A
y
v
i
d
e
o
P
L

IT security

sicherheit.

Angebot in Zusammenarbeit mit ARCLAVIS Consulting & Solutions

strategie und planung

Die digitale Welt entwickelt sich zunehmend zum Schlüssel der modernen Kommunikationsgesellschaft. Wir unterstützen mit Know-How im technischen und organisatorischen Bereich.
•  Informationssicherheits-management, IT-Risikoberatung,
Evaluierung und Beratung neuer Systeme, Status-Quo-Analyse

netzwerk und infrastruktur

­Damit alles flüssig läuft, ist eine koordinierte IT-Infrastruktur unumgänglich.
Diese stellt die Grundstruktur Ihres Unternehmens dar und kann bei instabiler Verfügbarkeit viel Zeit und Kosten verursachen.
•  Cloud-, Server- & Netzwerkinfrastruktur, Netzwerksicherheit

schulung und training

Ein Mitarbeitertraining ist eine wertvolle Investition in die Zukunft Ihres Unternehmens. Es erhöht das Know-How und forciert die Sicherheitsziele Ihres Unternehmens.
• ­ Workshops, Schulungen, Security Awareness Trainings

online- und kreativlösungen

Potentielle Kunden machen sich gerne ein Bild über Ihr Unternehmen und wollen sich erkundigen, was für Dienstleistungen und Produkte Sie anbieten.
•  Webauftritte, Hosting, Domainmanagement, SEO

Bei sämtlichen Dienstleistungen stehen die Sicherheitsziele der Informationssicherheit („CIA-Triangle“) im Vordergrund.

vertraulichkeit

­Das Sicherheitsziel „Vertraulichkeit” stellt sicher, dass ausschließlich berechtigte Personen Daten einsehen können. Vor allem bei sensiblen oderpersonenbezogenen Daten spielt das eine große Rolle. Nicht nur die Speicherung und Zugriffsberechtigungen muss sichergestellt sein, auch die Übertragung von Daten (E-Mail etc.)

integrität

Bei der Sicherstellung der Integrität wird die Thematik der „Unversehrtheit“ behandelt. Hierbei wird sichergestellt, dass Daten „integer“ sind, also nicht verändert wurden. Vor allem die unbemerkte Veränderung ist ein großes Problem.

verfügbarkeit

Damit sämtliche immer dann verfügbar sind, wenn diese benötigt werden, befasst sich dieses Schutzziel mit der Prävention von System- und Datenausfällen.

Für die Kunden von OmniCreo sind besonders folgende Teilbereiche der IT Security relevant:

datensicherheit

bereiche

Strategie & Planung, Netzwerk und Infrastruktur

beschreibung

Datensicherheit spielt auf mehreren Ebenen eine wichtige Rolle. Auf der einen Seite ist die Speicherung der Daten von großer Relevanz, auf der anderen Seite die Übertragung und der Zugriff.
◦  Speicherort (On-Premise, Cloud, rein lokal)
◦  Backupstrategie
◦  Zugriffsberechtigungen
◦  Datenklassifizierung (Öffentlich, Intern, Vertraulich, …)
◦  Übertragung von Daten (E-Mail, verschlüsselt)

dienstleistungen

Analyse der aktuellen Strategie und Situation, Planung und Implementierung von Maßnahmen auf Basis eines Kundengesprächs, in welchem Daten klassifiziert und Zugriffsberechtigungen eruiert, Beratung bei Unklarheiten, Schulung der Mitarbeiter im Umgang mit sensiblen/internen Daten.

use-cases

Sachverhalt
In einer Anwaltskanzlei hat jeder Mitarbeiter vollen Zugriff auf alle aktuellen und abgeschlossenen Fälle. Dies ist insofern relevant, damit bei der Ausarbeitung von neuen Themen auf vergangene Arbeit zurückgegriffen werden kann.

