Qualifizierter und erfahrener Sach­verständiger

Bei der täglichen Flut von neuen Sicherheitslücken und Angriffs­programmen ist die Aufrechterhaltung der Informations­sicherheit ein Fulltime-Job. Die meisten Administratoren und Netzwerk­spezialisten müssen diese Arbeit jedoch nebenbei machen. Da ist es gut, wenn eine Unter­stützung durch externe Spezialisten möglich ist.

Das Sachverständigenbüro bietet Ihnen:

• Gutachten und andere Sachverständigenleistungen
• Vorbereitung auf eine Zertifizierung nach BSI-Grundschutz oder ISO 27001
• Audit nach ISO 27001
• ISMS nach ISO 27001
• Beratung zum IT-Sicherheitsgesetz
• Erstellung oder Review von Sicherheitskonzepten
• Sicherheitsanalyse Ihrer Infrastruktur
• Audit von Web-Anwendungen
• Penetrationstests
• Incident-Response und forensische Analyse von Computern und Smartphones
• Schulungen und Moderation von internen Workshops

Aufgaben als Sachverständiger

Fachliche Schwerpunkte als Sachverständiger

• IT-Sicherheit
• Zahlungssysteme (Kreditkarten, Debitkarten, Online-Banking, Internet)
• Computer- und Internetkriminalität
• forensische Analysen von Computern und Smartphones
• Prüfung von Echtheit und Unversehrtheit digitaler Bilder von Überwachungsgeräten (z. B. Traffipax)
• IT-fachliche Bewertung von Gerichtsurteilen und polizeilichen Ermittlungen in Berufungsverfahren

Gründe, einen Sachverständigen in Anspruch zu nehmen

• Unterstützung in gerichtlichen Auseinandersetzungen
• Vorbereitung von gerichtlichen Auseinandersetzungen
• Mitarbeit in selbstständigen Beweisverfahren
• drohender Verlust an Reputation durch falsche Darstellung in den Medien
• Wertermittlung von Software oder Geschäftsideen
• Dokumentation von Prozessen und Sachständen zur Absicherung der eigenen Vorgehensweise
• Entkräftung des Vorwurfs des Organisationsverschuldens

Zertifizierung nach BSI-Grundschutz oder ISO 27001

Mit fortschreitender Vernetzung von Firmen und Behörden sowie einer strengen Beachtung von Compliance-Vorgaben werden Zertifizierungen der Informationssicherheit immer wichtiger. Ich unterstütze Sie bei den Vorbereitungen, damit Sie sich auf die wesentlichen Aspekte der Zertifizierung konzentrieren können.

Meine Leistungen:

• Kontrolle der Wirksamkeit des ISMS (Informationssicherheit-Managementsystems)
• Anpassung der ISO- oder BSI-Vorgaben an Ihre Infrastruktur
• Bewertung von schon geleisteten Vorarbeiten
• Kontrolle der Umsetzung von Maßnahmen zur Informationssicherheit
• Risikoanalysen
• Kontrolle von Notfallplänen

AUDIT nach ISO 27001

Zertifizierter ISO 27001 Lead Auditor

Ich bin von der international anerkannten Organisation PECB als ISO 27001 Lead Auditor zertifiziert worden. Damit kann ich alleine oder zusammen mit anderen Auditoren vollständige Audits nach ISO 27001 durchführen. Ein solches Audit besteht aus Interviews, Begehungen, dem Studium von Dokumenten und anderen Prüfungen.

Meine Leistungen:

• Zertifizierungen nach ISO 27001 in Zusammenarbeit mit anerkannten Zertifizierungs-Instanzen
• Vorbereitung von Zertifizierungen unter echten Audit-Bedingungen
• Beratung im Vorfeld von Zertifizierungen: Anforderungen, Vorgehensweisen, Formalia, Kosten
• Unterstützung bei Zertifizierungen durch andere Auditoren

ISMS nach ISO 27001

Zertifizierter ISO 27001 Lead Implementer

Meine Leistungen:

• Gap-Analyse: Wo steht Ihre Firma? Was fehlt noch an Dokumenten und Maßnahmen?
• Planung der Einführung eines ISMS
• Erstellung von maßgeschneiderten Referenzdokumenten nach ISO 27001
• Vorbereitung auf das erste Audit bzw. die Zertifizierung

IT-Sicherheitsgesetz

Vorbereitung auf die Umsetzung

Das IT-Sicherheitsgesetz betrifft in erster Linie die Betreiber kritischer Infrastrukturen. Allerdings müssen diese Betreiber ihr Verhältnis zu Lieferanten und Dienstleistern konform zum Gesetz ausrichten. Indirekt sind also noch viele andere Firmen betroffen, oft Mittelständler, für die die kommenden Anforderungen neu und ungewohnt sind.

