Seit 2006 bin ich von der IHK Aachen öffentlich bestellter und vereidigter Sachverständiger mit dem Bestellungstenor "Systeme und Anwendungen der Informationsverarbeitung, insbesondere im Bereich IT-Sicherheit".
Mit meinem Wissen und meiner Erfahrung unterstütze ich Sie gerne zum Nutzen der Sicherheit in Ihrem Netzwerk.
Bei der täglichen Flut von neuen Sicherheitslücken und Angriffsprogrammen ist die Aufrechterhaltung der Informationssicherheit ein Fulltime-Job. Die meisten Administratoren und Netzwerkspezialisten müssen diese Arbeit jedoch nebenbei machen. Da ist es gut, wenn eine Unterstützung durch externe Spezialisten möglich ist.
Fachliche Schwerpunkte als Sachverständiger
Gründe, einen Sachverständigen in Anspruch zu nehmen
Mit fortschreitender Vernetzung von Firmen und Behörden sowie einer strengen Beachtung von Compliance-Vorgaben werden Zertifizierungen der Informationssicherheit immer wichtiger. Ich unterstütze Sie bei den Vorbereitungen, damit Sie sich auf die wesentlichen Aspekte der Zertifizierung konzentrieren können.
Meine Leistungen:
Zertifizierter ISO 27001 Lead Auditor
Ich bin von der international anerkannten Organisation PECB als ISO 27001 Lead Auditor zertifiziert worden. Damit kann ich alleine oder zusammen mit anderen Auditoren vollständige Audits nach ISO 27001 durchführen. Ein solches Audit besteht aus Interviews, Begehungen, dem Studium von Dokumenten und anderen Prüfungen.
Meine Leistungen:
Zertifizierter ISO 27001 Lead Implementer
Ich bin von der international anerkannten Organisation PECB als ISO 27001 Lead Implementer zertifiziert worden. Damit kann ich Firmen beraten und unterstützen, die ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einführen wollen.Meine Leistungen:
Vorbereitung auf die Umsetzung
Das IT-Sicherheitsgesetz betrifft in erster Linie die Betreiber kritischer Infrastrukturen. Allerdings müssen diese Betreiber ihr Verhältnis zu Lieferanten und Dienstleistern konform zum Gesetz ausrichten. Indirekt sind also noch viele andere Firmen betroffen, oft Mittelständler, für die die kommenden Anforderungen neu und ungewohnt sind.
Meine Leistungen:
Sicherheitskonzepte müssen von Zeit zu Zeit angepasst, ergänzt oder auf Konsistenz und Angemessenheit überprüft werden. Sonst besteht die Gefahr, dass nicht alle Eventualitäten abgedeckt werden und Sicherheitslücken entstehen.
Das gilt insbesondere bei:
Profitieren Sie von meiner Erfahrung in vielen unterschiedlichen Firmen und Behörden und lassen Sie Ihr Sicherheitskonzept von einem Fachmann erstellen oder kontrollieren. Damit können Sie sicher sein, dass allgemein anerkannte Best Practices auch in Ihrem Konzept berücksichtigt werden.
Im hektischen Tagesgeschäft bleibt für die Kontrolle der Sicherheit kaum Zeit. Profitieren Sie von meiner Erfahrung, organisatorische, personelle und technische Sicherheitslücken zu finden und einen Weg aufzuzeigen, diese zu schließen.
Cybercrime-Angriffe sind allgegenwärtig. Zum Schutz vor solchen Angriffen muss die eigene Infrastrutur untersucht werden, wo wertvolle Assets und potenzielle Angriffspunkte liegen. Anschließend sind vorbeugende Maßnahmen und Maßnahmen zur Entdeckung solcher Angriffe einzuführen.
Cybercrime-Angriffe teilen sich auf in APT (Advanced Persistent Threat) und DDoS (Distributed Denial of Service). Im Gegensatz zum klassischen Perimeter-Schutz, bei dem der Zugang von Angreifern in das eigene Netz verhindert werden sollte, geht man bei APT davon aus, dass sich der Angreifer bereits im eigenen Netz befindet (Phishing-Mail, Zero Day Exploit)
Ein Projekt zur Cybercrime Resilience kann wie folgt ablaufen:
Web-Anwendungen wie Shops oder Portale stehen oft im Zentrum von Hacker-Angriffen. Neben einem Penetrationstest ist es deshalb sinnvoll, den Programmcode und die Logik der Anwendung kritisch zu hinterfragen. Dabei werden Schwachstellen gefunden, die bei einem Penetrationstest nicht gefunden wurden oder nicht sichtbar waren und die sich erst in der Zukunft zu einem Problem entwickeln können.
Ein Audit von Web-Anwendungen deckt Sicherheitslücken in folgenden Bereichen auf:
Mit einem Audit wird eine Web-Anwendung "von innen her" untersucht. Ein solches Audit ist eine ideale Ergänzung zu einem Penetrationstest.
Bei einem Penetrationstest werden über das Netzwerk Sicherheitslücken gesucht und gefunden. Die Arbeit des Penetrationstesters ähnelt in vielen Punkten einem Hacking-Angriff, geschieht allerdings unter kontrollierten Bedingungen.
Ein Penetrationstest folgt in der Regel folgendem Ablaufplan:
Insbesondere bei Web-Applikationen sind Penetrationstests ein unverzichtbares Hilfsmittel zur Absicherung des Systems. Idealerweise sollte ein Penetrationstest mit abgeschalteten Sicherungsmechanismen wie etwa Web Application Firewalls erfolgen. Da ein Penetrationstest immer ein Test von außen ist, können auch nur die von außen zugreifbaren Sicherheitslücken gefunden werden. Bei komplexen Web-Anwendungen ist es deshalb sinnvoll, das System zusätzlich mit einem Code-Review auch von innen zu überprüfen.
