Sachverstand Sicherheit
Qualifizierter und erfahrener Sachverständiger
Sicherheit durch Sachverstand
Seit 2006 bin ich von der IHK Aachen öffentlich bestellter und vereidigter Sachverständiger mit dem Bestellungstenor "Systeme und Anwendungen der Informationsverarbeitung, insbesondere im Bereich IT-Sicherheit".
Meine Schwerpunkte:
- Sicherheit von Webshops und Web-Applikationen
- Sicherheit von Smartphones
- Missbrauch von IT-Systemen
- Kriminalität im Zusammenhang mit IT-Systemen und dem Internet
- EC- und Kreditkarten, Online-Banking Incident-Response und forensische Analyse von Computern und Smartphones
- Cybercrime Resilience (Schutz vor Advanced Persistent Threat und DDoS)
- Audits und Prüfungen nach ISO 27001 und BSI-Grundschutz
- Unterstützung bei der Einführung der ISO 27001
- Migration auf die neue ISO 27001:2021
- Wertgutachten, auch bei der NRW-Aufbauhilfe 2021 (Hochwasserschäden)
- Workshops und Schulungen
Zeichen für Sachverstand
Ich unterstütze Sie!
Bei der täglichen Flut von neuen Sicherheitslücken und Angriffsprogrammen ist die Aufrechterhaltung der Informationssicherheit ein Fulltime-Job. Die meisten Administratoren und Netzwerkspezialisten müssen diese Arbeit jedoch nebenbei machen. Da ist es gut, wenn eine Unterstützung durch externe Spezialisten möglich ist.
Das Sachverständigenbüro bietet Ihnen:
- Gutachten und andere Sachverständigenleistungen
- Vorbereitung auf eine Zertifizierung nach BSI-Grundschutz oder ISO 27001
- Audit nach ISO 27001
- ISMS nach ISO 27001
- Beratung zum IT-Sicherheitsgesetz
- Erstellung oder Review von Sicherheitskonzepten
- Sicherheitsanalyse Ihrer Infrastruktur
- Audit von Web-Anwendungen
- Penetrationstests
- Incident-Response und forensische Analyse von Computern und Smartphones
- Schulungen und Moderation von internen Workshops
Aufgaben als Sachverständiger
Fachliche Schwerpunkte als Sachverständiger
- IT-Sicherheit
- Zahlungssysteme (Kreditkarten, Debitkarten, Online-Banking, Internet)
- Computer- und Internetkriminalität
- forensische Analysen von Computern und Smartphones
- Prüfung von Echtheit und Unversehrtheit digitaler Bilder von Überwachungsgeräten (z. B. Traffipax)
- IT-fachliche Bewertung von Gerichtsurteilen und polizeilichen Ermittlungen in Berufungsverfahren
Gründe, einen Sachverständigen in Anspruch zu nehmen
- Unterstützung in gerichtlichen Auseinandersetzungen
- Vorbereitung von gerichtlichen Auseinandersetzungen
- Mitarbeit in selbstständigen Beweisverfahren
- drohender Verlust an Reputation durch falsche Darstellung in den Medien
- Wertermittlung von Software oder Geschäftsideen
- Dokumentation von Prozessen und Sachständen zur Absicherung der eigenen Vorgehensweise
- Entkräftung des Vorwurfs des Organisationsverschuldens
Zertifizierung nach BSI-Grundschutz oder ISO 27001
Mit fortschreitender Vernetzung von Firmen und Behörden sowie einer strengen Beachtung von Compliance-Vorgaben werden Zertifizierungen der Informationssicherheit immer wichtiger. Ich unterstütze Sie bei den Vorbereitungen, damit Sie sich auf die wesentlichen Aspekte der Zertifizierung konzentrieren können.
Meine Leistungen:
- Kontrolle der Wirksamkeit des ISMS (Informationssicherheit-Managementsystems)
- Anpassung der ISO- oder BSI-Vorgaben an Ihre Infrastruktur
- Bewertung von schon geleisteten Vorarbeiten
- Kontrolle der Umsetzung von Maßnahmen zur Informationssicherheit
- Risikoanalysen
- Kontrolle von Notfallplänen
AUDIT nach ISO 27001
Zertifizierter ISO 27001 Lead Auditor
Ich bin von der international anerkannten Organisation PECB als ISO 27001 Lead Auditor zertifiziert worden. Damit kann ich alleine oder zusammen mit anderen Auditoren vollständige Audits nach ISO 27001 durchführen. Ein solches Audit besteht aus Interviews, Begehungen, dem Studium von Dokumenten und anderen Prüfungen.
