu leicht zugänglich sind. Dabei nehmen wir vor allem zwei Fragen ins Visier:

  • Gelingt es, eine Zugangsmöglichkeit zu internen Informationen einzuschleusen (z.B. in Form eines präparierten USB-Sticks)?
  • Lassen sich genügend offenliegende Informationen (z.B. Kennwörter, die am PC kleben) sammeln, um von extern als vertraute Identität agieren zu können?
  • Können autorisierungspflichtige Vorgänge vielleicht doch von jemandem ausgeführt werden, der die Autorisierung nicht hat und möglicherweise noch nicht einmal Ihr Mitarbeiter ist?
Public Security
Test der „von außen“ erreichbaren Systeme und Anlagen

Um möglichst realitätsgetreu zu testen, wie angreifbar Ihr Unternehmen von außen ist, schlüpfen wir in die Rolle eines Hackers, der den Auftrag hat, Informationen zu beschaffen, sie zu manipulieren oder Ihre Systeme empfindlich zu stören. Außerdem prüfen wir, inwieweit ein externer Angreifer Identitäten annehmen kann, die dem Unternehmen vertraut sind, und mit solch einer fingierten Identität dann unerlaubt agieren kann. Diese Art der Cyberkriminalität ist als sogenannter CEO Fraud oder Chef Trick bekannt geworden.

Server Hardware & Virtualization
Überprüfung von Ressourcennutzung und Verfügbarkeit der Prozessoren und Arbeitsspeicher

Zuerst prüfen wir die Konfiguration und die Bereitstellungsmethoden. Im Anschluss ermitteln wir, inwieweit mit Hilfe einer standardisierten Vorgehensweise flexibel und schnell auf veränderte Anforderungen reagiert werden kann. Zudem untersuchen wir, inwieweit mit Hilfe spezieller Bereitstellungsmethoden auf besondere Systemanforderungen (z.B. von Datenbankservern) eingegangen wird. Die gesamte Serverlandschaft wird auch unter dem Aspekt der Verfügbarkeit betrachtet.

Storage
Überprüfung von Ressourcennutzung und Verfügbarkeit Ihrer Speichermedien

Sind bei Ihnen zentrale Storage Systeme (SAN) im Einsatz, so untersuchen wir deren Aufbau und Konfiguration, die redundante Auslegung, Performancenutzung und Skalierbarkeit. Dabei betrachten wir auch die physikalische Bereitstellung an die Serversysteme und die damit verbundene Infrastruktur.

Sicherheits-Check

Sind Sie sicher vor Cyber-Kriminellen?
Wie bedrohlich über das Internet begangene Verbrechen für deutsche Unternehmen sind, zeigt sich schon allein darin, dass jedes Landekriminalamt mittlerweile über eine zentrale Ansprechstelle Cybercrime für die Wirtschaft verfügt. Laut BITKOM, dem Digitalverband Deutschlands, sind in den letzten zwei Jahren über die Hälfte aller Unternehmen in Deutschland Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Der entstandene Schaden beläuft sich auf rund 51 Milliarden Euro pro Jahr.[1] Die Vorfälle werden immer komplexer, was sowohl das Erkennen eines Angriffs als auch die Verfolgung der Täter immer schwieriger macht – umso wichtiger, dass die präventiven Sicherheitsmaßnahmen hinreichend sind.

So helfen unsere Sicherheits-Checks
Ziel aller Checks ist es, Hacker von Ihren Systemen fernzuhalten. Sie sollen weder Daten ausspionieren, Identitäten zu Ihrem Schaden verwenden, verbotene Dienstleistungen über Ihre Serverstrukturen anbieten noch Websites lahmlegen können.

