Mit unserer Erfahrung Ihren Nutzen schaffen

Tätigkeiten:

• Schutzbedarf- und Risikoanalye einer On-Premise-Cloud Infrastruktur basierend auf Virtualiserungstechnologien (Durchführung und Dokumentation)
• Migration bestehender Altanwendungen
• Beratung in Compliance und Datenschutzfragen
• Vorschläge zu ergänzenden Sicherheitsmaßnahmen
• Beauftragung und Begleitung der Pentests

Auftraggeber: Städtischer Service-Dienstleister
Laufzeit: seit Januar 2020

• Risikobewertung einer Cloud-Software-Anwendung
• Durchführung einer Business Impact Analyse
• Durchführung einer Risikoanalyse
• Vorschläge zu ergänzenden Sicherheitsmaßnahmen
• Beauftragung und Begleitung der Pentests

Auftraggeber: Pharmahandel
Laufzeit: November 2018–Februar 2019

• Analyse der Risiken bestehender IT-Assets
• Vorschläge für weiterführenden Maßnahmen
• Empfehlungen zur Verbesserung der Prozesse
• Empfehlungen zur Optimierung des Sicherheitsniveaus

Auftraggeber: Pharmahandel
Laufzeit: Juni–November 2018

Ein Versicherungskonzern setzt im Rahmen eines globalen Projekts Human Resources Transformation für das Organisationsmanagement und das globale Human Resources Personalmanagement die cloudbasierte Software SAP SuccessFactors Employee Central ein. Dabei wurde das lokale (on premise) HR System an das globale System angebunden.

Tätigkeiten:

• Analyse der Ist-Situation für SuccessFactors, Dell Boomi, SAP HR
• Definition der Anforderungen an eine Sicherheitsprüfung aller drei Systeme
• Beratung bei der Erstellung der erforderlichen sicherheitsrelevanten Dokumente (BIA, BSHB, …)
• Bewertung der vorhandenen sicherheitsrelevanten Dokumente
• Beratung bei der Auswahl eines Dienstleisters für Penetrationstests
• Begleitung des Penetrationstests
• Begleitung, Unterstützung bei der Auswertung der Ergebnisse des Penetrationstests
• Abstimmung und Diskussion der Überprüfungsergebnisse mit dem Information Security Officer (ISO)
• Zusammenfassung der Ergebnisdokumentation der Sicherheitsprüfung

Auftraggeber: Versicherungskonzern
Projektsprache: Englisch
System: SuccessFactors, Cloud Dell Boomi
Aufwand: ~100 Personentage

Ein Versicherungsunternehmen führt für ein bestehendes Online-Portal eine TüV-Re-Zertifizierung durch. Gegenstand der Re-Zertifizierung ist die Software und der Datenschutz.

Tätigkeiten:

• Koordination und Begleitung des Re-Zertifizierungsprozesses des TüV-Audits mit den beteiligten Parteien (Betriebsorganisation, Datenschutz, Informationssicherheit und TüV)
• Beratung des Projekts in Fragen zur Datenschutz, IT Sicherheit und Software(prozesse)
• Sondierung und Evaluierung der vorhandenen Unterlagen
• in Zusammenarbeit mit der Betriebsorganisation Aufstellung eines Termin/Release-Plans zur Beseitigung von Findings aus der Erstzertifizierung
• telefonische wie schriftliche Abstimmung des Audits mit allen Beteiligten (Betriebsorganisation, Datenschutz, Informationssicherheit und TüV)
• Organisation und Begleitung des Audits
• interne Vorbereitung des Audits, einfordern und evaluieren der erforderlichen Unterlagen
• Organisation und Begleitung des Audits vor Ort
• Auswerten des Audit-Berichtes in Zusammenarbeit mit der Betriebsorganisation
• Erstellung eines Behebungsplan

Aufwand: ca.15 Personentage

Digitalisierung und Transformation der Webentwicklung und Einbettung des Marketings „On Premise to Cloud“.
Ein Konzern führt ein neues Content Management System und ggf. weitere Werkzeuge im Bereich von digitalem Marketing und digitalem Vertrieb ein. Die am Markt eingekauften Produkte und Dienstleistungen werden auf ihre Konformität bezüglich Informationssicherheit und Datenschutz evaluiert.

