Cybinar Sicher mit System

Sicher mit System: Brauche ich ein Management fĂŒr Informationssicherheit?

Viele Firmen, insbesondere kleine und mittelstĂ€ndische Unternehmen (KMU), stellen sich in Zeiten zunehmender IT-Angriffe vermehrt die Frage, inwieweit sie sich effektiv und wirtschaftlich gegen Risiken schĂŒtzen können.

Hierbei stellen sie sich meist Fragen wie:

  • Wie stellt sich mein Unternehmen sicher auf?
  • Brauche ich ein Managementsystem fĂŒr Informationssicherheit (ISMS)?
  • Welches Sicherheitsniveau sollte ich anstreben?
  • Wie kann ich starten?

Jedoch zeigt sich in der Praxis immer wieder, dass Unternehmen erst spÀt handeln - wie nachfolgendes Fallbeispiel illustriert:

Das mittelstĂ€ndische Unternehmen Trade Universe, Betreiber einer E-Commerce Handelsplattform fĂŒr Unternehmenskunden, wird kurz vor Ende des GeschĂ€ftsjahrs Opfer eines Ransomware-Angriffs, bei welchem wichtige Kundendaten abgegriffen und verschlĂŒsselt werden. Bei der Meldung des Sicherheitsvorfalls an den Kunden wird der bei Trade Universe eingesetzte Informationssicherheitsbeauftragte (ISB) von seinem Kunden aus der Automobilbranche daraufhin aufgefordert, den Vorfall genau zu analysieren, den konkreten Schaden zu ermitteln und die bereits eingeforderte Zertifizierung nach Trusted Information Security Assessment Exchange (TISAX) umgehend anzustoßen. Da ein Abfluss von Daten nicht ausgeschlossen werden konnte, erfolgt außerdem eine Meldung gemĂ€ĂŸ Datenschutzgrundverordnung (DSGVO) an den zustĂ€ndigen Landesdatenschutzbeauftragten. Dieser fordert die Trade Universe dazu auf, ihre dokumentierten technischen und organisatorischen Maßnahmen (TOMs) vorzulegen. Um sich gegen solche Risiken zukĂŒnftig besser abzusichern, beschließt die GeschĂ€ftsfĂŒhrung von Trade Universe nun eine Cyber-Versicherung abzuschließen. Bei GesprĂ€chen mit den Versicherungsvertretern zeigt sich, dass das Unternehmen fĂŒr den Abschluss einer solchen Police ein Informationssicherheits-Managementsystem (ISMS) nach VdS 10000 einzufĂŒhren hat. Das Management der Trade Universe stellt sich nun die Frage wie sie all diesen Anforderungen gerecht werden und einen Ă€hnlichen Vorfall in Zukunft vermeiden können.
Folgen eines Ransomware-Vorfalls
Abbildung 1 Ransomware-Vorfall beim Beispielunternehmen Trade Universe

Wie stellt sich ein Unternehmen sicher auf?

Im Grundsatz geht es initial darum mittels Bedrohungsanalyse/Threat Modeling folgende Punkte zu erfassen:

  • Welche Schutzobjekte/Assets gibt es?
  • Wogegen sind diese Schutzobjekte zu schĂŒtzen  – welcher Schutzbedarf ergibt sich hieraus?
  • Welche Sicherheitsmaßnahmen ergeben sich aus dem ermittelten Schutzbedarf fĂŒr die erfassten Schutzobjekte?

Erfassung der Schutzobjekte/Assets

Ziel ist es im ersten Schritt sĂ€mtliche schutzbedĂŒrftigen Informationen, die innerhalb der betriebenen GeschĂ€ftsprozesse verarbeitet werden, zu erfassen und deren Schutzbedarf ĂŒber die Schutzziele (Vertraulichkeit, IntegritĂ€t und VerfĂŒgbarkeit) zu ermitteln.

Außerdem gilt es in diesem Zuge dazugehörige IT-Anwendungen, die IT-Systeme auf denen sie betrieben werden, deren Standorte sowie die Netzwerke ĂŒber die Informationen ĂŒbertragen werden, zentral zu erfassen. So sollte ein vollumfĂ€nglicher Überblick ĂŒber den zu schĂŒtzenden Informationsverbund geschaffen werden.

