Von der Analyse bis zur Durchführung

IT-Security-Beratung: modernste IT-Sicherheitsdienstleistungen für Unternehmen

Mit der vielschichtigen, weltweiten Vernetzung zwischen Unternehmen, Kunden und Lieferanten steigt der Bedarf an IT-Sicherheitslösungen. Auch weil IT-Systeme immer häufiger gezielt angegriffen werden und durch Cybercrime enorme Schäden entstehen können. Unternehmen sollten ihre IT-Landschaft daher vollständig absichern und die Sicherheitsvorkehrungen regelmäßig auf den Prüfstand stellen.

Durch jahrzehntelange Erfahrung mit den besonders hohen Sicherheitsanforderungen der Luftfahrt ist Lufthansa Industry Solutions ein Top-Experte für Informationssicherheit.

Wir bieten modernste IT-Security-Dienstleistungen – von der Analyse der Sicherheitsbedürfnisse über die Entwicklung von Sicherheitskonzepten sowie der Implementierung und Kontrolle von technischen Sicherheitslösungen bis hin zur Durchführung von Pentests. Wir sind kein Produkt-Reseller, sondern beraten immer fachgerecht und 100 Prozent unabhängig.

Warum ist IT Security wichtig für Unternehmen?

Die vergangenen Jahre haben einen deutlichen Anstieg von Cyberkriminalität insbesondere in den produzierenden Gewerben gezeigt. Umso wichtiger ist es, dass sich Unternehmen entsprechend vorbereiten: mit zeitgemäßen und flächendeckenden Sicherheitslösungen, die alle Bereiche ihrer IT kontinuierlich auf den Prüfstand stellen.

IT-Trends: Darauf sollten Unternehmen vorbereitet sein

  • Regulatorische Anforderungen zur Umsetzung von etablierten IT-Sicherheitsstandards sollten beachtet werden.
  • Das Internet of Things (IoT) wird die Entwicklung künftiger IT-Strukturen prägen.
  • Die Schutzanforderungen an die mobile Kommunikation steigen.
  • Die Datenschutzanforderungen werden mit der DSGVO deutlich verschärft.

Deutliche Zunahme von Cyberattacken auf Unternehmen

Die Entwicklung und Verbreitung des Internet of Things (IoT) und der Industrie 4.0 schreiten rasant voran. Mit der zunehmenden Nutzung von mobilen Geräten und smarten Technologien für Unternehmensprozesse wachsen die Datenmengen und Datenschnittstellen – und damit potenzielle Angriffsmöglichkeiten für Cyberkriminelle. Diese Entwicklung spiegelt sich in der aktuellen Lagebewertung des Bundesamtes für Sicherheit in der Informationstechnologie wider.

Doch noch immer unterschätzen viele Unternehmen diese Cyberrisiken – genau wie das Ausmaß der Schäden: So kann zum Beispiel eine per DDoS-Attacke ausgelöste Serverüberlastung einen Ausfall der firmeneigenen IT-Strukturen bis hin zum Stillstand des Geschäftsbetriebs zur Folge haben. Unsere maßgeschneiderten IT-Sicherheitskonzepte für Unternehmen umfassen daher unter anderem die regelmäßige Überprüfung und Aktualisierung bestehender Schutzmechanismen.

Erhöhte Cyberrisiken für Industrie, Automotive, Transport und Logistik

Einige wirtschaftliche Sektoren gelten aufgrund ihrer zentralen Bedeutung als besonders gefährdet und unterliegen spezifischen rechtlichen Anforderungen wie dem IT Sicherheitsgesetz und den KRITIS-Verordnungen. Aber auch für andere Sektoren gibt es keine Entwarnung: Cyberkriminalität trifft Unternehmen jeder Größe und aller Branchen.

