Skip to main content
Unternehmens Homepage

Consulting

Lösungsansätze für den technisch und wirtschaftlich sinnvollsten Weg aufzeigen, das ist unser Vorgehen.

Datenschutz

Die Nähe und das Verständnis zu staatlichen und behördlichen Organisationen und vor allem zur Datenschutzaufsicht ist ein guter Grund mit uns zusammen zu arbeiten.

IT-Security

Bedrohungen checken, Schwachstellen analysieren, Wissen trainieren und Risiken minimieren, alles das kann von uns erwartet werden.

IT-Notfall

Störfälle verhindern und sicherstellen, dass wichtige Geschäftsprozesse in kritischen Situationen nicht oder nur kurzzeitig unterbrochen werden. ist unser Bestreben.

IT-Consulting, das ist unser Business

IT-Consulting für Datenschutz, Security und Notfälle ist der wichtige Bereich unseres IT-Beratungsgeschäfts. Es bezieht sich auf die Unterstützung von Unternehmen und Organisationen bei der Einhaltung der Datenschutzvorschriften, der Sicherheit von IT-Systemen und der Bewältigung von IT-Notfällen.

Unternehmen und Organisationen stehen heutzutage unter einem erheblichen Druck, die Sicherheit ihrer IT-Systeme und Daten zu gewährleisten und gleichzeitig die Einhaltung der Datenschutzvorschriften sicherzustellen. IT-Consulting-Unternehmen, die auf Datenschutz, Sicherheit und Notfälle spezialisiert sind, können helfen, indem sie die Kunden bei der Identifizierung und Behebung von Sicherheitslücken und Datenschutzproblemen unterstützen und bei der Vorbereitung auf IT-Notfälle helfen.

Zu den Dienstleistungen, die wir als IT-Consulting-Unternehmen im Bereich Datenschutz, Sicherheit und Notfälle anbieten können, gehören:

  • Analyse der aktuellen Datenschutz- und Sicherheitsmaßnahmen eines Unternehmens
  • Identifizierung von Schwachstellen und Risiken in IT-Systemen und Datenverarbeitungsprozessen
  • Entwicklung und Implementierung von Datenschutz- und Sicherheitsrichtlinien
  • Schulung der Mitarbeiter zur Sensibilisierung für Datenschutz- und Sicherheitsfragen
  • Überprüfung der Einhaltung von Datenschutz- und Sicherheitsvorschriften
  • Entwicklung von Notfallplänen und Durchführung von Notfallübungen
  • Unterstützung bei der Bewältigung von IT-Notfällen wie Cyberangriffen oder Datenverlusten

Ein IT-Consulting-Unternehmen für Datenschutz, Sicherheit und Notfälle kann Unternehmen und Organisationen dabei helfen, ihre IT-Systeme und Daten vor Bedrohungen zu schützen, Compliance-Anforderungen einzuhalten und im Notfall schnell und effektiv zu reagieren.

Cyber-Security Inspektion

Wie gut kennen Sie Ihre IT wirklich

Sicherlich eine etwas provokante Fragestellunng

Als Verantwortlicher Ihres Unternehmens müssen richtige Entscheidungen gefällt werden, die nur bei ausreichender Kenntnis der eingesetzten Hard- und Software, sowie der Datenbestände und Prozesse optimal gelingen. Bei einem Schadensfall, z.B. bei einem erfolgreichen Ransomware-Angriff, stehen in der Regel zumindest Teile Ihres Unternehmens still.

Unser Bestreben ist Ihr Unternehmen so gut wie möglich abzusichern. Dazu bieten wir unser Produkt Cyber-Security Inspektion an, welches sich aus unterschiedlichen Komponenten zusammensetzt.

Bei einigen Komponenten ist die spezielle Kenntnis der IT gefragt, die über vorgenommene Einstellung und Vorgaben Bescheid weiß. Es ist nicht unser Bestreben gegen die IT zu arbeiten, sondern unser Wissen gemeinsam mit den Verantwortlichen Ihrer IT in eine optimierte Sicherheitslösung einzubringen.

  • Security Cloud

    Analyse

    Um eine Unternehmensanalyse durchführen zu können und sich gegenseitig kennenzulernen, sollten die folgenden Schritte ausgeführt werden, bevor mit den weiteren Arbeitsschritten einer Cyber-Security Inspektion begonnen wird:

    1. Unternehmensprofil erstellen
    2. Ansprechpartner identifizieren
    3. IT-Infrastruktur verstehen
    4. Bestehende Sicherheitsrichtlinien und -prozesse analysieren
    5. Gesetzliche und regulatorische Anforderungen ermitteln
    6. Schwachstellen und Risiken identifizieren
    7. Stakeholder-Meetings
    8. Gemeinsame Ziele festlegen
    9. Inspektions-Plan entwickeln
    10. Kommunikation und Zusammenarbeit aufrechterhalten

    Die Durchführung dieser Schritte schaffen eine solide Grundlage für das gegenseitige Kennenlernen und die Zusammenarbeit während der Cyber-Sicherheits Ins, so dass potenzielle Risiken und Schwachstellen frühzeitig erkannt werden können.

  • Basisabsicherung

    Basisabsicherung

    Als Basisabsicherung innerhalb einer Cyber-Sicherheit Inspektion versteht man grundlegende Sicherheitsmaßnahmen, die ein Unternehmen implementieren sollte, um sich vor Cyber-Bedrohungen zu schützen und ein Mindestmaß an Sicherheit zu gewährleisten. Diese Basisabsicherung sollte die folgenden Aspekte, zumindest schon mal ansatzweise abdecken.

    • Der Einsatz von Antiviren- und Antimalware-Software
    • Zugangskontrolle und Authentifizierung
    • Sicherheitsupdates und Patches
    • Datensicherung
    • Firewall und Netzwerksicherheit

    Die nachfolgende Überprüfung wird Erforderlichkeiten aufzeigen und entsprechende Maßnahmen formulieren, um das festgelegte Audit-Ziel zu erreichen.

