IT-Sicherheit

Das Management der IT-Sicherheit stützt sich auf die Aufnahme der gesetzlichen, regulativen und vertraglichen Vorgaben (IT-Compliance) sowie eine Risikobestandsaufnahme und Beurteilung und einen Maßnahmenplan zur Reaktion auf die IT-Risiken.

Unseren Kunden sind wir behilflich beim Aufbau, Beurteilung  und Verbesserung der IT-Sicherheit, hierbei variieren die Aufgabenstellungen von der Prüfung und Beurteilung einzelner Systemumfelder oder Unternehmensrichtlinien zur IT-Sicherheit über die Erstellung von einzelnen Richtlinien und Sicherheitspolicies bis zur Unterstützung beim Aufbau eines Information Security Management Systems (ISMS).

Als Grundlagen und Maßstab zur IT-Sicherheit und eines ISMS verwenden wir entsprechend der Anforderungen und in Abstimmung mit unseren Kunden u.a. den IDW Prüfungsstandard 330, ISO/IEC 27001 oder BSI-Grundschutz sowie COBIT. Ferner werden die speziellen Sicherheitshinweise und Leitfäden zu systemnahen Softwareprodukten und ERP-Systemen berücksichtigt.

ISO/ IEC 27001 Informationssicherheits-Managementsystem

Ein Information Security Management System (ISMS) gemäß ISO 27001 ist bei vielen IT-Dienstleistern etabliert und wird zunehmend auch von Nicht-IT-Unternehmen für Ihr IT-Umfeld angestrebt. Je nach Bedarf wird eine externe Zertifizierung nach ISO 27001 bevorzugt oder die ISO-Norm wird als Referenzmodell genutzt. Üblicherweise wird als Orientierung für die einzuleitenden Maßnahmen u.a. die Norm ISO/IEC 27002 genutzt. Im Öffentlichen Bereich werden hierbei das Vorgehen und die Maßnahmen des BSI Grundschutzhandbuches angewendet.

Ein ISMS gemäß ISO 27001 wird als Wettbewerbsvorteil im IT-Dienstleistungsmarkt angesehen und ist teilweise Zulassungsbedingung für Ausschreibungen und Aufträge in diesem Sektor. Teilweise, z.B. bei einzelnen Automobilherstellern, ist eine Zertifizierung nach ISO 27001 Voraussetzung für Zuliefererunternehmen  um auf die Systeme der Automobilhersteller zugreifen zu dürfen. Aufgrund der weitreichenden Vernetzung und der von den Medien und den Unternehmen wahrgenommenen Bedrohungslage ist dies ein Modell, das auch in anderen Branchen Schule machen könnte.

Unsere Kunden unterstützen wir in der Einführung und in den regelmäßigen Aufgaben eines ISMS im gesamten PDCA-Zyklus (Plan, Do, Check, Act):

  • Festlegen des ISMS
  • Umsetzen und Durchführen des ISMS
  • Überwachen und Überprüfen des ISMS
  • Instandhalten und Verbessern des ISMS

Häufig sind wir unseren Kunden auch in einzelnen Fragestellungen oder Teilaufgaben des ISMS behilflich, wie beispielsweise bei der Festlegung des ISMS beim Aufbau von Leit- und Richtlinien, bei der Ermittlung und Umsetzung der externen gesetzlichen und regulativen sowie den  geschäftlichen und vertraglichen Verpflichtungen (IT-Compliance) sowie der Risikoeinschätzung und der Festlegung der Maßnahmen zur Risikohandhabung.

Unsere große prüferische Erfahrung nutzen unsere Kunden gerne für Sicherheitsaudits im eigenen Unternehmen, bei Tochtergesellschaften oder bei Ihren Dienstleistern oder Zulieferern im In- und Ausland. Aus den Prüfungen leiten wir in der Regel ein Potential und auch konkrete Maßnahmen zur Verbesserung des ISMS unserer Kunden ab.

Cyber-Sicherheit

IT-Sicherheit ist insbesondere mit Bezug auf das Internet momentan weltweit ein Top-Thema, dazu haben nicht zuletzt die Enthüllungen von Herrn Snowden über die NSA beigetragen.

Bedrohung für die Unternehmen

Es geht jedoch um mehr als die NSA: Unternehmen sind bei den Geschäftsprozessen und Arbeitsabläufen in der Regel auf eine verlässliche und fehlerfrei funktionierende IT-Landschaft angewiesen. Ein Ausfall der IT stellt daher ebenso wie ein unkontrollierter Zugriff oder die Manipulation von Daten ein operationelles Risiko dar. Gegen Ausfälle wird meist eine Vorsorge getroffen, Risiken durch Angriffe von außen werden dabei jedoch häufig vernachlässigt. Eine Gefährdung liegt natürlich nicht (allein) durch die NSA vor, sondern das Monitoring des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zeigt derzeit ein hohes Gefährdungspotenzial insbesondere durch

  • gezieltes Hacking von Webservern,
  • Infiltration von Rechnern beim Internetzugriff durch Mitarbeiter,
  • gezielte Infiltration über E-Mail-Anhänge,
  • Denial-of-Service-Attacken,
  • ungezielte Verteilung von Schadsoftware z.B. durch SPAM-Mails sowie
  • mehrstufige Angriffe (u.a „Advanced Persistent Threats“).

Ziele sind nicht nur rechnungslegungsrelevante Daten, sondern vielmehr Know-how, Daten aus Forschung und Entwicklung sowie Kundendaten.

Beratungsleistung Cyber-Sicherheits-Check

Die damit zusammenhängenden Themen werden unter dem Begriff „Cyber-Sicherheit“ zusammengefasst. Wir unterstützen unsere Kunden, indem wir mit dem Cyber-Sicherheits-Check eine strukturierte Beurteilung der Informations- und Netzwerksicherheit  des Unternehmens durchführen. Im risikoorientiert zu definierenden Scope stehen organisatorische und technische Themen, unsere Kunden erhalten eine Einschätzung zu Schwachstellen sowie eine Empfehlung zu möglichen Maßnahmen. Wir unterstützen dann zumeist auch die Folgemaßnahmen.

Forvis Mazars ist Mitglied der Allianz für Cyber-Sicherheit, einer Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM). Diese Allianz hat gemeinsam mit ISACA Germany e.V. einen Leitfaden für den Cyber-Sicherheits-Check entwickelt. Damit bieten wir unseren Kunden eine qualitativ hochwertige Dienstleistung, welche dennoch flexibel skalierbar und an das Unternehmen anpassbar ist.

Für wen ist der Cyber-Sicherheits-Check gedacht ?

Da der Cyber-Sicherheits-Check schon mit einem geringen Umfang von wenigen Tagen sinnvoll durchführbar ist, ist unsere Dienstleistung nicht nur für große sondern auch für mittlere und kleine Unternehmen interessant. Im beigefügten Flyer haben wir das Thema Cyber-Sicherheit sowie eine Beschreibung unserer Vorgehensweise zusammengestellt.

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an

Kontakt