+49 (0) 3546 934 74 42 post@krisensicher-werden.de

INFORMATIONSSICHERHEIT & DATENSCHUTZ

Wir entwickeln einen optimalen Schutz für Ihre immateriellen Werte und personenbezogene Daten. Und dies ganz ohne Technikverliebtheit, sondern mit ganzheitlichem, systematischem Ansatz. Unsere Arbeit orientiert sich an internationalen Standards, wie der ISO 27001 (Management der Informationssicherheit) und der ISO 27701 (Management des Datenschutzes).

Informationssicherheit – eigene Werte schützen

Die Sicherheit Ihrer Informationen und Ihr Wert für das Unternehmen sind ein großer Wettbewerbsvorteil und können unerwartete Ereignisse und finanzielle Schäden vorbeugen. Schützen Sie Ihre Informationen und Daten mit Hilfe der richtigen Steuerungsinstrumente und Prozesse, durch die Sensibilisierung Ihrer Mitarbeiter/innen und durch höchste Sicherheitsstandards.  Die Einführung von Managementsystemen nach ISO 27001 hat sich bewährt. Dank unserer Zusammenarbeit mit Zertifizierungsstellen und der Erfahrung aus zahlreichen Audits können wir Sie mit wertvollen Hintergründen für das eigene Projekt versorgen.

Datenschutz – rechtliche Anforderungen erfüllen

Die DSGVO stellt weitreichende Anforderungen an alle Unternehmen in der EU. Alle deutschen Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, müssen sich an die DSGVO halten. Und das sind alle Unternehmen, denn ohne personenbezogene Daten ist kein Geschäft möglich. Im Rahmen der DSGVO können die Aufsichtsbehörden Bußgelder verhängen (10 Mio. € oder 2 % des weltweiten Jahresumsatzes). Auch bei geringeren Strafen kann Ihnen der Gewerbeschein entzogen werden. Gemeinsam schaffen wir ein System, das Sie vor solchen Strafen bewahrt. Sprechen Sie uns an!

Was wir bieten

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Informationssicherheit und IT-Sicherheit

Aufbau von Informationssicherheitsmanagement-Systemen (ISMS) auf Basis von ISO 27001

Die Implementierung von Managementsystemen beinhaltet wesentliche Änderungen in einem Unternehmen. Wir arbeiten daher mit einem iterativen Projektansatz, der es unseren Kunden ermöglicht die eigenen Prozesse und Arbeitsweisen schrittweise zu adaptieren. In unseren Beratungsprojekten passen wir uns der Geschwindigkeit unserer Kunden an.

Wir coachen Ihr Projektteam in Workshops bei der Umsetzung der Planungs-, Umsetzungs-, Überprüfungs- und Verbesserungsprozesse, die für ein ISO 27001-konformes ISMS notwendig sind. Wir geben in den Workshops fachlichen und methodischen Input. Unser Anspruch ist dabei, das ISMS genau an die Bedarfe der unserer Kunden anzupassen. Für die Einführung von ISMS-Prozessen stellen wir Dokumentenvorlagen und Werkzeuge bereit. Wir begleiten zudem die Projektumsetzung durch regelmäßige Termin- und Aufgabenkontrolle.

Im Mittelpunkt des ISMS steht ein Risikomanagement für die Informationssicherheit. Wir unterstützen Sie bei der Implementierung des ISMS als zentrales Steuerungstool für die Sicherheit in der Organisation. Dabei wird das ISMS auf die spezifischen Bedürfnisse unserer Kunden abgestimmt.

Ressourcen sind endlich. Ziel ist es, die wichtigen Themen zuerst anzugehen. In unserem Verständnis sind ein Managementsystem und das zugrundeliegende Risikomanagement in erster Linie für die Priorisierung von Problemen notwendig. Unsere Beratung dient der Schaffung eines Verständnisses für die wichtigen Themen, ohne dabei unnötigen Aufwand für die Dokumentation zu generieren. In den gemeinsamen Workshops unterstützen wir bei der Erhebung der Risiken.

Nach dem Aufbau des ISMS führen wir ein internes Audit durch. Dieses dient der Qualitätssicherung und als Generalprobe für eine Zertifizierung. 

