Wir leben im digitalen Zeitalter – alles wird vernetzt, die Komplexität steigt und für Unternehmen entstehen neue Risiken. Machen es Sicherheitslücken leicht sich ins System zu hacken oder sind die Mitarbeiter nicht für dieses Thema sensibilisiert, gelangen vertrauliche Daten schnell in die falschen Hände. Dieses ernstzunehmende Problem bedingt finanzielle Aufwendungen und Haftungsrisiken. Informationssicherheit ist daher ein Grundpfeiler für zukunftssicheren Unternehmenserfolg.
Securing Business in the Digital Age
Informationssicherheit ist essenziell, um Unternehmen fit für die Zukunft zu machen und sollte daher nachhaltig in der Unternehmenskultur und -struktur verankert werden. In allen Prozessen und Bereichen (IT/OT/IoT, Facility Management, Personalmanagement etc.) braucht es Informationssicherheit, um die Risiken der Digitalisierung zu minimieren.
Ich überprüfe und bewerte Ihre Informationssicherheit, führe Risikoanalysen durch und unterstützte Sie beim Aufbau eines Informationssicherheitsmanagementsystems. Meine Devise lautet: So viel wie nötig, so wenig wie möglich. Ich biete keine Standardlösungen, sondern immer ein passgenaues wirtschaftliches Konzept für Ihr Unternehmen und Ihre Bedürfnisse. Mit meinem umfassenden und tiefen technischen Fach-Know-how und meinem Management- und Prozesswissen bin ich zudem in der Lage, zwischen den Welten zu vermitteln und Kommunikationsbrücken zwischen „Tekkis“ und der Management Ebene zu schlagen.
Meine Leistungen
- Überprüfung und Bewertung von Informationssicherheit auf Basis von 10000, ISO 27001, KRITIS (§ 8a BSIG)
- Technische Schwachstellenanalysen, Penetrationstests und Red Team Assessments
- Beratung und Coaching in den Bereichen Informationssicherheitsmanagement, Security Incident Response Management und IT-Notfallmanagement
- Unterstützung bei Einführung und Betrieb sowie Zertifizierung von ISMS (VdS 10000, ISO 27001, KRITIS/B3S)
- Übernahme des Interimsmanagement als Informationssicherheitsbeauftragter / CISO
- Vorträge und Live-Hacking für Veranstaltungen und Sensibilisierungskampagnen
Meine Fokusthemen
Um Informationssicherheit nachhaltig im Unternehmen zu verankern und damit die Risiken für Unternehmen und Verantwortliche zu minimieren, bedarf es eines Informationssicherheitsmanagementsystems (ISMS). Dieses besteht aus einer geeigneten Organisationsstruktur und sich ständig wiederholenden Prozessen. Ziel ist es, ein angemessenes Sicherheitsniveau zu erreichen und ständig den sich ändernden Anforderungen und Gegebenheiten anzupassen.
Ich unterstützte Sie beim Aufbau oder der Optimierung Ihres ISMS und übernehme auf Wunsch die Rolle des Informationssicherheitsbeauftragten (CISO) in Ihrem Unternehmen. Neben meiner langjährigen Erfahrung besitze ich die international anerkanntesten Zertifizierungen auf diesem Gebiet.
Der deutsche Senkrechtstarter bei den ISMS für kleine und mittlere Unternehmen (KMU) sind die VdS-Richtlinien 10000. Dieser 2015 von der Deutschen Versicherungswirtschaft veröffentliche Standard folgt meinem Grundsatz „so wenig wie möglich, so viel wie nötig“ und ermöglicht KMU Mindestanforderungen für Informationssicherheit mit überschaubarem Aufwand umzusetzen.
Ich bin Co-Autor dieser Richtlinie, erster anerkannter VdS-Berater für Cyber-Sicherheit und habe bereits mehrfach die VdS-Richtlinien in den unterschiedlichsten Unternehmen und Branchen eingeführt. Doch nicht nur KMU profitieren von der Eleganz der VdS-Richtlinien; auch der gehobene Mittelstand kann die Prinzipien der VdS-Richtlinien anwenden und auf dieser Basis das Informationssicherheitsmanagement gestalten. Zudem ist die VdS 10000 aufwärtskompatibel zu „größeren“ Standards, wie ISO 27001 oder dem BSI IT-Grundschutz, so dass bei Bedarf auf diese gewechselt werden kann, ohne die bereits geleistete Arbeit zu verwerfen.
Insbesondere für große, international aufgestellte Konzerne und Unternehmen empfiehlt sich die Wahl der international anerkannten ISO 27001 zur Implementierung eines ISMS. Dieser sehr generisch formulierte Standard lässt sich einfach an die oft heterogenen Unternehmensstrukturen anpassen und erfüllt aufgrund der hohen Vorgaben für Prozessreifegrade und Dokumentation die meisten gesetzlichen, regulatorischen oder vertraglichen Anforderungen.
Als zertifizierter Implementierer (Lead Implementer) und Leitender Auditor (Lead Auditor) für ISO 27001 unterstütze ich Unternehmen bei der Einführung eines ISMS nach ISO 27001 oder der Transition von einem ISMS gemäß VdS 10000.
Betreiber kritischer Infrastrukturen sind gesetzlich verpflichtet, die Sicherheit der relevanten Anlagen und Dienstleistungen gemäß dem aktuellen Stand der Technik umzusetzen und die Umsetzung von einer dafür qualifizierten Stelle prüfen zu lassen. Prüfungsgrundlage sind dabei meist branchenspezifische Sicherheitsstandards (B3S), die in der Regel von den jeweiligen Verbänden entwickelt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassen wurden.