Meine Leistungen:
- Zertifizierungen nach ISO 27001 in Zusammenarbeit mit anerkannten Zertifizierungs-Instanzen
- Vorbereitung von Zertifizierungen unter echten Audit-Bedingungen
- Beratung im Vorfeld von Zertifizierungen: Anforderungen, Vorgehensweisen, Formalia, Kosten
- Unterstützung bei Zertifizierungen durch andere Auditoren
ISMS nach ISO 27001
Zertifizierter ISO 27001 Lead Implementer
Ich bin von der international anerkannten Organisation PECB als ISO 27001 Lead Implementer zertifiziert worden. Damit kann ich Firmen beraten und unterstützen, die ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einführen wollen.Meine Leistungen:
- Gap-Analyse: Wo steht Ihre Firma? Was fehlt noch an Dokumenten und Maßnahmen?
- Planung der Einführung eines ISMS
- Erstellung von maßgeschneiderten Referenzdokumenten nach ISO 27001
- Vorbereitung auf das erste Audit bzw. die Zertifizierung
IT-Sicherheitsgesetz
Vorbereitung auf die Umsetzung
Das IT-Sicherheitsgesetz betrifft in erster Linie die Betreiber kritischer Infrastrukturen. Allerdings müssen diese Betreiber ihr Verhältnis zu Lieferanten und Dienstleistern konform zum Gesetz ausrichten. Indirekt sind also noch viele andere Firmen betroffen, oft Mittelständler, für die die kommenden Anforderungen neu und ungewohnt sind.
Meine Leistungen:
- Analyse der Anforderungen, die sich direkt oder indirekt aus dem IT-Sicherheitsgesetz ergeben
- Workshops zur Bestimmung des Reifegrades bei der Informationssicherheit im Hinblick auf das IT-Sicherheitsgesetz
- Beratung bei der Auswahl von Maßnahmen
- Unterstützung bei der Dokumentation gegenüber den Kunden und bei Zertifizierungen
Erstellung oder Review von Sicherheitskonzepten
Sicherheitskonzepte müssen von Zeit zu Zeit angepasst, ergänzt oder auf Konsistenz und Angemessenheit überprüft werden. Sonst besteht die Gefahr, dass nicht alle Eventualitäten abgedeckt werden und Sicherheitslücken entstehen.
Das gilt insbesondere bei:
- Einführung neuer Technologien
- Änderung von Unternehmenszielen oder Geschäftsbereichen
- Fusionen oder Abspaltung von Firmenteilen
- Kooperationen mit Partnern unter Einbeziehung von B2B-Lösungen
Profitieren Sie von meiner Erfahrung in vielen unterschiedlichen Firmen und Behörden und lassen Sie Ihr Sicherheitskonzept von einem Fachmann erstellen oder kontrollieren. Damit können Sie sicher sein, dass allgemein anerkannte Best Practices auch in Ihrem Konzept berücksichtigt werden.
Sicherheitsanalyse Ihrer Infrastruktur
Im hektischen Tagesgeschäft bleibt für die Kontrolle der Sicherheit kaum Zeit. Profitieren Sie von meiner Erfahrung, organisatorische, personelle und technische Sicherheitslücken zu finden und einen Weg aufzuzeigen, diese zu schließen.
- Die Untersuchungen können umfassen: Interviews, Begehungen, Reviews von Dokumenten, Security-Scans und Penetrationstests.
- Durch eine enge Anlehnung an die BSI-Grundschutzkataloge bzw. ISO 27001 ist die Vollständigkeit der Untersuchung gewährleistet.
- Die Vorbereitung der Analyse wird durch in der Praxis bewährte Checklisten unterstützt und ist dadurch effizient und kostengünstig.
Cybercrime Resilience
Cybercrime-Angriffe sind allgegenwärtig. Zum Schutz vor solchen Angriffen muss die eigene Infrastrutur untersucht werden, wo wertvolle Assets und potenzielle Angriffspunkte liegen. Anschließend sind vorbeugende Maßnahmen und Maßnahmen zur Entdeckung solcher Angriffe einzuführen.
