WERTSTEIGERUNG durch Prävention in der INFORMATIONSSICHERHEIT

Notwendigkeit: Informationssicherheit
IST IHR Job sicher?

Viele Manager haben in Folge der aktuellen Angriffe auf die Informationswerte von Unternehmen ihren Job verloren.

Ein kürzlich erstellter Report der Nasdaq berichtet, dass 91 Prozent der Vorstandsmitglieder von Unternehmen, die für die Grundversorgung der Bevölkerung wichtig sind, einen Cyber Security-Bericht nicht interpretieren können.

Das ist nicht verwunderlich: Die Bedrohungen der Sicherheit Ihrer Informationswerte werden immer komplexer, die Strategien der Angreifer immer innovativer und damit schwerer zu erfassen, zu analysieren und zu beheben.

Was kann Performance Dock für Ihre Sicherheit tun?

Unser zertifiziertes Team aus Juristen, Informatikern und IT-Architekten kennt aus langjähriger Erfahrung die Bedrohungsszenarien Ihrer Branche sowie die gesetzlichen Anforderungen. Aus einer Hand entwickeln wir gemeinsam mit Ihnen zukunftweisende Strategien und Vorgehensweisen, um die Informationswerte Ihres Unternehmens vor Angriffen zu schützen und setzen diese Strategien fachlich und organisatorisch für Sie und mit Ihnen um.

Wir implementieren oder optimieren Ihr ISMS (Information Security Management System), so dass Sie über einen zertifizierbaren Nachweis über die Qualität Ihrer Schutzmaßnahmen und deren kontinuierliche Verbesserung verfügen.

Unsere Auditoren begleiten Sie bis zur Zertifizierung und stellen Ihnen regelmäßig umfangreiche Sicherheitsreports zur Verfügung, einschließlich der Interpretation und der Bedeutung der Messergebnisse für Sie als Entscheider.

Bei Performance Dock erhalten Sie alle Leistungen aus einer Hand, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten zu schützen. Wir implementieren diesen Schutz für Sie und verbessern ihn kontinuierlich.

Wir verbinden Organisation und Management mit tiefer technischer und fachlicher Expertise.

Namhafte Unternehmen vertrauen bereits auf uns. Gerne informieren wir Sie über erfolgreiche Referenzprojekte.

Warum Sie heute aktiv werden sollten?

Ihr Arbeitsumfeld als Führungskraft wird jeden Tag komplexer. 
Ihre Informationswerte werden im Rahmen der Digitalisierung der Organisationen noch leichter angreifbar.

Die Vielzahl von aktuell dokumentierten Informationssicherheitsvorfällen zeigt, dass die Zeit nicht für sondern gegen Informationssicherheit spielt.

Schicken Sie uns eine Nachricht an info@performance-dock.com und wir melden uns umgehend bei Ihnen.

Ihre Mehrwerte

  • Gewinnen Sie Vertrauen und Sicherheit durch ein zertifizierbares ISMS
  • Erschließen Sie sich ggf. neue Kundensegmente (die Sie ohne nachweisbare Sicherheitskonzepte nicht hätten bedienen können)
  • Verschlanken Sie Ihre Prozesse, als Nebeneffekt der Sicherheitsanalysen
  • Schaffen Sie sich die Möglichkeit agiler Reaktion bei Angriffen auf die digitalisierten Unternehmensprozesse und damit die Vermeidung vom Ausfall der Sensorik, von falschen Entscheidungen im Cognitive Computing oder von IoT Ausfällen
  • Schützen Sie sich vor dem Verlust Ihrer Reputation durch Schutz vor Integritätsverletzungen wie z.B. Kraftwerksausfall durch gefälschte Sensor-Daten, Verhinderung der Fälschung von Behandlungsdaten…
  • Nutzen Sie unsere Kompetenz:
    Alle Mitglieder unseres Beraterteams sind unter anderem vom Deutschen TÜV als Auditoren für Informationssicherheit gem. ISO/IEC 27000 nach EN ISO 19011 zertifiziert worden. Wir bringen Sie sicher bis zur Zertifizierungsreife oder zum Zertifikat

 

Öffentlich bekannte Informationssicherheitsvorfälle

Ein kürzlich erstellter Report der Nasdaq berichtet: „… dass 91 % der Bord Mitglieder der verletzlichsten Unternehmen einen Cyber Security Bericht nicht interpretieren können“
Nach einer Studie des Ponemon Institute betragen die durchschnittlichen Kosten eines eingetretenen Informationssicherheitsproblems ca. $ 3.8 Millionen.