Insbesondere in den bereits heute stark vernetzten Branchen Automotive, Industrie sowie Transport und Logistik haben Angriffsversuche und Sicherheitsvorfälle in den letzten Jahren stark zugenommen. Dies erfordert ein Umdenken bei Entscheidungsträgern. Waren Angriffe zuvor oft nur ein lokales Problem für die direkten Opfer, so sind durch die starke Verzahnung verschiedener Geschäftsfelder zunehmend auch Zulieferer, Partner und Kunden betroffen. Die resultierenden Imageschäden, Produktionsausfallkosten und Haftungsrisiken steigen stetig. Der angemessene Schutz der IT wird somit zu einer elementaren Voraussetzung und zum besten Investitionsschutz für ganze Lieferketten.

Welche IT-Bereiche sind am stärksten gefährdet?

Mobile bzw. netzwerkfähige Geräte gehören heute in nahezu jedem Unternehmen zum Geschäftsalltag: Sei es für die interne und externe Kommunikation, für die Erstellung von Konzepten und Abrechnungen, im vertrieblichen Einsatz, bei der Wartung von Anlagen, in der Logistikkette oder in Form von „smarten“ Sicherheitskomponenten. Dazu kommen Sensoren und andere intelligente Technologien an Produktionsmaschinen, IP-Kameras sowie die Datenspeicherung in der Cloud, die zunehmend genutzt wird, um relevante Informationen für alle Beteiligten jederzeit und von überall verfügbar zu machen. Die schnelle Entwicklung der Technologien und die große Vielfalt an Geräten macht es für Unternehmen schwierig, die IT-Risiken aktuell im Blick zu behalten – und den notwendigen IT-Schutz flächendeckend umzusetzen.

Ein zusätzlicher Treiber dieser Entwicklung ist die Corona-Krise, die für viele Unternehmen verschiedene Formen von Ad-hoc-Digitalisierung notwendig gemacht hat.

Welche konkreten IT-Gefahren gibt es für Unternehmen?

Cybervorfälle sind erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit. Im Allianz Risk Barometer 2020 verdrängen IT-Gefahren das Risiko einer Betriebsunterbrechung auf den zweiten Platz.

Denn wenn Unternehmen ihre Maschinen mit Sensoren ausstatten, Social Media nutzen oder Daten in der Cloud speichern: Die Digitalisierung hat zur Folge, dass der Bedarf an IT-Sicherheit steigt.

Um gegen die Vielzahl an möglichen Angriffspunkten und Angriffsmethoden wie Malware oder DDoS-Attacken gewappnet zu sein, bedarf es des umfangreichen Know-Hows um geeignete Schutzmaßnahmen zur Erreichung eines hohen IT Security Levels zu integrieren.

 

LHIND – Beratung und Lösungen im Bereich IT Security

LHIND bietet modernste IT-Security-Dienstleistungen für alle Phasen eines ganzheitlichen Sicherheitskonzepts für Unternehmen. Dabei beraten wir immer fachgerecht und 100 Prozent unabhängig. Unsere Security-Spezialisten unterstützen Sie mit:

IT-Sicherheitskonzept: Die vier zentralen Bereiche

  • IT-Security & Privacy Management: Risikoorientierte Sicherheitsorganisation und -steuerung
  • IT-Security & Privacy by Design: Konzeption und Implementierung von technischen Sicherheitsmaßnahmen
  • IT-Security & Privacy Audits: Unabhängige Prüfung von Sicherheitsvorgaben und deren operative Umsetzung
  • Advanced Cyber Security: Offensive Sicherheit

Unsere Leistungen für die IT-Sicherheit Ihres Unternehmens

Unser Ziel ist es, das Bewusstsein für spezifische IT-Risiken in Ihrem Unternehmen zu steigern und Ihnen zu helfen, diese aktiv zu steuern. Mit unseren risikoorientierten, individuellen Sicherheitskonzepten bereiten wir Sie bestmöglich auf potenzielle Ernstfälle vor, bevor diese eintreten. Unsere operativen Sicherheitslösungen, die wir flächendeckend und in Übereinstimmung mit geltenden Richtlinien umsetzen, schaffen das technisch notwendige Fundament für einen wirtschaftlich angemessenen Schutz. Mit Notfallsimulationen und regelmäßigen Audits nehmen wir kontinuierlich den Zustand Ihrer IT-Sicherheit genau unter die Lupe. Mit unseren Penetrationstests simulieren wir echte Angriffe auf Ihre Systeme und stehen Ihnen auch bei einem realen Angriff mit Soforthilfe zur Seite.

