Informationssicherheit

Unter Informationssicherheit versteht man den Schutz der Daten und Informationen im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit. Eine wichtige Komponente ist hierbei die IT-Sicherheit oder auch IT-Security - der Schutz von IT-Systemen vor Schäden und Bedrohungen. Dies kann sich von der einzelnen Datei über Computer, Netzwerke, Cloud-Dienste bis hin zu ganzen Rechenzentren erstrecken.

Da die meisten Systeme heute mit dem Internet verbunden sind, sind IT-Sicherheit und Cyber-Sicherheit untrennbar miteinander verbunden.

Sie umfassen alle organisatorischen und technischen Maßnahmen, um Informationen und IT-Systeme vor Bedrohungen zu schützen. Ein Fokus liegt dabei unter anderem auf Cyber-Angriffen. Eine Maßnahme ist zum Beispiel das Schwachstellenmanagement.

Ein Informationssicherheits-Management-System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit zu gewährleisten, zu überprüfen und stetig zu verbessern. Ziel ist ein stabiler und sicherer Schutz der Informationen und des IT-Betriebs.

Die IT ist heutzutage zentraler Bestandteil jedes Unternehmens. Ohne sie funktioniert fast nichts mehr. Kommt es zu Problemen in der IT, kann dies großen wirtschaftlichen Schaden anrichten und zu Reputationsverlust führen. Daher ist es dringend notwendig die IT-Systeme des Unternehmens abzusichern, denn nur so kann man sich vor Cyber-Angriffen schützen.

Hopp + Flaig unterstützt Sie gerne bei der Einführung und Weiterentwicklung von Informationssicherheits-Management-Systemen in ihrem Unternehmen.

ISO 27001 Beratung

Die ISO/IEC 27001 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen“ ist ein international anerkannter Standard zum Aufbau eines Managementsystems für Informationssicherheit (Information Security Management System = ISMS). Sie hilft durch einen systematischen Ansatz die Sicherheit von Informationen/Daten und allen damit verbundenen technischen Einrichtungen zu gewährleisten. Die in der Norm enthaltenen Anforderungen sind für alle Organisationen unabhängig ihrer Branche, ihrer Größe, der verkauften Produkte oder der angebotenen Dienstleistungen anwendbar.

Ein Schwerpunkt liegt auf Prozessen in unterschiedlichen Bereichen wie Geschäftsführung, HR, Facility Management, IT oder Dienstleistermanagement, welche strukturiert ein hohes Maß an Informationssicherheit gewährleisten sollen. Dies wird unterstützt durch konkrete Regeln im Umgang mit Daten und Informationen und für den Einsatz von Software- und Cloudlösungen.

Kern eines Managementsystems für Informationssicherheit ist eine Bewertung der Risiken für Informationen/Daten und der IT-Technik:

Auf dieser Basis werden Vorgaben, Regeln und Abläufe festgelegt und eingeführt, um die relevanten Risiken zu minimieren. Durch eine kontinuierliche Überprüfung der Leistungsfähigkeit und Ergebnisse des Umgesetzten werden Fehlentwicklungen und Verbesserungspotenziale zeitnah erkannt. Hieraus werden dann notwendige Änderungen am bestehenden System abgeleitet, umgesetzt und deren Wirksamkeit geprüft.

Anzahl Zertifizierungen

Deutschland 

Europa 

Weltweit 

Anzahl Zertifizierungen

0
0
0

ISO 27017 Beratung

Die ISO/IEC 27017 „Informationstechnik – Sicherheitsverfahren – Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002 für Cloud Dienste“ ist ein international anerkannter Standard, der speziell für die Sicherheit von Cloud-Diensten entwickelt wurde. Er legt basierend auf der ISO 27001 und ISO 27002 Cloud-spezifische Maßnahmen fest und bietet somit einen Rahmen für das Sicherheitsmanagement von Informationen, die in der Cloud gespeichert, verarbeitet oder übertragen werden. Dieser Standard ist für alle Unternehmen und Organisationen relevant, die Cloud-Services anbieten, unabhängig von ihrer Größe, Branche oder den spezifischen Dienstleistungen, die sie bereitstellen. Er bietet aber auch eine Basis für Unternehmen und Organisationen, die intensiv Cloud-Dienste nutzen.