  • Update

    Patchmanagement

    Ein Patchmanagement ist notwendig, um die Sicherheit und Zuverlässigkeit von Computersystemen und Anwendungen zu gewährleisten. Es gibt eine Vielzahl von Gründen, warum ein Patchmanagement unerlässlich ist:

    1. Schutz vor Cyberangriffen
    2. Verbesserung der Systemleistung
    3. Einhaltung von Vorschriften
    4. Minimierung von Ausfallzeiten
    5. Gewährleistung von Kompatibilität

    Werden Updates für die unterschiedlichen Systeme nicht ausreichend und aktuell durchgeführt, kann die Sicherheit des Unternehmens in Mitleidenschaft gezogen werden, weil bekannte Sicherheitslücken erst durch Updates geschlossen werden können.

  • Schwachstelle

    Schwachstellen

    Viele sicherheitstechnische Methoden werden seitens Ihrer IT-Abteilung oder Ihres externen IT-Dienstleisters proaktiv vorgenommen.

    Es bleibt jedoch immer ein Restrisiko, ob die durchgeführten Maßnahmen ausreichen, einen potentiellen Angreifer davon abzuhalten, an die wichtigen Daten des Unternehmens zu gelangen oder anderweitigen Schaden anzurichten.

    Daher ist es notwendig, die kritischen Systeme kontinuierlich zu überprüfen auf

    • Sicherheitslücken
    • Schwachstellen
    • Backdoors
    • leicht zu ermittelnde Kennwörter
    • Konfigurationsfehler

    Wir sind in der Lage diese Systeme zu scannen, so dass diese Untersuchungen einmalig oder auch kontinuierlich vorgenommen werden kann und alle Vorkommnisse genauestens inklusive Maßnahmen-Katalog dokumentiert.

  • Datensicherung

    Datensicherung

    Eine Datensicherung (Backup) ist eine wichtige Maßnahme zur Gewährleistung der Datensicherheit und Wiederherstellbarkeit von Daten im Falle von Datenverlust, z.B. durch Hardwarefehler, Diebstahl, Virenangriffe oder menschliche Fehler.

    Eine Datensicherung unerlässlich ist, um Datenverluste zu vermeiden und die Geschäftskontinuität zu gewährleisten. Jedes Unternehmen und jede Privatperson sollte eine Datensicherung durchführen, um sicherzustellen, dass sie im Falle eines Datenverlusts schnell wiederhergestellt werden können.

    Nicht zu vergessen ist die Überprüfung der Datensicherung, denn im Ernstfall muss auf eine valide und verifizierte Sicherung zurückgegriffen werden können.

  • Password

    Passwortmanagement

    Ein Passwortmanagement ist ein Prozess zur Verwaltung und Organisation von Passwörtern, der dazu beiträgt, die Sicherheit von Benutzerkonten und sensiblen Daten zu erhöhen. Um ein effektives Passwortmanagement zu realisieren, sollten die folgende Schritte befolgt werden:

    1. Passwortrichtlinien erstellen
    2. Starke Passwörter verwenden
    3. Passwortwiederholung vermeiden
    4. Passwortmanager nutzen
    5. Zwei-Faktor-Authentifizierung aktivieren
    6. Regelmäßige Passwortüberprüfungen durchführen
    7. Schulungen und Bewusstseinsbildung
    8. Passwortwiederherstellung sicher gestalten

    Durch die Umsetzung dieser Schritte können wir ein effektives Passwortmanagement realisieren und die Sicherheit Ihrer Benutzerkonten und persönlichen Daten verbessern.

  • Active Directory

    Active Directory

    Das Active Directore (AD) wird in Regel sehr stiefmütterlich behandelt, selbst Penetrationstests kümmern sich um dieses Thema in nur 5 – 10% aller Fälle. Aber eine solche Überprüfung ist äußert wichtig, zumal durch die Übernahme des Dom Admin durch unliebsame Zeitgenossen (Hacker) die Verschlüsselung des gesamten Unternehmens quasi geschenkt ist.

    Es ist kaum vorstellbar, aber rund 30% aller deutschen Unternehmen erlauben den Hack eines Dom Admins, weil nie etwas für die Security der AD getan wurde. 

    Lassen Sie uns hier ansetzen!

  • Firewall

    Firewall

    Die Firewall wird als das Herz der Internet-Kommunikation eines Unternehmens angesehen und dient zur Regulierung des Internetverkehr sowohl von innen nach außen als auch umgekehrt.

    Was muss bei einer Firewall überprüft werden:

    • Die Regeln für offene Ports und Verbindungen
    • Überwachung des Datenverkehrs
    • Vermeidung unerwünschter Anwendungen
    • VPN-Regeln und Verbindungen
    • IDS / IPS Regeln
    • Netzwerksicherheit, Logs, Patches, Schachstellen
    • Compliance

    Es gehört zur Analyse der Inspektion, die Klärung der Frage, ob das interne Netz frei ins Internet kommunizieren darf, denn die Infektion kommt genau von hier, mit Hilfe eines Innentäters – der Mitarbeiter.

  • Kommunikation

    Kommunikation

    Bei diesem Thema wird die Sicherheit der Kommunikation innerhalb eines Unternehmens oder einer Organisation durch uns analysiert und bewertet. Damit können potenzielle Schwachstellen und Risiken identifiziert werden. Zur Abschätzung der Maßnahmen für eine Absicherung der Kommunikation während eines solchen Audits, werden die folgenden Schritte durchgeführt:

    1. Identifizierung sensibler Daten und Kommunikationswege
    2. Überprüfung der Verschlüsselungsmethoden
    3. Authentifizierung und Autorisierung
    4. Überprüfung von Netzwerk- und Anwendungssicherheit
    5. Sicherheitsrichtlinien und -verfahren
    6. Schulung der Mitarbeiter
    7. Incident-Management und Notfallplanung
    8. Regelmäßige Überprüfungen und Tests
    9. Dokumentation

    Betrachtet man das Thema Kommunikation für sich alleine, dann sind diese vorgenannten Überprüfungsschritte relevant, jedoch im Gesamtkomplex ergeben sich Überschneidungen, deren Themenzusammenstellung im Vorfeld zu klären sind.