IT Security & Privacy Management

Jede Maßnahme zur Steigerung der Informationssicherheit ist nur dann sinnvoll steuerbar, wenn sie in einem Management-System eingebettet ist. Aufgaben dieses Systems: den zielgerichteten Einsatz von verfügbaren Ressourcen überwachen, Schwachstellen identifizieren, Risiken bewerten und den Erfolg der etablierten Sicherheitsmaßnahmen transparent darstellen. Hierbei handelt sich weniger um technologische Fragestellungen, sondern vielmehr um organisatorische Maßnahmen, die von dem Eigentümer eines Geschäftsprozesses verantwortet werden sollten.

Die IT-Sicherheitsexpert:innen von LHIND beraten Sie bei der Organisation und Orchestration von Datenschutz- und Informationssicherheits-Management-Systemen. Wir bieten insbesondere Hilfestellung bei der Gestaltung, Umsetzung und Kontrolle von etablierten Standards und weiterer sicherheitsspezifischer Fachanforderungen auf prozessualer Ebene.

Kernservices im Bereich IT Security & Privacy Management

  • IT-Risk Management: IT-Risk Strategy Consulting, Umsetzung von IT-Risk Analysen inkl. des Maßnahmentrackings, Durchführung von Business Impact Analysen
  • ISMS Consulting: Security Quick Assessments, Implementierungen und Optimierungen von Informationssicherheitsmanagementsystemen (ISMS), Integration von Governance, Risk & Compliance (GRC) Lösungen, Durchführung von Reifegrad Assessments und Vorbereitung von Zertifizierungen, Übernahme der Rolle als externer Information Security Officer (ISO)
  • KRITIS Consulting: Umsetzung von GAP-FIT Analysen, sektorale Beratung zu spezifischen Branchenvorgaben
  • Spezielle Industriestandards: Umsetzungsberatung von branchenspezifischen Vorgaben, wie z. B. TISAX, PCI DSS, KAMaRISK, MaRISK VAIT, BAIT
  • Operative Prozessgestaltung: Implementierung und Verzahnung operativer Prozesse, wie z. B. Asset-, Vulnerability- und Patch Management
  • Notfall und Business Continuity Management:Erstellung von GAP-FIT Analysen bezogen auf Business Continuity Management (BCM) Standards, individuelle Prozessmodellierung, Entwicklung von Notfallhandbüchern, Umsetzung von Notfallübungen, Durchführung von Business Impact Analysen
  • Fachliche Trainings: Firmenschulungen, z. B. Grundlagen der Datenschutz-Grundverordnung (DSGVO) oder Security Champion ramp-up
  • Datenschutzberatung: Durchführung von Datenklassifizierungen, Datenschutzaudits, Erstellung von Datenschutzkonzepten, Implementierungen und Optimierungen von Datenschutzmanagementsystemen (DSMS), Übernahme der Rolle der externen bauftragten Person für Datenschutz

IT Security & Privacy by Design

Oft handeln Unternehmen erst, nachdem bereits Angriffe in die Systeme erfolgt und ggf. sensible Daten abhandengekommen sind. Präventive technische Schutzmaßnahmen können einen Angriff vereiteln oder so stark erschweren, dass dieser bemerkt wird, bevor ein Schaden entsteht.

Bei den Angriffen auf Unternehmen werden eine Bandbreite von Schwächen ausgenutzt. Diese Angriffsvektoren reichen von applikationsspezifischen Schwachstellen bis zur Ausnutzung ungeschützten Schlüsselmaterials.

Basierend auf den Rahmenbedingungen empfehlen wir Ihnen angemessene Lösungsmöglichkeiten insbesondere zu folgenden Teildisziplinen der IT-Sicherheit.