Cybercrime-Angriffe teilen sich auf in APT (Advanced Persistent Threat) und DDoS (Distributed Denial of Service). Im Gegensatz zum klassischen Perimeter-Schutz, bei dem der Zugang von Angreifern in das eigene Netz verhindert werden sollte, geht man bei APT davon aus, dass sich der Angreifer bereits im eigenen Netz befindet (Phishing-Mail, Zero Day Exploit)
Ein Projekt zur Cybercrime Resilience kann wie folgt ablaufen:
- Herausarbeiten der kritischen Assets (“Kronjuwelen”) und Wege, diese mittels APT anzugreifen
- Risikoanalyse der Angriffswege
- Definition von Schutzmaßnahmen
- Prozessbeschreibung zur regelmäßige Analyse von APT-Szenarien
- APT Playbook und Runbooks mit Vorgehensweisen bei einem Angriff
- APT Playbook und Runbook Tests
- Festlegung von DDoS Angriffswegen
- regelmäßige DDoS-Tests nach vorher festgelegten Erfolgskriterien inkl. Prozessbeschreibung
- DDoS Playbook und Runbooks mit Vorgehensweisen bei einem Angriff
- DDoS Playbook und Runbook Tests
Audit von Web-Anwendungen
Web-Anwendungen wie Shops oder Portale stehen oft im Zentrum von Hacker-Angriffen. Neben einem Penetrationstest ist es deshalb sinnvoll, den Programmcode und die Logik der Anwendung kritisch zu hinterfragen. Dabei werden Schwachstellen gefunden, die bei einem Penetrationstest nicht gefunden wurden oder nicht sichtbar waren und die sich erst in der Zukunft zu einem Problem entwickeln können.
Ein Audit von Web-Anwendungen deckt Sicherheitslücken in folgenden Bereichen auf:
- Validierung von Eingabewerten
- Validierung von Ausgabedaten, etwa wenn Module zum Zahlungsverkehr angesprochen werden
- logischer Ablauf der Anwendung
- Nutzung unsicherer Funktionen oder Funktionsaufrufe
- Session-Handling
- Verfahren zur Authentifizierung und/oder Verschlüsselung
- Ankopplung von Datenbanken
- Speicherung von Passwörtern und anderen sensiblen Daten
Mit einem Audit wird eine Web-Anwendung “von innen her” untersucht. Ein solches Audit ist eine ideale Ergänzung zu einem Penetrationstest.
Penetrationstest
Bei einem Penetrationstest werden über das Netzwerk Sicherheitslücken gesucht und gefunden. Die Arbeit des Penetrationstesters ähnelt in vielen Punkten einem Hacking-Angriff, geschieht allerdings unter kontrollierten Bedingungen.
Ein Penetrationstest folgt in der Regel folgendem Ablaufplan:
- Festlegung der Ziele und der eingesetzten Methoden, in Absprache mit dem Kunden
- Analyse der Dienste und eingesetzten Systeme, in der Regel mit der Hilfe von Portscannern und Security-Scannern
- Bestimmung von Programm- und Betriebssystemversionen
- Rückschlüsse auf mögliche Schwachstellen
- Tests der Schwachstellen mit Tools oder selbst geschriebenen Programmen
Insbesondere bei Web-Applikationen sind Penetrationstests ein unverzichtbares Hilfsmittel zur Absicherung des Systems. Idealerweise sollte ein Penetrationstest mit abgeschalteten Sicherungsmechanismen wie etwa Web Application Firewalls erfolgen. Da ein Penetrationstest immer ein Test von außen ist, können auch nur die von außen zugreifbaren Sicherheitslücken gefunden werden. Bei komplexen Web-Anwendungen ist es deshalb sinnvoll, das System zusätzlich mit einem Code-Review auch von innen zu überprüfen.
Incident-Response und forensische Analyse
Bei einem Sicherheitsvorfall muss schnell gehandelt werden. Dabei geht es nicht nur darum, Hintergründe aufzuklären und den Täter zu ermitteln. In produktiven Umgebungen kann eine Unterbrechung finanzielle Risiken bringen oder Reputation kosten.
