Suche
Sicher und wandelbar

Sicherheit ist Chefsache: IT-Security als Business-Enabler

René Kurmann

© Shutterstock / VectorDoc

Cloud Computing, Big Data und das Internet of Things schaffen Chancen, machen aber auch anfälliger für Cyberangriffe. Für Unternehmen hängt der künftige Geschäftserfolg deshalb auch von der richtigen IT-Security-Strategie ab. Bei deren Umsetzung lassen sich hohe Kosten für den Einzelnen vermeiden, indem das Know-how übergreifend zusammengelegt wird.

Während sich die digitale Transformation in unserer Gesellschaft disruptiv ausbreitet, bieten nicht nur Trends wie die angestrebte Mass Customization durch Industrie 4.0 oder die Neukonfiguration von Produkten und Dienstleistungen Erfolgschancen für Unternehmen. Auch der richtige Umgang mit IT-Security-Fragen leistet einen entscheidenden Beitrag, um sich auf dem Markt der digitalen Geschäftsmodelle behaupten zu können: Zielgerichtete Cyberattacken auf vernetzte Systeme bedrohen heute weltweit nahezu alle Unternehmen, Banken, öffentliche Einrichtungen und Behörden. Wer in der Lage ist, diese Angriffe durch Prävention proaktiv zu neutralisieren und im Krisenfall schnell und richtig zu reagieren, kann effektiv Zeit und Kosten sparen, sich vor Negativschlagzeilen in der Presse schützen und seine Existenz sichern.

Unternehmen und Behörden werden bereits durch den Gesetzgeber ausgiebig aufgefordert, ein funktionierendes Sicherheitskonzept zu etablieren. So verpflichtet unter anderem die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zur sicheren Verarbeitung personenbezogener Daten unter Berücksichtigung des aktuellen Stands der Technik. Entsprechend fordert das Telemediengesetz (TMG) Anbieter von Telediensten zu technischen und organisatorischen Vorkehrungen auf, um einen adäquaten Datenschutz zu gewährleisten. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das die Vorschriften des Handelsgesetzbuchs und des Aktiengesetzes präzisiert, schreibt ein dediziertes Risikomanagement inklusive Frühwarnsystem vor. Nicht zuletzt definiert das 2015 in Kraft getretene IT-Sicherheitsgesetz die zu erfüllenden Mindeststandards für Einrichtungen kritischer Infrastrukturen und deren Meldepflicht zu relevanten Vorfällen an das BSI.

Sicherheit ist Chefsache

Der nachhaltige Schutz von Geschäftsprozessen und Informationen, wie sie der Gesetzgeber und die Wirtschaftsverbände vorschreiben, ist eine zentrale Aufgabe der Unternehmensführung. Unterstützt von einem Informationsschutzbeauftragten, muss sich diese frühzeitig um die Bedarfsermittlung kümmern, eine ganzheitliche IT-Sicherheitsstrategie aufsetzen, entsprechend investieren und damit den Zielkorridor festlegen. Eine Strategie sollte stabil sein, nicht täglich geändert werden, aber auch nicht auf Unendlichkeit angelegt sein.

Projekt- und Bereichsleiter tragen Verantwortung für die von ihnen eingegangenen Sicherheitsrisiken und treffen, sofern erforderlich, notwendige Schutzmaßnahmen. Über diese ist der jeweilige Verantwortungsbereich sorgfältig zu unterrichten. Eine saubere Dokumentation dient als Nachschlagewerk, und regelmäßige Kontrollen stellen sicher, dass Mitarbeiter und Geschäftspartner gleichermaßen die Vorgaben einhalten und anwenden. Schließlich geht ein Großteil der heutigen Sicherheitsvorfälle auf nachlässige Beschäftigte zurück, die mit ihrer Verhaltensweise den ausgefeilten Techniken des Social Engineerings, insbesondere des Phishings, zum Opfer fallen und unbedarft vertrauliche Informationen aus ihrem Umfeld preisgeben.

