CONSULTING
“Wissen ist legal.
Anwendung von Wissen verantwortet.”
Manu Carus
Oft bedarf es nur einer kleinen Lücke in Anwendungen, Netzwerken oder organisatorischen Abläufen, und die Daten, das Wissen oder die Verfügbarkeit der Leistungen Ihres Unternehmens sind in Gefahr.
Ich arbeite in einem Netzwerk von Spezialisten. Nicht jeder kann alles wissen. Aber man muss wissen, auf wen man sich verlassen kann.
Wir unterstützen Sie mit technisch qualifizierten Lösungskonzepten, Analysen, Tests und Gutachten dabei, Ihre Infrastruktur rund herum abzusichern.
Unsere besondere Expertise gilt den folgenden Bereichen:
Information Security Management
Komplexe Veränderungen erfordern ein Security-Programm mit gestaltender Planung, übergreifender Leitung und stringentem Controlling.
Als CISO Consultant unterstütze ich Sie gerne bei dem Setup und der Abwicklung Ihrer Security-Programme gemäß ISO 27001, 27002, 27005, PCI/DSS und IT-Sicherheitsgesetz:
-
Zutritts-, Zugangs- und Zugriffskontrollen
-
Sichere Software-Entwicklung
-
Business Continuity Planning und Disaster Recovery Planning
-
Kryptographie
-
Information Security Governance und Risk Management
-
Rechtliche und regulatorische Vorschriften, Compliance
-
Betriebliche Sicherheit
-
Security Architekturen und Design
-
Netzwerk-Sicherheit
Besondere Expertise darf ich mit dem Management folgender Security Programme vorweisen:
-
Richtlinien in der Informationssicherheit
-
Vulnerability Assessments
-
Patch Management
-
Systemhärtung
-
Datenklassifizierung
-
IPS, SIEM, Netzwerk Seggregierung
-
Anti Malware
-
Applikationssicherheit
-
Sicherer Software-Entwicklungs-Lebenszyklus
-
Zugriffskontrollen
-
Privileged Account Management (PAM)
-
Kerberos und Federated Identity Management (FIM)
-
Security Awareness
-
Threat Hunting
-
Training und Live Hacking
Sicherheitsanalysen
Im Rahmen eines Security Audits analysiere ich Ihre Software, Hardware, Netzwerk-Infrastruktur und IT-Prozesse, mit dem Ziel, Schwachstellen, Angriffsflächen und Bedrohungspotentiale zu identifizieren... bevor anderen dies gelingt!
Meine Software-Audits betrachten neben automatisierten und manuellen Source Code Reviews auch:
-
Anfälligkeiten gegen Exploit-Techniken
-
Compiler- und Linker-Optionen
-
Laufzeitumgebungen und Laufzeitschutz
-
Build- und Versioning-Prozesse
-
Software-Architektur
-
Datenkategorien
-
Schnittstellen und Protokolle
-
Kryptographische Algorithmen
Bei der Betrachtung der Hardware fokussiere ich mich besonders auf:
-
Vulnerability Assessments
-
System Hardening
-
Secure Configuration
-
Patch Management
Hat ein Angreifer erst einen Fuß in der Tür, wird er versuchen, Rechte zu eskalieren, sich lateral im Netzwerk zu bewegen und tiefer in das Netzwerk einzudringen.
Bei der Auditierung Ihrer Netzwerk-Struktur (Penetration Testing) überprüfen wir Netzwerkdienste auf Herz und Nieren und Übergangspunkte auf sichere Konfiguration.
Ihr Einverständnis vorausgesetzt, setze ich bei Bedarf auch invasive Techniken ein, um zu überprüfen, wie tief ein Angreifer in Ihr Netzwerk pivotieren kann:
-
Exploiting
-
Cracking
-
Man-in-the-Middle-Attacks
-
Reverse Engineering
-
Fuzzing
Meine Audits schließen mit einem ausführlichen Bericht, Empfehlungen für die Mitigation der identifizierten Risiken, sowie der Erstellung eines Maßnahmenplans ab.
Gerne erarbeite ich im Anschluss eine Lösungskonzeption für eine sichere Architektur von Software, Hardware, Netzwerk und IT-Prozessen.
Sicherheitsarchitekturen
Mein Anliegen ist es, konstruktive Lösungen zur Absicherung Ihrer IT anzubieten. Passgenau. Up-to-date. Und mit größtmöglicher Transparenz für Ihre Anwender und für Sie als Betreiber.
Ich erarbeite eine Sicherheitsarchitektur für Software, Hardware, Netzwerk und IT-Prozesse, zugeschnitten auf die individuelle IT-Umgebung Ihres Unternehmens und auf die dort eingesetzten Technologien und Besonderheiten.
Besonderes Augenmerk lege ich auf die Aspekte:
-
Vertraulichkeit, Integrität, Verfügbarkeit, Nicht-Abstreitbarkeit, Authentizität
-
Idenfizierung, Authentifizierung, Autorisierung, Nachweisbarkeit
-
Single-Sign-On und Mehr-Faktor-Authentisierung
-
Firewalls und Netzseggregation
-
Serverhärtung
-
Schnittstellen zu internen und externen Partnersystemen
-
Code Signing und Anti-Hijacking
-
Log Monitoring und SIEM
-
Threat Intelligence und Threat Hunting
Datenschutz-Gutachten
Gerne lasse ich Ihre IT-Systeme von einem zertifizierten Datenschutzberater begutachten, mit besonderem Augenmerk auf Daten, Anwendungen, Prozesse und Organisation.
Vollständigkeit:
-
Systembeschreibung
-
Berechtigungskonzept
-
Datenschutzinformation
-
Statement of Compliance
-
Maßnahmenplan
-
System- und Projektkategorisierung
-
Weiterführende technische Dokumente
-
Gutachten für Barrierefreiheit und Software-Ergonomie
Richtigkeit:
-
Konsistenz zwischen Dokumentation und den realen Gegebenheiten
-
Vulnerability Assessment
-
Compliance
-
Live-Session
-
Verwendung von Wirkdaten auf Nicht-Wirkumgebungen