Mit meiner langjährigen Erfahrung bei unterschiedlichen KRITIS-Betreibern unterstütze ich Sie bei der Erfüllung der gesetzlichen Anforderungen und bereite Ihr Unternehmen als Inhaber der Prüfverfahrens-Kompetenz nach § 8a (3) BSIG auf eine anstehende KRITIS-Prüfung vor.
Wie gut ist Ihr Unternehmen aufgestellt? Für eine aussagekräftige Standortbestimmung bedarf es einer Überprüfung sowohl technischer als auch organisatorischer Maßnahmen zur Informationssicherheit. Sind diese ausreichend und wirksam oder gibt es Schwachstellen in der Abwehr? Neben Sicherheitsaudits auf Basis von VdS 10000, ISO 27001 oder den branchenspezifischen Sicherheitsstandards (B3S) der KRITIS-Branchen führe ich seit über 15 Jahren technische Sicherheitsüberprüfen, wie Schwachstellenanalysen oder Penetrationstests durch. Dabei reicht das Spektrum von der Simulation eines ungerichteten Angriffs, über physische Penetrationstests, bis zu einem Angriff mit (fast) allen zur Verfügung stehenden Mitteln, einem sogenannten Red Team Assessment. Hier kommen mir unter anderem meine langjährigen Erfahrungen und enge Kontakte in der Hacker-Community zugute. Zudem besitze ich auch auf diesem Gebiet aussagekräftige und international anerkannte Zertifizierungen.
Meine Fokusbranchen
Informationssicherheit ist ein branchenübergreifendes Thema. Doch jede Branche hat spezifische Anforderungen und Herausforderungen. Daher biete ich meine Leistungen grundsätzlich für Unternehmen jeder Art an, besitze aber in den folgenden Branchen besonders große Erfahrungen.
Die Digitalisierung in Krankenhäusern oder Arztpraxen stellt die Verantwortlichen für Informationssicherheit regelmäßig vor neue Herausforderungen. Selbst geringe Einschränkungen in der Bedienbarkeit von Informations- oder Medizintechniksystemen sind nicht zumutbar, so dass die Sicherheit oft zu kurz kommt. Insbesondere im Bereich der Medizintechnik können etablierte Sicherheitsmaßnahmen, wie das Einspielen von Sicherheitsupdates nicht oder nur unzureichend umgesetzt werden. Dies führt dazu, dass Krankenhäuser ein beliebtes Ziel von Cyber-Kriminellen sind; prominente Beispiele gibt es zu Hauf. Größere Häuser mit mindestens 30.000 vollstationären Belegungen pro Jahr gelten zudem als kritische Infrastruktur (KRITIS) und müssen die Anforderungen des IT-Sicherheitsgesetzes umsetzen.
Kritische Infrastrukturen sind die Lebensadern unserer modernen Gesellschaft. Dies hat auch der Gesetzgeber erkannt und mit den IT-Sicherheitsgesetzen umfangreiche Vorschriften für die Betreiber von kritischen Infrastrukturen erlassen. Neben dem Gesundheitswesen liegen meine Schwerpunkte in diesem Bereich insbesondere bei den Ver- und Entsorgungsbetrieben, wie Stadtwerken oder Abfallbeseitigungsunternehmen. Hier trifft die klassische „Office-IT“ oft auf althergebrachte operationelle Technologie (OT) bzw. Automatisierungstechnik. Diese beiden Welten waren nie dafür gedacht, im Internet miteinander vernetzt zu werden, so dass wir uns mit „Industrie 4.0“ und dem „Internet of Things“ (IoT) mit gänzlich neuen Risiken konfrontiert sehen, die es adäquat zu behandeln gilt. Geschieht dies nicht, sind kritische Infrastrukturen lohnenswerte Ziele für Sabotage-Aktionen oder kriegerische Auseinandersetzungen im Cyber-Raum.
Die Automobilbranche hat seit jeher hohe Anforderungen an die Informationssicherheit. Es gilt insbesondere Prototypen vor Ausspähung zu schützen, um im Wettlauf um neue Designs und Technologien zu bestehen. Die unzähligen Zulieferer nehmen hierbei eine besondere Rolle ein, da mit diesen oft streng vertrauliche Informationen, wie CAD-Zeichnungen oder technische Details geteilt werden müssen. Aus diesem Grund prüfen Automobilhersteller bereits seit geraumer Zeit die Informationssicherheit bei ihren Zulieferern und stoppen bei unzureichend abgesicherten Unternehmen den Datenaustausch oder gar die komplette Zusammenarbeit. Seit 2017 bedienen sich zu diesem Zweck viele deutsche Hersteller dem „Trusted Information Security Assessment Exchange“ – kurz TISAX. Dieser vom Verband der Automobilindustrie (VDA) entwickelte Standard basiert auf ISO 27001 und wurde für die speziellen Anforderungen der Automobil-Welt angepasst. TISAX trifft viele – insbesondere kleine – Zulieferungen komplett unvorbereitet, da hier in der Regel keine oder kaum Informationssicherheitsprozesse existieren.
Der Maschinen und Anlagenbau ist neben den Automobilherstellern der Exportschlager der deutschen Wirtschaft. Diese Branche lebt von ihrer Innovationsfähigkeit bei gleichbleibend hoher Qualität und Liefertreue. Dementsprechend stellen insbesondere die Bereiche Forschung & Entwicklung und Produktion hohe Anforderungen an die Informationssicherheit. Es gilt, die Kronjuwelen vor Cyber-Spionage zu schützen und die weitestgehend vollautomatisierten Produktionsstraßen am Laufen zu halten. Letzteres stellt uns aufgrund der weitreichenden Konvergenz von IT und OT vor zusätzliche Herausforderungen.