  • Sensibilisierung

    Sensibilisierung

    Sensibilisierung ist nicht nur ein sicherheitsrelevantes Thema, sondern wird auch in den Schulungen zum Datenschutz zumeist an oberster Stelle verortet. Die Wichtigkeit eines geschulten Mitarbeiters für das Unternehmen gilt als die oberste Aufgabe für die Cyber-Sicherheit. Der Mitarbeiter eines Unternehmens bietet die Einfallstür für alle hier in Frage kommenden Angriffsvektoren und gilt somit als das erste zu überwindende Hindernis im Sinne des Angreifers.

    Ob dieses Hindernis am Telefon, in der Email, bei Messenger-Systemen oder in der Raucherecke, die Gefahren lauern überall, deshalb ist Aufklärung angesagt und absolut wichtig.

  • Richtlinien

    Richtlinien

    Richtlinien sind nicht nur für die Stabilität, Sicherheit und Resilienz eines Unternehmens notwendig, nein, diese müssen auch verstehbar, befolgt und kontrolliert werden. Gleiches gilt auch für die Sicherheits-Leitlinie des Unternehmens.

    Diese für die Mitarbeiter vorgenommenen Regelungen müssen aber auch von den Verantwortlichen selbst befolgt und gelebt werden, sowohl nach innen als auch nach außen. 

    Diese Maßnahmen zeigen ein hohes Maß an Authentizität gegenüber den Mitarbeitern und sind in der Lage das Zusammengehörigkeitsgefühl zu erhöhen.

  • Cyber-Doku

    Dokumentation

    Alle vorgenommenen Schritte der Cyber-Security Inspektion werden zu jedem Punkt festgehalten und umfassend und detailliert dokumentiert. Diese Dokumentation ist somit in der Lage die hierin vorgeschlagenen Maßnahmen durchzuführen. 

    Die Dokumentation wird endsprechend der Zielstellung aus der Analyse aufgebaut und stellt sicher, dass potenzielle Schwachstellen in der IT-Infrastruktur identifiziert und beseitigt werden können. Es ist wichtig, dass die Dokumentation regelmäßig aktualisiert wird, um sicherzustellen, dass sie den aktuellen Sicherheitsstandards entspricht.

  • Rette Dein Geld

    Kosten

    Die Kosten für eine Cyber-Security Inspektion können je nach Umfang, Komplexität, Dauer und Art der Untersuchung stark variieren. Aus diesem Grund sind Kosten nicht vorhersehbar ohne Ihr Unternehmen und das entsprechend dafür vorgesehene Budget zu kennen. Denn erst hiernach lassen sich Art und Umfang festlegen und die potentiellen Kosten sorgfältig bewerten – eine Position, die in der Analyse diskutiert wird.

    Die Kosten können durchaus reduziert werden, denn Bund und Länder haben aktuell mehrere Förderprogramme zur Verbesserung der Unternehmenssicherheit mit verschiedenen Schwerpunkten und Konditionen aufgelegt. Wir behalten den Sachstand stets im Blick und beraten Sie gern hinsichtlich der jeweiligen Möglichkeiten für Ihr Unternehmen.

    Aktuell konnten wir bereits einige Unternehmen mit Förderanträgen versorgen und Kosten in der Höhe von 50% erstatten. Im Übrigen übernehmen wir die Verwaltungsarbeit zur Erstellung von Förderanträgen ohne Sie damit belasten zu müssen.

Der Kontakt zu uns

  • Consulting









      Datenschutzhinweise

    • Datenschutz








        Datenschutzhinweise

      • IT-Security






          Datenschutzhinweise

        • IT-Notfall







            Datenschutzhinweise

          Beratung auf hohem Niveau

          Übersicht

          Viele Fragen und noch mehr Antworten für genau DIE Lösung für die Sie einen Experten, also jemanden mit viel Erfahrung brauchen, können wir mit Ihnen gemeinsam meistern. Dieser unabhängige Experte bzw. ein ausgewähltes Expertenteam liefert genau die Ergebnisse, die auch von dieser Gruppe im Unternehmen verantwortungsvoll vertreten werden können.

          Bitte bedenken Sie, dass nahezu alle hier aufgeführten Leistungen mit einer weitgehenden Förderung finanziert werden können.

          Consulting

          Die Aufgabe des Consultings ist in der Regel die Neuausrichtung des Unternehmens, zumindest aber eine Korrektur der eingeschlagenen Richtung.

          Das Consulting-Unternehmen wird zunächst einmal eine Ist-Analyse durchführen und die Schwachstellen durchleuchten. Zu den typischen Aufgaben gehören daher auch das Sammeln von Daten und die entsprechende Analyse der Prozesse.

          Im Anschluss daran werden Strategien und Maßnahmen entwickelt, die zur Lösung der Probleme des Unternehmens betragen können. Schon in der Planungsphase können so Fehler von wichtigen Projekten vermieden und mögliche Risiken aufgedeckt werden.

          Im letzten Schritt werden dann die Lösungsansätze den Verantwortlichen des Unternehmens präsentiert. Häufig erfolgt auch eine Begleitung bei der Umsetzung der Maßnahmen und eine spätere Nachkontrolle.

          Datenschutz

          Wir können das, nicht nur weil wir nach DIN EN ISO/IEC 17024 zertifiziert sind, sondern auch weil wir über 20 Jahre auf diesem Gebiet tätig sind. Deshalb erlauben wir uns die Organisation Ihres Datenschutzes als einen Komplett-Service anzubieten.

          Wir bieten Ihnen Unterstützung,

          • die datenschutzrechtlichen Vorgaben in Ihrem Unternehmen anzupassen und umzusetzen
          • bei komplexen Anfragen, bzw. externen Stellungnahmen
          • bei der Erstellung des Verarbeitungsverzeichnisses, bei der Auftragsverarbeitung oder aber bei der Erstellung eines Datenschutzhandbuches
          • bei der Aufbereitung Ihrer technischen und organisatorischen Maßnahmen (TOMs)
          • Ihre Mitarbeiter für das Thema Datenschutz und Datensicherheit zu schulen und zu sensibilisieren

          Die Durchführung eines zertifizierten Datenschutzaudits gibt Ihnen eine genaue Einsicht über die aktuelle Datenschutz-Konformität des Unternehmens und ermöglicht gleichzeitig die aufgestellten priorisierten Maßnahmen umsetzen zu können. 