Ein zentraler Aspekt der ISO 27017 Beratung liegt auf der Anpassung und Erweiterung bestehender oder im Aufbau befindlicher Informationssicherheitsmanagementsysteme (ISMS) um Cloud-spezifische Sicherheitsmaßnahmen. Dies beinhaltet unter anderem Richtlinien für die Auswahl und den Einsatz von Cloud-Diensten, den Umgang mit Cloud-Daten und die Sicherstellung der Datenintegrität und -vertraulichkeit in der Cloud. Besondere Aufmerksamkeit gilt dabei den Aspekten des geteilten Verantwortungsmodells in der Cloud, bei dem sowohl Anbieter als auch Nutzer bestimmte Sicherheitsaufgaben übernehmen.

Die Beratung umfasst folgende Schritte zur Implementierung und Verbesserung der Cloud-Sicherheit:

Unsere Beratungsdienstleistungen unterstützen Sie dabei, die Sicherheit Ihrer Cloud-Dienste systematisch zu verbessern, Compliance-Anforderungen zu erfüllen und das Vertrauen Ihrer Kunden und Geschäftspartner in Ihre Cloud-basierten Lösungen zu stärken.

ISO 27018 Beratung

Die ISO/IEC 27018 „Informationstechnik – Sicherheitsverfahren – Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung“ ist ein international anerkannter Standard, der sich speziell auf den Datenschutz in Cloud-Umgebungen konzentriert. Dieser Standard ergänzt die ISO/IEC 27001 und ist besonders relevant für Unternehmen und Organisationen, die Cloud-Dienste anbieten oder intensiv nutzen und dabei personenbezogene Daten verarbeiten.

ISO 27018 zielt darauf ab, das Vertrauen in Cloud-Dienste zu stärken, indem es einen Rahmen für den Schutz personenbezogener Daten bietet. Es setzt klare Richtlinien und Praktiken für Cloud-Service-Anbieter fest, um sicherzustellen, dass sie personenbezogene Daten verantwortungsvoll und in Übereinstimmung mit Datenschutzgesetzen verarbeiten. Diese Norm ist für alle Unternehmen und Organisationen anwendbar, unabhängig von ihrer Branche, Größe, den verkauften Produkten oder angebotenen Dienstleistungen, solange sie Cloud-Dienste anbieten oder nutzen.
Ein wesentlicher Aspekt von ISO 27018 ist die Fokussierung auf verschiedene Bereiche wie die Handhabung von Kundendaten, das Management von Datenzugriffen, die Sicherheit von Datenübertragungen und die Transparenz von Datenverarbeitungsprozessen.

Im Kern des Standards steht die Bewertung von Risiken in Bezug auf personenbezogene Daten:

Auf dieser Basis werden Datenschutzrichtlinien, Verfahren und Kontrollmechanismen festgelegt und implementiert, um die relevanten Risiken zu minimieren. Eine kontinuierliche Überprüfung und Bewertung der Effektivität dieser Maßnahmen sorgt für die frühzeitige Erkennung von Fehlentwicklungen und Verbesserungspotenzialen. Notwendige Anpassungen am bestehenden System werden daraufhin vorgenommen, umgesetzt und deren Wirksamkeit überprüft, um die Sicherheit und Vertraulichkeit personenbezogener Daten kontinuierlich zu gewährleisten.

ISO 27701 Beratung

Die ISO/IEC 27701 „Sicherheitstechniken – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Management von Informationen zum Datenschutz – Anforderungen und Leitlinien“ stellt eine Erweiterung der ISO/IEC 27001 dar und fokussiert sich auf den Datenschutz und das Management von personenbezogenen Daten. Diese Norm bietet einen Rahmen für die Implementierung, das Management und die kontinuierliche Verbesserung von Datenschutzmaßnahmen innerhalb eines Unternehmens. Sie ist essentiell für Organisationen, die personenbezogene Daten verarbeiten und damit verbundene Datenschutzanforderungen einhalten müssen, unabhängig von ihrer Branche, Größe oder den angebotenen Dienstleistungen.

