IT-Sicherheit und Datenschutz

Für Unternehmen sind die vielfältigen Risiken, die sich aus dem stetig steigenden Grad an IT-Durchdringung, der Digitalisierung und nicht zuletzt auch der immer umfangreicheren Compliance- und Nachweispflichten ergeben, nur schwierig zu beherrschen. Ein adäquates Niveau an Informationssicherheit (ISEC) kann dabei helfen, den vielfältigen Bedrohungen für Ihr Unternehmen entgegen zu treten. Dabei setzt LEXTA den Fokus auf ein pragmatisches Vorgehen, die Besonderheiten Ihres Unternehmens und Ihres Marktumfeldes, mit dem Ziel, den für Sie passenden Umfang an notwendigen Maßnahmen zu etablieren. Mit unserer Erfahrung aus einer Vielzahl an ISEC-Projekten, auch im KRITIS-Umfeld, können wir unseren Teil dazu beitragen, Ihr Unternehmen bereit für die Risiken der Zukunft zu machen. Unsere Stärke ist der „Blick über den Tellerrand“ – wir glauben, dass Informationssicherheit nicht nur die IT-Sicherheit, sondern auch alle Informationen eines Unternehmens und die Sicherheit von Operational Technology / Prozess-IT umfassen muss und unterstützen unsere Kunden auch, Informationssicherheit bei den sich aus der zunehmenden Digitalisierung ergebenden Herausforderungen zu integrieren.

Unsere Leistungen zum Thema IT-Sicherheit im Überblick:

Die Anforderungen der internen Stakeholder, die Einflussfaktoren der Umwelt und die bisherige Ausgestaltung der IT eines Unternehmens sind wichtige Faktoren für die IT-Strategie und werden berücksichtigt.

LEXTA IT-Sicherheit Prozess

Planung der IT-Sicherheit

Nur eine ISEC-Strategie, die an den konkreten Anforderungen des Unternehmens ausgerichtet ist, kann die Basis für eine Implementierung passender Maßnahmen zur Sicherstellung eines passenden Niveaus an Informationssicherheit sein. Im Rahmen unserer Unterstützung gehen wir dabei auf eine Vielzahl an Einflussfaktoren, u. a. aus dem Marktumfeld, Vorgaben der Gesetzgeber oder von Ihren Kunden und Lieferanten ein. Ziel ist die Schaffung eines einheitlichen Bewusstseins für Informationssicherheit im Unternehmen und die Definition von Richtlinien für die Mitarbeiter zur Umsetzung der strategischen Vorgaben, z. B. für die Implementierung eines Risikomanagements.

Dabei können Sie auch auf unsere Expertise im Rahmen von IT-Sicherheits-Benchmarks, dem Vergleich des jeweiligen Reifegrades im Vergleich mit anderen Unternehmen, und auf die Kosten-Nutzen-Bewertung von bereits in Ihrem Unternehmen etablierten ISEC-Maßnahmen zurückgreifen.

Unser Leistungsportfolio umfasst auch die Durchführung von Management-Workshops zu aktuellen IT-Sicherheits- und Datenschutzthemen.

Weiterhin unterstützen wir Verantwortliche für IT-Sicherheit (CISO) bei der Etablierung und Anpassung der passenden ISEC-Governance (Organisation, Rollen, Gremien und Prozesse) und führen CISO-Coachings durch.

Einführung eines IT-Sicherheitsmanagement-Systems nach ISO 27001

LEXTA hat bisher in über 50 Projekten für Klienten verschiedener Branchen die Einführung eines Informationssicherheitsmanagement-Systems (ISMS) nach ISO 27001 unterstützt. Dabei greifen wir auch auf die Expertise unserer Mitarbeiter und Dritter aus der Durchführung von ISO-27001-Audits und dem Austausch mit Behörden und Zertifizierungsinstitutionen zurück, um die Einführung an aktuellen Marktstandards und den konkreten Bedarfen auszurichten. Unser Vorgehen besteht aus fünf Phasen:

  1. Vorbereitung und Ist-Aufnahme
  2. Diese Phase beinhaltet eine Spiegelung der bei Ihnen vorhandenen Dokumentationen, Maßnahmen und Prozesse gegen die Anforderungen der Norm und einer Analyse u. a. auf Vollständigkeit, Richtigkeit und Marktüblichkeit. Gleichzeitig definieren wir zusammen mit unseren Kunden auch die grundlegenden Eckpfeiler der ISEC-Strategie.

  3. Ermittlung Anpassungsbedarf
  4. Anschließend wird mit Hilfe einer Gap-Analyse die bestehenden Abweichungen identifiziert und der Anpassungsbedarf zusammen mit einem Maßnahmenplan festgelegt.

  5. Herstellung Konformität zur Norm
  6. Im Anschluss werden die identifizierten Lücken auf Basis des Maßnahmenplans zusammen mit unseren Kunden geschlossen, wie beispielsweise die Erstellung eines Asset-Verzeichnisses, eine Aktualisierung der Risikoanalyse oder die Erstellung einer IT-Sicherheitsdokumentation. Dabei greifen wir auf bewährte Best Practices und LEXTA-Vorlagen zurück, um ein effizientes und pragmatisches Vorgehen sicherstellen zu können.

  7. Durchführung Vor-Audit
  8. Nach der Etablierung des ISMS und der Herstellung der Normkonformität führen wir in enger Zusammenarbeit mit den Ansprechpartnern und Verantwortlichen eine „Generalprobe“ für die eigentliche Zertifizierung durch (Vor-Audit). Dabei berücksichtigen wir auch die spezifischen Anforderungen der Prüfer und können so vor dem eigentlichen Zertifizierungsaudit auch die wesentlichen Herausforderungen meistern.