Ermittlung der Bedrohungen und Risiken

Nach der Ermittlung sĂ€mtlicher Schutzobjekte geht es im nĂ€chsten Schritt darum fĂŒr jedes dieser Objekt konkret existierende Bedrohungen zu ermitteln, resultierende Risiken zu erfassen und diese abschließend jeweils zu bewerten. Grundlage fĂŒr diese Risikobewertung ist die Einordnung eines jeden Risikos nach potentiell entstehendem Schaden verknĂŒpft mit einer Eintrittswahrscheinlichkeit. Hieraus ergibt sich eine Risikoeinstufung, die es ermöglicht schlussendlich die jeweilige Risikostrategie – Mitigation, Akzeptanz, Transfer oder Vermeidung – fĂŒr jedes einzelne Risiko festzulegen.

Festlegung von Sicherheitsmaßnahmen mittels eines Maßnahmenplans

Gibt es einen GesamtĂŒberblick ĂŒber die ermittelten Risiken und auf Seiten des Managements einen Beschluss ĂŒber den Umgang mit einzelnen Risiken auf Basis einer Risikostrategie, so lĂ€sst sich im Fortgang ein Maßnahmenplan aufstellen, beschließen und sukzessive umsetzen. Dieser Maßnahmenplan umfasst sĂ€mtliche technische sowie organisatorische Maßnahmen, um das ermittelte Gesamtrisiko risiko- und ressourcenorientiert zu minimieren.

FĂŒr die Trade Universe bedeutet das, dass der ISB nach dem Sicherheitsvorfall im Rahmen einer Bedrohungsanalyse noch einmal sĂ€mtliche Schutzobjekte ĂŒberprĂŒft, um gegebenenfalls Anpassungen vorzunehmen. Hierbei lĂ€sst sich der ISB bei der Analyse durch einen externen Sicherheitsdienstleister unterstĂŒtzen, um zusĂ€tzlich eine unabhĂ€ngige und neutrale EinschĂ€tzung der Bedrohungen und Risiken zu erhalten.

Wer braucht ein Managementsystem?

Möchte man SicherheitsvorfĂ€lle wie die im Fallbeispiel exemplarisch dargestellte dauerhaft vermeiden, so muss die vorgestellte Risikoanalyse und Maßnahmenplanung nicht nur einmalig sondern immer wieder durchgefĂŒhrt werden. Dies geschieht idealerweise eingebettet in einer zielgerichteten unternehmensweiten Strategie. Hierbei gilt angefangen von der GeschĂ€ftsfĂŒhrung, ĂŒber das mittlere Management bis hin zu den informationsverarbeitenden BeschĂ€ftigten Informationssicherheit in der ganzen Organisation zu etablieren.

Das Instrument fĂŒr die effiziente, langfristige Etablierung solch einer Sicherheitskultur ist die EinfĂŒhrung eines ISMS. Der ĂŒbergreifende Charakter, den ein Managementsystem bietet, ermöglicht es klar und deutlich die Verantwortung jedes Einzelnen in einem gebĂŒndelten Sicherheitsprozess zu definieren und jeder Person ihre Verantwortung bewusst zu machen, um so die angestrebten Sicherheitsziele erreichen zu können.

Grundlage fĂŒr die Entscheidung fĂŒr oder gegen ein ISMS sind vier Themenfelder:

  • Welche Regularien sind einzuhalten?
  • Welche Ziele verfolgt das Unternehmen?
  • Wie ist die Bedrohungslage?
  • Welche Anforderung und Vorgaben stellen Kunden und Partner?