Tätigkeiten:

• Beratung in Fragen zur Informationssicherheit und sowie Compliance und Datenschutz
• Prüfung der Prozesse und geplanter Verfahren auf Verträglichkeit mit den Sicherheitsanforderungen Sicherheitsrichtlinien des Auftraggebers
• Produktanalyse, Produkt-Evaluation
• Datenschutz- und Informationssicherheitsanalyse
• Risikobewertung
• Vorschläge für Datenschutzvertragsklauseln
• Maßnahmen-Katalog

System: Adobe Marketing Cloud
Aufwand: ca.20 Personentage

Eine Versicherung führt eine App zur Berechnung von Schäden aus Sachversicherungen ein. Der Einsatz von iPADs in der Versicherung soll untersucht werden. Schwerpunkt der Untersuchung ist, ob die durch den IT-Dienstleister eingesetzten Sicherheitsmaßnahmen und Sicherheitseinstellungen für den Einsatz in der Versicherung ausreichend sind.

Tätigkeiten:

• Prüfung einer iPAD App und Webanwendung
• Evaluierung der Sicherheitseinstellungen
• Analyse der Sicherheitsrisiken (agile Entwicklung)
• Vorschläge für Maßnahmen
• Organisation des Pentests
• Bewertung und Behebung der Findings

System: dedizierte Entwicklung für den Kunden, Rechenzentrum Outsourcing
Aufwand: ca.20 Personentage

Für einen Energie-Konzern wird die Evaluierung und Dokumentation des Identity Managements durchgeführt.

Tätigkeiten:

• Erhebung und Dokumentation der eingesetzten Identity Management Tools
• Erhebung und Dokumentation fehlender ID Management Prozesse
• Erstellung einer Roadmap zur Steuerung des Austauschs der eingesetzten Tools und Verfahren

Systeme: diverse Eigenentwicklungen, Active Directory, LDAP, Sailpoint
Aufwand: ca.50 Personentage

Das Unternehmen hatte bislang nur einen dokumentierten Prozess für den Software Entwicklungsprozess (Wasserfall). Dieser Prozess wurde angepasst an den agilen Software Entwicklungsprozess. In diesem Rahmen wurde die Ausbildung „Sichere Software Entwicklung“ angepasst.

Tätigkeiten:

• Evaluierung, Optimierung und Dokumentation des sicheren Software-Entwicklungsprozesses für agile und herkömmliche Vorgehensweisen
• Evaluierung der Schulung für Mitarbeiter in der Entwicklung

Aufwand: ca.20 Personentage

Bei einer Versicherung wird das Outsourcing des gesamten Rechenzentrumbetriebes an einen externen Dienstleister begleitet.

Tätigkeiten:

• Entwurf und Verhandlung der erforderlichen Sicherheitsthemen und KPIs im Master Service Level Agreement
• Entwurf und Dokumentation des Abnahmeprozesses der zu migrierenden Anwendungen
• Evaluierung und Abnahme der Dokumentation (Betriebskonzepte, SLAs, Sicherheitskonzepte der angebotenen Services)

Projektsprache: Englisch
Systeme: Virtualisierung, Rechenzentrum Betrieb, Data Center Netzwerk, Service Management Area, Security Monitoring, SIEM, Jumpserver, Windows Server, Linuxserver, Mainframe RACF, ESX, Oracle, DB2, MS SQL
Aufwand: ca.90 Personentage

Verbesserung des Identity Management Systems zur Behebung von durch die interne Revision festgestellten Mängeln.

Tätigkeiten:

• Konsolidierung
• Optimierung
• Dokumentation

der Prozesse im Identiy Management/Access Management und Monitoring

Projektsprache: Englisch
System: Eigenentwicklung, Confluence

Bei zwei fusionierten Unternehmen in der Automobil-Branche wurde der Abgleich von Policy und Richtlinien-Dokumenten durchgeführt mit Dokumentation der Ergebnisse.