Kernservices im Bereich IT Security & Privacy by Design

  • Digital Trust: Aufbau und Optimierung von Public Key Infrastruktur (PKI) Lösungen, Entwicklung technischer Vertrauensstrukturen, Credential Management, Multi-factor Authentication
  • Digital Identity: Beratung zum Identity-, Access- und Privileged Access Management
  • Cloud Security: Cloud Security Strategy and Policy Management, Cloud Configuration Consulting (insbesondere für MS Azure und AWS), Beratung zum Cloud Security Monitoring
  • Security Monitoring: Umsetzung von Bedrohungsanalysen, Beratung zur Gestaltung von Security Monitoring Architekturen, Beratung sowie Aufbau und Optimierung von SIEM & SOAR Lösungen, Advanced Persistent Threat (APT) Consulting & Threat Intelligence
  • Web Security: Web Security Assessments, Beratung von Entwicklerteams, Aufbau von Build & Deployment Pipelines, Umsetzung von Single Sign On & Tracking Lösungen
  • Mobile Security: Mobile Device Management, Android Security, iOS Security
  • IoT Security: Operational Technology (OT) Security, Assessments für IoT-Komponenten, OT in Supply Chains
  • Operativer Datenschutz: Projektindividuelle Datenschutzberatung, Umsetzung der Differential Privacy-Methode zur Depersonalisierung von Massendaten
  • Technische Trainings: z. B. zu den Themen Clean Coding, Secure Coding oder OWASP Top 10

IT Security & Privacy Audits

Geltende Standards und Sicherheitsanforderungen ändern sich ebenso, wie die verwendete Hard- und Software. Wir helfen Ihnen, in Sachen IT Security auf dem neuesten Stand zu bleiben. Mit maßgeschneiderten Security Checks und IT-Architektur-Reviews zeigen wir Ihnen Aktualisierungsbedarf auf. Mit individuellen Privacy Audits unterstützen wir Sie bei den Themen Datenschutz und Compliance – so minimieren Sie das Risiko finanzieller Verluste durch Angriffe oder Sanktionen und stärken langfristig das Vertrauen in Ihr Unternehmen.

Kernservices im Bereich IT Security & Privacy Audits

Fachlich geprägte Audits

  • Informationssicherheitsmanagementsystem (ISMS) Audits inkl. Reifegradeinschätzung
  • GAP-FIT Analysen für KRITIS Anforderungen
  • IT Risk Assessments
  • Security und Privacy Impact Audits

Technisch geprägte Audits

  • Architektur und Code Reviews auf Webapplikationen und Clientanwendungen
  • Infrastruktur & Cloud Konfigurationsaudits (inkl. O365 und M365)
  • Architektur und Code Reviews auf mobile Apps
  • Architektur und Code Reviews für IoT-Lösungen

Advanced Cyber Security

Angriff ist die beste Verteidigung: Mit einem simulierten Cyberangriff identifizieren wir gezielt Schwachstellen in Ihrer IT. Sie gewinnen Einblick in kritische Komponenten und Toleranzbereiche und bekommen einen realistischen Eindruck von den potenziellen Schäden für Ihr Unternehmen. Das Ergebnis des Penetrationstests hilft uns, Ihre IT Security noch besser gegen verschiedene Angriffsformen zu schützen.

Kernservices im Bereich Advanced Cyber Security

Penetrationstests

  • Webapplication/Web Service/API Pentesting
  • Infrastruktur & Cloud Pentesting
  • Mobile Pentesting (iOS/Android)
  • RICH Internet Application/Fat Client Pentesting & Reverse Engineering
  • Embedded Device & IoT Pentesting

Red Teaming

  • Open Source Intelligence und Social Engineering
  • Physische Security Assessments
  • Multivariante Penetration der Zielobjekte
  • Beratung zur Resilienzverbesserung in Ihrer IT-Landschaft

