Mit unseren Sicherheits- und Infrastruktur-Checks überprüfen wir Ihre IT oder Teile davon. So finden wir heraus, ob Ihr System relevante Sicherheitslücken aufweist. Teil der Checks ist nicht nur die Überprüfung an sich, sondern auch ein detaillierter Bericht mit klaren Handlungsempfehlungen. Dafür verfügen wir über eine separate Spezialisten-Abteilung, die mit unserem sonstigen Geschäft keine Berührungspunkte hat.
Individuell zusammenstellbar:
Damit Ihre Mitarbeiter sensibilisiert werden, welche Methoden Cyberkriminelle nutzen und dementsprechend verantwortlich mit Internet und E-Mails umgehen, bieten wir verschiedene Maßnahmen an. Zum Beispiel versenden wir speziell präparierte Mails, um den Umgang Ihrer Mitarbeiterinnen und Mitarbeiter mit gefälschten E-Mail-Inhalten zu testen und ihn im Sinne der Unternehmenssicherheit zu optimieren. Zudem können Sie über eine E-Learning-Plattform regelmäßige und aufeinander aufbauende Onlineschulungen mit anschließendem Multiple-Choice-Test buchen.
Wir untersuchen Ihre Datensicherung hinsichtlich der zugrundeliegenden Infrastruktur und Backupsoftware. Wir ermitteln sowohl, welche Restore- und Recovery-Zeiten auf dieser Grundlage möglich sind, als auch, welche Datenmengen unterstützt werden. Zudem prüfen wir, ob die Planung der Backupjobs optimiert werden kann oder gar muss und ob die zur Verfügung stehenden Hardwareressourcen ausgenutzt werden.
Zunächst sprechen wir darüber, welchen Sicherheitslevel Sie für Ihr Unternehmen erreichen möchten – ob er zum Beispiel der Norm ISO 27001 entsprechen soll. Dann ermitteln wir, welche Sicherheitsvorgaben in Ihrem Unternehmen bereits existieren und wie sie eingehalten werden. Darüber hinaus wird geprüft, welche Vorgaben noch fehlen und welche angepasst werden müssen, um dem zuvor definierten Sicherheitslevel zu entsprechen.
Wir begutachten die Räume, die Sie als Standort für Ihr Rechenzentrum oder Ihre Rechenzentren in Betracht ziehen und bewerten, wie sicher sie sind. Dabei betrachten wir sowohl technische als auch organisatorische Faktoren, unter anderem Brandschutz, Klimatisierung, Verkabelung oder die Flächenkonzeption. Für alle relevanten Aspekte erfolgt eine übersichtliche Einteilung nach Sicherheitsklassen. Als Basis dient der Leitfaden „Betriebssichere Rechenzentren“ des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e. V. – kurz BITKOM.
Wir prüfen, ob und wie Ihr System aus dem Unternehmen heraus angegriffen werden kann. Dafür schlüpfen wir in die Rolle eines unzufriedenen Mitarbeiters, eines überinteressierten Azubis oder eines Gastes mit Spionage-Hintergrund. Wir testen, ob der Zugang zu wenig eingeschränkt ist, Berechtigungen zu weit gefasst oder entscheidende Zugangsdaten zu leicht zugänglich sind. Dabei nehmen wir vor allem zwei Fragen ins Visier:
Um möglichst realitätsgetreu zu testen, wie angreifbar Ihr Unternehmen von außen ist, schlüpfen wir in die Rolle eines Hackers, der den Auftrag hat, Informationen zu beschaffen, sie zu manipulieren oder Ihre Systeme empfindlich zu stören. Außerdem prüfen wir, inwieweit ein externer Angreifer Identitäten annehmen kann, die dem Unternehmen vertraut sind, und mit solch einer fingierten Identität dann unerlaubt agieren kann. Diese Art der Cyberkriminalität ist als sogenannter CEO Fraud oder Chef Trick bekannt geworden.
Zuerst prüfen wir die Konfiguration und die Bereitstellungsmethoden. Im Anschluss ermitteln wir, inwieweit mit Hilfe einer standardisierten Vorgehensweise flexibel und schnell auf veränderte Anforderungen reagiert werden kann. Zudem untersuchen wir, inwieweit mit Hilfe spezieller Bereitstellungsmethoden auf besondere Systemanforderungen (z.B. von Datenbankservern) eingegangen wird. Die gesamte Serverlandschaft wird auch unter dem Aspekt der Verfügbarkeit betrachtet.
