Information security:
computing everywhere needs security everywhere

Information Security und IT-Sicherheit sind in Zeiten zunehmender Digitalisierung, globaler Vernetzung, Mobilität und Cyberkriminalität zu einer Notwendigkeit geworden. Nicht nur internationale Großkonzerne sind ins Visier von Hackern gerückt, auch der Mittelstand wird immer wieder Opfer von Wirtschaftsspionage durch Täter von Innen und Außen. Obwohl auch Gesetze und Regulierungen wie das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie Datenschutzgesetze vermehrt die Umsetzung und den Nachweis von IT-Sicherheitsmaßnahmen fordern, werden Risiken häufig zu spät erkannt oder unzureichend adressiert. Dabei kann der Vertrauensverlust bei Kunden durch Sicherheitsvorfälle Schäden in Millionenhöhe verursachen und die eigene Reputation nachhaltig beeinträchtigen. Zudem dringt die IT in immer mehr Lebensbereiche vor – Stichworte „Internet der Dinge“ oder „vernetzte Fahrzeuge. Auch dabei ist IT-Sicherheit ein Muss.

Hinzu kommt, dass die Umsetzung des interdisziplinären Themas Informationssicherheit in seiner Komplexität oftmals unterschätzt wird. In unserem Bereich Information Security bieten wir Ihnen daher unabhängige Beratung zu allen Aspekten der Informationssicherheit. Echte Sicherheit setzt die ganzheitliche Betrachtung der wesentlichen Bausteine voraus. Deshalb analysieren wir zunächst Ihren individuellen Schutzbedarf und erarbeiten auf dieser Basis Konzepte, die passgenau auf Ihr Unternehmen und seine Sicherheitsanforderungen zugeschnitten sind.

Unsere Experten haben in zahlreichen Projekten in verschiedenen Branchen umfassende Erfahrung gesammelt. Sie sind als ISO 27001 Lead Auditor oder Certified Information Systems Security Professional (CISSP) zertifiziert; ihr Know-how ist stets auf dem aktuellen Stand. Zu unseren Kunden zählen namhafte Unternehmen und DAX-Konzerne. Ihr Vertrauen ist der beste Beweis für unsere Kompetenz.

Haben Sie Fragen?

Mark Schmidt

Mark Schmidt
Leiter msg Information Security

Beratungsportfolio

Passgenaue Beratung für Governance, Risk & Compliance (GRC)

Governance, Risk & Compliance (GRC) bezeichnet die risikobasierte Steuerung eines Unternehmens und die Einhaltung gesetzlicher und vertraglicher Vorgaben. Wir unterstützen Sie dabei, in Ihrem Unternehmen ein passgenaues Risikomanagement zu etablieren, um Sicherheits- und IT-Risiken zu erkennen, bewerten und angemessen behandeln zu können. In Abhängigkeit von der Risikohöhe gilt es dabei unterschiedliche technische oder organisatorische Maßnahmen zur Risikoreduktion zu treffen. Risiken können aber auch durch alternative Prozesse oder Systeme gänzlich vermieden werden oder bis zu einer gewissen Kritikalität akzeptiert werden.

Die Basis für Informationssicherheit in jeder Organisation ist die Unterstützung des Managements, das Ressourcen bereitstellt, die Strategie vorgibt und alle Mitarbeiter zur Einhaltung von Security Policies verpflichtet. Wir helfen Ihnen dabei die richtige Strategie zu finden, Policies zu erstellen und ein Information Security Management System (ISMS) zur kontinuierlichen Verbesserung Ihrer Informationssicherheit aufzubauen. Mittels bewährter Regeln und Verfahren sorgen wir für eine fortlaufende Steuerung, Kontrolle und Optimierung der Informationssicherheit in Ihrem Unternehmen.

Eng damit verbunden ist IT-Compliance. Mit einem umfassenden Compliance-Check untersuchen wir, welche gesetzlichen und vertraglichen Vorgaben für Sie relevant sind und inwieweit Sie diese erfüllen. Auf der Grundlage einer GAP-Analyse bieten wir Ihnen eine umfassende Übersicht über Ihre IT-Compliance. Bei der Umsetzung gegebenenfalls erforderlicher Maßnahmen orientieren wir uns an anerkannten Best Practices aus Standards wie ISO 27001 ff., den Grundschutzkatalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder den Control Objectives for Information and related Technologies (COBIT).

