Datenschutz-Notfallkontakt: 0176-62 99 10 16 oder 030 – 51 63 50 30

IT-Security

In Ihrem Hause und Auftrag

Basisprüfung IT vor Ort

Ziel einer Basisprüfung ist es, dass allgemeine Sicherheitsniveau und die Konfiguration der IT-Infrastruktur zur Bestimmung der IST-Situation im Hinblick auf die IT- und Informationssicherheit zu prüfen. Bei der Überprüfung wird eine allgemeine Inspektion der IT-Infrastruktur und den damit verbundenen Elementen vorgenommen. Mit einem Audit-Gespräch, sowie verschiedenen Prüfmethoden wird ein auf Basis des BSI-Grundschutzes erstellter Prüfkatalog an Hand von vorgegebenen Bewertungskriterien bearbeitet. Mit dem Prüfbericht wird das Ergebnis der Prüfung und damit das Sicherheitsniveau dokumentiert.

  • Bestandsaufnahme IT-Infrastruktur - Prüfung des IT-Sicherheitsmanagement
  • Schutz vor Schadprogrammen: Log-Dateien, Gateway-Antivirus
  • Sicherheit von IT-Systemen: Rechte-Management, Administratorkonten - Vernetzung von Internetanbindungen: Sicherheitsrichtlinien, Ungesicherte Netzzugänge
  • VPN und WLAN: VPN Verschlüsselung, Authentifizierung
  • Inhaltssicherheit: Webfilter, Spam-Filter,
  • Beachtung von Sicherheitserfordernissen: Außerbetriebnahme von Datenträgern u. Systemen, Kontrolle von Sicherheitsvorgabe
  • Passwörter und Verschlüsselungen: Nutzung vorhandener Sicherheitsmechanismen, Passwortrichtlinien
  • Notfallvorsorge: Systemwiederherstellungszeiten, Auswirkung auf IT- Ausfälle
  • Datensicherung: Backup- Strategie, Dokumentation der Sicherheitsverfahren
  • Infrastruktursicherheit: Zutritt zu IT-Systemen, Server-Raum
  • Mobile Endgeräte: Sicherheitsrichtlinien, Administration mobiler Endgeräte
  • Nutzung externer IT-Leistungen: Technische Absicherung
  • Berichtübergabe mit Maßnahmenplan/-empfelungen

Bis zu 120 Maßnahmenempfehlungen
Circa 90 Seiten hochwertiger Bericht nach TELKO


Websiteprüfung

(Online/Remote)

Prüfung der Unternehmenswebseiten auf Schwachstellen in den Bereichen

  • Verschlüsselte Kommunikation
  • Impressum
  • Datenschutzerklärung Allgemein
  • Cookies
  • Formulare
  • Zusätzliche Inhalte
  • Technische Analyse zu eingesetzten Tracking Tools etc

Dokumentation in einem Umfangreichen Abschlussbericht mit Maßnahmenempfehlungen


Schwachstellenanalyse Pentest extern

(Online/Remote nach Anzahl IP Adressen, diese werden vom Auftraggeber bekanntgegeben)

Wir führen einen vollständigen Scan Ihrer über das Internet exponierten Systeme durch. Anschließend werden die gesammelten Ergebnisse bewertet und gegebenenfalls weitere manuelle Überprüfungen durchgeführt.

Im Anschluss werden alle gefundenen Sicherheitsprobleme und den dazugehörigen Maßnahmen in einem Report dokumentiert und gemeinsam mit dem Kunden besprochen.

Während einer Schwachstellenanalyse wird mit Hilfe von automatisierten und manuellen Überprüfungen nach Schwachstellen gesucht. Die automatisierten Scans geben im ersten Schritt einen guten Überblick über die verwundbaren Systeme. Die Ergebnisse müssen jedoch auf sogenannte "false positives" hin geprüft werden.

Aus diesem Grund führen wir eine Reihe manueller Überprüfungen durch, um die Testergebnisse zu verifizieren und Falschmeldungen auszuschließen. Nach Abschluss der Tests erhalten Sie einen Report mit allen gefundenen Sicherheitsproblemen. Wir geben Ihnen dabei zu jedem Sicherheitsproblem einen Vorschlag mit, wie das Problem gelöst werden kann. Auf Wunsch unterstützen wir Sie auch technisch bei der Fehlerbehebung.