  9. Zertifizierung
  10. Ist der Vor-Audit nach Plan abgelaufen, wird mit den relevanten Ansprechpartnern im Voraus eine Informationsveranstaltung stattfinden, um Ihr Unternehmen auf das Zertifizierungsaudit vorzubereiten. Wir unterstützen unsere Kunden dabei im Hintergrund und sichten und bewerten den abschließenden Prüfbericht. Sollte es dabei Abweichungen von der Norm geben, hilft LEXTA selbstverständlich beim anschließenden Abstellen der Abweichungen.

Sicherstellung der Kontinuität des ISMS

Die Herausforderungen für Unternehmen und die damit einhergehenden Risiken ändern sich häufig; LEXTA kann Sie auf vielfältige Weise dabei unterstützen, die Informationssicherheitsmaßnahmen stets auf einem aktuellen Stand zu erhalten. Im Rahmen von Audits und Revisionen können wir Anpassungsbedarfe eines ISMS schnell und effizient ermitteln und abstellen, dabei können wir Sie auch unterstützen, Ihre ISEC-Dokumentation zu aktualisieren und an Best-Practices auszurichten. Gleichzeitig sind wir in der Lage, durch eine Schwachstellenanalyse die technischen Maßnahmen der IT-Sicherheit auf ihre Angemessenheit zu überprüfen. Gleichzeitig kann Ihr Unternehmen der zunehmenden Anzahl von nicht-IT-getriebenen Angriffen, wie etwa einem sog. „CEO-Fraud“, durch Social Engineering-Tests begegnen. Dabei versuchen wir, ausgehend von der Sammlung von Informationen, durch geschickte Gesprächsführung und entsprechende Aktivitäten ein vorher vereinbartes Ziel zu erreichen – so sind Sie in der Lage, für Ihr Unternehmen eine individuelle Bewertung der jeweiligen Maßnahmen und der entstehenden Anpassungspotenziale zu erhalten.

Business Continuity Management

Überflutungen, ein massiver Hacker-Angriff oder ein Brand im Rechenzentrum: die möglichen Gefahren für ein Unternehmen können schnell bedrohliche Ausmaße annehmen. Damit Sie für einen solchen Notfall gut vorbereitet sind, unterstützt LEXTA in der Etablierung eines entsprechenden Geschäftsfortführungsplans (Business Continuity Management). Dabei entwickeln wir zusammen mit Ihnen die notwendigen Strategien, Pläne und Prozesse, auf die Sie im „Falle des Falles“ zurückgreifen können, um das Unternehmen vor nachhaltigen Schäden zu bewahren und Ihre Geschäftsprozesse fortführen zu können. Die systematische Vorbereitung wird durch unser erprobtes Vorgehen und Templates optimal auf die Spezifika Ihres Unternehmens zugeschnitten. Dabei können wir auch entsprechende Ausweichszenarien im Not- und Katastrophenfall zusammen mit Ihnen entwickeln und im Rahmen von Übungen erproben. Verbunden damit sind auch Prüfungen von End-to-End-Verfügbarkeiten Ihrer Systeme möglich, um entsprechende Schwachstellen identifizieren zu können, diese abzustellen und dadurch Ihre Handlungsoptionen zu verbessern.

Einführung und Prüfung eines IKS zur Datenschutz-Compliance

Die ab Mai 2018 anzuwendende Datenschutz-Grundverordnung (DS-GVO) legt für Datenschutzverstöße wesentlich größere Bußgelder fest als das bisherige Bundesdatenschutzgesetz. Neben diesen finanziellen Risiken entstehen für Unternehmen bei solchen „Data Breaches“ auch häufig Reputationsschäden. Mit Hilfe von LEXTA können sich Unternehmen auf die Anforderungen des Datenschutzrechts einstellen und ein spezifisch angepasstes Internes Kontrollsystem (IKS) für den Datenschutz etablieren.

  1. Scoping und Standortbestimmung
  2. Im Rahmen der ersten Phase wird der Betrachtungsumfang des IKS festgelegt und etwaige Rahmenbedingungen sowie die Datenschutzstrategie definiert. Außerdem werden bereits vorhandene Dokumentationen, Maßnahmen und Prozesse gesichtet, analysiert und bewertet. In Abstimmung mit den definierten Ansprechpartnern deckt LEXTA jegliche Normabweichungen und daraus resultierende Anpassungsbedarfe auf. Anhand der Anpassungsbedarfe werden gemeinsam mit Ihnen die Arbeitspakete und eine Roadmap zur Umsetzung definiert.

  3. Etablierung des IKS und Herstellung der Compliance zur DS-GVO
  4. Auf Basis des entstandenen Maßnahmenkatalogs kann zu Beginn der zweiten Phase ein detaillierter Umsetzungsplan erstellt werden. Folgend beginnt die Etablierung eines risikobasierten Datenschutz-Managementsystems auf Basis der Ziele Transparenz und Angemessenheit, welche parallel zu der Umsetzung der definierten Maßnahmen stattfindet. Dabei unterstützen wir Sie auch beim Aufbau der notwendigen Prozesse und Inhalte, z. B. für die Risikoanalyse und die Datenschutz-Folgeabschätzung.

    Alle notwendigen Dokumente können auf Basis von erprobten LEXTA-Vorlagen und -Checklisten erstellt und aktuell gehalten werden.

  5. Nachweis Compliance inkl. Sicherstellung Kontinuität
  6. Der Nachweis der Compliance kann anschließend durch ein Audit durch LEXTA erfolgen, um die korrekte Umsetzung der Vorgaben und Maßnahmen im Unternehmen zu prüfen und ggf. vorhandene Mängel zu beheben.

Mehr zum Thema