Um das richtige, ökonomisch sinnvolle Maß zu finden, gilt es, den individuellen Schutzbedarf Ihrer Daten genau zu bestimmen – schließlich ist zu wenig Sicherheit fahrlässig, zu viel aber wirtschaftlich nicht sinnvoll. Unsere Experten für Information Security helfen Ihnen Ihre „Kronjuwelen“ zu identifizieren und bieten Ihnen zu diesen Fragen kompetente Beratung und passgenaue Unterstützung.

Applikationssicherheit im gesamten Software Lifecycle

Immer mehr Geschäftsprozesse werden durch IT-Systeme unterstützt oder direkt in die Cloud verlagert. Daher ist die Sicherheit der zugrundeliegenden Applikationen für Unternehmen von zentraler Bedeutung. Applikationssicherheit sollte daher ein fester Bestandteil jeder Anwendungsentwicklung sein.

Unser Bereich Information Security bietet Ihnen eine kompetente, ganzheitliche Sicherheitsberatung, die nicht nur auf Penetrationstests und Security Sourcecode Reviews beschränkt ist, sondern den kompletten Software Lifecycle abdeckt. Dabei ermitteln wir im Rahmen einer Schutzbedarfsfeststellung zunächst den konkreten Schutzbedarf Ihrer Daten. Auf dieser Basis legen wir Maßnahmen fest, die wir über den gesamten Software-Entwicklungsprozess hinweg verfolgen – von der Abuse-Case-Modellierung über Security by Design und Privacy by Design bis hin zu Sicherheitsprüfungen. Dabei haben wir auch die Sicherheit des Gesamtpakets „Benutzer + Daten + Applikation + Infrastruktur“ im Fokus.

test

Ganzheitliche Sicherheitsberatung über den gesamten Software-Entwicklungsprozess

Mit Schutzbedarfsanalysen, Sicherheitskonzepten, Berücksichtigung der Infrastruktursicherheit, Secure Coding und Anwendung des Security Development Lifecycle (SDL) optimieren wir Ihre Applikationssicherheit umfassend und effizient. Unsere Experten verfügen nicht nur über umfassendes Know-how im Bereich Web Application Security, sondern kennen sich auch mit mobilen Anwendungen und komplexen IT-Systemen im Konzernumfeld bestens aus.

Maßgeschneiderte IT-Sicherheitsaudits

Mit maßgeschneiderten IT-Sicherheitsaudits helfen wir Ihnen, etwaige IT-Sicherheitslücken in Ihrem Unternehmen zu schließen. Dabei durchleuchten wir – je nach Bedarf – Ihre Applikationen, Prozesse, Systeme oder Ihre gesamte Organisation.

Compliance Audits
Im Rahmen unserer Compliance Audits betrachten wir Ihre gesamte Organisation; dabei liegt unser Fokus auf der Einhaltung von Gesetzen und Standards wie ISO/IEC 27001, Bundesdatenschutzgesetz, IDW PS 330, Payment Card Industry Data Security Standard (PCI-DSS), MaRisk oder Sarbanes-Oxley Act (SOX), sowie auf individuellen Anforderungen, wie sie sich beispielsweise aus Verträgen ergeben.

Risikobasierte Audits
Produktions- oder Serviceausfälle, der Verlust von Kundendaten oder Industriespionage sind Risiken, die nicht nur erhebliche monetäre Belastungen nach sich ziehen können, sondern auch nachhaltige Reputationsschäden. Mit unseren Risiko- und Schwachstellenanalysen decken wir reale Bedrohungsszenarien für Ihr Unternehmen auf und helfen Ihnen, diese zu beseitigen bzw. zu minimieren.
Bei unseren maßgeschneiderten Sicherheitsaudits gehen wir in drei Schritten vor:

  1. Zunächst analysieren wir Dokumente zur IT-Sicherheitsstrategie sowie IT-Sicherheitsrichtlinien und Policies, Verfahrensanweisungen, Systemdokumentationen und sicherheitsrelevante Verträge.
  2. Auf dieser Basis führen wir gezielte Interviews mit Ihren Sicherheitsbeauftragen und ausgewählten Mitarbeitern zu sicherheitsrelevanten Fragen in Ihrem Unternehmen.
  3. Bei der Begutachtung Ihrer Systeme vor Ort prüfen wir stichprobenhaft die praktische Umsetzung der Richtlinien und Vorgaben zur Informationssicherheit. Zudem kann eine Inspektion der physischen Sicherheit und Ihres Datenzentrums erfolgen. Abschließend erstellen wir einen Management-konformen Bericht, den wir auf Wunsch gerne auch bei Ihnen präsentieren.