ISO 27701 betont die Bedeutung von Prozessen und Systemen, die sicherstellen, dass personenbezogene Daten geschützt und gemäß den geltenden Datenschutzgesetzen und -richtlinien behandelt werden. Diese Norm ergänzt die ISO 27001 um spezifische Anforderungen und Leitlinien für Datenschutz und bietet einen systematischen Ansatz zur Einhaltung von Datenschutzbestimmungen wie der EU-Datenschutz-Grundverordnung (DSGVO).

Die wesentlichen Aspekte der ISO 27701 umfassen:

Die Implementierung von ISO 27701 erfordert eine genaue Betrachtung folgender Fragen:

Basierend auf dieser Analyse werden Datenschutzrichtlinien, -verfahren und -kontrollen entwickelt und eingeführt, um die identifizierten Risiken zu minimieren. Durch eine kontinuierliche Überprüfung und Bewertung der Leistungsfähigkeit dieser Maßnahmen werden Verbesserungsmöglichkeiten zeitnah erkannt. Erforderliche Anpassungen am Datenschutz-Managementsystem werden daraufhin vorgenommen, umgesetzt und in ihrer Effektivität geprüft, um ein hohes Maß an Datenschutz und Compliance kontinuierlich zu gewährleisten.

NIS 2.0 Beratung

Die NIS 2.0-Richtlinie („Network and Information Systems“) repräsentiert die neueste Entwicklung in der europäischen Gesetzgebung zur Sicherheit von Netzwerk- und Informationssystemen. Als Weiterentwicklung der ursprünglichen NIS-Richtlinie zielt NIS 2.0 darauf ab, ein höheres Sicherheitsniveau für kritische Infrastrukturen und wesentliche Dienste in der gesamten EU zu gewährleisten. Die Richtlinie ist für Unternehmen mit 50 Mitarbeitern und mehr als 10 Mio. Euro Umsatz relevant, die in wichtigen Wirtschaftssektoren arbeiten.

NIS 2.0 erweitert den Anwendungsbereich der ursprünglichen Richtlinie und führt strengere Sicherheitsanforderungen und Meldepflichten ein. Sie adressiert moderne Bedrohungen und Herausforderungen in der Cybersicherheit und legt besonderen Wert auf die Resilienz gegenüber Cyberangriffen und anderen Sicherheitsrisiken.

Dies umfasst die Entwicklung und Implementierung von effektiven Sicherheitsrichtlinien, Risikomanagementprozessen und Incident-Response-Strategien.

Die Kernpunkte der NIS 2.0-Richtlinie umfassen unter anderem:

Die Umsetzung der NIS 2.0-Anforderungen beinhaltet eine gründliche Analyse der folgenden Aspekte:

Auf dieser Grundlage werden angemessene Sicherheitsmaßnahmen und Verfahren entwickelt und eingeführt, um die identifizierten Risiken zu minimieren. Eine kontinuierliche Überprüfung der Effektivität dieser Maßnahmen ermöglicht die frühzeitige Erkennung von Schwachstellen und die laufende Verbesserung der Sicherheitsstrategien. Notwendige Anpassungen werden entsprechend vorgenommen und auf ihre Wirksamkeit hin überprüft, um ein robustes Sicherheitsniveau gemäß den NIS 2.0-Anforderungen dauerhaft zu gewährleisten.

Beratung IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG

Der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) gemäß § 11 Abs. 1a EnWG (Energiewirtschaftsgesetz) stellt einen wesentlichen Bestandteil der nationalen Strategie zur Gewährleistung der IT-Sicherheit in kritischen Infrastrukturen dar, insbesondere im Energiesektor. Dieser Katalog definiert spezifische Sicherheitsanforderungen und Maßnahmen, die von Energieversorgungsunternehmen umgesetzt werden müssen, um die Zuverlässigkeit, Verfügbarkeit und Integrität ihrer IT-Systeme und Daten zu sichern.