Die Ziele einer Schwachstellenanalyse sind unter anderem folgende:

  • Erhöhung der Sicherheit Ihrer technischen Systeme
  • Identifikation von Schwachstellen
  • Bestätigung der IT-Sicherheit durch einen externen Dritten
  • Erhöhung der Sicherheit Ihrer organisatorischen und personellen Infrastruktur (bis zu 10 externe IP-Adressen)

Schwachstellenanalyse Pentest extern als Blackboxtest (Online/Remote je nach Umfang der Unternehmenspräsenzen und exponierten Systeme)

  • Daten zu den Systemen des Auftrgegebers werden nicht bekannt gegeben
  • Stept 1:
  • Datenerhebung auf Basis Internetrecherche, social Media und weiteren Quellen
  • Step 2:
  • Pentest gegen die ermittelten IP Adressen und Systeme nach Rücksprache mit dem Auftraggeber
  • Sollten in Step 1 keine IP Adressen / Systeme ermittelt werden können werden diese vom Auftraggeber benannt
  • Step 3:
  • Auswertung und Berichterstellung
  • Präsentation per Webkonferenz

Schwachstellenanalyse intern (Vor Ort, Abschlussbericht per Telko, Aufwand ist abhängig vom Prüfungsumfang)

Durchführung einer Schwachstellenanalyse an ihren internen IT Systemen. Wir stimmen mit ihnen eine für ihre Verarbeitungssituation sinnvolle Auswahl an Prüfungen ab. Im Folgenden eine Beispielhafte Auflistung aus unserem Portfolio.

"Malware - Analyse"

  • Analyse der Protokollierung des Datenverkehrs
  • Suche nach ungewöhnlichen Verhaltensmustern
  • Bewertung der Funde

Analyse der Netzwerkgeräte und Server

  • Analyse der bereitgestellten Dienste
  • Prüfung auf Schwachstellen
  • Validieren / Testen von Schwachstellen
  • Schwachstellenbewertung

 Analyse Zugriffsrechte Windows Arbeitsplatz

  • Zugriffsschutz, Sicherung des Endgerätes
  • Zugriff auf Server und Netzwerkgeräte in den jeweiligen Netzwerken auf Datei und Netzwerkebene
  • Möglichkeiten/Gefahren mit Benutzerrechte auf dem jeweiligen System sowie im
  • Möglichkeiten/Gefahren ohne Benutzerrechte auf dem jeweiligen System sowie im Netzwerk
  • Bewertung

Prüfung Mobile Device Security

  • Bewertung der Schutzbedarfe sowie vorhandene IT Sicherheitsrichtlinien
  • Prüfung ggf. vorhandener Policys zur Geräteverwaltung / MDM Systeme auf Schwachstellen und Vollständigkeit
  • Zugriffsmöglichkeiten auf Einstellungen und Daten an den Geräten bei Verlust Diebstahl auf Basis forensischer Hilfsmittel zur Datenwiederherstellung und Entschlüsselung
  • Bewertung

Prüfung Berechtigungsmodell

  • Bewertung der Schutzbedarfe sowie vorhandene IT Sicherheitsrichtlinien
  • Sichtung und Prüfung der vorhandenen Dokumentation
  • Erhebung der abzusichernden Systeme, Anwendungen und weiterer Zugriffsrechte
  • Ermittlung der abzubildenden Organisation und Berechtigungsstruktur
  • Analyse der (Gruppen-) Richtlinien
  • Abgleich der erhobenen Anforderungen mit dem IST Zustand
  • Analyse der Vertrauensstellung / Schnittstellen / externe Beteiligte
  • Abgleich mit Bedarfen und Richtlinien
  • Bewertung

Abschließend wird für alle Prüfungen ein Abweichungsbericht mit Maßnahmenempfehlungen erstellt.



Die Datenschutzbeauftragten der edsb-deutschland.de wurden beurteilt von PD Dr. med. habil. Hussmann im .
Thema: Datenschutz in der Arztpraxis:

"Wir waren sehr verunsichtert durch die neue DSGVO und die edsb-deutschland und Ihre Datenschutzbeauftragten haben uns bei der Umsetzung der DSGVO in der Anlehnung an das SGB X sehr geholfen und Datenschutzakten angelegt. Ich kann diese Firma und Ihre Mitarbeiter nur weiterempfehlen".

PD Dr. med. habil. Hussmann
Bewertung: 4.9

Schlechteste Note = 1, Beste Note = 5