IT Security

Unsere Verantwortung für sichere Systeme

In Ihrer IT-Landschaft laufen viele Systeme, die Sie selbst oder ein Dienstleister entwickelt haben? Sie müssen sicherstellen, dass Ihre vertraulichen Informationen sicher sind? Sie können das Risiko und die Gefahren selbst nicht abschließend beurteilen, um angemessene Maßnahmen abzuleiten?

Was wir anbieten

  • Risiko- und Gefahrenanalyse
  • Intrusion Detection
  • Penetration Tests

Risikoanalyse

Ausgehend von einem Überblick über Ihre komplette IT-Landschaft gehen wir häufige Angriffsszenarien durch und beziffern den Schaden sowie die Wahrscheinlichkeit des Auftretens. Aufbauend auf dieser Risikoanalyse definieren wir Handlungsalternativen mit besonderem Fokus auf kritische Systeme.

Dabei analysieren wir jedes relevante System strukturiert auf verschiedene Sicherheitslücken, erläutern ihre Risiken und erarbeiten mögliche Präventionsmaßnahmen:

  • Es wird eine Übersicht über alle Systembestandteile Ihrer Infrastruktur (Software und Hardware) erstellt und nach Risiko geordnet. Je nach Bedarf kann ein Fokus auf Netzwerk-, Cloud- oder Servermanagement gelegt werden.
  • Wir erarbeiten, welche Anwender*innen mit dem System interagieren, welche Rechte diese haben, beziehungsweise welchen Schaden sie verursachen können. Es werden Lösungen für eine geeignete Nutzer*innenverwaltung und Authentifizierung für Mensch und Maschine (IIoT) erörtert.
  • Wir betrachten die Datenspeicherung und wer auf diese Daten Zugriff hat. Sind diese vor Verlust oder Manipulation geschützt? Dabei gehen wir auf aktuelle Verschlüsselungs-, Backup- und Autorisierungslösungen ein.
  • Anschließend verfolgen wir den Datentransfer und ob die Daten dabei von Dritten einsehbar oder veränderbar wären. Dabei diskutieren wir Möglichkeiten für eine Ende-zu-Ende-Verschlüsselung.
  • Wir stellen eine Sammlung aller Schnittstellen, die Teilsysteme sowohl miteinander als auch mit der Außenwelt haben, zusammen. Diese testen wir dann gezielt auf Schwachstellen. Dabei werden auch alle Client-Systeme, wie Websites und Mobile Apps, untersucht.
  • Anhand des „Privacy by Design“ Konzepts wird erklärt, wie man Privatsphäre und Datenschutz sicherstellt und so proaktiv das Risiko von Datenlecks verringert.

Intrusion Detection

Zusätzlich zur reinen Analyse können wir geeignete Tools und Prozesse für sogenannte Intrusion Detection einführen: Auf Basis bekannter Angriffsvektoren können Unregelmäßigkeiten mit Verdacht auf potenzielle Sicherheitslücken und Datenlecks frühzeitig automatisiert erkannt werden, um so im Ernstfall schnell reagieren zu können.

Penetration Tests

Mittels sogenannter Penetration Tests können wir systematisch und gezielt versuchen, mit bekannten oder neu geschriebenen Exploits Zugriff auf die Zielsysteme zu erlangen, um so dringend zu behebende Sicherheitslücken festzustellen.

Der XITASO Unterschied

Sichere Software-Entwicklung

Unsere gemäß ICO ISMS 27001:2013 geschulten Spezialist*innen für IT Security sind selbst praktizierende Software-Developer und DevOps-Expert*innen. Sie kennen die möglichen Sicherheitslücken aus Ihrer täglichen Arbeit mit dem Programmcode. Andersherum fließt die IT Security Expertise über Best Practices unter dem Stichwort “Sichere Software-Entwicklung” in jede von uns implementierte IT-Lösung mit ein.