          IT-Security

          Die Quadratur der IT-Security in Analogie zur Quadratur des Kreises ist genauso unmöglich wie eine 100 %ige Sicherheit Ihr Unternehmen vor Angriffen und Notfällen schützen zu können. Aber, wir können die Wahrscheinlichkeit durch sinnvolle Maßnahmen stark verringern.

          Die aktuell immer noch größte Bedrohung für  Unternehmen sind Ransomware-Attacken. Ihnen muss eine hohe Aufmerksamkeit gewidmet werden, denn die Wiederherstellung verschlüsselter Server kann ein Unternehmen über Wochen lahm legen oder sogar in den Abgrund stürzen.

          Unser umfangreiches IT-Security Audit ist in der Lage sowohl technische, organisatorische, als auch menschliche Schwachstellen offen zu legen.

          Damit sind Sie in der Lage, alle hierin aufgezeigten Maßnahmen zu ergreifen, um die Sicherheit Ihres Unternehmens zu erhöhen und damit die Wahrscheinlichkeit eines bedeutsamen Angriffes zu verringern.

          Sicherlich können wir auch bei der Durchführung behilflich sein.

          IT-Notfall

          Es dürfte allgemein bekannt sein, nicht ob ein Unternehmen angegriffen wird, sondern wann. Es ist somit statistisch unvermeidlich einem Angriff auszuweichen. An dieser Stelle sind zwei Fragen zu beantworten

          1. Habe ich alle Sicherheitsmaßnahmen ergriffen, um einen Angriff ohne größeren Schaden abfangen zu können?
          2. Bin ich auf den Notfall ausreichend vorbereitet, wenn ein Angriff stattfindet?

          Auf beide Fragen haben wir gute Antworten. Mittels eines IT-Security-Audits können wir die aktuelle Sicherheitslage Ihres Unternehmens herausfinden und Maßnahmen aufzeigen, wie diese am besten priorisiert umgesetzt werden können.

          Die Vorbereitung auf einen Notfall muss geklärt haben, wer übernimmt die weitere Veranwortung für die Durchführung aller in einem Notfallhandbuch erarbeiteten und relevanten Prozesse, um einen raschen Wiederanlauf der ausgefallenen Systeme zu gewährleisten.

          Riskieren Sie keine unkalkulierbaren Schäden – lassen Sie sich helfen, denn im Not- bzw. Krisenfall müssen alle Handgriffe sitzen.

          Hinweisgeberschutz

          Die EU-Richtlinie 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Whistleblower-Richtlinie), ist von der nationalen Gesetzgebung am 02.06.2023 verabschiedet worden, und ist seit dem 02.07.2023 in Kraft.

          Die EU-Whistleblower-Richtlinie und das Hinweisgeberschutzgesetz verpflichten Unternehmen mit mehr als 50 Mitarbeitenden sowie alle Regierungsorganisationen zur Implementierung eines Whistleblower-Systems. Mit einer Whistleblower-Lösung setzen Sie die Vorgaben der EU-Whistleblower-Richtlinie um.

          Mit dem Hinweisgebersystem nehmen Sie u. a. anonym Hinweise Ihrer Mitarbeiter, Kunden und Lieferanten entgegen, managen Risiken, können vetrtraulich mit Hinweisgebern kommunizieren und setzen auf diese Weise die Vorgaben der europäischen Whistleblower-Richtlinie und das aktuelle deutschen Hinweisgeberschutzgesetzes um.

          Gerne sind wir Ihnen bei der Umsetzung behilflich, auch wenn Sie die interne Meldestelle auslagern wollen. Richten Sie bitte Ihre Anfragen über das System an Kontakt.

          Die Software ist von unserer Mutterfirma, die GSG GmbH entwickelt worden, den Ompudsmann stellt die Dr. Thiele IT-Beratung. Weiterführende Informationen finden Sie unter Whistleblower.

          Häufig gestellte Fragen (FAQ)

          Erläuterung

          Hier finden Sie häufig gestellte Fragen, die uns zu unseren Leistungen und Angeboten rund um das Consulting erreicht haben und deren dazugehörigen Antworten.

          Haben Sie eine Frage, die Sie im nachfolgenden Katalog nicht finden, so können Sie diese über unsere Kontakt-Möglichkeiten stellen, die wir Ihnen gerne beantworten möchten.

          Allgemein

          Gibt es Fördergelder für IT-Sicherheit und Datenschutz?

          Ja. Bund und Länder haben aktuell mehrere Förderprogramme zur Verbesserung der Unternehmenssicherheit mit verschiedenen Schwerpunkten und Konditionen aufgelegt. Wir behalten den Sachstand stets im Blick und beraten Sie gern hinsichtlich der jeweiligen Möglichkeiten für Ihr Unternehmen.   

          Wie kann verhindert werden, dass das Projekt „ausufert“?

          Viele Entscheider befürchten ein langes, kostenintensives und zeitaufwändiges Projekt zur IT-Sicherheit. Wir nicht. Denn gemeinsam mit Ihnen erstellen wir einen Maßnahmenplan mit Prioritäten und richten uns nach Ihren Rahmenbedingungen zur Umsetzung. So haben Sie jederzeit die Kontrolle.      

          Consulting

          Schulung für Mitarbeiter, ist das wirklich so wichtig?

          Ein klares JA, denn Mitarbeiter bieten das größte Einfallstar für Cyber-Attacken. Mit einer Schulung in technische, rechtliche und organisatorische Maßnahmen erreichen Sie eine überdurchschnittliche Sensibilisierung und damit eine wesentliche Reduzierung des Gefahrenpotentials.

