Ich suche
FAQ

Wie laufen IT Sicherheits-Förderungen ab?

‱‱

Die Förderung kann aus 3 Bestandteilen bestehen:

  1. IT Sicherheitsanalysen
  2. Maßnahmenplan
  3. Software- & Hardware-Anschaffung

Schritt 1: IT Sicherheitsanalysen

In diesem Paket beleuchten wir intensiv die aktuellen Zustand Ihrer IT-Systeme und Prozesse. Dabei analysieren wir die Systeme nach den Schwerpunkten der Informationssicherheit. Informationssicherheit grenzt sich von der IT-Sicherheit insoweit ab, dass hier ein grĂ¶ĂŸeres Augenmerk auf organisatorischen Maßnahmen und ZustĂ€nden liegt, als nur auf der technischen, systemischen Ebene.

Innerhalb der Analyse fĂŒhren wir folgende Schritt aus.

Ein erstes GesprÀch: Unser Kick Off

Im aller ersten GesprÀch finden wir gemeinsam heraus, welche Anforderungen Sie an Ihre IT-Systeme, Ihren Datenschutz und die Sicherheit Ihrer Informationen stellen. Bevor wir Analysen und Umsetzungen starten, ist es wichtig zu erfahren, welchen Wissensstand Sie und Ihr Team haben, welche Ideen und Vorstellungen Sie vor Ihren Augen haben, wenn es um den Schutz vor Cyber-Gefahren geht.

Unser Ziel ist es, dass die Sicherheitsstrategie, die wir fĂŒr Sie entwerfen, auch Ihre GeschĂ€ftsstrategie unterstĂŒtzt. Dazu gehört es, dass wir Ihre AblĂ€ufe und Ihren Umgang etwas genauer kennen, bevor wir Maßnahmen vorschlagen. Ihnen werden dabei auch neue Aspekte Ihrer Strategie auffallen, Sie werden teilweise umdenken und neue Impulse entwickeln.

Im Kick Off bringen Sie Ihre Ziele ein, Ihre Sorgen ins Feld und lange und unerledigte ToDo-Listen auf die Agenda, sodass Sie am Ende nicht nur Ihre Informationssicherheit erhöht, sondern offene Baustellen und lange vernachlÀssigte VorsÀtze in die Tat umgesetzt haben werden.

DurchfĂŒhrung unserer Infrastruktur-Analyse (ISA):

Wir haben unsere ISA selbst entwickelt. Sie beinhaltet ĂŒber 150 PrĂŒfpunkte und beachtet insbesondere, den Fortschritt der Integration von organisatorischen und technischen Maßnahmen zum Schutz von Informationen und Daten. Wir stellen im Ergebnis einen Bericht zur VerfĂŒgung, der einfache Metriken zur Bewertung des Zustands beinhaltet, sowie konkrete Handlungsempfehlungen und Hinweisen.

Alle Empfehlungen im Bericht sind herstellerneutral und von uns unabhÀngig.

Die PrĂŒfpunkte sind auf den Grundlagen des ISO-Standards 27001 und dem Grundschutz des Bundesamts fĂŒr Sicherheit in der Informationstechnik (BSI) entstanden.

GeprĂŒft werden technische und organisatorische Maßnahmen in wichtigen Kategorien, wie Informationssicherheit, Datensicherung / Backup, EndgerĂ€te-Schutz und Administration.

Erstellung einer unternehmensweiten Risiko-Analyse nach wertschaffenden Bausteinen (Assets)

Wir stellen Material zur VerfĂŒgung und fĂŒhren mit Ihnen eine sog. Business-Impact-Analyse (BIA) durch. In der BIA werden wir gemeinsam relevante Bausteine in Ihrem Unternehmen (Assets) identifizieren und nach Schutzzielen in Risiko-Klassen einordnen. Die Schutzziele sind nach ISO-27001: VerfĂŒgbarkeit, Vertraulichkeit und IntegritĂ€t.

Beispielsweise kann festgelegt werden, dass die VerfĂŒgbarkeit eines Datenbank-Servers nach 24 Stunden Ausfall wirtschaftliche SchĂ€den fĂŒr das Unternehmen verursacht. Oder dass eine Netzwerkfestplatte (NAS) einen besonders hohen Schutzbedarf hat, weil alle Daten darauf sehr sensibel sind.

Diese Analyse gibt Aufschluss darĂŒber, welche Schutzziele bei welchen Assets erreicht und festgelegt werden mĂŒssen. Das bildet die Grundlage fĂŒr ein ausgewogenes Schutz-Konzept. So kann ein geeigneter Sicherungs- und Wiederherstellungs-Zyklus fĂŒr besonders wichtige Systeme integriert werden.

Erstellen eines Basis-Schutz-Konzepts

Anhand der Ergebnisse aus unserer ISA und BIA, identifizieren wir relevante und mögliche Bedrohungen fĂŒr Ihre Unternehmensdaten und Infrastruktur. Wir geben Ihnen einen herstellerneutralen Beratungsbericht an die Hand, aus dem Sie erkennen können, welche Schutzmaßnahmen Sie in Ihrer Organisation und Technik implementieren können, um Risiken zu minimieren und Ihr Schutzniveau zu erhöhen.