Weitere relevante Bereiche von IT Security

IT-Analyst:innen schätzten die Anzahl vernetzter Geräte Ende 2017 auf 8,4 Milliarden – über 20 Milliarden sollen es bis 2020 werden. Durch die rasant wachsende Anzahl vernetzter Geräte wird die IT-Sicherheit zur Herausforderung: Viele IoT-Geräte haben herstellerseitige Sicherheitsmängel wie z. B. fehlende Updatefunktionen, Schwachstellen in Protokollen oder unsichere Datenspeicher. Diese wurden und werden häufig von Cyberkriminellen ausgenutzt. Aber auch das fehlende Sicherheitsbewusstsein der IoT-Anwender birgt Risiken – zum Beispiel durch das Verwenden schwacher Passwörter bei administrativen Zugriffen oder das Vernachlässigen von Sicherheitsupdates. Um IoT-Security im Unternehmen zu gewährleisten, müssen nicht nur Geräte und Software, sondern der gesamte digitale Prozess analysiert und mithilfe von Penetration Tests auf Schwachstellen geprüft werden.

Cloudservices zählen heute zum Standard für Unternehmen. Die Auslagerung der IT an einen Cloudanbieter ist komfortabel und kosteneffizient – allerdings werden damit auch Teile der IT-Sicherheit auf einen Dienstleister übertragen. Häufig sind Cloud-Anbieter nur für die physische Sicherheit des Rechenzentrums, die Sicherheit der Server, der Basisnetzwerkstrukturen sowie für bestimmte Basisanwendungen und Standardfunktionen verantwortlich. Darüber hinaus ist es in der Regel Sache der Cloud-Nutzer, die darin genutzten Technologien sicher zu betreiben, die Zugriffsrechte zu definieren und das Identitätsmanagement innerhalb des Unternehmens zu steuern. Auch gesetzliche Sicherheitsvorgaben spielen eine Rolle für die Cloud-Security. Zum Schutz vor Cyberangriffen, Datenverlust und Serverausfällen, aber auch um Haftungsklagen vorzubeugen, sollten die Aufgaben und Pflichten der Cloud-Security für Anbieter und Anwender jeweils vertraglich festgelegt werden.

Trotz der zunehmenden technologischen Komplexität ist das Sicherheitsniveau mobiler Technologien uneinheitlich und häufig nur schwer zu durchschauen. Auf der einen Seite vernachlässigen viele Entwickler das Schwachstellen- und Patch-Management, auf der anderen Seite gibt es in Unternehmen nach wie vor oftmals ein fehlendes Bewusstsein für die IT-Risiken von Apps und anderen Software-Produkten. Für die IT-Sicherheit ist es entscheidend, dass alle im Unternehmen eingesetzten mobilen Technologien regelmäßig auf potenzielle Schwachstellen hin kontrolliert und aktualisiert werden.

Bedrohungen für die IT-Sicherheit von Unternehmen entstehen durch (Auswahl)

Nahezu jede komplexe Software enthält gewisse Code-Fehler und Sicherheitslücken, die von Cyberkriminellen ausgenutzt werden können, etwa für Datendiebstahl oder zum Einschleusen von Bots und anderer Malware in das IT-System.

Schutzmaßnahmen: Ein effizientes Schwachstellen-, Patch- und Lifecycle-Management sowie eine transparente Informationspolitik vonseiten der Softwareanbieter können das Risiko von IT-Sicherheitslücken erheblich senken. Einkäufer und Systemverantwortliche sollten daher darauf achten, ausschließlich geprüfte und regelmäßig aktualisierte Software mit transparenten Sicherheitsstandards einzusetzen.

Ransomware-, DDoS- und APT-Angriffe sowie viele weitere Formen der Cyberkriminalität beruhen weitgehend auf dem Einsatz ausgeklügelter Malware. In den meisten Fällen gelangt die Schadsoftware als E-Mail-Anhang, über Downloads, Apps oder gefälschte Programm-Updates auf ein Gerät. Zwar verfügen diese meist über einen Virenschutz – aber aufgrund ihrer rasend schnellen Weiterentwicklung können Schadprogramme oft nicht voll umfänglich erkannt und abgewehrt werden.