Meine Leistungen:
- Sicherung von Beweisen in PCs, Servern und Smartphones
- Sicherung von flüchtigen Daten (Speicher, Prozesse, offene Handles, Bibliotheken und Netzwerkverbindungen)
- Sicherung nichtflüchtiger Daten wie etwa Festplatten
- Analyse der Beweismittel manuell oder mit Forensik-Programmen
- Schnelltest durch einen Vorher-/Nachher-Vergleich von Datensicherungen
- Schreiben von gerichtskonformen Gutachten
Damit können Sie im Fall der Fälle sicher sein, alles Notwendige getan zu haben.
Schulungen und Moderation von internen Workshops
Die Themen:
- Sicherheitslücken in Unternehmensnetzen finden und schließen
- IT-Forensik
- Hacking für Administratoren
- Smartphone-Security
- BSI-Grundschutz und ISO 27001
Moderation von internen Workshops:
In mittleren und größeren Unternehmen ist es sinnvoll, von Zeit zu Zeit den Stand der Informationssicherheit zu prüfen und Perspektiven für Verbesserungen zu erarbeiten. Das kann in Form von internen Workshops geschehen, bei denen Funktionsträger aus verschiedenen Abteilungen zusammentreffen und diskutieren.
Die Organisation und Durchführung solcher Workshops spart externe Hilfe, Zeit und Geld. Diese kann umfassen:
- Festlegung von Themen in Abstimmung mit internen Funktionsträgern
- Ausarbeitung von Handouts und Präsentationen
- Moderation des Workshops
- Dokumentation der Ergebnisse
Profitieren Sie dabei von meiner Erfahrung in vielen unterschiedlichen Firmen und Behörden. In den Workshops werden allgemein anerkannte Best Practices berücksichtigt, von denen Sie profitieren können.
Profil und Werdegang von Dr.-Ing. Markus a Campo
Beruflicher Werdegang
Ausbildung zum Diplom-Ingenieur Elektrotechnik mit Schwerpunkt Technische Informatik an der RWTH Aachen, Promotion auf dem Gebiet der verteilten Rechner-Architekturen, anschließende Arbeit in der Industrie im Bereich Fertigungs-Automatisierung und Netzwerke.
Seit 1.1.1997 ausschließlich Arbeit im Bereich IT-Sicherheit:
- private und gerichtliche Gutachten
- Konzeption, Beratung
- Audits, Sicherheitsüberprüfungen und Zertifizierungen
- Schulungen und Workshops
- Autor von Büchern und Zeitschriftenbeiträgen
Seit 2006 bin ich von der IHK Aachen öffentlich bestellter und vereidigter Sachverständiger mit dem Bestellungstenor “Systeme und Anwendungen der Informationsverarbeitung, insbesondere im Bereich IT-Sicherheit”.
Zudem bin ich zertifizierter Lead Auditor und Lead Implementer für die ISO 27001.
Meine Kompetenzen
- Beratung und Gutachten im Bereich der Informationssicherheit
- Audits, Prüfungen und Zertifizierungen nach den BSI-Grundschutzkatalogen sowie ISO 27001/27002
- elektronische Zahlungssysteme (ec-Karte, Kreditkarten, GiroPay)
- Security Checks, Audits, Reviews
- Sicherheitsanalyse von Systemen, Netzwerken und Web-Anwendungen
- Incident-Response und forensische Analyse von Computern und Smartphones
- Cybercrime Resilience (Schutz vor Advanced Persistent Threat und DDoS)
- Härtung von Betriebssystemen und Applikationen (Windows, Linux, VMware, Citrix)
- Konzeption und Durchführung von Penetrationstests
- Einsatz von Kryptographie
- Einsatz von Smartphones in Unternehmen (iPhone, BlackBerry, Symbian, Android, Windows Mobile/Phone)
- Review des Regelwerks komplexer Firewall-Systeme
- Schulungen und Workshops
Zertifizierung nach BSI-Grundschutz oder ISO 27001
Mit fortschreitender Vernetzung von Firmen und Behörden sowie einer strengen Beachtung von Compliance-Vorgaben werden Zertifizierungen der Informationssicherheit immer wichtiger. Ich unterstütze Sie bei den Vorbereitungen, damit Sie sich auf die wesentlichen Aspekte der Zertifizierung konzentrieren können.