Schritt 2: Maßnahmen planen und umsetzen

In diesem Schritt werden Maßnahmen und Empfehlungen aus den Analyse-Ergebnissen besprochen und die Umsetzung beschlossen. Wir integrieren dann in Absprache Schutzmaßnahmen in Ihr Unternehmen. SicherheitslĂŒcken und potentielle Gefahren können direkt in diesem Rahmen beseitigt werden.

Konkrete Maßnahmen sind:

Erstellen einer Netzwerk-Dokumentation

Wir erstellen einen Plan Ihres Netzwerks, der alle Netzwerk-GerÀte, wie Router, Switches, Access Points enthÀlt und wie die Clients (Drucker, ArbeitsplÀtze, Handys) im Netzwerk eingebunden sind.

Wir erfassen wichtige Daten zu jedem GerÀte, wie IP-Adressen oder Anschlussart.

Ein umfangreicher Netzwerk-Plan und eine vollstÀndige Dokumentation hilft im Fall eines IT-Vorfalls in der Untersuchung durch Forensiker, bei Nachweispflichten, aber auch bei der allgemeinen Administration von IT-Systemen. Dadurch verringern Sie gleichzeitig die AbhÀngigkeiten von Mitarbeitern und Dienstleistern.

Behebung von Sicherheits-LĂŒcken

Im Rahmen einer Analyse fallen oft akute Risiken und Gefahren auf. Im Umsetzungsteil, versuchen wir alle offensichtlich gewordenen Schwachstellen zu beseitigen. Dazu können zum Beispiel ungeschĂŒtzte Verzeichnis-Freigaben, offene Ports in Routern, veraltete Software oder defekte Hardware gehören.

Die Änderungen dokumentieren wir. Diesen Bericht sollten sie zu Nachweiszwecken aufbewahren.

Weiterhin fĂŒhren wir grundsĂ€tzliche “HĂ€rtung” an Systemen durch. HĂ€rtungen sind zum Beispiel Benutzer-Rechteverwaltung auf ArbeitsplĂ€tzen

Schulungen durchfĂŒhren und Wissen verfĂŒgbar machen

Wir schulen Sie und Ihre Mitarbeiter im Umgang mit Gefahren und Risiken. Dabei klÀren wir auf, was z.B. im Handling mit Emails zu beachten ist, erklÀren verschiedene Phishing Attacken.

Wir stellen grundsÀtzliche Richtlinien bereit, die Sie Ihrem Team aushÀndigen können.

Die Schulung wird dokumentiert, sodass Sie Ihrer Nachweispflicht nachkommen.

Schritt 3: Integration von Software- und Hardware-Komponenten

Im letzten Schritt statten wir Ihr Unternehmen mit Hardware und Software aus, welche den Schutz vor Gefahren und Angriffen ĂŒbernehmen soll. Dazu gehen wir gemeinsam unsere Berichte und Empfehlungen durch, besprechen die Zielvorhaben und welche Komponenten wir schlussendlich in Ihr Unternehmen integrieren werden. Dazu besprechen wir den Sinn und den Zweck der empfohlenen Software und Hardware, sodass sie ein qualifizierte Entscheidung treffen können.

Software-Integration

Die Auswahl der Software wird in die Beschaffung gebracht und dann anschließend entsprechend der erarbeiteten Strategie und den festgelegten Maßnahmen in Ihr Unternehmen integriert. Wir konfigurieren die eingesetzte Software so, wie wir es gemeinsam in der Zielbestimmung festgelegt haben, dokumentieren die Einstellungen, Versionen und beabsichtigten Einsatzzwecke. Die Dokumentation ĂŒbergeben wir Ihnen, fĂŒr Ihre Unterlagen und Nachweiszwecke.

Hardware-Integration

Hardware-Komponenten, wie z.B. Firewalls, Protokoll-Server oder Netzwerk-Infrastruktur, welche die Umsetzung der Informations- und Datensicherheitsstrategie unterstĂŒtzen, werden entsprechend den Vorgaben bestellt und in Ihr Netzwerk integriert.

Wir konfigurieren die eingesetzte Hardware so, wie wir es gemeinsam in der Zielbestimmung festgelegt haben, dokumentieren die Einstellungen, Versionen und beabsichtigten Einsatzzwecke. Die Dokumentation ĂŒbergeben wir Ihnen, fĂŒr Ihre Unterlagen und Nachweiszwecke.

Abschluss-GesprĂ€ch und Übergabe

Zum Schluss und nach erfolgreicher Integration ĂŒbergeben wir Ihnen die Dokumentation Ihrer Schutzmaßnahmen, NetzwerkplĂ€ne und weitere Unterlagen. In einem Übergabe-GesprĂ€ch erhalten Sie von uns SchlĂŒssel, Passwörter und sonstige ZugĂ€nge und erhalten damit von uns den Administrationsauftrag zur Umsetzung Ihrer IT-Sicherheitsstrategie.

Wir gehen gemeinsam ĂŒber die integrierten Schutzmaßnahmen und Sie stellen wichtige Fragen, verstehen die Mechanismen und den Aufbau Ihrer Cyber-Sicherheit.

Zum Schluss finden wir einen Weg, wie Sie die Wartung Ihrer Systeme, die Überwachung Ihres Netzwerks und Weiterentwicklung Ihrer Sicherheits-Strategie in Ihrem Unternehmen umsetzen.