  • Wanna Cry Cyber-Attacke, Mai 2017
    Erpressungs-Trojaner „Wanna Cry“ greift weltweit um sich und legt Windows-Rechner lahm.
    Wanna Cry“ ist ein Ransomware-Virus (Erpresser-Virus). Dieser missbraucht eine von der NSA ausgenutzte Sicherheitslücke, die nach entsprechenden Leaks eigentlich gestopft wurde.
    Das Virus blockiert zunächst Computersysteme und verlangt dann Geldzahlungen, um die Blockade wieder aufzuheben.
    Die Liste der Geschädigten ist lang:

    • Zahlreiche Krankenhäuser in England.
    • Deutsche Bahn.
    • Russische Regierung.
    • Telefónica.
    • etc.
  • Österreichs FACC AG (ehemals Fischer Advanced Composite Components) Finanzvorstand Minfen Gu und Vorstandsvorsitzender Walter Stephan mussten gehen, Februar 2016
    „Als Ziel des Cyberbetrugs, feuerte der riesige Luftfahrtzulieferer FACC seinen CEO Walter Stephan und seinen CFO Minfen Gu nach einem Angriff, der die Firma 50 Million Euro kostete, was 12% des Ertrages im Dritten Quartal entsprach. Der Umfang der Konsequenzen, wie Anzahl der kompromittierten Datensätze oder Summe verloren Geldes, stellt häufig die strafende Reaktion dar, selbst wenn alles andere unverändert geblieben ist. FACC Aktien stiegen nach der Ankündigung der Entlassung der Vorstände.“
  • T-Mobile/Experian, Oktober 2015
    „Daten von 15 Million T-Mobile Kunden wurden kompromittiert, als deren Informationen, die auf einem Experian Server untergebracht waren, in den Zugriff von böswilligen Parteien kamen. Obwohl es ein Sicherheitsmangel von Experian war, der die Panne ermöglichte, sieht sich T-Mobile dennoch Rechtsverfahren für den Vorfall ausgesetzt, weil sie „die Zivilkläger im Glauben ließen, dass ihre vertrauliche Information geschützt seien.“ Die meisten Kunden glauben, dass sie eine angemessene Erwartung an Datenschutz haben, wenn sie professionelle Dienste in Anspruch nehmen. Die Nichterfüllung der Datensicherheit kann unter bestimmten Bedingungen als Vertragsbruch gedeutet werden. “
  • Sony, April 2011
    • Hacker nutzen eine bekannte Schwachstelle der für das Playstation Network verwendeten Web Applikation Server Plattform
    • 77 Millionen Kundendaten gestohlen, Playtstation Network 23 Tage offline
    • 170 Millionen US$ direkte Kosten (ca. 1% der Marktkapitalisierung)
  • HBGary Federal Vorstandsvorsitzender Aaron Barr zurückgetreten, März 2011
    „HBGary Federal, jetzt operierend als CounterTack nachdem die Firma von eben dieser in 2015 übernommen wurde, ist bekannt geworden durch einen weithin publizierten Wortwechsel mit der Hackergruppe Anonymous, in welchem tausende der privaten eMails der Firma kompromittiert und online gestellt wurden nachdem man für sich in Anspruch nahm Anonymous infiltriert zu haben. Diese verhängnisvolle Serie von Ereignissen führte zum Rücktritt des CEO Aaron Barrs und die Vernichtung von HBGary Federal’s Ruf als Sicherheitsfirma.“
  • RSA (EMC-Tochter), März 2011
    Mitarbeiter öffnet Phishing-Mail, Installation einer Backdoor im Mitarbeiter-PC durch Ausnutzen einer bis dahin unbekannten Flash-Schwachstelle Daten zu SecureID-Token-System in unbekanntem Ausmaß gestohlen, Ausnutzung dieser Daten bei späteren Angriffen u.a. auf Lockheed Martin 63 Millionen US$ direkte Kosten
  • HMRC (Britische Steuerbehörde), 2007
    • Mitarbeiter versenden Daten aller britischen Kindergeldempfänger auf CD; die
    • Sendung kommt nie an
    • Verbleib der Personen- und Kontodaten von 7,25 Millionen Familien unklar
    • Schatzkanzler bleibt, Vorsitzender der Steuerbehörde nimmt seinen Hut
  • Barings Bank, 1993-1995
    • Trader Nick Leeson manipuliert die Berichtsdaten seiner Futures- und Optionsgeschäfte
    • Verluste bleiben unentdeckt, bis ein Schaden von 827 Mio. Pfund entstanden ist (berichtet werden Gewinne von 56 Mio. Pfund)
    • Barings Bank erklärt Bankrott, wird für den symbolische Preis von 1 Pfund von der ING Group übernommen
  • Magnolia, 2009
    • Datenbank aufgrund eines Festplattenfehlers korrumpiert
    • Wiederherstellung des Backups erfolglos
    • Ca. 500GB Dienst- und Kundendaten verloren
    • Einstellung des Betriebs