Phishing-Awearness-Test

Phishing-Angriffe stellen eine der größten Bedrohungen für die Unternehmenssicherheit dar. Um dieser Gefahr zu begegnen, ist es von entscheidener Bedeutung, dass Ihre Mitarbeiterinnen und Mitarbeiter über die Risiken von Phishing-Angriffen gut informiert sind. Eine effektive Methode, um das Bewusstsein für Phishing zu schärfen und gleichzeitig die kenntnisse Ihrer belegschaft zu verbessern, sind Phishing-Awearness-Tests.

Sollten Sie diesbzeüglich Interesse haben, können Sie sich gerne mit uns in Verbindung setzen. Wir werden Ihne alle mögliche Optionen näher bringen, um für Sie das passende zu finden. Kontaktieren Sie uns.

Schwachstellenscan

Als Unternehmen ist es von entscheidener Bedeutung, die Sicherheit der IT-Infrastruktur zu gewährleisten. Eine Methode um potenzielle Schwachstellen zu erkennen um dagegen angehen zu können, sind Schwachstellenscans. Diese Scans ermöglichen es Ihnen, Sicherheitslücken in Netzwerken, Systemen und Anwendungen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Ein Schwachstellenscan ist ein automatisierter – technischer Prozess, bei dem spezialisierte Software verwendet wird, um gezielt nach Sicherheitslücken zu suchen. Diese Sicherheitslücken können beispielsweise veraltete Softwareversionen, fehlerhafte Konfigurationen oder ungesicherte Netzwerkzugänge umfassen. Jetzt Termin vereinbaren!

 

Unser Leistungsangebot zur Informations- und IT-Sicherheit

Wir arbeiten mit praxiserprobten Werkzeugen und Vorlagen, um mir unseren Kunden an denn wirklich wichtigen Stellen zu arbeiten. Sparen Sie Zeit und Geld auf dem Weg zu mehr Sicherheit:

Implementierung im Workshop-Stil zum Festpreis und mit Erfolgsgarantie

Coaching beim Aufbau des Informationssicherheitsmanagementsystems (ISMS):

    • Durchführung von Coaching- und Methodenworkshops
    • Bereitstellung von Dokumentenvorlagen und Werkzeugen
    • Unterstützung bei der Durchführung von Risikoanalysen
    • Begleitung der Projektumsetzung durch regelmäßige Aufgaben- und Terminkontrolle
    • internes Audit zur Qualitätssicherung der Ergebnisse
    • Nacharbeiten nach der Zertifizierung
Operative Umsetzungsunterstützung

Der operative Aufwand für den Aufbau des ISMS inklusive des internen Audits summiert sich erfahrungsgemäß auf 90 – 120 PT.

Wir bieten unseren Kunden Unterstützung bei der operativen Umsetzung durch einen Projektassistenten an. Dies beinhaltet u.a. die Anpassung von Dokumenten an die konkreten Bedarfe und Workshopergebnisse, die Erstellung gesonderter Dokumentation, die Erarbeitung von Schulungspräsentationen, die Nachverfolgung von Maßnahmen, Termin- und Budgetkontrolle, etc.

Die Einbindung eines Projektassistenten kann die internen Aufwände um ca. 40 PT senken.

Phishing-Awearness-Test

Wir beraten Sie in allen Fragen des Datenschutzes auch über die gesetzlichen Anforderungen der DSGVO hinau. Hierbei bewerten wir Ihre spezifischen Sachverhalte und unterstützen bei der Lösungsfindung. Unsere Unterstützung beinhaltet:

    • die Überprüfung von Verarbeitungsvorgängen auf die Einhaltung der rechtlichen Vorgaben zum Datenschutz und zur Datensicherheit;
    • die Schulung der mit dem Umgang mit personenbezogenen Daten befassten Mitarbeiter des Auftraggebers bezüglich der Erfordernisse des Datenschutzes;
    • die Beratung bei der Durchführung der Datenschutz-Folgenabschätzung von Verarbeitungen, die voraussichtlich hohe Risiken für Rechte und Freiheiten von betroffenen Personen haben (Art. 35 DSGVO);
    • die Mitwirkung bei der Erstellung betrieblicher Anweisungen und Richtlinien zum datenschutzkonformen Umgang mit personenbezogenen Daten, etwa hinsichtlich des Umgangs mit E-Mail und Internet am Arbeitsplatz;
    • die Wahrnehmung von Besprechungen und anderen Terminen, z. B. bei Ihren Kunden;
    • die Durchführung von Vor-Ort-Prüfungen („Audits“) bei Subunternehmern, Vorlieferanten oder anderen für den Auftraggeber tätigen Dienstleistern, insbesondere die Durchführung von Kontrollen im Rahmen von Auftragsverarbeitungsverhältnissen i. S. v. Art. 28 DSGVO;
    • alle Tätigkeiten im Zusammenhang mit Sachverhalten betreffend Verletzungen des Schutzes personenbezogener Daten („Datenschutzverletzungen“, Art. 4 Nr. 12 DS-GVO, Art. 33 DSGVO), einschließlich vorbeugender Maßnahmen zur Verhinderung und vorbereitender Maßnahmen im Hinblick auf adäquate Reaktionen;
    • die Beantwortung konkreter Anfragen von Beschäftigten oder der Unternehmensleitung zum Datenschutz jenseits des Tagesgeschäfts (z. B. datenschutzrechtliche Machbarkeit neuer Geschäftsmodelle);
    • die datenschutzrechtliche Beurteilung von konkreten Marketing-, Werbe- oder Vertriebsmaßnahmen (z. B. Durchführung von Gewinnspielen) sowie
    • den Aufbau, die Bewertung oder Fortentwicklung eines etwaig vorhandenen, umfassenden Datenschutzmanagementsystems oder Teile desselben z. B. auf Basis der ISO 27701.
Schwachstellenscan

Verschaffen Sie sich einen Überblick über die Schwachstellen in Ihrer IT mit unserem vierstufigen Vorgehen:

Kick-Off mit dem Kunden

  • Vorstellung des Vorgehens mit den Entscheidungsträgern und Verantwortlichen des Kunden
  • Definition von vorbereitenden Arbeitspaketen
  • Diskussion von Risiken im Zusammenhang mit dem Schwachstellenscan

Dokumentenstudium und Infrastrukturanalyse

  • Bereitstellung der Netzwerkdokumentation (IP-Listen, Netzpläne, Port-Übersichten)
  • Auswertung durch uns
  • Bewertung der Infrastruktur und Identifikation von Schwachstellen
  • Definition von Maßnahmen
  • Vorbereitung des Schwachstellenscans

Schwachstellenscan

  • kundenspezifisches Vorgehen, z. B. technische Analyse der Infrastruktur (z. B. Firmwarestände, offene Ports, SSH-Zugänge)
  • Topologie-Analyse (z. B. jump hosts, Hintertüren)
  • Zugang über das Netzwerk
  • stichprobenartige Begehung von Standorten (physische Sicherung)
  • bei Bedarf: stichprobenartige Prüfung einzelner Komponenten (z. B. Zugang über USB, RJ45 oder RS232-Schnittstelle, offene Zugänge an Geräten)
  • stichprobenartiges Abfangen von Protokollen und Auslesen

Auswertung und Berichterstellung

  • Zusammenfassung der Ergebnisse
  • Erstellung eines Prüfberichtes
  • Bewertung der Feststellungen hinsichtlich ihrer Kritikalität (kurzfristig, mittelfristig, langfristig)
Expertenberatung für Ihren indivduellen Bedarf

Unsere Experten stehen beraten Sie auch bei kundenspezifischen Fragestellungen (z. B. der Weiterentwicklung der Risikomethodik oder des Lieferantenmanagements). Sprechen Sie uns an!

So könnte Ihr Phishing-Awearness-Test aussehen

Verschickte E-Mails

Geöffnete E-Mails

Link-Klicks

E-Mail gemeldet

Übermittelte Daten

Datenschutz

Datenschutz mit System

Datenschutz benötigt die richtigen Steuerungsinstrumente und Prozesse. Die Anforderungen der DSGVO und Ihre Informationssicherheitsstrukturen verlangen ein wirksames Steuerungsinstrument. Ein Managementsystem nach ISO 2771 hat sich bewährt und entspricht allen internationalen Standards. Sie haben bereits ein Managementsystem eingeführt, aber sind unzufrieden? Wir unterstützen Sie gerne bei der Optimierung, Digitalisierung und Verbesserung Ihrer Prozesse.

Externer Datenschutzbeauftragter oder externe Informationssicherheitsbeauftragte?

Unsere zertifizierten Datenschutz- und Informationssicherheitsbeauftragten sehen sich als Vermittler zwischen Management, Techniker und Verantwortlichen. Wir führen die Expertise aus Ihrem Haus zusammen. Zusätzlich unterstützen wir Sie mit unserer Erfahrung und Expertise aus unserem Netzwerk. Wir stellen uns auf Ihre Bedürfnisse ein.