[1]Bitkom.de

Infrastruktur-Checks

Unzuverlässige IT kann teuer werden
IT-Ausfälle machen vor allem bei Ämtern von sich reden – wie zum Beispiel der bundesweite Systemausfall bei der Agentur für Arbeit 2015. Sind Unternehmen betroffen, gehen damit große Einschränkungen und empfindliche Einbußen einher. Vier Systemausfälle pro Unternehmen und Jahr müssen deutsche Mittelständler verkraften. Das ist teuer: Pro Ausfallstunde entstehen hohe Kosten – eine Umfrage im Auftrag von hp ermittelte einen Durchschnitt von 25.000 Euro.[2]

 

So helfen unsere Infrastruktur-Checks
Wir helfen Ihnen mit den Checks dabei, Ihre IT-Landschaft konsequent so zu gestalten, dass sie auch im Problemfall vollständig und reibungslos funktioniert. Dazu macht es in der Regel Sinn, alle unten genannten Prüfungen durchzuführen und gegebenenfalls Optimierungsmaßnahmen umzusetzen – Sie können aber auch einzelne Leistungspakete wählen. 

 

[2]Cio.de

  • Awareness

    Sensibilisierung für cyberkriminelle Einbruchsversuche

    Damit Ihre Mitarbeiter sensibilisiert werden, welche Methoden Cyberkriminelle nutzen und dementsprechend verantwortlich mit Internet und E-Mails umgehen, bieten wir verschiedene Maßnahmen an. Zum Beispiel versenden wir speziell präparierte Mails, um den Umgang Ihrer Mitarbeiterinnen und Mitarbeiter mit gefälschten E-Mail-Inhalten zu testen und ihn im Sinne der Unternehmenssicherheit zu optimieren. Zudem können Sie über eine E-Learning-Plattform regelmäßige und aufeinander aufbauende Onlineschulungen mit anschließendem Multiple-Choice-Test buchen.

  • Backup & Recovery

    Überprüfung der Wiederherstellbarkeit von Dateien und Systemen

    Wir untersuchen Ihre Datensicherung hinsichtlich der zugrundeliegenden Infrastruktur und Backupsoftware. Wir ermitteln sowohl, welche Restore- und Recovery-Zeiten auf dieser Grundlage möglich sind, als auch, welche Datenmengen unterstützt werden. Zudem prüfen wir, ob die Planung der Backupjobs optimiert werden kann oder gar muss und ob die zur Verfügung stehenden Hardwareressourcen ausgenutzt werden.

  • Compliance & Organization

    Überprüfung Ihrer Sicherheitsstandards

    Zunächst sprechen wir darüber, welchen Sicherheitslevel Sie für Ihr Unternehmen erreichen möchten – ob er zum Beispiel der Norm ISO 27001 entsprechen soll. Dann ermitteln wir, welche Sicherheitsvorgaben in Ihrem Unternehmen bereits existieren und wie sie eingehalten werden. Darüber hinaus wird geprüft, welche Vorgaben noch fehlen und welche angepasst werden müssen, um dem zuvor definierten Sicherheitslevel zu entsprechen.

  • Data-Center

    Überprüfung von Räumlichkeiten auf Tauglichkeit als Rechenzentrum

    Wir begutachten die Räume, die Sie als Standort für Ihr Rechenzentrum oder Ihre Rechenzentren in Betracht ziehen und bewerten, wie sicher sie sind. Dabei betrachten wir sowohl technische als auch organisatorische Faktoren, unter anderem Brandschutz, Klimatisierung, Verkabelung oder die Flächenkonzeption. Für alle relevanten Aspekte erfolgt eine übersichtliche Einteilung nach Sicherheitsklassen. Als Basis dient der Leitfaden „Betriebssichere Rechenzentren“ des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e. V. – kurz BITKOM.