Nachweise der Vorfälle auf Anfrage

 

Handlungsfelder & Umsetzung

Viele Unternehmen müssen heute schon nachweisen können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben. Wurden die ausgeführten Vorkehrungen an ISO 27000 oder BSI Grundschutz ausgerichtet, so fällt es leichter, diese Vorkehrungen im Schadensfalle plausibel darzulegen.

Ihre Handlungsfelder

  1. Organisatorische und technische Beratung zur Erstellung und Umsetzung von ganzheitlichen Sicherheitskonzepten
  2. Einführung und Betreuung von ISMS Systemen (Information Security Management Systemen – Schwerpunkt ISO 27000, ISO 27019 und BSI Grundschutz), Dokumentation, Ausarbeitung, Durchführung und Implementierung
  3. Konzeption und Durchführung von Informations-Sicherheits Audits inkl. Vorbereitung von Zertifizierungen
  4. Organisatorische und technische Behebung von Schwachstellen beim Schutz Ihrer Unternehmenswerte bezüglich Information
  5. Datenschutz: technisch-organisatorische Beratung zur Umsetzung der Anforderungen gemäß BDSG, EU-DSGVO
  6. Prozessmanagement und Optimierung: Analyse, Definition und Implementierung der Prozessverbesserungen
  7. Konzepte für die Kommunikation nach innen und aussen zu Ihren Stakeholdern
  8. Schulungen, Coaching und Interimsmanagement in den vorangestellten Bereichen
  9. IT-Projektmanagement, ITIL, Prince 2 etc.

unser Modulares Angebot

  1. Reifegradanalysen der Informationssicherheit in Ihrem Unternehmen
  2. Workshops zu Best Practices in der Informationssicherheit
  3. Ausrichtung der Informationssicherheit an Ihren Business-Zielen.
    Beschreibung, Klassifizierung und Evaluierung der Informations-Werte Ihres Unternehmens
  4. Risikoanalysen, inkl. Bedrohungsanalyse, Schutzbedarfsanalyse, Ableitung von Sicherheitsmaßnahmen, Kontrolle der Durchführung, Reporting
  5. Auditierung und Optimierung bestehender Information Security Management Systeme, auch bei Ihren Lieferanten
  6. Inhaltliche Anpassung und Neuverhandlung Ihrer Lieferanten- und Dienstleisterverträge bezüglich Ihrer Anforderungen an Information Securitye
  7. Prozesshärtung, z.B. Integration der Security-Anforderungen in die Unternehmensprozesse, Kontrolle der Umsetzung, Anpassung der Prozesse in Kerngeschäft, Verwaltung und Informationsverarbeitung
  8. Technische Absicherung Ihrer Informationsverarbeitenden Systeme und Prozesse bis hin zur Integration von Bring Your Own Device Konzepten in Ihr Informationssicherheits-Management

 

header-performance-prozessoptimierung

Das Vorgehen

Die Angreifer werden immer leistungsfähiger und erfolgreicher.
Der Schaden, der Sie unmittelbar treffen kann, wird immer höher.
Die Schadenshöhe hängt u.a. ab von Ihrer Branche und globaler Region sowie von der Güte der Sicherheitsvorkehrungen Ihrer Organisation.

Wir werden die Sicherheit Ihrer Informationswerte gemeinsam mit Ihnen strukturiert analysieren und planen, zuverlässig implementieren und kontinuierlich verbessern, als Voraussetzung für agile Reaktionen auf die Bedrohungen der Sicherheit Ihres Unternehmens im Zeitalter der Digitalisierung.