Dieser Vorgang kann meist als Speerspitze eines groß angelegten Hackerangriffs betrachtet werden. Mit dem Aufkommen von Drive-by-Exploits reicht der Besuch einer präparierten Webseite ohne weitere Nutzerinteraktion aus, um das Endgerät mit Malware zu infizieren. Deshalb wird bereits durch die Kultivierung eines sicherheitstechnischen Bewusstseins ein wichtiger Grundstein zur Abwehr gezielter Security-Brüche gelegt.

W-JAX
Christian Schneider

Schlimmer geht immer – eine Auswahl der Top-10-Hacks der letzten Jahre

mit Christian Schneider (Christian Schneider IT-Security)

Security Engineering aufbauen

Die konkrete Formulierung der Sicherheitsanforderungen geschieht in einer umfassenden Planungsphase, in der das zu schützende System anhand eines Netztopologieplans mit seinen funktionalen Eigenschaften im spezifischen Einsatzgebiet den stets aktuellen Bedrohungen und Risiken gegenübergestellt wird. Die daraus resultierenden Maßnahmen, Dienste und Protokolle sind nach deren Einführung regelmäßig zu überprüfen und anzupassen. Nur ein kontinuierlicher Validierungs- und Überarbeitungsprozess in einem geordneten Regelkreis kann die dem technologischen Wandel unterliegende Securitystrategie auf dem geforderten Niveau aufrechterhalten. Sie darf die Kernprozesse im Unternehmen nicht behindern und sollte deshalb nach dem Prinzip der Wirtschaftlichkeit in die Organisation eingegliedert werden. Knappe Budgets, Fachpersonalmangel sowie die wachsende Zahl ständig neuer Sicherheitsbedrohungen und -anforderungen lassen sich in vielen Fällen bereits durch eine methodische Vorgehensweise ausgleichen.

Der Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik bietet eine Anleitung für den modularen Aufbau eines Informationssicherheitsmanagementsystems (ISMS) – angefangen von der Strukturanalyse und der Schutzbedarfsfeststellung über die Modellierung der Strategie und die Durchführung von Basissicherheitschecks bis hin zur Empfehlung und Umsetzung der Maßnahmen. Prozesse, Ressourcen und die Organisation werden dabei in einen hierarchischen Aufbau integriert, Maßnahmen in die Lebenszyklen der jeweiligen Systeme und Anwendungen eingebunden und die IT-Sicherheit fortlaufend weiterentwickelt [1]. Das angestrebte Ziel nach der Realisierung sollte die Zertifizierung nach ISO 27001 sein. Damit lässt sich auch das gewünschte Vertrauen der Kunden und Geschäftspartner in das eingeführte ISMS gewinnen.

Schutzbedarfsanalysen durchführen

Die Schutzbedarfsanalyse bewertet ausgewählte Schutzobjekte nach den drei Schutzzielen Integrität (Ausschluss von unautorisierter und unbemerkter Manipulation), Vertraulichkeit (Ausschluss von unautorisierter Informationsgewinnung) und Verfügbarkeit (Ausschluss von Beeinträchtigung in der Wahrnehmung von Berechtigungen). Dabei wird stets eine Antwort auf folgende Frage gesucht: „Welcher Schaden entsteht, wenn ein Schutzobjekt einen Angriff gegen ein solches Schutzziel erfährt?“

Der IT-Grundschutzkatalog nach der Empfehlung des BSI wendet dazu effektiv qualitative Schutzbedarfskategorien (niedrig bis sehr hoch) auf verschiedene Schadensszenarien an. Diese Szenarien sind aufgeteilt in Verstöße gegen Gesetze/Vorschriften/Verträge, Beeinträchtigungen des informationellen Selbstbestimmungsrechts, der persönlichen Unversehrtheit oder der Aufgabenerfüllung sowie negative Auswirkungen (z. B. gesellschaftlicher Ansehensverlust) und finanziellen Konsequenzen (Umsatzverluste etc.). Im Übrigen ist eine Quantifizierung der Schutzkategorien zwar meist eine Herausforderung, sie ist dennoch empfehlenswert, um letztendlich den resultierenden Schutzbedarf den Securitykosten gegenüberzustellen und damit eine fundierte Entscheidungsgrundlage zu schaffen.

