strategie und planung
Die digitale Welt entwickelt sich zunehmend zum Schlüssel der modernen Kommunikationsgesellschaft. Wir unterstützen mit Know-How im technischen und organisatorischen Bereich.
• Informationssicherheits-Management, IT-Risikoberatung,
Evaluierung und Beratung neuer Systeme, Status-Quo-Analyse
netzwerk und infrastruktur
Damit alles flüssig läuft, ist eine koordinierte IT-Infrastruktur unumgänglich.
Diese stellt die Grundstruktur Ihres Unternehmens dar und kann bei instabiler Verfügbarkeit viel Zeit und Kosten verursachen.
• Cloud-, Server- & Netzwerkinfrastruktur, Netzwerksicherheit
schulung und training
Ein Mitarbeitertraining ist eine wertvolle Investition in die Zukunft Ihres Unternehmens. Es erhöht das Know-How und forciert die Sicherheitsziele Ihres Unternehmens.
• Workshops, Schulungen, Security Awareness Trainings
Bei sämtlichen Dienstleistungen stehen die Sicherheitsziele der Informationssicherheit („CIA-Triangle“) im Vordergrund.
vertraulichkeit
Das Sicherheitsziel „Vertraulichkeit” stellt sicher, dass ausschließlich berechtigte Personen Daten einsehen können. Vor allem bei sensiblen oder personenbezogenen Daten spielt das eine große Rolle. Nicht nur die Speicherung und Zugriffsberechtigungen muss sichergestellt sein, auch die Übertragung von Daten (E-Mail etc.)
integrität
Bei der Sicherstellung der Integrität wird die Thematik der „Unversehrtheit“ behandelt. Hierbei wird sichergestellt, dass Daten „integer“ sind, also nicht verändert wurden. Vor allem die unbemerkte Veränderung ist ein großes Problem.
verfügbarkeit
Damit sämtliche Daten immer dann verfügbar sind, wenn diese benötigt werden, befasst sich dieses Schutzziel mit der Prävention von System- und Datenausfällen.
Für die Kunden von OmniCreo sind besonders folgende Teilbereiche der IT Security relevant:
datensicherheit
bereiche
Strategie & Planung, Netzwerk und Infrastruktur
beschreibung
Datensicherheit spielt auf mehreren Ebenen eine wichtige Rolle. Auf der einen Seite ist die Speicherung der Daten von großer Relevanz, auf der anderen Seite die Übertragung und der Zugriff.
◦ Speicherort (On-Premise, Cloud, rein lokal)
◦ Backupstrategie
◦ Zugriffsberechtigungen
◦ Datenklassifizierung (Öffentlich, Intern, Vertraulich, …)
◦ Übertragung von Daten (E-Mail, verschlüsselt)
dienstleistungen
Analyse der aktuellen Strategie und Situation, Planung und Implementierung von Maßnahmen auf Basis eines Kundengesprächs, in welchem Daten klassifiziert und Zugriffsberechtigungen eruiert, Beratung bei Unklarheiten, Schulung der Mitarbeiter im Umgang mit sensiblen/internen Daten.
use-cases
Sachverhalt
In einer Anwaltskanzlei hat jeder Mitarbeiter vollen Zugriff auf alle aktuellen und abgeschlossenen Fälle. Dies ist insofern relevant, damit bei der Ausarbeitung von neuen Themen auf vergangene Arbeit zurückgegriffen werden kann.
Szenario 1
Die Kanzlei vertritt eine Partei in einem großen Korruptionsskandal. Einer der Konzipienten wurde von der Gegenpartei eingeschleust, um die Verteidigungsstrategie herauszufinden. Allerdings arbeitet dieser Konzipient an einem anderen Fall und hat mit dem Korruptionsskandal nichts zu tun. Nachdem nun jeder Mitarbeiter auf das Archiv und die aktuellen Fälle zugreifen kann, kann der Konzipient die vertraulichen Informationen des Korruptionsskandals auslesen (Betriebsspionage).
Szenario 2
Die Mitarbeiter der Kanzlei arbeiten COVID-19-bedingt im Home-Office, nachdem die Kanzlei nur Stand-PCs besitzt, nutzen die Mitarbeiter dafür ihren privaten Laptop. Einer der Mitarbeiter fängt sich ohne böse Absichten einen Virus ein, welcher die Daten abgreift und anschließend verschlüsselt. Die Daten sind nun nicht mehr lesbar, für die Entschlüsselung muss Lösegeld bezahlt werden („Ransomware“).
endgerät-sicherheit
bereiche
Strategie & Planung, Netzwerk und Infrastruktur
beschreibung
Bei der Endgerätsicherheit wird sichergestellt, dass die Laptops und PCs der Mitarbeiter sicherheitstechnisch auf dem neuesten Stand sind und eine Sicherheitsstrategie etabliert und laufend weiterentwickelt wird.
dienstleistungen
Evaluierung des Ist-Zustands, Planung und Entwicklung einer Sicherheitsstrategie, Awareness-Training mit Mitarbeitern
use-cases
-> Szenario 2 aus "Datensicherheit" ist hier ebenfalls anwendbar
Szenario
Ein Mitarbeiter eines großen Spitals erhält eine E-Mail mit einem Befund. Um diesen in der Patientenakte abzulegen, öffnet er das PDF. Dieses ist allerdings mit Schadcode infiziert, welcher einen Trojaner auf dem System installiert. Dieser Trojaner besitzt Keylogging- und RAT (Remote Access Tools)-Funktionalitäten, sodass der Angreifer sämtliche Eingaben der Tastatur mitprotokolliert und den Computer remote übernehmen kann.
Dabei sind nicht nur vertrauliche / personenbezogene Patientendaten kompromittiert, sondern der Angreifer hat durch den Remote Zugriff auch die Möglichkeit, gefälschte COVID-Impfzertifikate auszustellen.
schulungen
beschreibung
90% der Data-Breaches sind auf einen menschlichen Fehler zurückzuführen, 55% der Unternehmen vernachlässigen Mitarbeitertraining. Um dem entgegenzusteuern und Mitarbeiter auf Sicherheitsprobleme und Angriffsvektor aufmerksam zu machen, ist eine Mitarbeiterschulung / Awareness Training unumgänglich. Bei solchen Trainings gehen wir entweder auf explizite Defizite ein, oder schneiden den Workshop auf das Unternehmen zu, um allgemeine Awareness zu stärken.
dienstleistungen
IT-Security Workshops und Schulungen/Trainings
use-cases
Szenario 1
Die Buchhaltung eines Unternehmens erhält regelmäßige E-Mails der Geschäftsführung mit Überweisungsanforderungen. Die Buchhaltung führt diese gemäß dem Auftrag des Vorgesetzten durch. Ein Angreifer kennt diesen Ablauf im Unternehmen, und schickt eigene Zahlungsaufforderungen an die Buchhaltung. Im Zuge dessen werden über 42 Millionen Euro gestohlen („CEO-Fraud“).
Szenario 2
Ein Mitarbeiter erhält ein E-Mail von der IT-Abteilung, mit der Bitte sein Passwort zu ändern, da dies bald abläuft. Der Mitarbeiter klickt auf den Link und wird auf die Anmeldeseite von Microsoft weitergeleitet. De facto war das Mail allerdings von einem Angreifer und die Anmeldeseite gefälscht, wodurch der Angreifer das Passwort des Mitarbeiters abgreifen konnte (Phishing).