IT-Security Consulting ist ein Spezialgebiet im IT-Consulting mit dem Ziel, Unternehmen bestmöglich beim Schutz vor Cyberangriffen zu unterstützen. Dies erfordert Expertenwissen über die aktuelle Bedrohungslage, Angriffsvektoren, das Vorgehen von Cyberkriminellen, Sicherheitsanforderungen und Lösungsmöglichkeiten. Eine funktionierende IT bildet heute die Basis für fast alle Geschäftsmodelle. Doch die Zahl, Frequenz und Komplexität von Cyberangriffen steigt. Daher wird IT-Security zur Top-Priorität, um die Geschäftskontinuität zu erhalten und Innovationen zu ermöglichen. Erst, indem Unternehmen ihre Systeme und Prozesse von Grund auf sicher gestalten, können sie sich weiterentwickeln und wachsen, ohne Risiken einzugehen.

Grundsätzlich gliedert sich IT-Security Consulting in zwei Bereiche:  Architektur und Technologie. Das Consulting umfasst die Säulen Architektur- und Lösungs-Design-Beratung. Darüber hinaus bietet es Implementierungsberatung und kann durch Professional Services ergänzt werden. Sie beginnt in der Regel mit einer detaillierten Analyse des Ist-Zustands. Wichtige Themen sind zum Beispiel Netzwerksicherheit, Endpunktsicherheit, Applikationssicherheit, Cloudsicherheit, E-Mail-Sicherheit, Authentifizierung, Vulnerability Management sowie Detection & Response.

Als Ergebnis einer Beratung erhalten Unternehmen Empfehlungen, die sie selbstständig – oder mit Unterstützung der IT-Security Consultants – umsetzen können. Auf Wunsch schulen die IT-Security Consultants die internen Mitarbeiter im Umgang mit den neuen Lösungen.

Um Mitarbeiter zu entlasten und die Cybersicherheit zu erhöhen, empfiehlt es sich in vielen Fällen, Managed Security Services in Anspruch zu nehmen und den Betrieb von Sicherheits-Tools an einen MSSP mit erfahrenen IT-Security Consultants auszulagern. Unternehmen können Security-Aufgaben dann ganz oder teilweise an externe Spezialisten übertragen und müssen sich selbst nicht mit den technischen Details auseinandersetzen.

Durch die fortschreitende Digitalisierung und Vernetzung, IoT, Cloud Computing und mobile Arbeitsplatzkonzepte haben es IT-Verantwortliche mit einer zunehmend komplexen IT-Infrastruktur zu tun. Die Angriffsfläche wächst um immer mehr Angriffspunkte an und wird immer unübersichtlicher. Gleichzeitig werden Cyberkriminelle immer gefährlicher. Wir sehen heute komplexe, mehrschichtige und automatisierte Angriffe, die hochprofessionell durchgeführt und perfekt geplant sind. Gerade für kleinere und mittelständische Unternehmen ist es schwer, ohne Hilfe von externen Spezialisten für angemessene Sicherheit bei der aktuellen Bedrohungslage zu sorgen. In vielen Betrieben fehlen aufgrund des Fachkräftemangels Mitarbeiter mit entsprechendem Know-how. Auch große Unternehmen nehmen häufig IT-Security Consulting in Anspruch, um Angriffspunkte zu minimieren und Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen.

Neben der verschärften Bedrohungslage stellt die wachsende Zahl an gesetzlichen und regulatorischen Vorschriften eine große Herausforderung dar. Die DSGVO fordert zum Beispiel Schutz von personenbezogenen Daten nach „Stand der Technik“. Was darunter genau zu verstehen ist, wird im Gesetzestext jedoch nicht ausgeführt. IT-Security Berater können helfen, Best Practices aufzuzeigen und die DSGVO und andere Regularien umzusetzen.

