IT-Compliance Beratung

Für Compliance in Unternehmen ist ein ganzheitlicher Ansatz notwendig.

 

Kontaktaufnahme
IT-ON.NET DUS
Telefon:0211 - 95 691 - 0
IT-ON.NET SÜD
Telefon:0771 - 89 784 - 333

Ihre Ansprechpartner

Manfred Haußmann
Kamil Jasinski

IT-Compliance Beratung

Die Bereiche der IT-Compliance gliedern sich in IT-Grundschutz, Datenschutz und IT-Betrieb. Auch Risikobewertung und Haftungsminimierung sind ein Bestandteil der Compliance und in vielen Gesetzen verankert. (GobD, KontraG, EUDSGVO, Steuerrecht etc.)

IT-Compliance beginnt immer mit den Fragen:

  • Wo stehe ich?
  • Was ist der Ist-Stand?
  • Und was muss ich tun um die Basis zu erfüllen?

Um Ihnen einen raschen und kostengünstigen IT-Status für Ihr Unternehmen zu verschaffen bieten wir Ihnen den ITQ-Sicherheitscheck an.

1.
Termin vereinbaren

2.
Ist-Zustand aufnehmen

3.
Ergebnisse auswerten

4.
Maßnahmen präsentieren

 

 

Des weiteren bieten wir Ihnen unten aufgeführte IT-Maßnahmen an.

ITQ-Sicherheitscheck

Die Auswirkungen von Ausfällen der IT oder dem Verlust von Informationen (ganz oder teilweise) sind häufig nicht hinreichend geklärt (Risikoanalyse). Es sind keine klaren Sicherheitsziele definiert (Verfügbarkeit, Wiederherstellung, Schutzbedarf).

Die konkreten Auswirkungen der aktuellen Gesetzeslage im Hinblick auf deren Inhalt und Anwendung sind den verantwortlichen weitestgehend unklar (IT-Sicherheitsgesetz, IT-Grundschutz und EUDSGVO). Mit dem IT-Sicherheitscheck bekommen Sie einen Maßnahmenkatalog als Handlungsempfehlung für Ihr Unternehmen und haben die Möglichkeit, ein Zertifikat für geprüfte sichere IT zu erhalten.

Sensibilisierung der Mitarbeiter

In der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter ein wichtiger Aspekt. Die Bildung von IT-Security-Awareness hat hier eine hohe Priorität. Hier fordern die Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien.

In Unternehmen kommt es bei diesem Thema auf die Führungskräfte an, da sie eine Vorbildfunktion für ihre Abteilungsmitarbeiter haben und dafür verantwortlich sind, dass die Sicherheitsrichtlinien ihres Verantwortungsbereiches zu den dortigen Arbeitsabläufen passen.

In unserem Awareness-Workshop machen wir Ihren Mitarbeitern riskante und häufig bekannte Verhaltensweisen im Umgang mit IT und Internet bewusst. Wir erklären, wie man ein sicheres Passwort generiert, wo und wie man Passwörter vor fremdem Zugriff schützt, wie man mit E-Mails und deren Anhängen umgeht und welche Websites man besser meidet.

In einer Live-Session zeigen wir, wie ein Hacker arbeitet und wie leicht er durch die Leichtgläubigkeit seiner Opfer an deren Passwörter, Daten und Geld kommt.

Notfallkonzepte / Notfall- und Wiederanlaufpläne

Einer der ersten Schritte bei der Konzeption ist es, die Auswirkungen von Geschäftsunterbrechungen zu untersuchen, die Verfügbarkeitsanforderungen an die Geschäftsprozesse und deren benötigten Ressourcen zu ermitteln sowie die benötigten Wiederanlaufzeiten festzulegen. Hierzu sollte eine Business Impact Analyse (BIA) durchgeführt werden. In dem Konzept ist definiert ab wann ein Notfall eintritt und Verantwortlichkeiten sind klar definiert.

Auch der Wiederanlauf der IT-Infrastruktur ist klar zu dokumentieren, hier gibt es in jedem Unternehmen Abhängigkeiten für das Bereitstellen der IT-Infrastruktur.

Erstellen von Datensicherungskonzepten

Die Anforderungen an die Datensicherung haben sich aufgrund der Sicherheitsbedrohungen durch Hacker geändert.

Genügt Ihr jetziges Backup Konzept den Compliance Anforderungen des Unternehmens, können Daten in der geforderten Zeit wieder hergestellt werden um die Geschäftsprozesse aufrecht zu halten?

Gibt es einen ausreichenden Schutz der Sicherungen gegen einen Hacker Angriff?

Datensicherungskonzepte müssen dem Stand der Technik entsprechen und belastbar sein.