Geltende Gesetze und Regularien

Bei den einzuhaltenden Regularien und Gesetzen, die Auswirkung auf die Informationssicherheit haben, sind fĂŒr fast alle deutsche Unternehmen zunĂ€chst unter anderem die Einhaltung der Datenschutzgrundverordnung (DSGVO), das Betriebsverfassungsgesetz (BVerG), das Gesetz zum Schutz von GeschĂ€ftsgeheimnissen (GeschGehG), sowie das Grundgesetz Artikel 2 und 10, die „GrundsĂ€tze zur ordnungsmĂ€ĂŸigen BuchfĂŒhrung" mit dem GoBD und GDPdU, das Handelsgesetzbuch mit § 37a in Verbindung mit § 257 HGB beziehungsweise §§ 145-147 AO, §§ 238-239, 257-261 und das Sozialgesetzbuch I § 35, X §§ 67-78 mit anzufĂŒhren. Diese Liste ist jedoch nur ein Auszug der wichtigsten gesetzlichen Auflagen und ist keineswegs vollstĂ€ndig. Eine Auflistung der bindenden Gesetzesauflagen fĂŒr ein Unternehmen zeigt je nach unternehmerischem Umfeld, ob spezifische regulatorische Anforderungen seitens der Informationssicherheit bestehen. Beispielgebend hierfĂŒr ist die zusĂ€tzliche Befolgung des BSI-Gesetzes gemĂ€ĂŸ BSI-Kritisverordnung fĂŒr bestimmte Branchen und Unternehmen.

Unternehmensziele

Unternehmensziele, die sich mittelfristig oder langfristig auf die Informationssicherheit auswirken können sind beispielsweise eine geplante Verlagerung von GeschÀftsprozessen in die Cloud, ein geplantes anorganisches Wachstum oder die Verlagerung von GeschÀftseinheiten ins Ausland.

Spezifische Bedrohungslage

Besondere Bedrohungslagen fĂŒr ein Unternehmen ergeben sich insbesondere aus dem GeschĂ€ftsmodell wie eine starke Vernetzung, TĂ€tigkeiten im E-Commerce oder AbhĂ€ngigkeiten zu einem oder mehreren dedizierten Lieferanten.

Anforderungen von Kunden und GeschÀftspartnern

Kundenseitig sowie in Beziehungen mit GeschÀftspartnern entstehen meist zusÀtzliche Anforderungen und Vorgaben, die Auswirkungen auf die Informationssicherheit haben. Dies könnten zum Beispiel branchenbedingte Vorgaben sein, wie beispielsweise eine geforderte TISAX-Zertifizierung oder die Einhaltung zusÀtzlicher Anforderungen aus der von der BaFin herausgegebenen BAIT und VAIT oder die PCI-DSS-Vorgaben beim Umgang mit Kreditkarten.

Zusammenfassend lassen sich aus diesen Themenfeldern folgende SchlĂŒsse ableiten: Je umfangreicher die Auflagen und Unternehmensziele sind und umso grĂ¶ĂŸer die Bedrohungslage und AbhĂ€ngigkeiten von einem Lieferanten oder Kunden, desto einfacher und klarer sollte die Managemententscheidung fĂŒr die Etablierung eines ISMS sein.

UnabhĂ€ngig davon wie hoch das derzeit herrschende beziehungsweise angestrebte Sicherheitsniveau eines Unternehmens ist, sollte es fĂŒr jedes mittelstĂ€ndische Unternehmen ab einer GrĂ¶ĂŸe von etwa 50 BeschĂ€ftigten zumindest mittelfristig das Ziel sein ein einfaches ISMS frĂŒhzeitig und in kleinen Schritten einzufĂŒhren. Hierbei bedarf es aus fachlicher Sicht nicht immer einer formalen Zertifizierung einer unabhĂ€ngigen Zertifizierungsstelle. Vielmehr geht es darum Informationssicherheit frĂŒhzeitig, strukturiert und systematisch innerhalb eines Unternehmens einzubeziehen. Auf diese Weise können SchĂ€den durch SicherheitsvorfĂ€lle und grĂ¶ĂŸere, spĂ€tere Kraftanstrengungen wie ĂŒberhastete, teure Zertifizierungsvorhaben vermieden werden.