          Die passende und angemessene Schulung der Mitarbeiter ist das A und O der IT-Sicherheit. Die Inhalte sowie Art und Weise der Wissensvermittlung richten sich dabei nach Ihrer Unternehmensgröße, Branche und Arbeitsweise. Wir bieten mit Ihnen abgestimmt die Methode, die bei Ihren Mitarbeitern am besten ankommt: als Workshop, in einer Präsenzschulung, als kurze Videos, interaktive Mit-mach-Formate u.a.m.

          Was wird unter einer Security-Inspektion verstanden?

          In einer Security-Inspektion werden die folgenden Komponenten einer Überprüfung unterzogen:

          1. Netzwerksicherheit
            Sicherheitsrichtlinien für das Netzwerk einschließlich Firewall und VPN. Das Netzwerk wird gegen Angriffe von außen und von innen getestet.
          2. Datensicherheit
            Backup- und Wiederherstellungssysteme, die Zugangskontrollen und die Datenverschlüsselung. Testen ob sensible Daten geschützt und nur autorisierten Benutzern zugänglich sind.
          3. Mitarbeiter-Sicherheit
            Sicherheitsrichtlinien für Mitarbeiter, einschließlich der Schulungen für IT-Sicherheit und der Überwachung der Mitarbeiteraktivitäten auf Netzwerken und Systemen. Testen ob Mitarbeiter die Bedeutung von IT-Sicherheit verstehen.
          4. Physische Sicherheit
            Sicherheitsprotokolle für den Zugang zu Räumlichkeiten und Serverräumen. Nur autorisierte Personen dürfen Zugang zu kritischen Ressourcen haben.
          5. Anwendungs- und System-Sicherheit
            Sicherheitsrichtlinien für Anwendungen und Systeme, einschließlich der Patch- und Update-Managementprozesse. Alle Anwendungen und Systeme sollten auf dem neuesten Stand und alle bekannten Schwachstellen behoben sein.
          6. Compliance
            alle geltenden Vorschriften und Standards wie die DSGVO, ISO 27001 sollten eingehalten werden.

          Bei einer erweiterten Untersuchung werden zusätzlich die Active Directory-Security, die AD-Password-Security und die Firewall-Security berücksichtigt. Bei Interesse kommen Sie doch einfach auf uns zu, hier

          IT-Notfall

          Nichts geht mehr – was jetzt?

          Die häufigsten Gründe für einen IT-Notfall sind:

          • Schäden an wichtigen Hardware-Komponenten
          • Überlastung der Systeme wegen fehlender Kapazitätspuffer
          • Fehler und Schwachstellen in Softwares/ auf Webseiten
          • Datenverlust durch menschliches Versagen
          • Hackerangriffe/ kriminelle Cyber-Attacken 

          Die sofortige Reaktion auf IT-Notfälle heißt in der Fachsprache „Incident Response“. Insbesondere bei Cyber-Angriffen kommt es auf jede Sekunde an. Ausgehend von der Ursache des IT-Notfalls muss der passende Reaktionsplan greifen, um Panik und weitere Schäden zu vermeiden. Wir unterstützen Sie in der Vorbereitung und im Ernstfall.

          Wofür brauchen wir einen Notfallplan und einen Wiederanlaufplan?

          Früher bezog sich ein Notfallplan v.a. auf Feuer und Naturkatastrophen. Er diente dazu, die Kontinuität des Unternehmens im Ernstfall zu gewährleisten und Verluste zu minimieren. So auch heute, wo Cyberkriminalität eine der größten Gefahren ist. Der Notfallplan soll also z.B. bei einem Hackerangriff das Schlimmste verhindern und mit dem Wiederanlaufplan eine schnelle und geordnete Rückkehr zur normalen Geschäftstätigkeit garantieren. Unser gemeinsamer Job ist, dafür zu sorgen, dass dies funktioniert.   

          Für das IT-Notfallmanagement bieten wir einen Workshop an, die Konditionen können Sie gerne mit uns vereinbaren, dazu kontaktieren Sie uns am einfachsten.

          Wer muss im Notfall erreicht werden?

          In einem IT-Notfall müssen viele Aufgaben gleichzeitig bewältigt werden. Bereits im Vorfeld müssen Verantwortlichkeiten und Kompetenzen festgelegt sein. Zum Krisenteam gehören mindestens:

          • Unternehmensleitung/ Geschäftsführung
          • IT-Leitung/ ext. IT-Dienstleister
          • Ansprechpartner aus der betroffenen Geschäftseinheit/ des betroffenen Systems
          • Rechtsberatung, Datenschutzbeauftragter, Informationssicherheitsbeauftragter, ggfs. weitere Spezialisten 

          Über diese Personen, ihre Stellvertreter und gegebenenfalls Ansprechpartner für Ersatzteile/ Dienstleistungen sollte immer eine aktuelle Liste mit Kontaktdaten griffbereit sein. 

          Sicherheit

          Wie sicher sind meine Daten?

          Genau das herauszufinden ist unsere Aufgabe. Wenn wir dieses Wissen haben, sind wir in der Lage Verbesserungen vorzuschlagen. Der richtige Weg wird mit Ihnen gemeinsam erarbeitet. Die hieraus abgeleiteten Verbesserungen können Sich beziehen auf:

          • die Mitarbeiter (Awareness)
          • den Datenschutz
          • die IT-Technik
          • die Organisations-Struktur

          Auch diejenigen Daten, die Sie uns im Laufe unserer Tätigkeiten mit Ihnen übergeben sind sicher, denn

          • alle Mitarbeiter haben eine Verschwiegenheitserklärung unterschrieben
          • unsere Website ist ssl-verschlüsselt, auf Schadcode getestet und einem Sicherheitscheck unterzogen
          • der Versand unserer Daten erfolgt weitestgehend nicht über Email, teilweise sogar mit Passwort versehen
          • Wir verwenden ständig aktuelle Open Source Lösungen um Ihnen eine höchstmögliche Sicherheit bieten zu können
          Wie sicher ist mein Unternehmen?

          Nicht nur glauben, sondern wissen: mittels des Security Quick-Checks, den Sie nach bestem Gewissen ausfüllen, erhalten Sie eine Übersicht der momentanen Cyber-Lage Ihres Unternehmens, verbunden mit einem Scorewert anderer Unternehmen.