Erstellen eines IT-Sicherheitskonzept

In einem IT-Sicherheitskonzept wird auf der Grundlage einer Risikobewertung dargestellt, mit welchen Maßnahmen Informationen und Informationstechnik geschützt werden sollen. Wichtige Punkte sind die Identifikation der Unternehmenswerte und der Schutzbedarfsfeststellung. Auch wichtige Unternehmensprozesse werden untersucht und bewertet.

Erstellen einer IT-Sicherheitsrichtlinie

Eine IT-Sicherheitsrichtlinie für Unternehmen ist der Grundbaustein für die Nutzung der IT. In dieser Richtlinie ist für die Mitarbeiter definiert was erlaubt und verboten ist. Die Richtlinie wird aus verschiedenen Domains abgeleitet: Verfügbarkeit – Vertraulichkeit – Integrität – Datenschutz.

Aufgrund der IT-Sicherheitsrichtlinie werden IT-Konzepte in Unternehmen konzipiert, die IT-Sicherheitsrichtlinie minimiert Geschäfts und Haftungsrisiken.

IT-Dokumentation

Die IT ist längst zu einem zentralen Erfolgsfaktor geworden und Themengebiete wie IT-Governance und IT-Compliance gewinnen zunehmend an Bedeutung. Ein planvolles und kontrolliertes Handeln ist aber nur auf Basis von Informationen möglich, d.h. wenn genau bekannt ist, was wie durch wen getan, überwacht oder gesteuert werden soll. Dokumentation ist deshalb ein wesentliches Werkzeug zur Umsetzung von IT-Governance und zur Sicherstellung von IT-Compliance.

Trotzdem wird der IT-Dokumentation nach wie vor kaum Aufmerksamkeit geschenkt da diese Aufgabe bei gut der Hälfte aller IT-Abteilungen ohne vernünftiger Methodik angepackt wird.

Gerne unterstützen wir Kunden mit und ohne IT-Abteilung bei der Erstellung einer umfassenden IT-Dokumentation.

Integration von Protokollierungsmaßnahmen

Protokollierung bei dem Betrieb von IT-Systemen wird immer wichtiger um die Verfügbarkeit, Integrität, Vertraulichkeit und Belastbarkeit von IT-Systemen zu Gewährleisten. Ziel der Protokollierung ist es wesentliche Veränderungen an IT-Systemen und Anwendungen nachvollziehen zu können, um deren IT-Sicherheit nachzuweisen. Mit den Protokollierungsmaßnahmen können Angriff, Abgriffe und Systemverhalten nachvollzogen werden um somit bei Bedarf forensische Analysen zu ermöglichen.

Penetrationstest

Angriffe auf IT-Systeme sind selbst für kleine Behörden und Unternehmen kein Fremdwort mehr. Um sich hiervor optimal zu schützen, ist es hilfreich, wenn man sich neben den üblichen Sicherheitsvorkehrungen zusätzlich auf die Sicht der Angreifer einlässt.

Hierfür sind Penetrationstests ein geeignetes Verfahren, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer (Web-)Anwendung festzustellen. Sie dienen dazu, die Erfolgsaussichten eines vorsätzlichen Angriffs einzuschätzen und dadurch die Wirksamkeit der vorhandenen Sicherheitsmaßnahmen zu überprüfen sowie weitere notwendige Sicherheitsmaßnahmen abzuleiten.

Durch die Prüfungen wird aufgezeigt, welche Schwachstellen zum Prüfzeitpunkt mit vertretbarem Untersuchungsaufwand und den vereinbarten Methoden gefunden werden können. Um langfristig einen guten Sicherheitseindruck über die IT-Systeme zu gewinnen, wird empfohlen, die Tests in regelmäßigen Abständen zu wiederholen.

Stellung eines externen IT-Sicherheitsbeauftragten

Die Hauptaufgabe des IT-Sicherheitsbeauftragten besteht darin die Unternehmensleitung in Fragen bezüglich IT-Sicherheit zu Unterstützen. Er ist der zentrale Ansprechpartner in allen Fragen der IT-Sicherheit und erstellt wichtige Sicherheitskonzepte und Workshops für die Mitarbeiter des Unternehmens. Er unterstützt bei der Absicherung von Geschäftsprozessen und entlastet die Geschäftsführung.

WEB Site Check

Die Webseitenprüfung wurde entwickelt um dem Betreiber der Webseite, der Haftungsperson und allen sonstigen Beteiligten einen einfachen Überblick über die Einhaltung aller wichtigen Vorgaben zum Betrieb der Webseite und deren Inhalte zu liefern.

Eine Webseite ist nicht nur Aushängeschild und Visitenkarte des Unternehmens und erfüllt häufig wichtige Funktionen im Rahmen der Unternehmensdarstellung und der Kundengewinnung.

Umso wichtiger, dass die korrekte Funktion und Einhaltung von Vorgaben der Webseite von neutraler Stelle regelmäßig geprüft wird, um so Fehler entdecken und beheben zu können. Mögliche Auswirkungen bis hin zu kostenpflichtigen Abmahnungen können so verhindert werden.