Frank Gerber
Cyberkriminalität ist ein großes Geschäft. Selbst der kleinste Angriff kann enormen Schaden am Ruf Ihres Unternehmens, der Produktivität sowie den IT-Systemen verursachen. Sie müssen sich bewusst sein: jedes Unternehmen oder jede Organisation (vom Kleinunternehmen bis zum multinationalen Unternehmen), ob groß oder klein, kann eines Tages Opfer werden. Vorbereitet sein und den Schaden begrenzen: das ist die Botschaft.
Durch unsere Experten im Fachbereich IT & Controls Assurance bieten wir Ihnen mit unseren Prüfungs- und Assuranceleistungen Unterstützung in den folgenden Bereichen an:
Audits for Network and Operating System Security:
Im Rahmen unserer Tätigkeiten im Bereich Cyber Security bieten wir Ihnen Prüfungen auf hohem technischen Niveau an. Unsere Experten stehen Ihnen für die folgenden Themen gerne zur Verfügung:
- Aufnahme und technische Detailprüfungen von Konzepten und Maßnahmen zur Absicherung von Netzwerkinfrastrukturen (u. a. Firewalls, Intrusion Detection System).
- Aufnahme und technische Detailprüfungen von Konzepten und Maßnahmen zur Absicherung von Windows-basierten Serversystemen und Active Directory Domänen (u. a. Systemkonfigurationen, Zugriffssicherungen, Verwaltung von Benutzer-/Gruppenkonten, Group Policy Objects, Share-/NTFS-Berechtigungen, Patch-/Updatemanagement).
- Aufnahme und technische Detailprüfungen von Konzepten und Maßnahmen zur Absicherung von Unix-/Linux-basierten Serversystemen (u. a. Systemkonfigurationen, Verwaltung von Benutzer-/Gruppenkonten, Dateisystemsicherheit, NFS-Shares, System-/Netzwerkdienste, Patch-/Updatemanagement).
Penetrationstest
Wir bieten unseren Mandanten Penetrationstests an, die einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke unabhängig von deren Größe beinhalten. Der Penetrationstest verwendet Sicherheitsscansoftware und Tools/Mittel, die ein potenzieller Angreifer ("Hacker") anwenden würde, um unautorisiert in ein System einzudringen (Penetration).
Der Penetrationstest ermittelt somit Schwachstellen des definierten Systems gegen derartige Angriffe, die im Anschluss gezielt geschlossen werden können.
Prüfung der IT-Sicherheit basierend auf IDW PS 860 i.V.m. IDW PH 860.2
Aktuell hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Hinweise zur Umsetzung der Kriterien des § 8a Abs. 1 BSIG für die Beurteilung der Informationssicherheit bei Betreibern Kritischer Infrastrukturen veröffentlicht. Dieser Anforderungskatalog stellt eine Konkretisierung des § 8a Absatz 1 BSIG durch das BSI dar und beinhaltet aus der Sicht des IDW geeignete Kriterien für eine sachgerechte Prüfung der eingesetzten Sicherheitsvorkehrungen, um die geforderten Prüfungsnachweise gegenüber dem BSI erbringen zu können.
Der IDW Prüfungshinweis „Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß § 8a Abs. 1 BSIG umzusetzenden Maßnahmen“ (IDW PH 9.860.2) basiert auf diesem Anforderungskatalog des BSI. Er konkretisiert die Anwendung der Grundsätze des IDW PS 860 in Bezug auf die Prüfung von Betreibern Kritischer Infrastrukturen durch den Berufsstand. Wirksamkeitsprüfungen nach IDW PH 9.860.2 eignen sich aus der Sicht des BSI im besonderen Maße, um die geforderten Prüfungsnachweise gemäß § 8a Abs. 3 BSIG erbringen zu können.
Unsere Spezialisten verfügen über Projektexpertise in der Durchführung der sog. „§ 8a-Audits“ und unterstützen Sie gerne.
Prüfung der Cybersecurity basierend auf IDW PS 860 PH 860.3
Cloud Computing ist durch ein hohes Maß an Standardisierung der erbrachten Dienstleistung und der zugrunde liegenden IT-Systeme charakterisiert und erfordert daher ein hohes Maß an Vertrauen durch den Cloud-Kunden in den Cloud-Anbieter.
Unsere Prüfungen erfolgen angelehnt an den IDW Prüfungshinweis IDW PH 9.860.3.
Dieser IDW Prüfungshinweis: „Die Prüfung von Cloud-Diensten (IDW PH 9.860.3)“ konkretisiert die Anwendung der Grundsätze des IDW PS 860 in Bezug auf die Prüfung von Cloud-Diensten. Für das Servicemodell Infrastructure as a Service (IaaS) referenziert der IDW PH 9.860.3 auf den "Anforderungskatalog Cloud Computing (C5)" des BSI. Für die Servicemodelle Platform as a Service (PaaS) und Software as a Service (SaaS) enthält der IDW PH 9.860.3 ergänzende Anforderungen.