IT-Security Berater bringen Erfahrung aus anderen Kundenprojekten mit und haben dadurch einen ganzheitlichen Blick auf die aktuelle Bedrohungslage, Angriffsvektoren und verfügbare Sicherheitstechnologien. Sie kennen die Anforderungen von Regularien wie der DSGVO, PCI DSS oder dem IT-Sicherheitsgesetz und wissen, wie man sie am besten umsetzt. Dabei können sie auf bewährte Security Best Practices zurückgreifen. Gründe, warum sich auch erfahrene IT-Sicherheits-Abteilungen Unterstützung von IT-Security Consultants holen, sind zum Beispiel:

• Blick von außen: Ein externer Berater kann die aktuelle Sicherheitsaufstellung unvoreingenommen und ohne Scheuklappen analysieren und bewerten. Das erleichtert es, Handlungsbedarf zu erkennen.
• Best Practices: Der Security Consultant kann Cybersicherheits-Maßnahmen mit Best Practices abgleichen und Empfehlungen zum Schutz vor Cyberkriminellen aussprechen.
• Ganzheitliche Betrachtung: Die eigenen Mitarbeiter sind oft zu sehr in Einzelproblemen und Insellösungen gefangen. Ein IT-Security Consultant schafft einen ganzheitlichen Blick.
• Ausrichtung auf die Unternehmensziele: Der ganzheitliche Ansatz ermöglicht es, die IT-Security-Strategie nachzuschärfen und besser auf die Unternehmensziele abzustimmen.
• Mehr Überzeugungskraft: Die Empfehlungen eines externen Spezialisten finden oft mehr Gehör im eigenen Unternehmen. Dadurch kann sich die IT-Abteilung Schützenhilfe besorgen und die Geschäftsführung leichter überzeugen.
• Reifegradanalyse: Ein Security Consultant kann anhand objektiver Kriterien ermitteln, wie gut die Cybersicherheit eines Unternehmens ist und wo Optimierungspotenzial besteht.

IT-Security Consulting von indevis deckt den gesamten Security Lifecycle ab: von der Architekturberatung über die Entwicklung eines Lösungs-Designs bis hin zur Implementierung und der Übernahme der Betriebsverantwortung. indevis kann an jeder Stelle dieses Lifecycles einsteigen, beraten und tatkräftig anpacken.

Architektur-Beratung

Die Architekturberatung beginnt mit einer Analyse des Ist-Zustands und einer Risiko-Betrachtung. Daraus lässt sich dann die erforderliche Sicherheitsarchitektur ableiten. Zunächst ermitteln die IT-Security-Berater gemeinsam mit dem Kunden, welche IT-Systeme und Geschäftsprozesse zusammenspielen, welche Verwundbarkeiten diese Systeme haben und welche Angriffsvektoren es gibt. Dabei gilt es zu berücksichtigen, wie hoch die Eintrittswahrscheinlichkeit ist und wie groß der Schaden im schlimmsten Fall ausfallen kann. So wird deutlich, welche Assets am wichtigsten für die Geschäftskontinuität sind, das größte Risiko haben und mit höchster Priorität geschützt werden müssen. Außerdem fließen auch Compliance-Fragen mit ein. Welche Standards und Regularien möchte/muss das Unternehmen einhalten? Welche Anforderungen ergeben sich daraus?

Design-Beratung

In der Design-Beratung entwerfen die IT-Security Consultants Lösungsvorschläge, wie der Kunde die ermittelten Anforderungen im Rahmen seiner Möglichkeiten umsetzen kann. Sie stellen Best Practices, Sicherheitsfunktionen und Technologien vor und wählen die am besten geeigneten aus. Dafür müssen die Berater sowohl die verfügbaren Security-Lösungen am Markt als auch die Infrastruktur und Prozesse des Kunden kennen. Eine wichtige Design-Frage ist zudem, wie die Security-Lösungen bereitgestellt werden sollen: ob On-Premises oder als Cloud Service. Auch welche Rollen und Verantwortlichkeiten zu vergeben sind und wie Security-Prozesse ablaufen sollten, ist zu klären. Ziel ist die Entwicklung einer Ende-zu-Ende-Sicherheitsarchitektur, die die richtigen Technologien und/oder Dienste entsprechend der Strategie und den Anforderungen miteinander verbindet. IT-Security Consultants können zudem die ausgewählten Lösungen im Rahmen von Proof of Concepts in einer Pre-Implementation Phase validieren.