Szenario 1
Die Kanzlei vertritt eine Partei in einem großen Korruptionsskandal. Einer der Konzipienten wurde von der Gegenpartei eingeschleust, um die Verteidigungsstrategie herauszufinden. Allerdings arbeitet dieser Konzipient an einem anderen Fall und hat mit dem Korruptionsskandal nichts zu tun. Nachdem nun jeder Mitarbeiter auf das Archiv und die aktuellen Fälle zugreifen kann, kann der Konzipient die vertraulichen Informationen des Korruptionsskandals auslesen (Betriebsspionage).

Szenario 2
Die Mitarbeiter der Kanzlei arbeiten COVID-19-bedingt im Home-Office, nachdem die Kanzlei nur Stand-PCs besitzen, nutzen die Mitarbeiter dafür ihren privaten Laptop. Einer der Mitarbeiter fängt sich ohne böse Absichten einen Virus ein, welcher die Daten abgreift und anschließend verschlüsselt. Die Daten sind nun nicht mehr lesbar, für die Entschlüsselung muss Lösegeld bezahlt werden („Ransomware“).

endgerät-sicherheit

bereiche

Strategie & Planung, Netzwerk und Infrastruktur

beschreibung

Bei der Endgerätsicherheit wird sichergestellt, dass die Laptops und PCs der Mitarbeiter sicherheitstechnisch auf dem neuesten Stand sind und eine Sicherheitsstrategie etabliert und laufend weiterentwickelt wird.

dienstleistungen

Evaluierung des Ist-Zustands, Planung und Entwicklung einer Sicherheitsstrategie, Awareness-Training mit Mitarbeitern

use-cases

-> Szenario 2 aus "Datensicherheit" ist hier ebenfalls anwendbar

Szenario
Ein Mitarbeiter eines großen Spitals erhält eine E-Mail mit einem Befund. Um diesen in der Patientenakte abzulegen, öffnet er das PDF. Dieses ist allerdings mit Schadcode infiziert, welcher einen Trojaner auf dem System installiert. Dieser Trojaner besitzt Keylogging- und RAT (Remote Access Tools)-Funktionalitäten, sodass der Angreifer sämtliche Eingaben der Tastatur mitprotokolliert und den Computer remote übernehmen kann.
Dabei sind nicht nur vertrauliche / personenbezogene Patientendaten kompromittiert, sondern der Angreifer hat durch den Remote Zugriff auch die Möglichkeit, gefälschte COVID-Impfzertifikate auszustellen.

schulungen

bereiche

Schulung und Training

beschreibung

90% der Data-Breaches sind auf einen menschlichen Fehler zurückzuführen, 55% der Unternehmen vernachlässigen Mitarbeitertraining. Um dem entgegenzusteuern und Mitarbeiter auf Sicherheitsprobleme und Angriffsvektor aufmerksam zu machen, ist eine Mitarbeiterschulung / Awareness Training unumgänglich. Bei solchen Trainings gehen wir entweder auf explizite Defizite ein, oder schneiden den Workshop auf das Unternehmen zu, um allgemeine Awareness zu stärken.

dienstleistungen

IT-Security Workshops und Schulungen/Trainings

use-cases

Szenario 1
Die Buchhaltung eines Unternehmens erhält regelmäßige E-Mails der Geschäftsführung mit Überweisungsanforderungen. Die Buchhaltung führt diese gemäß dem Auftrag des Vorgesetzten durch. Ein Angreifer kennt diesen Ablauf im Unternehmen, und schickt eigene Zahlungsaufforderungen an die Buchhaltung. Im Zuge dessen werden über 42 Millionen Euro gestohlen („CEO-Fraud“ ).

Szenario 2
Ein Mitarbeiter erhält ein E-Mail von der IT-Abteilung, mit der Bitte sein Passwort zu ändern, da dies bald abläuft. Der Mitarbeiter klickt auf den Link und wird auf die Anmeldeseite von Microsoft weitergeleitet. De facto war das Mail allerdings von einem Angreifer und die Anmeldeseite gefälscht, wodurch der Angreifer das Passwort des Mitarbeiters abgreifen konnte (Phishing).

LET'S WORK TOGETHER * LET'S WORK TOGETHER * LET'S WORK TOGETHER * LET'S WORK TOGETHER

PORTFOLIO
Was wir gemacht haben.