Digitale Tools für volle Transparenz

Im Rahmen der Betreuung greifen wir auf digitale Prozesse zurück. Die Unternehmen erhalten ein individuelles E-Mail-Postfach für Anfragen. Jede E-Mail wird automatisch in ein Ticketsystem eingepflegt und einem Verantwortlichen zugewiesen. Durch die automatische Erfassung der Anfragen können wir den Bearbeitungsstand genau nachvollziehen. Wir sind in der Lage, die gewünschten Service-Level zu gewährleisten und dies auf Wunsch nachzuweisen. Insbesondere stellen wir dank des Ticketsystems sicher, dass Auskunftsverlangen von Betroffenen zeitgerecht bearbeitet werden. Anfragen, die per Telefon oder über andere Wege an uns gerichtet werden, werden ebenfalls im Ticketsystem verwaltet.

Im Rahmen der Einarbeitung beginnen wir mit einem internen Datenschutzaudit. Die Überwachung der Einhaltung aller Bestimmungen des Schutzes personenbezogener Daten erfolgt auf Grundlage bewährter Audit-Prinzipien durch erfahrene Auditoren. Die Nachverfolgung von Nichtkonformität und Verbesserungspotenzialen erfolgt über unser Ticketsystem. Wir behalten so jede Aufgabe im Blick.

Alle Informationen aus unserer Arbeit können wir in einem eigenen Wiki zusammenfassen. Sowohl das Wiki als auch die Eingaben aus dem Ticketsystem dienen als Grundlage für unsere jährliche Berichterstattung.

Das Ticketsystem sowie das Wiki betreiben wir auf unserem eigenen virtuellen Server, der u. a. via VPN und mittels Netzwerkkonzept (inklusive Firewalls) abgesichert ist. Die Systeme sind nur aus unserer eigenen Office-Umgebung erreichbar. Dank einer VPN-Verbindung können wir jederzeit in den Systemen arbeiten. Die Zugriffsrechte werden nur für Personen vergeben, die unmittelbar in das Projekt eingebunden sind. Ihre Daten bleiben so vor unberechtigten Zugriffen geschützt. Unser Virtualisierungs- und Backup-Konzept sorgt zudem dafür, dass Informationen nicht verloren gehen.

 

Unser Leistungsangebot im Datenschutz

Wir arbeiten mit  festen Betreuungszeiten pro Monat, denn Datenschutz ist für uns nicht nur ein Feigenblatt. Die Zeiten werden Ihnen exklusiv zur Verfügung gestellt. Im Rahmen unserer Dienstleistung erbringen wir folgende Leistungen:

Unsere Tätigkeit als externe Datenschutzbeauftragte

Als externe Datenschutzbeauftragte übernehmen wir folgende Aufgaben (vgl. Art. 39 DSGVO):

    • Unterrichtung und Beratung der Geschäftsführungen und der Beschäftigten hinsichtlich der datenschutzrechtlichen Pflichten,
    • Beratung im Zusammenhang mit Datenschutz-Folgenabschätzungen und Überwachung der Durchführung von Datenschutz-Folgenabschätzungen,
    • Zusammenarbeit mit der Datenschutzbehörde,
    • Anlaufstelle für die Aufsichtsbehörde inklusive der der vorherigen Konsultation bei Datenschutz-Folgenabschätzungen,
    • Überwachung der Einhaltung des Datenschutzes im Rahmen eines jährlichen Datenschutz-Audits auf Grundalge eines Auditprogrammes,
    • Jährliche Berichterstattung gegenüber den Geschäftsleitungen in Form eines schriftlichen Berichts.
Unser Mehrwert: Fachliche Beratung zum Datenschutz und zur Datensicherheit

Wir beraten Sie in allen Fragen des Datenschutzes auch über die gesetzlichen Anforderungen der DSGVO hinau. Hierbei bewerten wir Ihre spezifischen Sachverhalte und unterstützen bei der Lösungsfindung. Unsere Unterstützung beinhaltet:

    • die Überprüfung von Verarbeitungsvorgängen auf die Einhaltung der rechtlichen Vorgaben zum Datenschutz und zur Datensicherheit;
    • die Schulung der mit dem Umgang mit personenbezogenen Daten befassten Mitarbeiter des Auftraggebers bezüglich der Erfordernisse des Datenschutzes;
    • die Beratung bei der Durchführung der Datenschutz-Folgenabschätzung von Verarbeitungen, die voraussichtlich hohe Risiken für Rechte und Freiheiten von betroffenen Personen haben (Art. 35 DSGVO);
    • die Mitwirkung bei der Erstellung betrieblicher Anweisungen und Richtlinien zum datenschutzkonformen Umgang mit personenbezogenen Daten, etwa hinsichtlich des Umgangs mit E-Mail und Internet am Arbeitsplatz;
    • die Wahrnehmung von Besprechungen und anderen Terminen, z. B. bei Ihren Kunden;
    • die Durchführung von Vor-Ort-Prüfungen („Audits“) bei Subunternehmern, Vorlieferanten oder anderen für den Auftraggeber tätigen Dienstleistern, insbesondere die Durchführung von Kontrollen im Rahmen von Auftragsverarbeitungsverhältnissen i. S. v. Art. 28 DSGVO;
    • alle Tätigkeiten im Zusammenhang mit Sachverhalten betreffend Verletzungen des Schutzes personenbezogener Daten („Datenschutzverletzungen“, Art. 4 Nr. 12 DS-GVO, Art. 33 DSGVO), einschließlich vorbeugender Maßnahmen zur Verhinderung und vorbereitender Maßnahmen im Hinblick auf adäquate Reaktionen;
    • die Beantwortung konkreter Anfragen von Beschäftigten oder der Unternehmensleitung zum Datenschutz jenseits des Tagesgeschäfts (z. B. datenschutzrechtliche Machbarkeit neuer Geschäftsmodelle);
    • die datenschutzrechtliche Beurteilung von konkreten Marketing-, Werbe- oder Vertriebsmaßnahmen (z. B. Durchführung von Gewinnspielen) sowie
    • den Aufbau, die Bewertung oder Fortentwicklung eines etwaig vorhandenen, umfassenden Datenschutzmanagementsystems oder Teile desselben z. B. auf Basis der ISO 27701.

Aktuelle Beiträge

Informationssicherheit & Datenschutz

IT-Sicherheit in Krankenhäusern – Update: das ändert sich ab 2022

Seit dem 01.01.2021 gilt das neue Patientendaten-Schutz-Gesetz, kurz PDSG nunmehr. Wie wir bereits 2020 berichtet haben, enthält es viele Neuerungen in Bezug auf die Digitalisierung des Gesundheitswesens, wie z.B. die Einführung der elektronischen Patientenakte oder des E-Rezept, es kommen damit...
weiterlesen

IT-Sicherheitsgesetz 2.0 – Systeme zur Angriffserkennung

hh beaIm April 2021 hat der Deutsche Bundestag das „IT-Sicherheitsgesetz 2.0“ beschlossen, welches neben zahlreichen weiteren Änderungen u.a. vorsieht, dass Betreiber Kritischer Infrastrukturen (KRITIS) künftig (IT-)Systeme zur Angriffserkennung verwenden müssen. Update am 11.10.2022: In einem...
weiterlesen

Über die Qualität von Datenschutzbeauftragten

Wissen Sie, was ein Datenschutzbeauftragter alles machen kann – und was er machen muss? Um die DSGVO umzusetzen, haben sich viele Unternehmen einen externen Datenschutzbeauftragten ins Haus geholt. Einige Unternehmen sind dazu sogar gesetzlich verpflichtet. Hier erfahren Sie, wie man die Qualität...
weiterlesen

Kontakt aufnehmen

Wir erstellen Ihnen ein maßgeschneidertes Angebot in kurzer Zeit.

ANFRAGE

Beschreiben Sie Ihre Herausforderung per Mail oder rufen Sie uns an.
Wir unterstützen Sie gerne!

ABSCHÄTZUNG

In einem Telefonat konkretisieren wir eine mögliche Zusammenarbeit, stecken Ziele und die wichtigsten Eckpunkte ab.

ABLAUF

Wir erarbeiten gemeinsam
einen Fahrplan und wählen
nach Ihren aktuellen
Ressourcen und Rahmenbedingungen aus.

ANGEBOT

Wir erstellen daraus ein auf Sie zugeschnittenes Angebot und vermitteln die fachlich & persönlich passende/n Berater/innen aus unserem Berater/innennetzwerk.

Jetzt anfragen
Wir benutzen technisch notwendige Cookies um die Funktionsfähigkeit unserer Webseite zu gewährleisten und die Nutzerfreundlichkeit der Webseite zu verbessen. Klicken Sie auf den Button für mehr Informationen.
Weitere Informationen