Sind bei Ihnen zentrale Storage Systeme (SAN) im Einsatz, so untersuchen wir deren Aufbau und Konfiguration, die redundante Auslegung, Performancenutzung und Skalierbarkeit. Dabei betrachten wir auch die physikalische Bereitstellung an die Serversysteme und die damit verbundene Infrastruktur.
Sind Sie sicher vor Cyber-Kriminellen?
Wie bedrohlich über das Internet begangene Verbrechen für deutsche Unternehmen sind, zeigt sich schon allein darin, dass jedes Landekriminalamt mittlerweile über eine zentrale Ansprechstelle Cybercrime für die Wirtschaft verfügt. Laut BITKOM, dem Digitalverband Deutschlands, sind in den letzten zwei Jahren über die Hälfte aller Unternehmen in Deutschland Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Der entstandene Schaden beläuft sich auf rund 51 Milliarden Euro pro Jahr.[1] Die Vorfälle werden immer komplexer, was sowohl das Erkennen eines Angriffs als auch die Verfolgung der Täter immer schwieriger macht – umso wichtiger, dass die präventiven Sicherheitsmaßnahmen hinreichend sind.
So helfen unsere Sicherheits-Checks
Ziel aller Checks ist es, Hacker von Ihren Systemen fernzuhalten. Sie sollen weder Daten ausspionieren, Identitäten zu Ihrem Schaden verwenden, verbotene Dienstleistungen über Ihre Serverstrukturen anbieten noch Websites lahmlegen können.
[1]Bitkom.de
Unzuverlässige IT kann teuer werden
IT-Ausfälle machen vor allem bei Ämtern von sich reden – wie zum Beispiel der bundesweite Systemausfall bei der Agentur für Arbeit 2015. Sind Unternehmen betroffen, gehen damit große Einschränkungen und empfindliche Einbußen einher. Vier Systemausfälle pro Unternehmen und Jahr müssen deutsche Mittelständler verkraften. Das ist teuer: Pro Ausfallstunde entstehen hohe Kosten – eine Umfrage im Auftrag von hp ermittelte einen Durchschnitt von 25.000 Euro.[2]
So helfen unsere Infrastruktur-Checks
Wir helfen Ihnen mit den Checks dabei, Ihre IT-Landschaft konsequent so zu gestalten, dass sie auch im Problemfall vollständig und reibungslos funktioniert. Dazu macht es in der Regel Sinn, alle unten genannten Prüfungen durchzuführen und gegebenenfalls Optimierungsmaßnahmen umzusetzen – Sie können aber auch einzelne Leistungspakete wählen.
[2]Cio.de
Damit Ihre Mitarbeiter sensibilisiert werden, welche Methoden Cyberkriminelle nutzen und dementsprechend verantwortlich mit Internet und E-Mails umgehen, bieten wir verschiedene Maßnahmen an. Zum Beispiel versenden wir speziell präparierte Mails, um den Umgang Ihrer Mitarbeiterinnen und Mitarbeiter mit gefälschten E-Mail-Inhalten zu testen und ihn im Sinne der Unternehmenssicherheit zu optimieren. Zudem können Sie über eine E-Learning-Plattform regelmäßige und aufeinander aufbauende Onlineschulungen mit anschließendem Multiple-Choice-Test buchen.
Wir untersuchen Ihre Datensicherung hinsichtlich der zugrundeliegenden Infrastruktur und Backupsoftware. Wir ermitteln sowohl, welche Restore- und Recovery-Zeiten auf dieser Grundlage möglich sind, als auch, welche Datenmengen unterstützt werden. Zudem prüfen wir, ob die Planung der Backupjobs optimiert werden kann oder gar muss und ob die zur Verfügung stehenden Hardwareressourcen ausgenutzt werden.
Zunächst sprechen wir darüber, welchen Sicherheitslevel Sie für Ihr Unternehmen erreichen möchten – ob er zum Beispiel der Norm ISO 27001 entsprechen soll. Dann ermitteln wir, welche Sicherheitsvorgaben in Ihrem Unternehmen bereits existieren und wie sie eingehalten werden. Darüber hinaus wird geprüft, welche Vorgaben noch fehlen und welche angepasst werden müssen, um dem zuvor definierten Sicherheitslevel zu entsprechen.
Wir begutachten die Räume, die Sie als Standort für Ihr Rechenzentrum oder Ihre Rechenzentren in Betracht ziehen und bewerten, wie sicher sie sind. Dabei betrachten wir sowohl technische als auch organisatorische Faktoren, unter anderem Brandschutz, Klimatisierung, Verkabelung oder die Flächenkonzeption. Für alle relevanten Aspekte erfolgt eine übersichtliche Einteilung nach Sicherheitsklassen. Als Basis dient der Leitfaden „Betriebssichere Rechenzentren“ des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e. V. – kurz BITKOM.