Mit Bezug auf das Fallbeispiel Trade Universe bedeuten die Überlegungen, dass nach dem beschriebenen kritischen Sicherheitsvorfall mit Offenlegung sensibler Kundendaten, die EinfĂŒhrung eines zertifizierten ISMS dringend geboten ist. Nur mit kontinuierlicher, regelmĂ€ĂŸiger Kontrolle und Steuerung von Sicherheitszielen auf GeschĂ€ftsfĂŒhrungsebene lassen sich Ursachen fĂŒr solche SicherheitsvorfĂ€lle sinnhaft ermitteln und langfristig mittels geeigneter und durchdachter Sicherheitsmaßnahmen abstellen. Des Weiteren kann eine Cyber-Versicherung-Police mittels EinfĂŒhrung eines zertifizierten ISMS leichter abgeschlossen werden. Zudem wird der aktuell vorhandenen starken KundenabhĂ€ngigkeit und Bindung an die Automobilbranche Rechnung getragen. Weiterhin bietet diese Entscheidung gegebenenfalls sogar die Möglichkeit neue Kunden und GeschĂ€ftschancen aus diesem Umfeld wahrzunehmen.

Welches Sicherheitsniveau sollte angestrebt werden?

Hat man sich fĂŒr die EinfĂŒhrung eines ISMS entschieden, so stellt sich zunĂ€chst die Frage, nach welchem Framework man vorgeht. GrundsĂ€tzlich gibt es fĂŒr ein Unternehmen verschiedene Frameworks und AnsĂ€tze, um Informationssicherheit zu etablieren. Eine genauere Betrachtung des KerngeschĂ€fts eines jeden Unternehmens sowie der zuvor aufgefĂŒhrten vier Themenfelder – Gesetze und Regularien, Unternehmensziele, spezifische Bedrohungslage und Anforderungen von Kunden und Partnerumfeld – zeigt schnell, wie hoch die Anforderungen an die Informationssicherheit sind.

Betreut oder beliefert ein Unternehmen beispielsweise Kunden aus der Automobilbranche, so wird entweder eine Zertifizierung nach ISO 27001 oder immer hÀufiger die branchenspezifische TISAX-Zertifizierung in den abgeschlossenen VertrÀgen eingefordert.

Ist ein Unternehmen im Finanzbereich tĂ€tig, so unterliegt es innerhalb Deutschlands meist unter anderem dem Regelwerk des Payment Card Industry Data Security Standard (PCI DSS), oder den bankenaufsichtlichen Anforderungen an die IT (BAIT) beziehungsweise den versicherungsaufsichtlichen Anforderungen an die IT (VAIT) der Bundesanstalt fĂŒr Finanzdienstleistungsaufsicht (BaFin). Diese Anforderungen sind angelehnt an nationale oder internationale Standards, wie den IT-Grundschutz des Bundesamts fĂŒr Sicherheit in der Informationstechnik (BSI), sowie an die Standardfamilie ISO/IEC 270XX.

Überblick zu ISMS-Frameworks
Abbildung 2 Überblick zu ISMS-Frameworks

Gibt es aus dem KerngeschĂ€ft heraus bislang noch keine verbindlichen Anforderungen an die Informationssicherheit, so bietet sich ĂŒber das Rahmenwerk VdS 10000 ein fachlich fundierter Einstieg in die Informationssicherheit an. Bei diesen fĂŒr KMU durch die VdS SchadenverhĂŒtung GmbH herausgegebenen Richtlinien, handelt es sich um eine solides GerĂŒst an Maßnahmen, die helfen das Zusammenwirken von Menschen, IT-GerĂ€ten und Kommunikationsmedien ĂŒber nahezu den gesamten Zyklus aller AktivitĂ€ten in einem Unternehmen organisatorisch, prozessual, physisch und technisch zu betrachten. Hierbei ist es wichtig die organisatorische Planung vor der oft eher unkoordinierten technischen Umsetzung durchzufĂŒhren. Auf Basis dieser Sicherheitsmaßnahmen kann spĂ€ter flexibel im Falle sich verĂ€ndernder Marktbedingungen und Festlegung neuer GeschĂ€ftsziele beispielsweise eine Zertifizierung nach ISO/IEC 27001 oder nach Branchenstandards wie TISAX bei geringerem Mehraufwand angestoßen werden.
Einen Überblick ĂŒber die skizzierten, unterschiedlichen Herangehensweisen zeigt nachfolgende Abbildung:

Vergleich der unterschiedlicher ISMS-Standards
Abbildung 3 Vergleich der unterschiedlichen Herangehensweisen an ein ISMS

FĂŒr das Unternehmen Trade Universe aus dem Fallbeispiel ist aus den aufgefĂŒhrten GrĂŒnden eine ISO/IEC 27001-Zertifizierung empfehlenswert. Der entstehende Aufwand, sich nach ISO/IEC 27001 zu zertifizieren, rechtfertigt es, sich hierbei bereits auch an den Vorgaben der TISAX zu orientieren. Somit hat das Management weiterhin die Option sich spĂ€ter zusĂ€tzlich nach dem Branchenstandard zu zertifizieren und kann des Weiteren eingesetzte Ressourcen effizienter nutzen sowie Zukunftschancen fĂŒr andere MĂ€rkte und Branchen wahren.

Wie kann man starten?

In FĂ€llen, in denen es zu Beginn noch kein spezifisches Budget fĂŒr Informationssicherheit im Unternehmen gibt, empfiehlt es sich, sich schrittweise der Thematik zu nĂ€hern. Idealerweise wird hierzu als Erstes – sofern noch nicht vorhanden – eine Person mit fachlichem Hintergrund und FĂŒhrungserfahrung von der GeschĂ€ftsfĂŒhrung als ISB berufen. Dieser erhĂ€lt von der GeschĂ€ftsfĂŒhrung den Auftrag Ziele und Bedarf an Informationssicherheit fĂŒr das Unternehmen und seine GeschĂ€ftsbereiche zu analysieren, um strategische Ziele sowie konkrete Maßnahmen abzuleiten und zu budgettieren.

Gibt es fĂŒr eine solche Aufgabe keinen geeigneten Mitarbeiter im Unternehmen, so kann auch ein externer Berater als externer ISB hinzugezogen werden. Ziel ist es initial risikobasiert, mit Fokus auf kritische Schutzobjekte, wie zuvor bereits erlĂ€utert, folgende offenen Fragen zu klĂ€ren:

  • Welche gesetzlichen Anforderungen und GeschĂ€ftsziele sind bindend?
  • Welche vertraglichen Anforderungen an die Informationssicherheit stellen Kunden, Lieferanten sowie GeschĂ€ftspartner an das jeweilige Unternehmen?
  • Welche kritischen IT-Ressourcen gibt es im Unternehmen?
  • Gibt es bereits ein unternehmensweites Risikomanagement, das Informationssicherheit adressiert?
  • Welche Richtlinien und Nutzungsregelungen existieren bereits?
  • Wie hoch ist die Sensibilisierung insbesondere innerhalb der wettbewerbsentscheidenden GeschĂ€ftsbereiche?
Schritte zur EinfĂŒhrung eines ISMS
Abbildung 4 Schritte zur EinfĂŒhrung eines ISMS

Wurden diese und weitere Fragen sorgfĂ€ltig beantwortet, so sollte es im Fortgang des initiierten Sicherheitsprozesses als nĂ€chstes darum gehen, auf Managementebene festzulegen welche GeschĂ€ftsziele zum Schutz von Informationen und Know-how fĂŒr das Unternehmen zukĂŒnftig verfolgt werden sollen. Werden beispielsweise bereits Projektvorhaben wie Digitalisierung von GeschĂ€ftsprozessen oder Effizienzsteigerungen bei der IT diskutiert, so bieten sich hierbei gute Einstiegspunkte fĂŒr die Diskussion einer IT-Strategie, die Informationssicherheit berĂŒcksichtigt.

Sind im weiteren Verlauf klare Sicherheitsziele seitens des Managements festgelegt worden, so lĂ€sst sich, wie zu Beginn dieses Artikels beschrieben, fĂŒr die Organisation eine sinnige Sicherheitsstrategie durch den ISB erarbeiten. Interne Maßnahmen und konkrete Anforderungen können abgeleitet und ein schlankes Regelwerk aufgesetzt werden. Auf dieser Ebene lassen sich adĂ€quate und effiziente Prozesse definieren und beschreiben sowie Verantwortlichkeiten bestimmen. Hierunter fallen auch Themen wie die Business Impact Analyse (BIA) beziehungsweise daran anknĂŒpfend das Business Continuity Management (BCM).