Meine Leistungen:

• Analyse der Anforderungen, die sich direkt oder indirekt aus dem IT-Sicherheitsgesetz ergeben
• Workshops zur Bestimmung des Reifegrades bei der Informationssicherheit im Hinblick auf das IT-Sicherheitsgesetz
• Beratung bei der Auswahl von Maßnahmen
• Unterstützung bei der Dokumentation gegenüber den Kunden und bei Zertifizierungen

Erstellung oder Review von Sicherheitskonzepten

Sicherheitskonzepte müssen von Zeit zu Zeit angepasst, ergänzt oder auf Konsistenz und Angemessenheit überprüft werden. Sonst besteht die Gefahr, dass nicht alle Eventualitäten abgedeckt werden und Sicherheitslücken entstehen.

Das gilt insbesondere bei:

• Einführung neuer Technologien
• Änderung von Unternehmenszielen oder Geschäftsbereichen
• Fusionen oder Abspaltung von Firmenteilen
• Kooperationen mit Partnern unter Einbeziehung von B2B-Lösungen

Profitieren Sie von meiner Erfahrung in vielen unterschiedlichen Firmen und Behörden und lassen Sie Ihr Sicherheitskonzept von einem Fachmann erstellen oder kontrollieren. Damit können Sie sicher sein, dass allgemein anerkannte Best Practices auch in Ihrem Konzept berücksichtigt werden.

Sicherheitsanalyse Ihrer Infrastruktur

Im hektischen Tagesgeschäft bleibt für die Kontrolle der Sicherheit kaum Zeit. Profitieren Sie von meiner Erfahrung, organisatorische, personelle und technische Sicherheitslücken zu finden und einen Weg aufzuzeigen, diese zu schließen.

• Die Untersuchungen können umfassen: Interviews, Begehungen, Reviews von Dokumenten, Security-Scans und Penetrationstests.
• Durch eine enge Anlehnung an die BSI-Grundschutzkataloge bzw. ISO 27001 ist die Vollständigkeit der Untersuchung gewährleistet.
• Die Vorbereitung der Analyse wird durch in der Praxis bewährte Checklisten unterstützt und ist dadurch effizient und kostengünstig.

Cybercrime Resilience

Cybercrime-Angriffe sind allgegenwärtig. Zum Schutz vor solchen Angriffen muss die eigene Infrastrutur untersucht werden, wo wertvolle Assets und potenzielle Angriffspunkte liegen. Anschließend sind vorbeugende Maßnahmen und Maßnahmen zur Entdeckung solcher Angriffe einzuführen.

Cybercrime-Angriffe teilen sich auf in APT (Advanced Persistent Threat) und DDoS (Distributed Denial of Service). Im Gegensatz zum klassischen Perimeter-Schutz, bei dem der Zugang von Angreifern in das eigene Netz verhindert werden sollte, geht man bei APT davon aus, dass sich der Angreifer bereits im eigenen Netz befindet (Phishing-Mail, Zero Day Exploit)

Ein Projekt zur Cybercrime Resilience kann wie folgt ablaufen:

• Herausarbeiten der kritischen Assets ("Kronjuwelen") und Wege, diese mittels APT anzugreifen
• Risikoanalyse der Angriffswege
• Definition von Schutzmaßnahmen
• Prozessbeschreibung zur regelmäßige Analyse von APT-Szenarien
• APT Playbook und Runbooks mit Vorgehensweisen bei einem Angriff
• APT Playbook und Runbook Tests
• Festlegung von DDoS Angriffswegen
• regelmäßige DDoS-Tests nach vorher festgelegten Erfolgskriterien inkl. Prozessbeschreibung
• DDoS Playbook und Runbooks mit Vorgehensweisen bei einem Angriff
• DDoS Playbook und Runbook Tests

Audit von Web-Anwendungen

Web-Anwendungen wie Shops oder Portale stehen oft im Zentrum von Hacker-Angriffen. Neben einem Penetrationstest ist es deshalb sinnvoll, den Programmcode und die Logik der Anwendung kritisch zu hinterfragen. Dabei werden Schwachstellen gefunden, die bei einem Penetrationstest nicht gefunden wurden oder nicht sichtbar waren und die sich erst in der Zukunft zu einem Problem entwickeln können.