          Was kann ich tun, um die Sicherheit meines Unternehmens zu erhöhen?

          Unternehmensgröße oder Branche spielen für Cyber-Kriminelle keine Rolle. Für sie rollt der Rubel, wenn das Opfer handlungsunfähig ist. Lassen Sie es deshalb nicht so weit kommen. Gemeinsam erarbeiten wir den passenden Schutz, z.B. durch

          • Mitarbeiterschulung
          • Technische und organisatorische Sicherheitsmaßnahmen wie Firewall, Passwortmanagement oder Benutzerauthentifizierung
          • Datensicherung und -wiederherstellung
          • Aufdeckung und Reduzierung der Schwachstellen
          • Vorbereitung auf den „Ernstfall“
          Wie finde ich die richtigen Sicherheitslösungen für mein Unternehmen?

          Die Kosten sind kaum ausschlaggebend, denn die meisten IT-Sicherheitslösungen sind inzwischen erschwinglich. Problem: Was genau ist denn das Richtige? Das Angebot ist zu unübersichtlich und zu kleinteilig. Und viele Lösungen verlangen organisatorische Rahmenbedingungen und Spezialwissen.

          Mit unserem Fachwissen und Praxiserfahrung helfen wir bei der richtigen Auswahl und vor allem beim Abstimmen zum Ineinandergreifen der Maßnahmen. Damit es auch für Sie passt.  

          Datenschutz

          Ist die DSGVO auch für unser Unternehmen verbindlich?

          Bereits seit einigen Jahren ist die neue EU Datenschutz-Grundverordnung (EU-DSGVO) für uns alle bindend. Dabei ist es unerheblich, ob Ihr Unternehmen auf Grund der Beschäftigtenanzahl einen Datenschutzbeauftragten braucht oder nicht. Viele Unternehmen haben sich diesem Thema intensiv zugewandt (durchaus auch mit unserer Hilfe), aber dennoch gibt es Unternehmen, die die neue DSGVO noch nicht verinnerlicht haben. An dieser Stelle möchten wir gerne helfen, auch Ihr Unternehmen auf die neue Rechtsgrundlage umzustellen, auch um zu verhindern, dass Ihnen über die Datenschutzaufsichtsbehörden unnötige Sanktionen verhängt werden. 

          Wir sind EU-Zertifizierte Datenschutzbeauftragte mit einer langjährigen Erfahrung im Umgang mit kleineren und größeren Unternehmen, also bestens geeignet auch Sie zu unterstützen.

          Braucht unser Unternehmen einen Datenschutzbeauftragten?

          Die Vorgaben zur Benennung eines Datenschutzbeauftragten sind und bleiben im Gesetz geregelt (Art. 37 DSGVO). Ergänzend hierfür gilt das Bundesdatenschutzgesetz (BDSG), denn § 38 sieht vor, dass ab 20 Personen (nach der Anpassung des Gesetzes, 2. DSAnpUG-EU), die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder Zugriff auf diese Daten haben, eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Auch müssen Unternehmen einen Datenschutzbeauftragten dann benennen, wenn sie eine Datenschutzfolgenabschätzung vornehmen müssen oder wenn besonders schützenswerte Daten verarbeitet werden. Dies betrifft z.B. Ärzte und Anwälte.

          Darüber hinaus gilt für Behörden (außer für Gerichte im Rahmen ihrer justiziellen Tätigkeit) die Pflicht zur Bestellung eines DSB und eines Stellvertreters.

          Können Aufsichtsbehörden bei mir einfach eine Prüfung vornehmen?

          Die Datenschutz-Aufsichtsbehörden haben den Auftrag die Anwendung der DSGVO zu überwachen und durchzusetzen. Sie müssen also Beschwerden oder auch gemeldeten Datenpannen (z.B. nach einem Cyber-Angriff) nachgehen. Diese Kontrollen führen in der Regel zu entsprechenden Anordnungen oder auch zu Bußgeld-Forderungen.

          Diese Kontrollen können anlasslos oder anlassbezogen durchgeführt werden. Dabei basiert die anlassbezogene Kontrolle bereits auf einer Vorgeschichte, die vom Unternehmen noch nicht abschließend geklärt werden konnte. Generell ist momentan zu beobachten, dass diese Kontrollen immer schriftlich eingeleitet werden, entweder mit einem themenbezogenen Fragebogen, in welchem das Unternehmen seinen eigenen aktuellen Status  wiedergeben soll oder mit der Aufforderung eine Stellungnahme zu einem Vorfall abzugeben.

          In beiden Fällen sollte der DSB eingeschaltet werden um die Kommunikation mit der Aufsichtsbehörde vorzunehmen, da er über die entsprechende Erfahrung verfügt und Missverständnisse relativ schnell ausräumen kann.

          Cyber-Angriff

          Sind unsere Mitarbeiter auf einen Cyber-Angriff vorbereitet?

          Die meisten Cyber-Angriffe beginnen damit, dass ein Mitarbeiter einen infizierten Anhang öffnet oder Link anklickt. Die jeweilige Falle ist meistens sehr gut vorbereitet und wirkt überzeugend. Nur mit einer mitarbeiterorientierten Sicherheitsstrategie, wiederkehrendem Training und aktuellen Warnhinweisen sind Mitarbeiter gut vorbereitet. Wichtig ist auch die im Unternehmen gelebte Fehlerkultur: Besser die schnelle und transparente Kommunikation durch den Mitarbeiter als angstvolles Vertuschen und Verschweigen. Denn hier zählt jede Sekunde!

          Wie kann ich einen Angriff erkennen?