  • Internal Privacy

    Test der „von innen“ erreichbaren Systeme und Anlagen

    Wir prüfen, ob und wie Ihr System aus dem Unternehmen heraus angegriffen werden kann. Dafür schlüpfen wir in die Rolle eines unzufriedenen Mitarbeiters, eines überinteressierten Azubis oder eines Gastes mit Spionage-Hintergrund. Wir testen, ob der Zugang zu wenig eingeschränkt ist, Berechtigungen zu weit gefasst oder entscheidende Zugangsdaten zu leicht zugänglich sind. Dabei nehmen wir vor allem zwei Fragen ins Visier:

    • Gelingt es, eine Zugangsmöglichkeit zu internen Informationen einzuschleusen (z.B. in Form eines präparierten USB-Sticks)?
    • Lassen sich genügend offenliegende Informationen (z.B. Kennwörter, die am PC kleben) sammeln, um von extern als vertraute Identität agieren zu können?
    • Können autorisierungspflichtige Vorgänge vielleicht doch von jemandem ausgeführt werden, der die Autorisierung nicht hat und möglicherweise noch nicht einmal Ihr Mitarbeiter ist?

  • Public Security

    Test der „von außen“ erreichbaren Systeme und Anlagen

    Um möglichst realitätsgetreu zu testen, wie angreifbar Ihr Unternehmen von außen ist, schlüpfen wir in die Rolle eines Hackers, der den Auftrag hat, Informationen zu beschaffen, sie zu manipulieren oder Ihre Systeme empfindlich zu stören. Außerdem prüfen wir, inwieweit ein externer Angreifer Identitäten annehmen kann, die dem Unternehmen vertraut sind, und mit solch einer fingierten Identität dann unerlaubt agieren kann. Diese Art der Cyberkriminalität ist als sogenannter CEO Fraud oder Chef Trick bekannt geworden.

  • Server Hardware & Virtualization

    Überprüfung von Ressourcennutzung und Verfügbarkeit der Prozessoren und Arbeitsspeicher

    Zuerst prüfen wir die Konfiguration und die Bereitstellungsmethoden. Im Anschluss ermitteln wir, inwieweit mit Hilfe einer standardisierten Vorgehensweise flexibel und schnell auf veränderte Anforderungen reagiert werden kann. Zudem untersuchen wir, inwieweit mit Hilfe spezieller Bereitstellungsmethoden auf besondere Systemanforderungen (z.B. von Datenbankservern) eingegangen wird. Die gesamte Serverlandschaft wird auch unter dem Aspekt der Verfügbarkeit betrachtet.

  • Storage

    Überprüfung von Ressourcennutzung und Verfügbarkeit Ihrer Speichermedien

    Sind bei Ihnen zentrale Storage Systeme (SAN) im Einsatz, so untersuchen wir deren Aufbau und Konfiguration, die redundante Auslegung, Performancenutzung und Skalierbarkeit. Dabei betrachten wir auch die physikalische Bereitstellung an die Serversysteme und die damit verbundene Infrastruktur.

Welches Leistungspaket beantwortet welche Fragen?

Sicherheits-ChecksWie sieht die
Infrastrukur aus?
Was kann sie leisten?		Wie sieht die IT-
Organisation aus? 
Welche Services
können erbracht werden?		Wie sicher ist
die Technik vor
externen Angreifern?		Wie sicher
ist die Technik
vor internen
Bedrohnungen?		Passt die IT zu
den Geschäfts-
prozessen?		Wie gut kann
sich die IT
den Geschäfts-
prozessen
anpassen?
Public Security     Vorhanden      
Internal Privacy       Vorhanden    
Compliance & Organization       Vorhanden    
Awareness     Vorhanden      
Infrastruktur-Checks      
Data Center Vorhanden Vorhanden     Vorhanden Vorhanden
Storage Vorhanden Vorhanden     Vorhanden Vorhanden
Server Hardware & Virtualisierung Vorhanden Vorhanden     Vorhanden Vorhanden
Backup & Recovery Vorhanden Vorhanden     Vorhanden Vorhanden

Wie sieht die Infrastruktur aus? Was kann sie leisten?
Infrastruktur-Checks:
Data Center
Storage
Server Hardware & Virtualization
Backup & Recovery

Wie sieht die IT-Organisation aus? Welche Services können erbracht werden?
Infrastruktur-Checks:
Data Center
Storage
Server Hardware & Virtualization
Backup & Recovery