Die Kompetenz unserer Berater im Bereich Information Security garantiert effiziente Audits und unabhängige Ergebnisse. Gemeinsam mit Ihnen identifizieren wir den geeigneten Prüfstandard, liefern Prüfbefunde und zeigen sinnvolle Verbesserungsmöglichkeiten auf.

Information Security: Schulungen nach Maß

Zu zentralen Themen der Informationssicherheit bietet msg Information Security Schulungen nach Maß, die genau auf Ihren Schulungsbedarf ausgerichtet sind. Unser Trainings-Portfolio für End User und Sicherheitsbeauftragte (CISO) umfasst Schulungen zur Applikationssicherheit, zur Sicherheit in der Software-Entwicklung, zum Informations- und Datenschutz in Projekten, zu Privacy by Design sowie Security Awareness Trainings. Darüber hinaus stellen wir auch Dozenten für die Zertifikatslehrgänge zum Informationssicherheitsbeauftragten für das bayerische IT-Sicherheitscluster.

Unsere Dozenten und Schulungsleiter sind mit den relevanten Aspekten der IT-Sicherheit sowie mit den neuesten Entwicklungen bestens vertraut. Sie verfügen über umfassende Erfahrung aus verschiedenen Projekten und viele von ihnen sind gemäß ISO 27001 als Lead Auditor oder als Certified Information Systems Security Professional (CISSP) zertifiziert.

Zudem bieten wir Coaching und Unterstützung für Sicherheitsbeauftragte, Information Security Officers (ISO) und Datenschutzbeauftragte. Einige unserer Mitarbeiter waren bzw. sind als interne oder externe Security Officers in globalen Unternehmen tätig und können daher auf umfangreiche Erfahrungen zurückgreifen, die sie gerne an Sie weitergeben.

Fokusthemen

Mehr Sicherheit durch professionelle Penetrationstests

Wissen Sie, wie sicher Ihre Applikationen und Systeme sind? Mit professionellen Penetrationstests von Web-Applikationen, Systemen oder Ihrer gesamten IT-Infrastruktur ermitteln wir ein genaues Bild, identifizieren Schwachstellen und zeigen Ihnen technische Maßnahmen auf, um etwaige Sicherheitslücken gezielt zu beheben. Von unserem Einsatz profitieren Sie doppelt: durch ein verbessertes Sicherheitsniveau und ein erhöhtes Bewusstsein bei Ihren Softwareentwicklern.

Die Experten unseres Bereichs Information Security verfügen über umfassende Erfahrungen mit Penetrationstests und Security Sourcecode Reviews. Daher können Sie auf uns als kompetenten Partner zählen.

Bereits in der Angebotsphase betrachten wir den Prüfgegenstand gemäß Ihrer individuellen Anforderungen. Erst wenn idealerweise die wichtigsten Kriterien, etwa Schutzbedarf, Exponiertheit, Technologie und Schnittstellen, bekannt und die BSI-Kriterien für Penetrationstests festgelegt sind, unterbreiten wir Ihnen ein passgenaues Angebot.

test

Bewertung der Rahmenparameter nach den Kriterien des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