          Eins ist klar: Wenn der Totenkopf auf dem Bildschirm erscheint, ist der Angriff bereits weit fortgeschritten. Anzeichen gibt es schon früher, doch werden diese in den seltensten Fällen rechtzeitig erkannt. Dies ändern wir gemeinsam, z.B. durch

          • zeitnahe und zielgerichtete Auswertung von Logfiles
          • kontinuierliche Prüfung von Verbindungsaufbauten interner Hosts (Warnung bei bösartigen oder unbeannten Zieladressen)
          • Prüfung der Abweichung von Standard-Ports (Anzeichen für geheimen Verbindungsaufbau der Malware zu deren Command-und-Control-Server)
          • unerwartete Netzwerkscans eines internen Host-Rechners (ein „Fremder“ orientiert sich im Netzwerk)
          • nicht-autorisierte Ausweitung von Benutzerrechten oder verdächtige Log-In-Versuche (derselbe Nutzer von verschiedenen Orten oder unterschiedlichen IP-Adressen) 

          Diese und weitere gezielte Check-ups decken verdächtige Aktivitäten auf und ermöglichen uns die notwendigen Gegenmaßnahmen zu ergreifen bevor der Angreifer spürbaren Schaden anrichten kann.

          Was kann ich noch tun, wenn ich gerade angegriffen werde?

          Tritt der Ernstfall ein, muss schnell und überlegt gehandelt werden:

          • Initial-Infiziertes System in den Ruhezustand (Hypernate) versetzen und vom Netzwerk trennen (mögliche Informationen zur Verschlüsselung können sich im Arbeitsspeicher befinden)
          • Gegenmaßnahmen initiieren (z.B. sofort Trennung des Unternehmens vom Netzwerk, alle übrigen Systeme herunterfahren, Backup einspielen, verdächtige Registry-Einträge und weitreichende Berechtigungen suchen)
          • welche Daten wurden verschlüsselt/ gestohlen? (allgemeine, vertrauliche oder gar geheime Daten, wie Passwörter und Kreditkartennummern?)
          • Behörden und Betroffene informieren, v.a. wenn personenbezogene Daten involviert sind (Art. 33/34 DSGVO)
          • tief durchatmen und kühlen Kopf bewahren. Wir lassen Sie nicht allein!
          Die Systeme im Unternehmen sind verschlüsselt – was jetzt?

          Die schlechte Nachricht vorweg: Eine Garantie für eine reibungslose oder schnelle Entschlüsselung gibt es auch bei Zahlung des Lösegeldes nicht. Daher sollten zunächst alle Möglichkeiten zur Systembereinigung und Datenrettung ausgelotet sein.

          Ist ein Lösegeld aber unumgänglich, sollten professionelle Verhandlungen mit den Cyber-Kriminellen über Höhe und Rahmenbedingungen (was genau leisten die Kriminellen an Unterstützung zur Wiederherstellung) erfolgen. Auch Kauf und Überweisung der Krypto-Währung ist oft eine Herausforderung. Bei all diesen Überlegungen und notwendigen Schritten stehen Ihnen unsere Experten zur Seite.

          Wozu noch IT-Forensik, der Schaden ist doch da?

          Die IT-Forensik dient dazu, digitale Spuren gerichtsfest zu sichern, zu dokumentieren und zu analysieren, um sie gegebenenfalls für ein Gerichtsverfahren gegen ermittelte Täter oder Helfer zu verwenden. Auch im Streitfall mit der Versicherung kann IT-Forensik nachweisen, dass Sie Ihren Obliegenheiten nachgekommen sind und somit nicht fahrlässig gehandelt haben.

          Ihr Benefit

          Erfahrene Spezialisten

          Alle Mitarbeiter der Dr. Thiele IT-Beratung sind professionell ausgebildete IT-Experten und zertifizierte Datenschützer. Viele unserer Mitarbeiter besitzen zusätzliche Qualifikationen in den Bereichen Cyber-Security, Forensik und Notfallplanung.

          Wissensübertragung

          Die Sensibilisierung und Schulung der Mitarbeiter bildet die entscheidente Basis zur Reduzierung von Risiken für das Unternehmen. Wir übernehmen auch diese Kernaufgabe meist in Gruppen sinnvollerweise von bis zu 20 Personen.

          Prüfung der Aufsichtsbehörden

          Unsere Datenschutz-Etablierung richtet sich auch nach den Checklisten der Datenschutz-Aufsichtsbehörden, somit brauchen Sie bei einer Überprüfung durch die Behörden nicht mit Überraschungen rechne

          Termin vereinbaren

          Wir sind bemüht, jeden Termin innerhalb einer Woche wahrzunehmen, bzw. zumindest zu bestätigen. Sicherlich werden wir gemeinsam einen unverbindlichen Vorort-Termin finden können.

          Compliant in 4 Schritten

          1. Datenschutz-Basisanalyse
          2. Herstellen der Rechtskonformität
          3. Übernahme der Funktion des DSB
          4. Datenschutz-Regelbetrieb

          Datenschutzmanagement

          Wie sieht die Implementierung des Datenschutzmanagements bei Ihnen aus? Wie ist der aktuelle Stand und wo sehen Sie besondere Probleme?

          Expertise

          Datenschutz

          Zertifiziert

          Als EU-Zertifizierte Datenschützer verstehen wir unser Handwerk und wissen um die Notwendigkeit einer umsichtigen und wirtschaftlichen Umsetzung der gesetzlichen Vorgaben.

          Datensicherheit

          Datensicherheit ist die Voraussetzung Daten schützen zu können. Wir sind vom VdS zertifizierte Berater im Bereich Cyber-Security. Dieses KnowHow fließt in den Datenschutz und die Datensicherheit mit ein.

          Consulting

          Consulting

          Eine Anhäufung von Wissen aus Projekten und Erfahrung steht Ihnen und Ihrem Unternehmen zur Verfügung. Wir sind vom BMWi autorisiert bis zu 50% der Beratertage fördern zu lassen – Fragen Sie in unserer Geschäftsstelle nach.