Wie sicher ist die Technik vor externen Angreifern?
Sicherheits-Checks:
Public Security
Awareness

Wie sicher ist die Technik vor internen Bedrohungen?
Sicherheits-Checks:
Internal Privacy
Compliance & Organization

Passt die IT zu den Geschäftsprozessen?
Infrastruktur-Checks:
Data Center
Storage
Server Hardware & Virtualization
Backup & Recovery

Wie gut kann sich die IT den Geschäftsprozessen anpassen?
Infrastruktur-Checks:
Data Center
Storage
Server Hardware & Virtualization
Backup & Recovery

Support

Wir bieten
ihnen mehr

Da sich die technischen Möglichkeiten kontinuierlich weiterentwickeln, ist IT-Sicherheit kein Status, sondern ein steter Prozess. Deshalb bieten wir Ihnen Rahmenverträge über regelmäßige Audits an. So kann Ihr Unternehmen den einmal erreichten Sicherheitslevel beibehalten. Natürlich können Sie sich auch in allen akuten Sicherheitsfragen an uns wenden. Unsere Experten wissen Ihnen zu helfen.

Unser Vorgehen

Ihr Sicherheitsbedürfnis entscheidet

Im gemeinsamen Gespräch mit Ihnen ermitteln wir, was genau Sie sich wünschen und was davon wir für Sie tun können. Wir schlagen Ihnen eine passende Vorgehensweise vor und erstellen Ihnen dazu ein individuelles Angebot. Haben Sie uns den Auftrag erteilt, erbringen wir unsere Leistungen in der Regel bei Ihnen – Ausnahmen sind die Leistungsmodule „Public Security“ und „Awareness“, die unsere Experten hier im Hause bearbeiten. Die Ergebnisse unserer Checks präsentieren wir Ihnen persönlich – einmal in Form einer allseits verständlichen Management-Summary, einmal als detaillierten technischen Report. Teil der Ergebnisse ist immer auch eine Übersicht über die Maßnahmen, welche die möglicherweise identifizierten Sicherheitslücken verlässlich schließen.

Server-Infrastruktur

Beispiel einer Bewertungsmatrix in der
Management Summary

  • kritisch/
    nicht vorhanden
  • ausreichend
  • akzeptabel
  • optimal
Laufzeit (Gesamt)
0.2500
Storage Zentralisierung
0.8750
Storage übertragbar
(Virtualisierung, Redundanz)
0.7500
Storage Plattenarray/
Konfiguration
0.2500
Storage Lesezugriffe
0.7500
Storage Schreibzugriffe
0.2500
ESX Ressourcen CPU
0.1000
ESX Ressourcen RAM
0.2500
Redundanz Gesamtkonzept
0.2500
SAN Fibre Channel Topologie
(Full Fabric)
0.3750

Laufzeit/Aktualität (Gesamt)
kritisch

Storage Zentralisierung
optimal

Storage übertragbar (Virtualization, Redundanz)
akzeptabel

Storage Plattenarray/Konfiguration
kritisch

Storage Lesezugriffe
kritisch

Storage Schreibzugriffe
kritisch

ESX Ressourcen CPU
nicht vorhanden

ESX Ressourcen RAM
kritisch

Redundanz Gesamtkonzept
kritisch

SAN Fibre Channel Topologie (Full Fabric)
ausreichend

Empfehlungen

Als Entscheidungshilfe sortieren wir unsere Empfehlungen
nach Aufwand und Nutzen – hier am Beispiel eines
Unternehmens aus der Logistikbranche.