1. Vorbereitung
Gemeinsam mit Ihnen stimmen wir Ziele, Zeiträume, die Art des Tests sowie die Vorgehensweise ab, bestimmen Ansprechpartner, sichten bei einem Whitebox-Test vorhandene Dokumente und befragen ggf. Produktverantwortliche.
2. Informationsbeschaffung und Auswertung
Wir führen einen Scannerlauf durch, setzen automatisierte Tools ein und sammeln Informationen aus öffentlichen Quellen.
3. Bewertung
Wir analysieren die gesammelten Daten und planen das weitere Vorgehen.
4. Qualifizierte Angriffe
Mit aktiven Eindringversuchen prüfen unsere Experten die vermuteten Schwachstellen individuell und verwenden dazu auch eigene Angriffstools.
5. Abschlussanalyse
Wir bewerten und dokumentieren die Ergebnisse z.B. nach Common Criteria oder DREAD und erarbeiten auf dieser Basis einen priorisierten Maßnahmenkatalog. Ein Management Summary fasst die Erkenntnisse zusammen und macht mögliche Risiken für die Geschäftstätigkeit Ihres Unternehmens transparent.

Mobile Security: Sicherheit für Smartphones, Tablets & Apps

Mobiles Arbeiten verlangt nach einem ganzheitlichen Mobile-Security-Konzept. Denn Smartphones, Tablets und Apps unterwandern aufgrund der Verbindung in unsichere Netze die klassische Sicherheitsarchitektur vieler Unternehmen, die auf die Abschirmung des Unternehmensnetzwerks durch Firewalls setzt. Auch Verlust- oder Diebstahlrisiko, der Einsatz privater Geräte („Bring your own device“) und die Möglichkeit zur Ortung machen den Einsatz mobiler Geräte zu einer der größten Bedrohungen für sensible Firmen- und Kundendaten sowie für die Privatsphäre der Benutzer.

Da Mobile Security nicht nur Geräte, Plattformen und Apps, sondern auch organisatorische Aspekte, Administrationsprozesse und Compliance umfasst, ist es wichtig, die Sicherheit mobiler Endgeräte im unternehmensweiten Sicherheitskonzept zu verankern. Und zwar von Anfang an: Bereits bei der App-Entwicklung gilt es, ähnliche Sicherheitsmaßnahmen wie in der klassischen Softwareentwicklung zu berücksichtigen: etwa Security by Design, Datensparsamkeit und Verschlüsselung – dazu hat msg einen Leitfaden und ein Vorgehen für Sicherheitstests mobiler Apps entwickelt.

Damit Sie keine bösen Überraschungen mit mobilen Endgeräten in Ihrem Unternehmen erleben, bieten Ihnen unsere kompetenten und erfahrenen Experten eine passgenaue Sicherheitsberatung und unterstützen Sie mit folgenden Leistungen:

  • Penetrationstests für mobile Apps und Endgeräte (iOS, Android)
  • App-Validierung (Prüfung der App auf Einhaltung der vorgegebenen Leistung, z .B. keine Übermittlung von Daten zu Dritten)
  • Sichere Entwicklung mobiler Apps
  • Security Sourcecode Reviews
  • Richtlinien und Sicherheitskonzepte für mobile Endgeräte im Unternehmen
  • Compliance-Check (z. B. Datenschutz, interne Vorgaben)
  • Mobile Device Management (MDM)

Wettbewerbsvorteile durch Datenschutz und Privacy by Design

In Zeiten von Big Data und globaler Vernetzung werden Datenschutz und Privacy by Design immer wichtiger. Der Grundsatz, dass personenbezogene Daten überall dort zu schützen sind, wo sie verarbeitet werden, stellt Unternehmen mit heterogenen Systemlandschaften vor eine hochkomplexe Aufgabe. Die europäische Datenschutz-Grundverordnung, die 2018 in Kraft tritt, bringt zusätzliche Anforderungen wie Privacy by Design mit sich.

Privacy by Design (PbD) verankert Datenschutz als „Standard-Betriebsmodus“ bereits im Produkt- und Software-Design. Weitere zentrale Aspekte von PbD sehen Datenschutz als Default-Einstellung vor, eine für Laien verständliche Transparenz sowie Mitbestimmungsmöglichkeiten für Anwender. Unterstützende Technologien und Methoden sind beispielsweise Verschlüsselung, Zugriffs- und Zugangskontrollen, Anonymisierung und Pseudonymisierung sowie die automatisierte Datenlöschung nach einer vereinbarten Frist. Um das datenschutzfreundliche Design letztlich in Software zu implementieren, hat sich die neue Disziplin des Privacy Engineering etabliert.