Wir prüfen, ob und wie Ihr System aus dem Unternehmen heraus angegriffen werden kann. Dafür schlüpfen wir in die Rolle eines unzufriedenen Mitarbeiters, eines überinteressierten Azubis oder eines Gastes mit Spionage-Hintergrund. Wir testen, ob der Zugang zu wenig eingeschränkt ist, Berechtigungen zu weit gefasst oder entscheidende Zugangsdaten zu leicht zugänglich sind. Dabei nehmen wir vor allem zwei Fragen ins Visier:
Um möglichst realitätsgetreu zu testen, wie angreifbar Ihr Unternehmen von außen ist, schlüpfen wir in die Rolle eines Hackers, der den Auftrag hat, Informationen zu beschaffen, sie zu manipulieren oder Ihre Systeme empfindlich zu stören. Außerdem prüfen wir, inwieweit ein externer Angreifer Identitäten annehmen kann, die dem Unternehmen vertraut sind, und mit solch einer fingierten Identität dann unerlaubt agieren kann. Diese Art der Cyberkriminalität ist als sogenannter CEO Fraud oder Chef Trick bekannt geworden.
Zuerst prüfen wir die Konfiguration und die Bereitstellungsmethoden. Im Anschluss ermitteln wir, inwieweit mit Hilfe einer standardisierten Vorgehensweise flexibel und schnell auf veränderte Anforderungen reagiert werden kann. Zudem untersuchen wir, inwieweit mit Hilfe spezieller Bereitstellungsmethoden auf besondere Systemanforderungen (z.B. von Datenbankservern) eingegangen wird. Die gesamte Serverlandschaft wird auch unter dem Aspekt der Verfügbarkeit betrachtet.
Sind bei Ihnen zentrale Storage Systeme (SAN) im Einsatz, so untersuchen wir deren Aufbau und Konfiguration, die redundante Auslegung, Performancenutzung und Skalierbarkeit. Dabei betrachten wir auch die physikalische Bereitstellung an die Serversysteme und die damit verbundene Infrastruktur.
Sicherheits-Checks | Wie sieht die Infrastrukur aus? Was kann sie leisten? | Wie sieht die IT- Organisation aus? Welche Services können erbracht werden? | Wie sicher ist die Technik vor externen Angreifern? | Wie sicher ist die Technik vor internen Bedrohnungen? | Passt die IT zu den Geschäfts- prozessen? | Wie gut kann sich die IT den Geschäfts- prozessen anpassen? |
---|---|---|---|---|---|---|
Public Security | ||||||
Internal Privacy | ||||||
Compliance & Organization | ||||||
Awareness |
Infrastruktur-Checks | ||||||
---|---|---|---|---|---|---|
Data Center | ||||||
Storage | ||||||
Server Hardware & Virtualisierung | ||||||
Backup & Recovery |
Wie sieht die Infrastruktur aus? Was kann sie leisten?
Infrastruktur-Checks:
Data Center
Storage
Server Hardware & Virtualization
Backup & Recovery
Wie sieht die IT-Organisation aus? Welche Services können erbracht werden?
Infrastruktur-Checks:
Data Center
Storage
Server Hardware & Virtualization
Backup & Recovery
Wie sicher ist die Technik vor externen Angreifern?
Sicherheits-Checks:
Public Security
Awareness
Wie sicher ist die Technik vor internen Bedrohungen?
Sicherheits-Checks:
Internal Privacy
Compliance & Organization
Passt die IT zu den Geschäftsprozessen?
Infrastruktur-Checks:
Data Center
Storage
Server Hardware & Virtualization
Backup & Recovery
Wie gut kann sich die IT den Geschäftsprozessen anpassen?
Infrastruktur-Checks:
Data Center
Storage
Server Hardware & Virtualization
Backup & Recovery
Da sich die technischen Möglichkeiten kontinuierlich weiterentwickeln, ist IT-Sicherheit kein Status, sondern ein steter Prozess. Deshalb bieten wir Ihnen Rahmenverträge über regelmäßige Audits an. So kann Ihr Unternehmen den einmal erreichten Sicherheitslevel beibehalten. Natürlich können Sie sich auch in allen akuten Sicherheitsfragen an uns wenden. Unsere Experten wissen Ihnen zu helfen.