Bei einem Sicherheitsvorfall muss schnell gehandelt werden. Dabei geht es nicht nur darum, Hintergründe aufzuklären und den Täter zu ermitteln. In produktiven Umgebungen kann eine Unterbrechung finanzielle Risiken bringen oder Reputation kosten.
Meine Leistungen:
Damit können Sie im Fall der Fälle sicher sein, alles Notwendige getan zu haben.
Bei meinen Schulungen arbeite ich mit großen Partnern zusammen. Sie übernehmen Organisation und technische Ausstattung.
Die Themen:
Moderation von internen Workshops:
In mittleren und größeren Unternehmen ist es sinnvoll, von Zeit zu Zeit den Stand der Informationssicherheit zu prüfen und Perspektiven für Verbesserungen zu erarbeiten. Das kann in Form von internen Workshops geschehen, bei denen Funktionsträger aus verschiedenen Abteilungen zusammentreffen und diskutieren.
Die Organisation und Durchführung solcher Workshops spart externe Hilfe, Zeit und Geld. Diese kann umfassen:
Profitieren Sie dabei von meiner Erfahrung in vielen unterschiedlichen Firmen und Behörden. In den Workshops werden allgemein anerkannte Best Practices berücksichtigt, von denen Sie profitieren können.
Ausbildung zum Diplom-Ingenieur Elektrotechnik mit Schwerpunkt Technische Informatik an der RWTH Aachen, Promotion auf dem Gebiet der verteilten Rechner-Architekturen, anschließende Arbeit in der Industrie im Bereich Fertigungs-Automatisierung und Netzwerke.
Seit 1.1.1997 ausschließlich Arbeit im Bereich IT-Sicherheit:
Seit 2006 bin ich von der IHK Aachen öffentlich bestellter und vereidigter Sachverständiger mit dem Bestellungstenor "Systeme und Anwendungen der Informationsverarbeitung, insbesondere im Bereich IT-Sicherheit".
Zudem bin ich zertifizierter Lead Auditor und Lead Implementer für die ISO 27001.
Hier finden Sie einige interessante und wichtige Projekte aus der letzten Zeit. Eine vollständige Liste können Sie als PDF laden.
Tätigkeiten als Gutachter
Tätigkeiten als Berater
Hier finden Sie eine kleine Auswahl meiner Veröffentlichungen. Eine vollständige Liste können Sie als PDF laden.
Bücher/Booklets
Fortlaufende Publikationen
Kooperationen im Bereich von Projekten und Schulungen bestehen mit:
Ausgabe September 2018
15.9.2018
APT Playbooks, Elliptic Curve Cryptography, Cryptojacking, Datenschutzaudits, Wartung von Windows 10 mehr >>
Ausgabe August 2018
15.8.2018
Prüfungskataloge und Checklisten nach BSI-Vorgaben (neue Grundschutz-Kataloge): Mobiler Arbeitsplatz, Besprechungs-, Veranstaltungs- und Schulungsraum, TK-Anlagen, VoIP, eingebettete Systeme
Booklet: Regularien und Organisationen für Informationssicherheit
20.10.2017
Die digitale Transformation stellt Unternehmen und Behörden vor besondere Herausforderungen. Die Frage stellt sich, wie sich die Veränderungen im Zuge der digitalen Transformation und Compliance-Anforderungen gegenseitig stützen und ergänzen können?
Das Whitepaper „Nutzenpotenziale regulatorischer Anforderungen zur Geschäftsoptimierung im Rahmen der digitalen Transformation“ gibt Anregungen mehr >>
15.10.2016
Deutscher Security-Markt: Auf der Suche nach den Rundum-sorglos-Diensten, Security Einfach Machen (Hrsg: Ferri Abolhassan), Springer Gabler Wiesbaden, 2016 mehr >>
The German Security Market: Searching for the Complete Peace-Of-Mind Service, Cyber Security. Simply. Make it Happen (Hrsg: Ferri Abolhassan), Springer International, 2016 mehr >>
1.9.2016
Ich bin als Lead Auditor ISO 27001 bei der ConformityZert tätig. In dieser Funktion auditiere ich Informationssicherheits-Managementsysteme (ISMS) als Vorbereitung für die Erteilung eines Zertifikats. mehr >>
1.3.2015
Ich bin als Senior Advisor bei der Experton Group tätig. Die Schwerpunkte seiner Arbeit liegen in der Informationssicherheit, speziell in der Analyse von IT-Architekturen und -Sicherheitskonzepten. mehr >>
23.2.2015
Ich bin von der international anerkannten Organisation PECB als ISO 27001 Lead Implementer zertifiziert worden. Damit kann ich Unternehmen und Behörden bei der Einführung der ISO 27001 unterstützen.
14.1.2014
Ich bin von der international anerkannten Organisation PECB als ISO 27001 Lead Auditor zertifiziert worden. Damit kann ich alleine oder zusammen mit anderen Auditoren vollwertige Audits nach ISO 27001 durchführen. Ein solches Audit besteht aus Interviews, Begehungen, dem Studium von Dokumenten und anderen Prüfungen.
Wollen Sie uns eine verschlüsselte Nachricht zukommen lassen oder unsere digitale Signatur prüfen, benutzen Sie bitte folgenden öffentlichen Schlüssel:
PGP-Schlüssel (gültig bis 1.3.2024)
PGP-Fingerprint: 5F62 E054 B58B 52F5 BD45 34E1 1B2D A999 CAFC DD56
Försterstr. 25
52072 Aachen
Tel: 0241 158080
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Dr.-Ing. Markus a Campo Sachverständiger
Försterstr. 25
52072 Aachen
Telefon: 0241 158080 0241 158080