Die Anforderungen des IT-Sicherheitskatalogs sind darauf ausgerichtet, ein hohes Maß an Sicherheit in allen Bereichen der Energieversorgung zu gewährleisten. Dies umfasst sowohl die physische Sicherheit der Einrichtungen als auch die Cybersicherheit der IT-Systeme. Die Anforderungen sind für alle Unternehmen des Energiesektors anwendbar, unabhängig von ihrer Größe oder dem Umfang ihrer Dienstleistungen.

Ein zentraler Aspekt des IT-Sicherheitskatalogs ist die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der weltweit gültigen Informationssicherheitsnormen ISO/IEC 27001 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen“ und ISO/IEC 27019 „Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmaßnahmen für die Energieversorgung“. Dies stellt sicher, dass das Informationssicherheitsmanagement auf die spezifischen Anforderungen und Risiken im Energiesektor zugeschnitten ist. Zu den Schlüsselbereichen gehören Risikomanagement, Incident Response, Zugangskontrollen, Netzwerk- und Systemsicherheit sowie die fortlaufende Überwachung und Verbesserung der Sicherheitsmaßnahmen.

Die Risikobewertung und das Management gemäß IT-Sicherheitskatalog umfassen folgende Kernfragen:

Auf der Grundlage dieser Bewertung werden spezifische Sicherheitsrichtlinien und Verfahren entwickelt und implementiert, um die identifizierten Risiken zu minimieren. Eine regelmäßige Überprüfung der Wirksamkeit dieser Maßnahmen ermöglicht es, Schwachstellen schnell zu identifizieren und kontinuierlich Verbesserungen vorzunehmen. Notwendige Anpassungen am ISMS werden daraufhin implementiert und deren Effektivität überprüft, um die Zuverlässigkeit und Sicherheit der kritischen Infrastrukturen im Energiesektor dauerhaft zu gewährleisten.

BSI Grundschutz Beratung

Der BSI-Grundschutz, entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), stellt eine umfassende Methodik zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) dar. Er bietet einen systematischen und praxisorientierten Ansatz für die Sicherheit von Informationen und IT-Systemen in Unternehmen und Behörden. Der BSI-Grundschutz ist für Organisationen jeder Größe und Branche geeignet und hilft dabei, ein angemessenes und effektives Sicherheitsniveau zu erreichen und aufrechtzuerhalten.

Der BSI-Grundschutz legt einen Fokus auf die Standardisierung von Sicherheitsmaßnahmen und bietet eine Sammlung von Empfehlungen, die als Leitfaden für die Implementierung von Sicherheitsprozessen dienen. Er deckt verschiedene Bereiche ab, darunter Risikomanagement, Sicherheitsrichtlinien, Betriebssicherheit, Notfallmanagement, Datenschutz sowie die Sicherheit in IT und Netzwerken.

Die zentralen Elemente des BSI-Grundschutzes umfassen:

Die Umsetzung des BSI-Grundschutzes beinhaltet die gründliche Bewertung der folgenden Aspekte:

Basierend auf dieser Risikobewertung werden angepasste Sicherheitsrichtlinien und Verfahren entwickelt, um die identifizierten Risiken zu minimieren. Regelmäßige Überprüfungen der Sicherheitsmaßnahmen ermöglichen die frühzeitige Erkennung von Schwachstellen und die kontinuierliche Verbesserung des Sicherheitsniveaus. Notwendige Anpassungen am ISMS werden implementiert, umgesetzt und hinsichtlich ihrer Wirksamkeit geprüft, um eine hohe Informationssicherheit nach dem BSI-Grundschutz dauerhaft zu gewährleisten.

TISAX®: Informationssicherheit in der Automobilindustrie

TISAX® steht für Trusted Information Security Assessment Exchange und beschreibt auf Grundlage des VDA Information Security Self Assessment Anforderungen an ein Information Security Management System (ISMS).

Ein Schwerpunkt liegt auf Prozessen in unterschiedlichen Bereichen wie Geschäftsführung, HR, Facility Management, IT oder Dienstleistermanagement, welche strukturiert ein hohes Maß an Informationssicherheit gewährleisten sollen. Dies wird unterstützt durch konkrete Regeln im Umgang mit Daten und Informationen und für den Einsatz von Software- und Cloudlösungen.

