Kennen Sie das NIST Cybersecurity Framework, den BSI IT-Grundschutz und die CIS-Benchmarks? Die Arbeit mit Frameworks und Standards ist dabei die Grundlage für messbare Ergebnisse und Fortschritte. Blinde Flecken werden dadurch vermieden und Lücken können bewusst einer Risikoanalyse unterzogen werden.
Und wie steht es um Branchen-Regulatorik wie dem IT-SiG, der BAIT und des PCI-DSS? Gerne berate ich Sie zu IT-Security und Informationssicherheit in Ihrer Infrastruktur.
Ich unterstütze Sie gerne auch bei Workshops, Schulungen und Trainings.
Ich kann Sie bei Programmierung und Software-Entwicklung unterstützen und gezielt Aufmerksamkeit auf sichere Software legen.
Dabei zählt es nicht nur, gängige Best Practices der jeweiligen Sprache zu beachten, sondern auch die Codequalität und die Software-Supply-Chain mit automatisierten Pipeline-Tools abzusichern. Mein Fachwissen deckt den gesamten Stack vom Linux-Kernel bis hin zu verteilten Systemen (Cloud) ab – so kann jede Komponente betrachtet werden.
Sichere Netzwerke, transparente Datenflows in Hybrid-Clouds, durchdachte Rechteverwaltung: Eine mehrstufig abgesicherte Plattform-Architektur sorgt für Defense-in-Depth. Durch Threat Modelling werden Angriffsvektoren erfasst und Gegenmaßnahmen entworfen.
Brauchen Sie eine zweite Meinung zu Schwachstellen-Scannern und Pentests? Dann lassen Sie uns gemeinsam darauf schauen.
Neben allgemeinen Angebotspaketen finden Sie weiter unten auch potentielle Einsatzgebiete anhand von einschlägigen Standards. So können Sie noch besser einordnen und entscheiden, ob ich Sie in Ihrem Projekt passend unterstützen kann.
Der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) besteht sowohl aus den vier BSI-Standards 200-1 bis 200-4, als auch dem IT-Grundschutz-Kompendium. Während die Standards sich auf den Aufbau eines ISMS konzentrieren, liefert das Kompendium einen praktischen Katalog von Maßnahmen, die zum Erreichen eines hohen Sicherheitsstandards in Unternehmen umgesetzt werden sollten. Alle Maßnahmen haben zusätzlich Verweise auf die vom BSI identifizierten "elementaren Gefährdungen", denen entgegengewirkt werden soll.
Da mindful security sehr praxisnah an IT-Systemen arbeitet, ist das Kompendium eine passende Referenz. In der folgenden Grafik sind die Bausteine blau hinterlegt, in denen ich Sie mit meiner Expertise unterstützen kann.
Der vom BSI herausgegebene "Cloud Computing Compliance Criteria Catalogue" (C5:2020) richtet sich spezifisch an Cloud-Anbieter. Der Katalog genießt weltweite Beachtung und wird sogar von der ENISA als bedeutsamer Baustein für einen EU-weiten Cybersecurity Kriterienkatalog als Grundlage verwendet. Am Draft für die 2020er-Version wirkte ich durch Kommentierung mit. Wie auch schon zum IT-Grundschutz-Kompendium sind im folgenden die Bereiche aus dem C5:2020 markiert, zu denen ich Expertise liefern kann.
Der ISO/IEC-Standard 27001 wurde 2022 in neuer Fassung veröffentlicht. Der Standard beinhaltet mehrere Clauses, die insbesondere für den Aufbau eines ISMS herangezogen werden können. Gleichzeitig bietet er auch die Möglichkeit, sich für ein Zertifizierungsaudit aufzustellen. Im Annex A sind die sog. Controls hinterlegt, die im Detail auch in ISO 27002 zu finden sind. Ich kann Sie in A.8 sowie in Teilen von A.5 unterstützen.
Im NIST (dem US National Institute of Standards and Technology) Cybersecurity Framework sind fünf Functions (mit insgesamt 23 Categories) die Grundlage für eine durchgehende Cybersecurity-Risikobewältigung. In meinem Fokus stehen dabei die Functions Protect und Detect.