Implementierung

Die Consultants übernehmen die Implementierung der ausgewählten Security-Lösungen und Prozesse oder unterstützen dabei. Für den Projekterfolg ist es wichtig, dass die Implementierung auf einem sorgfältig erarbeiteten Design aufbaut. Unternehmen, die in der Lage sind, den Risiko-Management- und Designprozess intern selbst zu durchlaufen, nehmen IT-Security Consulting mitunter erst für die Implementierungsphase in Anspruch. Wer keine eigenen Security-Architekten hat, sollte jedoch unbedingt schon früher externe Spezialisten zu Rate ziehen. Sonst kann es passieren, dass bei der Implementierung Probleme auftreten oder die ausgewählten Lösungen am Bedarf vorbeigehen.

Transition

Nach der Implementierung erfolgt die Übernahmephase. Möchte das Unternehmen die neue Lösung selbst betreiben, können die IT-Security Consultants die internen Mitarbeiter einweisen, schulen und Handbücher erstellen. Gerade kleinere und mittelständische Unternehmen haben oft jedoch zu wenig Zeit und Personal, um die Systeme selbst zu überwachen und einen sicheren Betrieb zu gewährleisten. Sie entscheiden sich häufig dafür, die Security-Lösung als Managed Service von einem MSSP mit erfahrenen Consultants betreiben zu lassen. Dafür werden in der Transition Phase technische und organisatorische Schnittstellen geschaffen. Denn auch, wenn der Dienstleister Security-Aufgaben in eigener Verantwortung übernimmt, braucht er einen kompetenten Ansprechpartner im Haus. Umfassende Security kann nur durch partnerschaftliche Zusammenarbeit zwischen der IT-Abteilung und dem Managed Security Services Provider entstehen.

Betrieb

Managed Security Services Provider mit kompetenten Security Consultants können IT-Sicherheitslösungen wahlweise On-Premises im Rechenzentrum des Kunden betreiben oder aus ihrem eigenen Rechenzentrum heraus. Bei (Multi)-Cloud-basierten Managed Security Services kommen Public Cloud-Lösungen und Private Clouds zum Einsatz. Die Dienste werden von den zertifizierten Spezialisten kompetent betreut.

indevis passt jeden Beratungsauftrag im IT-Security Consulting individuell an die Bedürfnisse des Kunden an – von der Strategie bis zu technischen Engagements. Security Advisories bieten einen strategischen Blick auf Initiativen bis hin zu einer eingehenden Analyse der Cybersicherheit. Typischerweise läuft ein IT-Security Consulting-Projekt in drei Phasen ab: Erkunden, Aufbereiten und Empfehlen.

1. Erkunden

Die IT-Security Berater führen einen gemeinsamen Workshop mit den Kunden durch, in dem sie das Geschäftsmodell mit seinen Anforderungen aufnehmen und die Ist-Situation mit ihren Angriffspunkten analysieren.

2. Aufbereiten

Anschließend werten die IT-Security Consultants die aufgenommenen Informationen aus und führen eine GAP-Analyse durch. Wo gibt es Lücken zwischen dem Ist-Zustand und dem Soll? Wo besteht Handlungsbedarf?

3. Empfehlen

Basierend auf den Ergebnissen der GAP-Analyse entwickeln die IT-Security Consultants Lösungsvorschläge, um Verwundbarkeiten zu verringern, stellen mögliche Alternativen vor und sprechen Handlungsempfehlungen aus. Gegebenenfalls stimmen sie eine Roadmap mit dem Kunden ab.

Viele Unternehmen leiden unter dem Fachkräftemangel und haben daher zu wenig oder keine eigenen IT-Security-Experten. Es gibt zahlreiche Themen, bei denen sie Unterstützung suchen, zum Beispiel bei der Firewall-Konfiguration, E-Mail Security oder Multifaktor-Authentifizierung. Besonders nachgefragt ist IT-Security Consulting derzeit bei Fragestellungen rund um die Verringerung von Angriffsvektoren bei Home Office-Arbeitsplätzen, (Multi)-Cloud-Umgebungen und IoT Security.

Home Office Security / Distributed Workforce

Die Corona-Krise hat zu einem rapiden Anstieg von Home-Office-Arbeitsplätzen geführt. Auch nach der Pandemie wollen viele Unternehmen flexiblere Arbeitsmodelle beibehalten und ihre Digitalisierung weiter vorantreiben. Dafür brauchen sie ein belastbares IT-Konzept. IT-Leiter stehen vor der Herausforderung, sichere Remote-Zugänge einzurichten, sodass viele Nutzer gleichzeitig auf das Unternehmensnetzwerk zugreifen können. Dabei gilt es, unterschiedliche Berechtigungen zu verwalten und zu aktualisieren, sodass jeder Mitarbeiter nur Zugriff auf die Daten und Applikationen erhält, für die er autorisiert ist. IT Security Consultants unterstützen dabei, sichere Distributed Workforce-Konzepte zu entwickeln und bieten dafür flexible, skalierbare Services.

