IT-Security

IT-Security

Zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sind insbesondere folgende Aspekte zu beachten:

  • Authentifizierung und Zugriffskontrolle.
  • Verschlüsselung.
  • Firewalls und IDS/IPS.
  • Sicherheitsrichtlinien und Schulungen.
  • Patching und regelmäßige Aktualisierungen.
  • Notfallwiederherstellung und Business Continuity Planning.
  • Physische Sicherheit.

Wir unterstützen Sie bei der Konzeption passender Sicherheitsmaßnahmen sowie bei der Auswahl und Integration der besten Lösung.

Post Quantum Kryptographie (PQC)

Klassische kryptographische Algorithmen könnten unsicher werden, wenn Quantencomputer verfügbar sind. Um vorbereitet zu sein, wurden Post-Quantum-Algorithmen entwickelt und vom NIST standardisiert.

Bedrohungsmodell: Harvest & Decrypt Angriff

Der Angriff besteht aus zwei Phasen:

  • Phase 1: Sammeln großer Mengen verschlüsselter Daten, die für einen langfristigen Angriff relevant sind.
  • Phase 2: Entschlüsselung der gesammelten Daten, sobald die Technologie, also die Entwicklung von Quantencomputern in großem Maßstab, weit genug fortgeschritten ist.

Aktuell empfohlene Maßnahmen:

  • Crypto Agility: Vorbereitung auf den flexiblen Austausch von Krypto-Verfahren, einschließlich PQC.
  • Crypto Inventory: Inventarisierung und Priorisierung von Anwendungsfällen hinsichtlich Schutzbedarf, verwendeter Verschlüsselungsverfahren und Netzwerkumgebung.

Wir analysieren Bedarf und Geschäftsanforderungen und koordinieren Workshops mit Entscheidungsträgern. Mit agilen Methoden und Tools wie Jira und Confluence dokumentieren wir Ergebnisse, um Unternehmen optimal auf PQC vorzubereiten.

Ausgewählte Projekte aus dem IT-Security-Bereich

 Aufbau und ISO-Zertifizierung eines Secure E-Mail Systems

E-Mails sind per se nicht für eine vertrauliche Kommunikation ausgelegt. Eine Sicherstellung der Identität aller Kommunikationspartner und eine echte Ende-zu-Ende Verschlüsselung ohne Zugriff des Plattformbetreibers sind notwendig.

Durchgeführte Schritte:

  1. Analyse der IT-Security-Policies und Erstellung von Projektdokumentationen (ISMS, Handlungsanweisungen, Schulungsunterlagen).
  2. Durchführung von Awareness-Schulungen und Prüfung der Sicherheitsvorgaben.
  3. Analyse der Anforderungen für ISO-27001-Zertifizierung nach BSI-Grundschutz.
  4. Identifikation und Behebung von Lücken.
  5. Erstellung fehlender Sicherheitskonzepte.
  6. Modellierung des Informationsverbunds.
  7. Beantwortung des Self-Assessments und Koordination von Interviews.
  8. Begleitung offizieller Audits als Sicherheitsarchitekt.


Eine ISO-Zertifizierung als „geprüfte Sicherheit“ bietet neben der ganzheitlichen Betrachtung aller Sicherheitsaspekte auch Marketing- und Wettbewerbsvorteile.

 Auswahl eines geeigneten Anbieters für ein Secrets Management System

Zahlreiche Benutzerkennungen (Datenbank-Passwörter, SSH-Schlüssel, Zertifikate, etc.) werden selbst für Produktionsumgebungen (On-Premise oder in der Cloud) hardcoded in Quellcode, Konfigurationsdateien und Dokumentationssystemen gespeichert. Diese sind für alle Nutzer des internen Netzwerks zugänglich, sofern sie Zugriff auf Quellcode-Repositories oder die Cloud-Infrastruktur besitzen. Dies stellt ein erhebliches Sicherheitsrisiko dar, das durch ein zentrales Secrets Management System reduziert werden soll.

Unser Beitrag:

  • Begleitung und Auswertung eines RfP zur Produkt-Auswahl.
  • Konzeption und Durchführung eines PoC.
  • Prüfung auf Umsetzung der Sicherheitsvorgaben.
  • Unterstützung des Kunden bei der Produktauswahl.
  • Erstellung von Projektdokumentationen, z.B.
    • Architekturdesign
    • Business Case
    • Vendor Risk Management Prozessdokumentation

Ein ganzheitliches Secrets Management System reduziert sowohl Risiken für das Unternehmen als auch Aufwände auf Entwicklerseite.

 Exception Management für Data Loss Prevention

Data Loss Prevention (DLP) verhindert Datenverlust durch unerlaubte Kopien oder unbeabsichtigtes Weiterleiten von E-Mails. Mitarbeiter können Ausnahmen (Exceptions) mit betriebswirtschaftlicher Begründung beantragen, um ihre Arbeit nicht zu beeinträchtigen.

Unser Beitrag:

  • Erfassung und Kategorisierung aller DLP-Exceptions.
  • Analyse und Entfernung irrelevanter Exceptions in Abstimmung mit dem Kunden.
  • Dokumentation erlaubter Ausnahmen in Zusammenarbeit mit Geschäftsbereichen und divisional CISOs.
  • Erlaubnis zum Kopieren wichtiger Daten auf USB-Sticks bei fehlenden Alternativen.
  • Erweiterung von Positivlisten für Web-Uploads bei regulatorischen Anforderungen.

Die Data Loss Prevention im Unternehmen wurde gestärkt ohne kritische Ausfälle für das Unternehmen zu riskieren.

„Das Ganze ist mehr als die Summe seiner Teile.”

Aristoteles

Weitere Dienstleistungen im Bereich IT-Security

 HSM Administration

Wir konfigurieren und administrieren Hardware Security Modules (HSM) für PKI Infrastrukturen, wenn Sie ihr Schlüsselmanagement on-prem behalten wollen.

  • Konfiguration und Administration von Netzwerk-HSMs inklusive Rollenkonzept.
  • Erstellung von HSM-geschütztem Key Material für PKI-Infrastrukturen.
  • Anbindung von PKI-Software an HSMs.
  • Erfahrung mit sowohl nCipher als auch SafeNet Luna (Thales) HSMs.

 Crypto Consulting

Als Sicherheitsarchitekten unterstützen wir Softwareteams bei der Integration von IT-Security während des gesamten Entwicklungsprozesses – vom Design bis zum Go-Live.

  • Analyse komplexer IT-Architekturen und Evaluation aus der Perspektive eines Sicherheitsarchitekten.
  • Unterstützung und Beratung für Entwicklerteams bei Fragen zu Application Security.
  • Expertise im Bereich der angewandten Kryptographie: TLS, Schlüssel- und Zertifikatsmanagement, Authentifizierung, Identitäts- und Zugangsmanagement.
  • Konkrete Tipps: Erstellung von Blaupausen und bewährten Vorgehensweisen als Referenz für Entwicklerteams.
  • Unterstützung bei der Auswahl von Vendorprodukten: Evaluation von Softwareprodukten auf Architekturebene im Bereich angewandter Kryptographie.