Expertenwissen für ganzheitliche IT-SicherheitObjektive Bewertung der IT-Sicherheit als Ausgangspunkt
9. Mai 2019Als Zusammenschluss der Unternehmen Secion GmbH, die Consectra GmbH und die Allgeier ONE AG präsentiert sich die „Allgeier CORE“ den Informationssicherheits- und IT-Markt. Mit von der Partie beim neu gegründeten Unternehmen ist auch die GRC Partner GmbH, die das Portfolio mit ihrer Compliance Management Software DocSetMinder sowie Know-how im Bereich Governance, Risk & Compliance (GRC) ergänzt. Dabei legt man bei Allgeier CORE großen Wert auf eine kontinuierliche Verbesserung der Security-relevanten Prozesse in den Anwenderunternehmen. Zudem steht über das Ratingcy-Konzept eine objektive Vergabe eines Security Ratings in Bezug auf die IT-Sicherheit von Unternehmen bereit.
Die Zunahme von Cyber-Bedrohungen mit immer perfideren und gezielteren Angriffsmethoden der Cyber-Kriminellen erfordert geeignete Konzepte und wirkungsvolle Gegenmaßnahmen. Mit den wachsenden Anforderungen steigt auch die Nachfrage nach individuell abgestimmten Lösungen. Denn Unternehmen müssen bei ihrer Security-Strategie vielschichtiger und umfassender agieren als zuvor, um alle sicherheitsrelevanten Aspekte ganzheitlich abzudecken.
Dazu bedarf es eines umfassenden und kontinuierlichen IT-Sicherheitsprozesses im Unternehmen. Genau hier setzt Allgeier CORE an. Das Unternehmen vereint erfahrene Experten aus den Bereichen IT-Sicherheit, GRC, Awareness sowie IT-Forensik und deckt mit Consulting, Operations sowie Response & Emergency (CORE) die steigenden Beratungsanforderungen des Security-Marktes vollumfänglich ab.
Getreu des Mottos „Comprehensive IT Security“ assistiert Allgeier CORE bei der Beratung, Planung, Entwicklung und Umsetzung der individuellen Sicherheitsstrategie von Anwenderunternehmen. Initial identifizieren die Experten beispielsweise mit Hilfe von Penetrationstests und Schwachstellenmanagement die bestehenden IT-Sicherheitslücken. Darüber hinaus berät und schult Allgeier CORE die Unternehmen hinsichtlich Sensibilisierung ihrer Mitarbeiter in Bezug auf anstehende Gefährdungen.
Neben umfassender Beratung zu GRC-Konzepten entwickeln die Consultants passgenaue IT-Sicherheitslösungen und begleiten den gesamten Implementierungsprozess. Unabhängig davon, welchen Bereich die Kunden als Einstieg in den Beratungsprozess wählen, verfolgt Allgeier CORE das Ziel, eine umfassende und kontinuierliche Security-Strategie zu etablieren, um mit präventiven Maßnahmen die firmeninterne IT-Sicherheit kurzfristig zu gewährleisten und vor allem langfristig zu erhalten. So sind Unternehmen in der Lage, bei Sicherheitsvorfällen schnell und professionell zu reagieren und wirksame Gegenmaßnahmen einzuleiten. Allgeier CORE arbeitet dazu mit Herstellern wie z. B. Clavister, Rapid7, F-Secure und Sophos zusammen.
Folgende Aktivitäten spielen beim „Comprehensive IT Security“-Konzept von Allgeier CORE zusammen:
- Objektive Bewertung der Informationssicherheit von Unternehmen durch Risikoanalysen (RATINGCY Online-Portal),
- Erhöhung der organisatorischen IT-Sicherheit durch IT-Notfallplanung,
- Beratung hinsichtlich der Anforderungen des BDSG sowie Umsetzung von Datenschutzrichtlinien mittels Compliance Management Software DocSetMinder,
- Einführung und Gestaltung von Information Security Management Systems (ISMS) nach IT-Grundschutz (BSI), ISO/IEC 27001 oder ISIS12,
- Schutz von Industrienetzen gegen Schadsoftware und Hackerangriffe,
- Identifizierung von IT-Sicherheitslücken durch Penetrationstests und Schwachstellenmanagement,
- automatisierte Gefahrenerkennung durch UBA (User Behavior Analytics),
- Mitarbeitersensibilisierung durch Awareness-Trainings und Live Hackings,
- Beratung hinsichtlich Netzwerksicherheit, Data Loss Prevention, Incident Response, E-Mail-Sicherheit, Intrusion Detection Systeme (IDS) und Endpoint Protection bis hin zu einem effektiven Mobile Device Management,
- effiziente Analyse und Reaktion bei Sicherheitsvorfällen mittels Incident Response Services (CERT) sowie
- digitale Live-Forensik, Post-Mortem-Forensik sowie forensische Dienstleistungen für die Beweissicherung bei Sicherheitsvorfällen – auch für Behörden.
Bewertung der IT-Sicherheit
Bei der Ratingcy handelt es sich um eine Cyber Security Rating-Agentur, die auf Basis der Vergabe eines Security Ratings die IT-Sicherheit von Unternehmen objektiv bewertet. Sie soll der Nachfrage vertikaler Märkte zur Bewertung der IT-Sicherheit von Unternehmen Rechnung tragen. Spätestens seit Inkrafttreten des IT-Sicherheitsgesetzes im Mai 2015 hat die verbindliche und vergleichbare Beurteilung der Cyber-Sicherheitsfähigkeiten von Unternehmen neue Dringlichkeit erfahren.
Dazu setzt Ratingcy in seiner „Rating Stufe Standard“ auf ein zweistufiges Verfahren, um ein einheitliches und vergleichbares Security Rating zu erstellen. Im ersten Schritt findet eine technische IT-Sicherheitsüberprüfung statt. Der zweite Teil der Sicherheitsbewertung beinhaltet ein organisatorisches Security Audit, das an die Vorgaben des IT-Grundschutzes sowie an die ISO-Norm 27001/2 angelehnt ist. Die beiden Teilergebnisse verrechnet Ratingcy nach einem transparenten Verfahren. Als finales Ergebnis erhalten Unternehmen unter anderem einen „Risk Score“ sowie ein Ratingcy-Ergebnisdiagramm, aus dem der Wert der IT-Sicherheit des Unternehmens im Vergleich zum Branchendurchschnitt abgelesen werden kann. (rhh)