EDV/IT- Bewertungsgutachter

EDV/IT-Sicherheitsberatung


Site

Kontakt
Impressum

Datenschutzerklärung

▪ Disclaimer

▪ Home


Angebots-Unterlagen anfordern


Keywords
Gutachten, Gutachter, Sachverständiger, Sachverständigenbüro, EDV, IT, S
icherheitsberatung, Sicherheits-Audit


Aktualisierung: 31.12.2013

© 2011


 



Motivation

Das Thema IT-Sicherheit ist aus der heutigen Welt nicht mehr wegzudenken und nimmt mit zunehmender Vernetzung stetig an Bedeutung zu. Denken Sie nur an die vielen Datenskandale in der letzten Zeit. Spionage und Wirtschaftskriminalität vor allem auch aus Drittländern sind der Normalfall, nicht etwa die Ausnahme. Das Risiko angegriffen zu werden, ist vor allem in technischen und öffentlichen Bereichen sehr hoch. Hinzu kommen noch die Gefahren durch Hacking-Angriffe z.B. durch die sog. "Script-Kiddys". Es liegen häufig gar keine Absichten vor, in ein bestimmtes Netz einzudringen, und gezielt Daten abzugreifen oder das Netz zu schädigen. Man gerät quasi durch Zufall in die Attacken von Angreifern. Die Schäden (z.B. auch in Form von Imageverlusten) werden dadurch allerdings nicht unbedingt geringer.

Häufig besteht das Problem darin, dass das Erlangen von Sicherheit Know-how verlangt, welches die eigenen Mitarbeiter kaum liefern können. Häufig sind die IT-Abteilungen auch "outgesourced", die Aufgaben werden also von Fremdfirmen übernommen. Beide Gruppen sind meist zu sehr mit dem Alltagsgeschäft befasst, so dass für Fragen der IT-Sicherheit kein Platz bleibt. Fremdfirmen werden zudem Lücken im Netz nicht gerne zugeben, um den Auftrag nicht zu verlieren. Sich unabhängigen und neutralen Sachverstand ins Haus zu holen, ist also auch hier eine gute Idee.

Als EDV-Sachverständiger verfüge ich über die notwendige Qualifikation und Erfahrung, um Sie in Sicherheitsbelangen beraten zu können. Bei der Durchführung von Sicherheitsaudits orientiere ich mich am Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie an unternehmensspezifischen Regelungen.

Die Durchführung einer IT-Sicherheitsüberprüfung kann je nach Wunsch auf spezielle Bereiche beschränkt oder umfassend erfolgen.
 

Durchführung

Im Rahmen der Analyse untersuche ich die Komponenten des IT-Netzes Ihres Unternehmens auf Konfigurationen, Geräte, Betriebssysteme und Programme, die Sicherheitslücken aufweisen oder in Kombination zueinander schaffen können. Möglicherweise können auch Penetrationstests notwendig werden. Das Ergebnis der Analyse kann ein Gutachten über die IT-Sicherheit einschließlich Erläuterung, wie Fehler und Lücken beseitigt und vermieden werden können sein. Diesbezüglich können anschließend auch Schulungen / Workshops durchgeführt werden, um die Mitarbeiter entsprechend zu sensibilisieren. Auch hier liegt eine große, wenn nicht gar die größte Sicherheitslücke. Die Erkenntnisse können darüber hinaus natürlich auch in ein allgemeines Qualitätsmanagement-Handbuch einfließen und zur Basis einer Zertifizierung werden.
 

Bausteine


Die Komponenten einer IT-Sicherheitsprüfung bzw. der Erstellung eines IT-Sicherheitskonzeptes / IT-Audits sind äußerst vielfältig. Nachfolgend ein kleiner Auszug dessen, was notwendig ist:

 

  • Erstellen von Risikokonzepten für den IT-Bereich
  • Schutz geistigen Eigentums und von Geschäftsgeheimnissen (Verlust / Ausspähen / Sabotage)
  • Grundkontrolle der Funktion und Effektivität der Firewall
  • Überprüfung der Anti-Viren-Software auf Aktualität und Update
  • Überprüfung der Datensicherung (Backup- und Restore-Konzepte)
  • Überprüfung der Sicherheit der Betriebssysteme
  • Erstellen und Einrichten sachgerechter Berechtigungskonzepte speziell bei SAPTM-Anwendungen
  • Kontrolle der Sicherheit im Netzwerk- und Internet (LAN-, WAN-Security)
  • Überprüfung der Regelung für die Nutzung des Internetzugangs unter Sicherheitsaspekten
  • Prüfung der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
  • Erstellung von Audit-Berichten an die Geschäftsführung
  • Jährliche Audits


Die Orientierung am Katalog des IT-Grundschutzhandbuches des BSI als Prüf- und Dokumentationsvorlage hat sich bewährt. Gerne helfe ich dabei, ein solches Handbuch zu erstellen.

 

Angesprochener Personenkreis

  • Vorstände

  • Geschäftsführer

  • IT-Koordinatoren / CIOs

  • Rechenzentrenleiter

  • Interne Revision

  • Abteilungsleiter

  • Datenschutzbeauftragte

  • Projektleiter

 

Sicherheits-Audit

Das Sicherheits-Audit ist als strukturierte Form der Beratung aufzufassen. Ich lege dabei besonderen Wert auf eine wirtschaftliche Vorgehensweise um den Prozess der Risikoanalyse nicht kostenträchtig ausufern zu lassen.

Das IT-Sicherheits-Audit läuft wie folgt ab:

  • Risikoanalyse

  • Definition der Sicherheitsanforderungen

  • Erstellen Sicherheitskonzept

  • Definition von Sicherheitsleitlinien

  • Planung technischer und organisatorischer Maßnahmen

  • Umsetzen der Maßnahmen

  • Regelmäßige Audits zur Kontrolle der Schutzmechanismen und Maßnahmen

Ein IT-Sicherheits-Audit umfasst eine Risikoanalyse, eine augenblickliche Bestandsaufnahme sowie ein Soll-Konzept. Aus sämtlichen Faktoren werden Sicherheits-Anforderungen abgeleitet und in einem entsprechenden Sicherheitskonzept umgesetzt, das zudem regelmäßig fortgeschrieben wird. So sieht optimaler Schutz von IT und Unternehmen aus.

 

Detaillierte Informationen zu meinen Tätigkeitsfeldern finden Sie auf den jeweiligen Seiten. Selbstverständlich bin ich trotz meiner breiten Aufstellung nicht allwissend.  In einem persönlichen Gespräch und / oder im Rahmen einer Ortsbesichtigung lässt sich schnell klären, ob ich auch für Sie sachverständig tätig werden kann. Für darüber hinausgehende Fragen stehe ich Ihnen gerne telefonisch oder per E-Mail zur Verfügung. Meine Kontaktmöglichkeiten finden Sie unter dem Menüpunkt "Impressum" oder nutzen Sie unter dem Menüpunkt "Kontakt" das Kontaktformular. Gerne rufe ich Sie zurück.

Alle auf dieser Website genannten Produktnamen, Produktbezeichnungen und Logos sind eingetragene Warenzeichen und Eigentum der jeweiligen Rechteinhaber.