Im gemeinsamen Gespräch mit Ihnen ermitteln wir, was genau Sie sich wünschen und was davon wir für Sie tun können. Wir schlagen Ihnen eine passende Vorgehensweise vor und erstellen Ihnen dazu ein individuelles Angebot. Haben Sie uns den Auftrag erteilt, erbringen wir unsere Leistungen in der Regel bei Ihnen – Ausnahmen sind die Leistungsmodule „Public Security“ und „Awareness“, die unsere Experten hier im Hause bearbeiten. Die Ergebnisse unserer Checks präsentieren wir Ihnen persönlich – einmal in Form einer allseits verständlichen Management-Summary, einmal als detaillierten technischen Report. Teil der Ergebnisse ist immer auch eine Übersicht über die Maßnahmen, welche die möglicherweise identifizierten Sicherheitslücken verlässlich schließen.
Beispiel einer Bewertungsmatrix in der
Management Summary
Laufzeit/Aktualität (Gesamt)
kritisch
Storage Zentralisierung
optimal
Storage übertragbar (Virtualization, Redundanz)
akzeptabel
Storage Plattenarray/Konfiguration
kritisch
Storage Lesezugriffe
kritisch
Storage Schreibzugriffe
kritisch
ESX Ressourcen CPU
nicht vorhanden
ESX Ressourcen RAM
kritisch
Redundanz Gesamtkonzept
kritisch
SAN Fibre Channel Topologie (Full Fabric)
ausreichend
Als Entscheidungshilfe sortieren wir unsere Empfehlungen
nach Aufwand und Nutzen – hier am Beispiel eines
Unternehmens aus der Logistikbranche.
Infrastruktur
Performance Optimierung:
Aufwand mittel, Nutzen hoch
Wartungsmanagement:
Aufwand gering, Nutzen mittel
Server
Einführung Stellplatz-Optimizer:
Aufwand mittel, Nutzen hoch
LVS Aktualisierung:
Aufwand gering, Nutzen mittel
Netzwerk
Netztrennung:
Aufwand mittel, Nutzen mittel
Fail Over Gruppen für Telefonie:
Aufwand gering, Nutzen mittel
Prozesse
Aufbau strategischer KPIs:
Aufwand mittel, Nutzen hoch
Aufbau dispositiver KPI:
Aufwand mittel, Nutzen mittel
Aktualisierung operativer KPI:
Aufwand mittel, Nutzen hoch
Sicherheit
Offline-Verfügbarkeit Kommissionierung:
Aufwand mittel, Nutzen hoch
Offline-Verfügbarkeit Lieferscheine:
Aufwand gering, Nutzen hoch
Da das Thema IT-Sicherheit ein sensibles Thema ist, verzichten wir darauf, Ihnen an dieser Stelle eine Kundenliste zu präsentieren. Lieber veranschaulichen wir unsere Arbeit mit einem qualifizierten Beispiel.
UNSER KUNDE
C. Melchers GmbH & Co. KG ist ein weltweit operierendes Unternehmen mit einem breiten Portfolio an Dienstleistungen und Handelskompetenz in unterschiedlichsten Geschäftsbereichen.
UNSER AUFTRAG
Businesskritische Webanwendungen sollten einem Penetrationstest unterzogen werden, um mögliche Sicherheitsdefizite aufzudecken.
UNSERE VORGEHENSWEISE
Getestet wurde nach international anerkannten Standards auf Basis der OWASP Top 10. Durch die Prüfung wurden Sicherheitsmängel im Benutzer-Authentifizierungsmodul festgestellt, die den Zugriff auf sensible Daten ohne entsprechende Berechtigungen zuließen.
Die Dokumentation der Ergebnisse diente als Grundlage für die Erstellung eines Maßnahmenkatalogs, bei dessen Umsetzung MEKOS mitgewirkt hat: Es erfolgten ein detaillierter Source Code Review in Zusammenarbeit mit dem Melchers Business Software Team sowie die Erstellung eines Proof of Concepts für die neuen Module. Bestandteile, die nicht mehr dem heutigen Stand der Technik entsprachen, wurden identifiziert, überarbeitet, implementiert und einer erneuten Sicherheitsprüfung unterzogen.
Abschließend haben wir mit den internen IT-Fachkräften in einen Workshop dazu durchgeführt, wie zukünftig Herausforderungen im Bereich IT-Sicherheit bewältigt werden können. Nach vier Wochen wurde die Software neu übergeben – geprüft, sicherheitsoptimiert und technisch auf dem neuesten Stand.
DIE MEINUNG DES KUNDEN
„Durch die Zusammenarbeit mit MEKOS haben wir nachhaltig an Sicherheit und an Wissen gewonnen. Dank der sehr guten Aufarbeitung profitieren wir bereits in vielen weiteren Projekten von den Analyseergebnissen.“
Malte Kuchta, Entwickler, C. Melchers GmbH & Co. KG