Bei diesen Herausforderungen können Sie auf unser kompetentes Team zählen: Unsere erfahrenen Auditoren überprüfen den aktuellen Stand des Datenschutzes in Ihrem Unternehmen ganzheitlich. Je nach Bedarf auditieren wir die Umsetzung des Bundesdatenschutzgesetzes oder die Compliance zur EU-DSGV bzw. weiteren Best Practices oder Standards wie ISO 29100. Gemeinsam mit Ihnen definieren wir erforderliche Maßnahmen und begleiten Sie bei der effizienten und effektiven Umsetzung.

Privacy by Design ist eine unserer Kernkompetenzen. Unsere Berater gestalten dieses Thema in renommierten internationalen Institutionen wie dem von der europäischen Aufsichtsbehörde gegründeten Internet Privacy Engineering Network (IPEN) oder der International Association of Privacy Professionals (IAPP) mit. Sie haben mit der Gründung des OWASP Top 10 Privacy Risks Projekt einen mittlerweile weltweit bekannten und von Aufsichtsbehörden empfohlenen Standard mit entwickelt und etabliert. Diese Experten coachen oder schulen Ihre Produktmanager, Projektleiter und Entwickler und stehen Ihnen bei der datenschutzfreundlichen Softwareentwicklung zur Seite.

Konsequenter Datenschutz bringt Ihnen Wettbewerbsvorteile, schützt Sie vor hohen Strafen - beim Verstoß gegen die DSGV bis zu 4% des weltweiten Jahresumsatzes der Unternehmensgruppe - sowie vor großen Imageschäden und ist damit eine lohnende Investition in den guten Ruf Ihres Unternehmens. Denn immer mehr Kunden fordern datenschutzfreundliche Produkte und kehren Daten-sammelwütigen Unternehmen den Rücken.

Leistungsfähiges Identity & Access Management

IT-Sicherheitsregularien, aufsichtsrechtliche und Compliance-Vorgaben sowie neue Service-Szenarien wie Cloud-Dienste und mobile Anwendungen stellen immer höhere Anforderungen an den Schutz von wichtigen Daten und Informationen vor unberechtigtem Zugriff. Ein leistungsfähiges Identity & Access Management (IAM), welches die Benutzer und deren Zugriffsberechtigungen im Unternehmen verwaltet, wird damit zum Rückgrat der Sicherheitsinfrastruktur jedes Unternehmens. IT-Organisation, Fachbereiche sowie Sicherheitsverantwortliche müssen dabei auf der Basis eines definierten Regelwerks aus IAM-Richtlinien und -Prozessen Hand in Hand arbeiten – nur so sind die Durchgängigkeit des IAM sowie die Optimierung von Abläufen und Prozessen gewährleistet.

Im Kontext von IAM stellt Access Management (AM) sicher, dass die richtigen Benutzer zum richtigen Zeitpunkt über die notwendigen Zugriffsberechtigungen verfügen. Identity Lifecycle Management (ILM) betrachtet einen Benutzer und dessen Zugriffe über seine gesamte Verweildauer im Unternehmen. Access Governance & Compliance (AGC) gewährleistet die rechtskonforme Vergabe der passenden Berechtigungen. Mit Validierung, Audit und Controlling (VAC) wird der Sicherheitsstatus und die Dokumentation des IAM kontinuierlich überprüft.

test

Themenfelder des Identity & Access Managements

Unsere kompetenten Experten im Bereich Information Security beraten und unterstützen Sie bei allen Themen im Rahmen von IAM. Bei der Implementierung, Pflege und Optimierung eines passgenauen IAM stehen wir Ihnen mit unserem erprobten IAM-Modulbaukasten über alle Projektphasen hinweg zur Seite. Ihre Vorteile:

  • Verlässliche Rechtskonformität und Revisionssicherheit
  • Optimierte Fach- und IT-Prozesse
  • Verbesserte Benutzer- und Zugriffsdaten (in der Regel um 20 bis 30 Prozent)
  • Kostenoptimierung durch bessere Sicherheit und geringere Aufwände (beispielsweise für Access-Zertifizierungen)
  • Transparenz und nachhaltiges IAM/IAG-Berichtwesen

Weitere Infos

Testen Sie Ihr Sicherheitslevel.