Sind diese organisatorischen Arbeiten alle vollzogen beziehungsweise weit fortgeschritten, so ist es zu diesem Zeitpunkt sinnvoll sich auf die IT-Sicherheit und technische Themen zu fokussieren. Hierbei sollte zunĂ€chst die IT-Infrastruktur im Hinblick auf den Schutzbedarf analysiert und gegebenenfalls angepasst werden. Bei der Planung neuer IT-Landschaften beziehungsweise Erweiterung, insbesondere durch den Einsatz von Cloudlösungen, sollte der ISB beziehungsweise durch diesen eingesetzte Experten wie ein IT-Sicherheitsarchitekt frĂŒhzeitig einbezogen werden. Auch die Initiierung und Planung physischer Schutzmaßnahmen wie Zutrittskontrollsysteme, VideoĂŒberwachung oder Einbruchs- sowie Sabotageschutz sind nun je nach Schutzbedarfsfeststellung anzugehen. Nicht zuletzt sollte die Sensibilisierung der BeschĂ€ftigten durch eine Awareness-Kampagne adressiert und verbessert werden.

Bei der Trade Universe hat der bereits benannte ISB wie eingangs skizziert zunĂ€chst damit begonnen eine Bedrohungsanalyse durchzufĂŒhren. Hierbei konnten bereits offene Fragen der Cyber-Versicherung mit berĂŒcksichtigt werden. Mit den Ergebnissen und Erkenntnissen aus dieser Analyse erarbeitete der ISB zusammen mit externen Sicherheitsberatern die konkreten Sicherheitsziele und den Maßnahmenplan. Nach gut einem Jahr konnte er die erfolgreiche Zertifizierung nach ISO/IEC 27001 feiern.

Schutz vor Phishing, Vishing & Co. - Sieben goldene Regeln gegen Social Engineering

aramido zeigt, wie man sich gegen Phis­hing und andere So­cial Engi­nee­ring-­An­griffe schĂŒtzen kann - unser Bei­trag zum European Cyber Security Month (ECSM). (weiterlesen)

FIDO2 und WebAuthn: Login ohne Passwort

FIDO2 und WebAuthn erlau­ben eine sichere und phi­shing­re­sis­ten­te Authen­ti­fi­ka­tion bei Web­diens­ten, um einen Daten­ab­fluss zu ver­mei­den. (weiterlesen)

aramido bei der Bunten Nacht der Digitalisierung

aramido ist Partner der Bunten Nacht der Digitalisierung und lĂ€dt am 11.10.19 zu Live Hacking-VortrĂ€gen, inter­aktiven Workshops und anregenden GesprĂ€chen ein. (weiterlesen)

Cold Boot-Angriff: FestplattenverschlĂŒsselung ade

aramido demonstriert den aktuellen Stand zum Cold Boot-Angriff und zeigt, wie dadurch die FestplattenverschlĂŒsselung ausgehebelt werden kann. (weiterlesen)

HTTP Security Header schĂŒtzen Ihre Besucher

Secu­rity Hea­der schĂŒ­tzen die Be­nutzer von Web­sei­ten und er­wei­tern die De­fense-In-Depth. Wir zei­gen, wie sie ein­ge­setzt wer­den und welche Wir­kung sie ha­ben. (weiterlesen)

Wie finde ich einen Job in der Informationssicherheit?

Informations­sicher­heit: Ein span­nen­des Feld mit ge­sell­schaft­li­cher Relevanz und vielversprechenden Ver­dienst­aus­sich­ten. Was soll­ten In­teres­sierte mit­brin­gen? (weiterlesen)

Was sind die OWASP Top 10 - 2017?

Die OWASP Top 10 - 2017 be­schrei­ben die zehn hĂ€u­figs­ten Sicher­heits­risi­ken fĂŒr Web­an­wen­dun­gen. Sie helfen Ent­wicklern An­wen­dun­gen sicher um­zu­setzen. (weiterlesen)

Wo ist die Knautschzone von IT-Systemen?