Tätigkeiten:

• Prüfung von Ausnahmeanträgen und Service Accounts (Technischen Usern) - Anträge, Abnahme von Sicherheits- und Datenschutzkonzepten
• Durchführung von Business Impact Analysen
• Planung von Interviews zur Evaluierung des Sicherheitsprozesses

Projektsprache: Englisch

Konzeption und Durchführung von mehreren 4-tägigen Inhouse Schulungen für Project Security Officer in einer Versicherung, unter anderem über

• Grundlagen der Informationssicherheit
• interne Sicherheitsrichtlinien
• Prozesse
• ...

Diese viertägige Schulung mit einem anschließenden Coaching-Tag im Unternehmen für jeden Teilnehmer ist für IT-Sicherheitsbeauftragte konzipiert, die ihre Rolle neu übernehmen. Themen werden tagesaktuell behandelt.

Tätigkeiten:

• Rolle und Grundlagen der IT-Sicherheit (Standards, Grundschutz, Awareness usw.)
• Verantwortung und Aufgaben eines CERT-Mitarbeiters / einer CERT-Mitarbeiterin
• Handling von Bedrohungen und Schwachstellen
• Bewertung und Einschätzung von Bedrohungen und Schwachstellen
• Vermittlung von Grundlagen u.a. Verschlüsselung, Betriebs- und Netzwerksicherheit
• rechtliche Aspekte der IT-Sicherheit und des Datenschutz

Der anschließende Coaching-Tag bietet den Teilnehmern die Möglichkeit, die erlernten Kenntnisse bei alltäglichen Aufgaben gemeinsam mit dem Coach zu sichern und auf die eigene Situation zu übertragen.

• Durchführung von Business Impact Analysen
• Risikoanalysen/ Auswertung von Source-Code-Scans
• Beauftragung/Begleitung von Pentests
• Beratung bei Projekten in Fragen des Datenschutzes und anderer Compliance-Vorschriften

• Unterstützung des Information Security Officers beim Schwachstellen-Management
• Auswertung von Schwachstellen-Scans
• Erstellen von Virenreports

Auftraggeber: Logistik Unternehmen

Unterstützung eines Information Security Officers in einem Logistik-Unternehmen

• Etablierung eines neuen GRC Portals
• Evaluierung der Altprozesse
• Transformation in Neusystem

System: RSA Archer

Diese viertägige Schulung mit einem anschließenden Coaching-Tag im Unternehmen für alle Teilnehmer*innen ist für IT-Sicherheitsbeauftragte konzipiert, die ihre Rolle neu übernehmen. Themen werden tagesaktuell behandelt.

Tätigkeiten

• Rolle und Grundlagen der IT-Sicherheit (Standards, Grundschutz, Awareness usw.)
• Verantwortung und Aufgaben eines IT-Sicherheitsbeauftragten
• technische, organisatorische und personelle Bedrohungen und Schwachstellen
• IT-Risikomanagement (Risikoanalyse, Risikobewertung, Sicherheitskonzepte, usw.)
• Vermittlung von Grundlagen u.a. Identity Management, Verschlüsselung, Betriebs- und Netzwerksicherheit
• rechtliche Aspekte der IT-Sicherheit, Datenschutz

Der anschließende Coaching-Tag bietet den Teilnehmer*innen die Möglichkeit, die erlernten Kenntnisse bei alltäglichen Aufgaben gemeinsam mit dem Coach zu sichern und auf die eigene Situation zu übertragen.

Nach der Fusion zweier großer international tätiger Finanzdienstleister existierten zwei verschiedene Arten von IT-Sicherheitsrichtlinien. Die Richtlinien des einen Finanzdienstleisters bestanden lediglich aus Geboten, die Richtlinien des anderen Finanzdienstleisters ergänzten die Gebote um detaillierte Erklärungen und praktische Beispiele.

• Herausarbeiten der Abweichungen der beiden Richtlinienkataloge auf Anweisungsebene
• Validierung der Unterschiede
• Vorschläge zum Vorgehen, um finale Gebote zu ermitteln
• Vorschläge für Enderfassung  eines gemeinsamen Richtlinienwerks
• Präsentation der Vorschläge, Diskussion und Abstimmung in den zuständigen Gremien
• Vorbereitung und Einholung der Genehmigung des Vorgehens
• Projektübergabe an lokalen Verantwortlichen

Auftraggeber: international tätiger Finanzdienstleister
Projektsprache: Englisch
Aufwand: ca. 10 Personentage