Mit diesem Kreislauf aus Vorbereitung, Planung, Umsetzung, Messung und erneuter Verbesserung schaffen Sie für Ihre relevanten Informationswerte eine „Sicherheitszone“, in der die Verfügbarkeit, Integrität und Vertraulichkeit Ihrer Werte gegeben ist.

Da man sich nie zu 100 % schützen kann ist die Definition Ihrer individuellen „Sicherheitszone“ eine Balance zwischen Ihren kaufmännischen Interessen, Ihren organisatorischen und technischen Möglichkeiten sowie den geltenden gesetzlichen und regulatorischen Vorschriften.

Wir helfen Ihnen mit unserer Erfahrung und Expertise, eine dokumentierte, auditierbare und zertifizierbare sowie technisch gehärtete Umgebung für Ihre Informationswerte zu schaffen, die optimal für Sie ausbalanciert ist.

Sie können abhängig vom Reifegrad der Informationssicherheit in Ihrer Organisation und den aktuell bestehenden Anforderungen aus dem Baukasten unserer Beratungs-Module wählen.

Das zu Ihrer jeweiligen Entscheidung passende optimale Vorgehen werden wir Ihnen vorschlagen und mit Ihnen gemeinsam entscheiden. Der Weg ist durch Normen wie ISO 27000, BSI-Empfehlungen und regulatorische Vorschriften vorgezeichnet, kann aber immer für Sie optimiert werden.

Die vielfältigen dafür benötigten Kenntnisse von ITK Technologie über Kaufmannschaft bis zu juristischen Kompetenzen bieten wir Ihnen aus einer Hand.
Aber ob Jurist, Architekt oder Informatiker, die meisten Mitglieder unseres kompetenten Beraterteams sind vom Deutschen TÜV als Auditoren nach ISO 27000 sowie nach weiteren Normen zertifiziert worden.

Was auch immer wir gemeinsam planen, wir können es auf jeder Ebene auch fachlich und technisch umsetzen!
Und wenn Sie es wünschen oder benötigen ist das Ergebnis der Arbeit ein Zertifikat.

Management

  • Sicherheitsmanagement:
    • Organisation
    • ITK-Sicherheitsleitlinien
    • Risiko- und Gap-Analyse
    • Prozesse zur Vermeidung / Reaktion auf Vorfälle
    • Planung und Betrieb ISMS
    • Kontinuierliche Verbesserung
    • ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27799, ISO/IEC 27011 u.s.w.

Technik

  • Sicherheitsimplementierung in:
    • Netz, IT-Infrastruktur, RZ
    • Clients und Application
    • Penetration Test, Verschlüsselung, Signatur
    • Systemhärtung, Prozesshärtung
    • Firewall, Intrusion Detection System
    • ISO/IEC 10181, ISO/IEC 15408

 

header-performance-management

Das Kompetenzteam

Ein befreundeter Vorstand sagte „ Bevor ich ein Projekt freigebe, suche ich mir den richtigen Menschen an der Spitze“.

Auch Ihr Erfolg ist abhängig von Menschen.

Ihre Angreifer werden immer besser. Sie auch?!

  • Erhöhung Ihrer Informationssicherheit
  • Zertifizierbarkeit Ihrer Umgebung
  • Kontinuierliche Härtung Ihrer Technologie und Prozesse

QUALIFIKATION & BRANCHEN

Sie finden bei uns erfahrene Berater mit folgenden Qualifikationen.

  • ISO 27001 ISMS Lead Auditoren
  • (TÜV) zertifizierter Auditor in Information Security Management Systems according to ISO/IEC 27000 series
  • Information Security Officer according to ISO/IEC 27000
  • Einige weitere ISO Zertifizierungen (auf Anfrage)
  • Externe Datenschutzbeauftragte
  • Informatiker
  • IT-Architekten
  • Ingenieure
  • Juristen
  • Wirtschaftswissenschaftler
  • Im Schnitt 15 Jahre Berufserfahrung in der Informationsverarbeitung
  • Spezialisierung auf Risiko Management

In folgenden Branchen kennen wir uns gut aus:

  • Handel
  • Industrie, insbesondere Automotive
  • Transport und öffentlicher Nahverkehr
  • Telekommunikation, Energie und Netze
  • IT-Dienstleistungen
  • Gesundheitsversorgung
  • Finanzdienstleistungen

Zielsetzung

Die Zielsetzung ist, jeden Tag besser zu sein als Ihre Angreifer.

Unsere Zertifikate