Cloud Security

Um ihre IT agiler zu machen, nutzen immer mehr Unternehmen Cloud Services. Doch in der Cloud fehlen oft grundlegende Sicherheitsfunktionen wie Virenschutz, Zugangskontrollen oder Backup-Mechanismen. Grundsätzlich gilt das Prinzip der geteilten Verantwortung: Der Cloud Provider kümmert sich um die Absicherung der Cloud-Infrastruktur, die er bereitstellt. Kunden müssen aber selbst für den Schutz der Applikationen und Daten sorgen, die sie in der Cloud betreiben. Das gestaltet sich schwieriger als gedacht, denn On-Premises-Security-Lösungen lassen sich meist nicht ohne Weiteres in die Cloud übertragen, sondern müssen adaptiert werden. Um Risiken und hohe Folgekosten zu vermeiden, ist es wichtig, schon bei der Planung einer Cloud-Migration an die Sicherheit und den Schutz vor Cyberkriminellen zu denken. IT-Security Consultants entwickeln passende Sicherheitskonzepte und kennen die Vor- und Nachteile verfügbarer Lösungen. Ziel ist, eine sichere Cloud-Nutzung zu ermöglichen, ohne die Vorteile der Cloud zu beschneiden oder DevOps-Prozesse in der Cloud auszubremsen.

IoT sowie OT/IIoT Security: Gefahr durch Vernetzung

Die Vernetzung von physischen und virtuellen Gegenständen mit dem Internet ermöglicht neue Geschäftsmodelle, stellt Unternehmen aber auch vor Security-Herausforderungen. Denn jedes vernetzte Gerät ist ein potenzieller Angriffspunkt, der abgesichert werden muss. Oft fehlt integrierte Security und lässt sich auch nicht ohne Weiteres nachrüsten. Im Bereich OT/IIoT sind Produktionssysteme zudem häufig älter und ungepatcht. Daher sind Konzepte gefragt, um auf Netzwerkebene für Schutz zu sorgen, zum Beispiel durch Netzwerksegmentierung, Link-Verschlüsselung und sichere Zugangskontrollen. indevis arbeitet mit verschiedenen, auf OT Security spezialisierten Herstellern zusammen und kann individuell abgestimmte Lösungen für die Cybersicherheit entwickeln.

IT-Security bedeutet mehr als nur ausgefeilte Technologie. Um für umfassenden Schutz zu sorgen, müssen Unternehmen auch Prozesse, Organisation, Schnittstellen und Menschen berücksichtigen. Ein IT-Sicherheitskonzept deckt all diese Bereiche ab. Dazu gehört neben der technischen Aufstellung zum Beispiel die Definition von Rollen und Verantwortlichkeiten sowie die Dokumentation von Security-Abläufen. Ein wichtiger Faktor sind außerdem Schulungen zur Benutzer-Awareness. Denn die beste Sicherheitstechnologie bringt nichts, wenn Menschen auf Phishing-Mails hereinfallen oder sensible Daten preisgeben. IT-Security Consultants unterstützen Unternehmen dabei, ein umfassendes Sicherheitskonzept zu entwickeln, das passgenau auf das Geschäftsmodell zugeschnitten ist.

Das indevis Consulting-Team verfügt über langjährige Erfahrung in der IT-Security und ist stets über die aktuelle Bedrohungslage und häufige Angriffsvektoren informiert. Mit unserer Expertise können wir Kunden in allen Phasen unterstützen: von der Sicherheitsanalyse über das Lösungs-Design bis hin zum Betrieb. Dadurch, dass wir selbst Security Services betreiben, kommen wir aus der Praxis und kennen aktuelle Technologien und Best Practices aus erster Hand. Unsere Kunden erhalten handfeste Empfehlungen, die ihnen einen Mehrwert bringen und sich im Alltag umsetzen lassen. IT-Security Consulting ist bei uns immer maßgeschneidert auf die individuellen Anforderungen des Kunden abgestimmt.