          Referenzen

          Reinhold S., Geschäftsführer
          „Der Datenschutz und der sichere Umgang mit IT-Systemen stellen riesige Anforderungen an einen mittelständischen Versand- und Onlinehändler wie Lofty. Allein für das Unternehmen ist dies neben dem täglichen operativen Geschäft nicht zu stemmen. Mit der Firma Dr. Thiele IT-Beratung haben wir uns für einen Spezialisten entschieden, die mit ihrer strukturierten und detaillierten Analyse unsere Datenschutz-organisation umfassend beraten und begleiten. Vor allem der feinfühlige und angenehme Umgang von Herrn Dr. Thiele und seinem Team, helfen uns bei einer zeitnahen und wirkungsvollen Umsetzungen.“
          Dr. Michael R., Senior Scientist

          „… Kurze Wege und unkomplizierte Verfahrensweisen sind die eine und fachmännische Beratung für alles der Computerei nahestehende die andere Seite, die ich bei Ihnen schätzen gelernt habe.“

          Gert L., stellv. Abteilungsleiter E-Government, IT

          „…  Bei Herrn Dr. Thiele und seinen Mitarbeitern liegen sowohl die IT-spezifischen Kompetenzen und Kenntnisse als auch ein überdurchschnittliches Verständnis für die Anforderungen einer modernen Verwaltung vor. Wir können einen Austausch mit den Kollegen nur wärmstens empfehlen.“

          Über uns

          Die Dr. Thiele IT-Beratung besitzt ein Netzwerk von erfahrenen und profilierten IT-Sicherheitsexperten und zertifizierten Datenschützern. Wir haben uns zusammengeschlossen, um Ihnen und Ihrem Unternehmen einen kompletten Rund-um-Schutz aus einer Hand zu bieten. Somit erhalten Sie stets die aktuellste und beste Qualität der IT-Dienstleistungen und deren Produkte und die einzelnen „Gewerke“ greifen reibungslos ineinander. Der Initiator ist Dr. Frank H. Thiele, den wir Ihnen nachfolgend etwas näher vorstellen möchten.

          Wir segeln mit Ihnen somit hart am Wind, um keine übertriebenen Forderungen umsetzen zu müssen. Segeln Sie mit!

          IT-Sicherheit, Datenschutz und Datensicherheit kann durchaus erfolgsbringend umgesetzt werden und dann macht es erst richtig Spaß.

          Dr. Frank H. Thiele

          Inhaber und Senior Consultant der Dr. Thiele IT-Beratung

          Im Seesengrund 19
          64372 Ober-Ramstadt
          Tel.: 06154 6039 390

          Email: f.thiele(at)gsg-edv.de
          Internet: www.gsg-edv.de

          Sie erreichen Dr. Thiele auch unter:
          LinkedIn
          Facebook
          Instagram

          Dr. Thiele

          Wertegang

          Dr. Thiele ist Inhaber der Consulting-Firma Dr. Thiele IT-Beratung und damit auch der Wegbereiter für einen rechtskonformen und dennoch moderaten Datenschutz, den viele Kunden in dieser Form gerne annehmen. Darüber hinaus ist Dr. Thiele geschäftsführender Gesellschafter der Global Service Group GmbH mit Sitz in Ober-Ramstadt (Hessen) und Gründer des einzigartigen IT-Security Shops. Er ist überzeugter Netzwerker und in vielen überregionalen und lokalen Verbänden und Vereinen tätig.

          Bereits in seinem Studium zum Diplom-Mathematiker hat sich Dr. Thiele intensiv mit EDV-Themen beschäftigt. Die Datenverarbeitung hat ihn seitdem nicht mehr losgelassen. Er hat mehrere IT-Unternehmen aufgebaut, z.B. den Ingenieurdienst Rhein Main, eine Gesellschaft für graphische Softwareentwicklung und die GSG, Global Service Group GmbH.

          In dieser Zeit wurden viele nationale und internationale Projekte z.B. für die Ruhrkohle Essen, die Europäische Wirtschaftsgemeinschaft, das Bundesministerium für Verkehr, das Bundesamt für Sicherheit in der Informationstechnik, MAN-Roland, das hessische Landesamt für Umwelt in Wiesbaden, Hoppenstedt Darmstadt, zahlreiche Stadtwerke in Deutschland und für die PTT in Bern, heute Swisscom, erarbeitet.

          Die Entwicklung in der IT schreitet mit riesigen Schritten voran. Um in aktuellen Fragestellungen und Problemlösungen auf der Höhe der Zeit (und dieser zuweilen auch voraus) zu sein, ist ständige Neugierde und Weiterbildung notwendig. Deren Ergebnisse münden u.a. in folgenden Kompetenzen und Schwerpunkthemen:

          Kompetenzen

          • Microsoft Certified IT Professional (MCITP) und Technology Specialist (MCTS) für Windows Server und Konfigurationen für AD und Network Infrastructure,
          • Qualifikation zum internationalen nach DIN EN ISO/IEC 17024 anerkannten und EU-Zertifizierten Datenschutzbeauftragten,
          • Zertifizierung zum EDV-Sachverständigen nach DIN EN ISO/IEC 17024 für den Bestellungstenor Technik und Systeme der Informationsverarbeitung,
          • IT-Notfallmanager (IHK),
          • Forensic Professional Certified Expert (PC und Netzwerk),
          • Certified Security Hacker,
          • Certified Security Consultant,
          • Berater-Qualifikation beim ESF (Europäischer Sozialfonds),
          • VdS 10000 (3473) zertifizierter Berater für Cyber Security,
          • Autorisiert für das Förderprogramm „go-digital“

          Weiterbildung

          • Datenrestaurierung,
          • Projektmanagement,
          • Inbound-Marketing,
          • Wirtschaftsspionage,
          • IBM Business Analytics und Optimization,
          • IBM IT-Security,
          • Sophos UTM und Complete Security Suite,
          • IT-Notfall- und Krisenmanagement

          Mitgliedschaften

          • Vorstand im Kirchheimer Kreis e.V.,
          • Mitglied beim Deutschen EDV-Gerichtstag e.V.,
          • Teilnehmer (Partner 2018) bei der Allianz für Cybersicherheit, BSI,
          • Mitglied beim BVMW, Bundesverband mittelständische Wirtschaft,
          • Qualitätsnetz Weiterbildung Südhessen, Dozentendatenbank,
          • Partner beim DSBNetwork,
          • Mitglied bei der GDD, Gesellschaft für Datenschutz und Datensicherheit e.V.
          • Mitglied bei Hessenmetall e.V.