Sol­len Siche­rheits­vor­fĂ€lle ver­hin­dert oder er­war­tet wer­den? Die­se Fra­ge be­ant­wortet ara­mido-Ge­schĂ€fts­fĂŒhrer An­dre­as Sperber auf in­for­ma­tik-aktuell.de (weiterlesen)

Keynote: IT-Symposium auf dem Schloss Haigerloch

aramido hielt die Key­note zum 15. IT-Sym­po­sium auf dem Schloss Haigerloch: vier Para­dig­men fĂŒr die In­for­mations­sicher­heit von morgen. (weiterlesen)

Vertrauen ist gut. Kontrolle ist besser.

Andreas Sperber hat auf der 17. GPN ĂŒber Ver­trauens­proble­me in PKIs gespro­chen. Mit "Ver­trauen ist gut. Kon­trolle ist bes­ser." ruft er Dienst­betrei­ber zum han­deln auf. (weiterlesen)

Warum vertrauen wir Zertifizierungsstellen?

Zertifizierungs­stellen sind eine wesent­liche Kom­po­nen­te im heu­ti­gen World Wide Web. Wir schen­ken Ihnen großes Ver­trauen trotz besor­gnis­er­regen­der Vor­komm­nisse. (weiterlesen)

Wozu dient ein Penetrationstest?

Durch einen Pene­trations­test wird das Angriffs­poten­tial auf IT-Sys­teme ĂŒber­prĂŒft. Schwach­stellen wer­den beho­ben und da­durch die IT-Sicher­heit gestei­gert. (weiterlesen)

Workshop: IT-Sicherheit@Mittelstand bei der IHK Gießen-Friedberg

Der IT-Sicher­heits­exper­te Andreas Sperber spricht am 06.10.2016 vor der IHK Gießen-Friedberg zum The­ma IT-Sicher­heit@Mittel­stand und zeigt Wege hierfĂŒr auf. (weiterlesen)

Acht GrĂŒnde fĂŒr einen Penetrationstest

Mit einem Pene­trations­test wird die Ver­wund­bar­keit von Sys­te­men ge­prĂŒft. Wir ge­ben acht GrĂŒn­de, warum Pene­tra­tions­tests fĂŒr Un­ter­neh­men wich­tig sind. (weiterlesen)

Was ist ein Penetrationstest?

IT ist ein fes­ter Be­stand­teil un­se­res Le­bens. Ha­cker nu­tzen Schwach­stel­len aus, um da­raus Pro­fit zu schla­gen. Pe­ne­tra­tions­tests ver­bes­sern IT-Sicherheit. (weiterlesen)

Infektion durch einen Kryptovirus

Im aramido Sicher­heits­labor haben wir uns mit einem Ver­schlĂŒs­selungs­tro­janer infi­ziert und zei­gen, was ein Krypto­locker mit Ihren Da­ten an­rich­ten wĂŒr­de. (weiterlesen)

Kidnapping 2.0 - VerschlĂŒsselungstrojaner auf dem Vormarsch

Kryptotrojaner richten bei Unter­nehmen große SchĂ€den an. Mit der Artikel­serie zum Thema Ransom­ware berichtet aramido ĂŒber Hinter­grĂŒnde zur akuten Be­drohungs­lage (weiterlesen)

Piwik Security – Webanwendungen sicher analysieren

Das aramido-Best-Practice zu Piwik zeigt, auf was man beim Einsatz des Web­ana­lyse-Tools ach­ten sollte. Die Piwik-Se­cu­rity-Check­liste hilft beim Ab­si­chern Ihrer Piwik-Installa­tion. (weiterlesen)

aramido-Blog fĂŒr IT-Sicherheit

Der aramido-Blog be­richtet regel­mĂ€ĂŸig zur IT-Sicher­heit. Abon­nieren Sie den Feed zu Pen­tests, Sicher­heit von Web­anwen­dungen und weite­ren inte­res­santen The­men. (weiterlesen)