360° Security Engineering für Ihr IT-Sicherheitskonzept

Wir führen seit 2002 die IT-Sicherheitsüberprüfungen innerhalb der Fraunhofer-Gesellschaft durch und beraten die IT-Sicherheitskoordination. Hierbei werden sowohl Fraunhofer-Einrichtungen als auch zentrale Dienste der Fraunhofer-Gesellschaft überprüft. Unser Security Engineering und die regelmäßigen Überprüfungen werden hierbei kontinuierlich weiterentwickelt und orientieren sich an der ISO27000-Reihe. Der aktuelle Prüfkatalog umfasst hierbei u.a. das Internetverbindungskonzept mit Perimeter-Router und Firewall, die Kommunikationsdienste und Core Network Services, Netzwerk, Virtualisierung, Datenspeicherung und Datensicherung, Client-Sicherheit und mobile Geräte und physische Sicherheit.

Neben diesen Punkten führen wir Netzwerkpenetrationstests durch. Hierzu wurde eine professionelle Tool Suite zum Scannen von Netzwerken und Diensten (Read-Team-Aktivitäten) aufgebaut. Dies umfasst neben der Identifizierung von Schwachstellen auch Vorschläge für geeignete Gegenmaßnahmen und die Härtung von Systemen und Diensten. Weiterhin haben wir Projekterfahrungen im Bereich »WebExploits«, Verwendung spezieller Suchmaschinen (Shodan, PunkSpider) und die Überprüfung hinsichtlich der Verwendung von SSL/TLS (inkl. X.509v2-Zertifikaten).

Im Bereich Security Assessment und Compliance Checks bewerten wir Produkte und Komponenten hinsichtlich Standardkonformität und Erfüllung von Sicherheitsanforderungen. Hierzu zählen bspw. die Erfüllung domänenspezifischer Sicherheitsstandards wie 21 CFR Part 11 oder der Nachweis ausreichender Resistenz gegen IT-Sicherheitsbedrohungen bis hin zur Einhaltung von Best Practices der IT-Sicherheit und Vermeidung bekannter Schwachstellen.

Zudem führen wir im Kundenauftrag Bedrohungsanalysen durch und unterstützen Kunden bei der Erhebung von Sicherheitsanforderungen. Hierzu stellen wir eine strukturierte und systematische Methode zur Erhebung von IT-Sicherheitsanforderungen zur Verfügung und begleiten den Prozess.

Weiterhin bewerten wir Technologien für bestimmte Anwendungskontexte (bspw. Einsatz in Cloud-Umgebungen) und unterstützen die Risikobewertung.

Daten und Dokumente (Kundendaten, IP, Personaldaten etc.) müssen adäquat geschützt werden. Dazu müssen diese klassifiziert werden, damit die richtigen Sicherheitsmaßnahmen greifen können. Klassifizierungsregeln sind festgelegt durch interne Regelungen (bspw. ISMS, Konzernvorgaben, Organisationsanweisungen) sowie durch externe Vorgaben (bspw. Gesetze).

Wir bieten Werkzeugunterstützung bei der Klassifikation Ihrer Dokumente durch die Erweiterung mit »MY DATA Control Technologies« für Microsoft Office. Unsere Komponenten unterstützen Sie bei der Dokumentenklassifizierung entsprechend den Unternehmensrichtlinien und automatisieren die Einhaltung von vorgeschriebenen Maßnahmen. Unsere Erweiterungen mit »MY DATA Control Technologies« unterstützen Microsoft Word, Excel, PowerPoint und Outlook.

Das Ziel, ein professionelles Security Engineering durchzuführen und ein IT-Sicherheitskonzept zu etablieren, ist nicht nur mit technischen Herausforderungen konfrontiert. In der Praxis gibt es immer wieder Spannungen zwischen Security und (der Optimierung von) Geschäftsprozessen. Dies liegt daran, dass nicht alle durch das Business oder den Anwender gewünschten Funktionen ohne weiteres umgesetzt werden können, da Sicherheitsbedenken oder -problematiken bestehen. Zum Beispiel ist eine umfassende Datenerhebung zur Prozessoptimierung sinnvoll, gefährdet aber ggf. die Privatsphäre der Mitarbeiter oder Nutzer.

Unsere Experten vermitteln im genannten Spannungsfeld. Sie erheben dazu die Anforderungen und Bedenken beider Seiten. Sie erarbeiten Lösungsalternativen als nachvollziehbare Entscheidungsgrundlage und vermitteln zwischen den Parteien. Wir verfügen über umfassende Kompetenzen bspw. in den Bereichen User Experience und Security aus mehr als 15 Jahren gemeinsamer Projektarbeit.