Ein Audit von Web-Anwendungen deckt Sicherheitslücken in folgenden Bereichen auf:

• Validierung von Eingabewerten
• Validierung von Ausgabedaten, etwa wenn Module zum Zahlungsverkehr angesprochen werden
• logischer Ablauf der Anwendung
• Nutzung unsicherer Funktionen oder Funktionsaufrufe
• Session-Handling
• Verfahren zur Authentifizierung und/oder Verschlüsselung
• Ankopplung von Datenbanken
• Speicherung von Passwörtern und anderen sensiblen Daten

Mit einem Audit wird eine Web-Anwendung "von innen her" untersucht. Ein solches Audit ist eine ideale Ergänzung zu einem Penetrationstest.

Penetrationstest

Bei einem Penetrationstest werden über das Netzwerk Sicherheitslücken gesucht und gefunden. Die Arbeit des Penetrationstesters ähnelt in vielen Punkten einem Hacking-Angriff, geschieht allerdings unter kontrollierten Bedingungen.

Ein Penetrationstest folgt in der Regel folgendem Ablaufplan:

• Festlegung der Ziele und der eingesetzten Methoden, in Absprache mit dem Kunden
• Analyse der Dienste und eingesetzten Systeme, in der Regel mit der Hilfe von Portscannern und Security-Scannern
• Bestimmung von Programm- und Betriebssystemversionen
• Rückschlüsse auf mögliche Schwachstellen
• Tests der Schwachstellen mit Tools oder selbst geschriebenen Programmen

Insbesondere bei Web-Applikationen sind Penetrationstests ein unverzichtbares Hilfsmittel zur Absicherung des Systems. Idealerweise sollte ein Penetrationstest mit abgeschalteten Sicherungsmechanismen wie etwa Web Application Firewalls erfolgen. Da ein Penetrationstest immer ein Test von außen ist, können auch nur die von außen zugreifbaren Sicherheitslücken gefunden werden. Bei komplexen Web-Anwendungen ist es deshalb sinnvoll, das System zusätzlich mit einem Code-Review auch von innen zu überprüfen.

Incident-Response und forensische Analyse

Bei einem Sicherheitsvorfall muss schnell gehandelt werden. Dabei geht es nicht nur darum, Hintergründe aufzuklären und den Täter zu ermitteln. In produktiven Umgebungen kann eine Unterbrechung finanzielle Risiken bringen oder Reputation kosten.

Meine Leistungen:

• Sicherung von Beweisen in PCs, Servern und Smartphones
• Sicherung von flüchtigen Daten (Speicher, Prozesse, offene Handles, Bibliotheken und Netzwerkverbindungen)
• Sicherung nichtflüchtiger Daten wie etwa Festplatten
• Analyse der Beweismittel manuell oder mit Forensik-Programmen
• Schnelltest durch einen Vorher-/Nachher-Vergleich von Datensicherungen
• Schreiben von gerichtskonformen Gutachten

Damit können Sie im Fall der Fälle sicher sein, alles Notwendige getan zu haben.

Schulungen und Moderation von internen Workshops

Bei meinen Schulungen arbeite ich mit großen Partnern zusammen. Sie übernehmen Organisation und technische Ausstattung.

Die Organisation und Durchführung solcher Workshops spart externe Hilfe, Zeit und Geld. Diese kann umfassen:

• Festlegung von Themen in Abstimmung mit internen Funktionsträgern
• Ausarbeitung von Handouts und Präsentationen
• Moderation des Workshops
• Dokumentation der Ergebnisse

Profitieren Sie dabei von meiner Erfahrung in vielen unterschiedlichen Firmen und Behörden. In den Workshops werden allgemein anerkannte Best Practices berücksichtigt, von denen Sie profitieren können.