Schutzmaßnahmen: Neben den „klassischen“ Lösungen wie Firewalls und Antivirenprogrammen muss ein IT-Sicherheitskonzept für Unternehmen daher auch eine regelmäßige Überprüfung der Hardware und Software beinhalten. Zudem sollte das Konzept die Software-Nutzer einbeziehen und sie in der sicheren, achtsamen IT-Nutzung schulen.

Ransomware ist eine Malware-Variante, die die Hardware blockiert oder Nutzerdaten verschlüsselt, sodass Geräte nicht mehr nutzbar sind. Erst nach Zahlung eines Lösegeldes wird das Gerät wieder freigegeben. Angriffe erfolgen flächendeckend, wie zum Beispiel beim Schadprogramm WannaCry, aber auch gezielt gegen ein Unternehmen oder eine Organisation.

Schutzmaßnahmen: Reduzieren lässt sich das Risiko einer Attacke zum Beispiel durch eine strategische Netzwerksegmentierung im Unternehmen und durch ein systematisches Patch-Management, um Schwachstellen im System frühzeitig zu eliminieren. Ein simulierter Cyberangriff kann helfen, Risiken realistisch abzubilden und entsprechende Maßnahmen zu ergreifen.

Von rund 600 befragten IT-Experten berichtet knapp ein Drittel (31 %) von mindestens einem Angriff durch Ransomware in 2017. Das geforderte Lösegeld zahlen nur die wenigsten Unternehmen (3 %) – der Großteil versucht die Attacke mit AV-Software oder durch das Zurückspielen von Backups abzuwehren.

Quelle: www.eco.de/wp-content/blogs.dir/eco_report_it-sicherheit-2017.pdf

DDoS-Angriffe (Distributed Denial of Service) verursachen eine mutwillige Überlastung des Servers, um die IT-Strukturen eines Unternehmens teilweise oder vollständig lahmzulegen. In der Regel erfolgen solche Angriffe über Botnetze, die in kürzester Zeit selbständig eine große Anzahl an Geräten mit der Schadsoftware infizieren. DDoS-Angriffe werden häufig mit einer Lösegeldforderung verbunden.

Schutzmaßnahmen: Da Botnetze auf Malware basieren, greifen hier die klassischen Schutzmaßnahmen wie eine systematische Schwachstellenanalyse, regelmäßige Software-Updates, eine strategisch aufgebaute Netzwerksegmentierung sowie ein gesteigertes Bewusstsein für IT-Sicherheitsrisiken bei den Mitarbeitern. Darüber hinaus sollten Unternehmen über spezielle DDoS-Prevention-Lösungen nachdenken, die den zur Überlastung führenden Traffic in kürzester Zeit umleiten.

APT-Angriffe (Advanced Persistent Threats) sind eine breit angelegte Methode zur Datenbeschaffung. Klassischerweise werden APTs von Nachrichtendiensten eingesetzt, allerdings mehren sich Hinweise, dass die Methode mittlerweile zur Wirtschaftsspionage eingesetzt wird. APTs gelangen häufig über Software-Updates in ein System.

Schutzmaßnahmen: Der grundlegende Schutz durch Firewall und Virenschutzprogramme bleibt unverzichtbar. Darüber hinaus sollten Hardware und Software im Netzwerk segmentiert und durch Zugriffsrechte gesichert werden. Anwenderschulungen, regelmäßige Audits zur Schwachstellenerkennung und eine effektive Notfall-Strategie runden das Sicherheitskonzept ab.

Erfahren Sie mehr zu den Themen, die Ihre Branche bewegen

Sie möchten mehr über die relevanten IT-Themen erfahren? Wir informieren Sie aktuell und branchenspezifisch zu Kernthemen wie Big Data , Industrie 4.0 , Collaboration Platforms und anderen. Auf Wunsch beraten wir Sie gern persönlich – sprechen Sie uns jederzeit an.

captcha