Meine Leistungen:
- Kontrolle der Wirksamkeit des ISMS (Informationssicherheit-Managementsystems)
- Anpassung der ISO- oder BSI-Vorgaben an Ihre Infrastruktur
- Bewertung von schon geleisteten Vorarbeiten
- Kontrolle der Umsetzung von Maßnahmen zur Informationssicherheit
- Risikoanalysen
- Kontrolle von Notfallplänen
Referenzprojekte
Hier finden Sie einige interessante und wichtige Projekte aus der letzten Zeit. Eine vollständige Liste können Sie als PDF laden.
Tätigkeiten als Gutachter
- Sicherheit von deutschen Visa- und EC-Karten bei Abhebungen mit EMV-Chip im Ausland
- Sicherheit des SmartTANPlus-Verfahrens
- Ermittlung des Marktwerts einer Software aus dem Bereich der Energieversorgung
- Bewertung des Marktwerts des Online-Geschäfts eines Unternehmens als Vorbereitung zum Börsengang
- Bewertung von Leistungsmängeln einer Telefonanlage
- Bewertung der Echtheit von Fotos eines Traffipax-Geschwindigkeitsüberwachungsgeräts mit einer Robot-Digitalkamera
Tätigkeiten als Berater
- Entwurf einer Sicherheitsarchitektur für den Zugriff auf Webservices aus dem Internet
- Risikoanalyse eines digitalen Intensiv- und OP-Dokumentationssystems
- Möglichkeiten der Umsetzung von Compliance-Vorgaben durch die ISO 27001
- Umsetzung von Compliance-Vorgaben (Datenschutz/ISO 27001) in einer Abteilung für Software-Entwicklung
- Concept-Review/Code-Review des Web-Portals einer Versicherung
- Forensische Analyse eines Symbian-Mobiltelefons
- Concept-Review einer Internet-Anbindung (Citrix)
- Concept-Review einer virtualisierten IT-Infrastrukur (VMware)
Veröffentlichungen
Hier finden Sie eine kleine Auswahl meiner Veröffentlichungen. Eine vollständige Liste können Sie als PDF laden.
Bücher/Booklets
- Sicherheit von Windows Server 2016, WEKA Kissing 2017
- Nutzenpotenziale regulatorischer Anforderungen zur Geschäftsoptimierung im Rahmen der digitalen Transformation, Microsoft 2017
- Deutscher Security-Markt: Auf der Suche nach den Rundum-sorglos-Diensten, Security Einfach Machen (Hrsg: Ferri Abolhassan), Springer Gabler Wiesbaden 2016
- Sicherheit nach BSI-Grundschutz und ISO 27001, WEKA Kissing 2016
- Sicherer Einsatz von Linux-Systemen, WEKA Kissing 2015
- Notfallmanagement – Einführung, Tools, Zertifizierung, WEKA Kissing 2015
- Systeme zum Mobile Device Management, WEKA Kissing 2014
- Sicherer Einsatz von Windows 8 und Windows Server 2012, WEKA Kissing 2014
- Absichern von Citrix-Umgebungen, WEKA Kissing 2013
- Dateiablage und Archivierung, WEKA Kissing, 2013
- Virtualisierung, WEKA Kissing, 2013
- CompTIA Security+ – Vorbereitung auf die Prüfung SYO-301, mitp-Verlag Frechen 2011
Fortlaufende Publikationen
- Praxissoftware Quick Check Security Audit (Autor und Herausgeber), WEKA Kissing, 2003-2018
- Organisationshandbuch Netzwerksicherheit (Autor und Herausgeber), WEKA Kissing, 1998-2018
- Medizintechnik und Informationstechnologie – Konzepte, Technologien, Anforderungen, TÜV Media Köln, 2012-2014
- Datenbank Interne Revision, The AuditFactory Bietigheim-Bissingen 2013-2015
Kooperationen
Kooperationen im Bereich von Projekten und Schulungen bestehen mit:
Dr.-Ing. Markus a Campo Sachverständiger
Wollen Sie uns eine verschlüsselte Nachricht zukommen lassen oder unsere digitale Signatur prüfen, benutzen Sie bitte folgenden öffentlichen Schlüssel:
PGP-Schlüssel (gültig bis 9.3.2027) PGP-Fingerprint: 02E2 83D3 EC8E B21D D627 B5D4 A834 58C2 4CCA 4C7C
52072 Aachen