 
Infrastruktur
 
Server
 
Netzwerk
 
Prozesse
 
Sicherheit
Einführung Stellplatz-Optimizer
Aufwand:hoch Nutzen:mittel
Netztrennung
Aufwand:mittel Nutzen:mittel
Performance Optimierung
Aufwand:mittel Nutzen:hoch
Fail Over Gruppen für Telefonie
Aufwand:gering Nutzen:mittel
LVS Aktualisierung
Aufwand:mittel Nutzen:mittel
Aufbau strategischer KPIs
Aufwand:mittel Nutzen:mittel
Aufbau dispositiver KPIs
Aufwand:mittel Nutzen:mittel
Wartungs -management
Aufwand:gering Nutzen:mittel
Aktualisierung operativer KPIs
Aufwand:mittel Nutzen:hoch
Offline-Verfügbarkeit Kommissionierung
Aufwand:mittel Nutzen:hoch
Offline-Verfügbarkeit Lieferscheine
Aufwand:gering Nutzen:hoch

Infrastruktur
Performance Optimierung:
Aufwand mittel, Nutzen hoch
Wartungsmanagement:
Aufwand gering, Nutzen mittel

Server
Einführung Stellplatz-Optimizer:
Aufwand mittel, Nutzen hoch
LVS Aktualisierung:
Aufwand gering, Nutzen mittel

Netzwerk
Netztrennung:
Aufwand mittel, Nutzen mittel
Fail Over Gruppen für Telefonie:
Aufwand gering, Nutzen mittel

Prozesse
Aufbau strategischer KPIs:
Aufwand mittel, Nutzen hoch
Aufbau dispositiver KPI:
Aufwand mittel, Nutzen mittel
Aktualisierung operativer KPI:
Aufwand mittel, Nutzen hoch

Sicherheit
Offline-Verfügbarkeit Kommissionierung:
Aufwand mittel, Nutzen hoch
Offline-Verfügbarkeit Lieferscheine:
Aufwand gering, Nutzen hoch

Success-Story

Ein gutes Beispiel

Da das Thema IT-Sicherheit ein sensibles Thema ist, verzichten wir darauf, Ihnen an dieser Stelle eine Kundenliste zu präsentieren. Lieber veranschaulichen wir unsere Arbeit mit einem qualifizierten Beispiel.

 

 

UNSER KUNDE
C. Melchers GmbH & Co. KG ist ein weltweit operierendes Unternehmen mit einem breiten Portfolio an Dienstleistungen und Handelskompetenz in unterschiedlichsten Geschäftsbereichen.

UNSER AUFTRAG
Businesskritische Webanwendungen sollten einem Penetrationstest unterzogen werden, um mögliche Sicherheitsdefizite aufzudecken.

UNSERE VORGEHENSWEISE
Getestet wurde nach international anerkannten Standards auf Basis der OWASP Top 10. Durch die Prüfung wurden Sicherheitsmängel im Benutzer-Authentifizierungsmodul festgestellt, die den Zugriff auf sensible Daten ohne entsprechende Berechtigungen zuließen.

Die Dokumentation der Ergebnisse diente als Grundlage für die Erstellung eines Maßnahmenkatalogs, bei dessen Umsetzung MEKOS mitgewirkt hat: Es erfolgten ein detaillierter Source Code Review in Zusammenarbeit mit dem Melchers Business Software Team sowie die Erstellung eines Proof of Concepts für die neuen Module. Bestandteile, die nicht mehr dem heutigen Stand der Technik entsprachen, wurden identifiziert, überarbeitet, implementiert und einer erneuten Sicherheitsprüfung unterzogen.

Abschließend haben wir mit den internen IT-Fachkräften in einen Workshop dazu durchgeführt, wie zukünftig Herausforderungen im Bereich IT-Sicherheit bewältigt werden können. Nach vier Wochen wurde die Software neu übergeben – geprüft, sicherheitsoptimiert und technisch auf dem neuesten Stand.

DIE MEINUNG DES KUNDEN

„Durch die Zusammenarbeit mit MEKOS haben wir nachhaltig an Sicherheit und an Wissen gewonnen. Dank der sehr guten Aufarbeitung profitieren wir bereits in vielen weiteren Projekten von den Analyseergebnissen.“

Malte Kuchta, Entwickler, C. Melchers GmbH & Co. KG