TISAX® basiert auf dem Standard ISO/IEC 27001. Die Norm 27001 ist branchenunspezifisch, während TISAX® speziell für die Automobil- und Zulieferindustrie entwickelt wurde. Zudem sind Die Anforderungen bei TISAX® konkreter und teilweise auch strenger gefasst. Die ISO/IEC 27001 ist international und über alle Branchen anerkannt. TISAX® dagegen ist vor allem auf Deutschland und die Automobil-/Zulieferindustrie beschränkt. Für Zulieferer der deutschen Automobilindustrie ist in der Regel eine, über einen externe Prüfdienstleister bestätigte Umsetzung, der TISAX-Anforderung die Voraussetzung für eine weitere Beauftragung.

Beratung für Industrie und Dienstleistung

Die VdS 10000 ist eine Richtlinie, die einen speziell auf kleine und mittlere Unternehmen angepassten Maßnahmenkatalog für die Informationssicherheit dieser Unternehmen bietet. Das Ziel der Richtlinie ist es, den KMUs ohne organisatorische oder finanzielle Überforderung ein angemessenes Schutzniveau zu gewährleisten und Risikofaktoren aufzudecken und zu minimieren.

Um sicherzugehen, dass das Informationsmanagementsystem die zentralen Punkte erfasst, unterscheidet die Richtlinie lediglich in „kritische“ und „nicht kritische“ IT-Ressourcen, wobei die Kriterien zur Einstufung als „kritisch“ sehr hoch definiert sind. Für „nicht kritische“ Ressourcen wird ein Basisschutz definiert. „Kritische“ Ressourcen erfordern weitere Sicherheitsmaßnahmen und eine individuelle Risikoanalyse inklusive Risikobehandlung.

Mit einem geringeren Aufwand im Vergleich zur ISO 27001 können KMUs aus dieser Richtlinie Maßnahmen und Prozesse ableiten, die ihnen im IT-Bereich ein angemessenes Schutzniveau liefern. Die Unternehmen sollten jedoch vor Einführung die Akzeptanz der Zertifizierung bei ihren Kunden und Partnern prüfen. Eine spätere ISO 27001-Zertifizierung schließt sich natürlich dennoch nicht aus.

Schwachstellenanalyse / Sicherheitsscan Informationssicherheit

Durch einen nicht-invasiven Scan sind wir imstande uns zügig und preiswert einen Überblick über den Zustand der IT-Sicherheit Ihres Unternehmens zu verschaffen. Dabei gehen wir ähnlich wie ein (potenzieller) Angreifer vor und analysieren ihr IT-System in einem ersten Schritt auf Schwachstellen, die von „außen“ ausgenutzt werden könnten.

Die Ergebnisse erhalten Sie sowohl in einem verständlich aufbereitetem Managementreport als auch in einer detaillierten Analyse der gefundenen Schwachstellen samt konkreten Handlungsempfehlungen und der gegebenenfalls erforderlichen Sofortmaßnahmen.

Durch kontinuierliches Monitoring sind wir in der Lage schnell auf neue Schwachstellen zu reagieren und die Entwicklung der Informationssicherheit abzubilden.

Aus dem Ergebnis der Prüfung wird ein Score-Wert auf einer Skala von 0-100 errechnet und als Sigel zur Nutzung für Sie zur Verfügung gestellt – Informationssicherheit wird dadurch zum Wettbewerbsvorteil.

Schwachstellenanalyse

Ihr Nutzen in der Zusammenarbeit mit Hopp+Flaig

Motivation unserer Kunden

Ihr Ansprechpartner

Martin Flaig

Kontakt

Managementsysteme, Zulassungen, Datenschutz, Arbeitsschutz, Brandschutz
Dipl.-Ing.(FH) Martin Flaig
0711 / 320657-20
flaig@hopp-flaig.de
Informationssicherheit
Dipl.-Ing. Jürgen Hornberger
0711 / 320657-80
hornberger@hopp-flaig.de