Bedrohung und Risiko analysieren

Die Aufgabe einer Bedrohungsanalyse ist es, mögliche Gefahren und deren Ursachen systematisch zu identifizieren. Dabei wird zwischen internen und externen Angriffsszenarien unterschieden und meist mit Graphen zur Veranschaulichung der Strukturen gearbeitet. Die sich an die Bedrohungsanalyse anschließende Risikoanalyse errechnet einen quantitativen Risikowert aus der Multiplikation der Schadenshöhe mit der Eintrittswahrscheinlichkeit. Letztere bestimmt sich nach der Abschätzung des Aufwands und des Nutzens für den Angreifer.

Die Schadenshöhe der in der Bedrohungsanalyse erfassten Bedrohungen lässt sich in primäre und sekundäre Schäden unterteilen. Während die primären Schadenshöhen (Produktivausfall, Wiederbeschaffung, Personal) relativ einfach zu bestimmen sind, ist spätestens die Quantifizierung der sekundären Schadenshöhen (z. B. Image- oder Vertrauensverlust) nicht mehr trivial. Allerdings empfiehlt das BSI eine Risikoanalyse lediglich für hochschutzbedürftige Zielobjekte, die sich mit dem Grundschutz nicht mehr abdecken lassen.

Penetrationstests zeigen den Istzustand auf

Um potenzielle Schwachstellen auf der Ebene des Betriebssystems sowie auf der Service- und Anwendungsebene aufzudecken und den dadurch möglichen Schaden zu ermitteln, sollten intern wie extern jährlich festgelegte Penetrationstests mit manueller Vorbereitung durchgeführt werden. Hierbei simulieren die Pentester das Angriffsverhalten eines vorsätzlichen Hackers [2].

Zu unterscheiden ist dabei zwischen Angriffen von innen (Whitebox-Ansatz), d. h. in der Annahme, dass der Täter bereits über detaillierte Kenntnisse zur Umgebung seines Ziels verfügt, und Angriffen von außen (Blackbox-Ansatz), bei denen davon ausgegangen wird, dass dem Angreifer allenfalls leicht zugängliche Informationen vorliegen. Sowohl mögliche Fehlkonfigurationen der zu untersuchenden Plattformen und Applikationen als auch das typische und atypische Benutzerverhalten werden dabei mit einbezogen. Am langen Ende soll geprüft werden, ob z. B. das Aufzeichnen und Manipulieren des Netzverkehrs oder das Einspielen gefälschter Datenpakete möglich ist.

Lesen Sie auch: Das sind die Software-Architektur-Trends 2017

Wie ein echter Breach verlaufen auch Penetrationstests, je nach zugrunde gelegtem Angriffsszenario, in mehreren Stufen ab: Eine Recherche im Internet liefert beispielsweise eine Zahl erreichbarer IP-Adressen. Portscanner forschen anschließend nach den im Zielsystem geöffneten Ports und daran gekoppelten Diensten. Mit diesen Informationen können die Angreifer durch die Anwendung von OS-Fingerprinting-Methoden aus der Reaktion der Systeme beispielsweise Erkenntnisse über die verwendete Betriebssystemversion und -konfiguration, den Internetbrowser oder die Hardware gewinnen.

Ein Abgleich mit den Datenbanken über die jeweilig bekannten Schwachstellen dieser Komponenten ermöglicht nun deren theoretische Ausnutzung. Allein für die Durchführung der Pentests empfiehlt sich der Aufbau einer Entwicklungs- und Testumgebung, da riskante Tests nicht auf den Produktionssystemen gestartet werden sollten. Außerdem gilt es, die rechtlichen Rahmenbedingungen zu beachten, z. B. das Zugangskontrolldiensteschutzgesetz (ZKDSG), und den Datenschutzbeauftragten vor der Ausübung des Penetrationstests zu unterrichten.

Ist- und Sollzustand abgleichen

Mit den gewonnen Erkenntnissen lässt sich nun eine strategische Zielezerlegung auf der Mikrostrukturebene vornehmen. Das Controlling dient dabei der Fokussierung und der Refokussierung. Der Aufbau eines zentral geführten internen Kontrollsystems (IKS) unter Einbindung aller relevanten Provider und Partner ermöglicht es, sicherheitsrelevante Ziele genau zu definieren und deren Erreichungsgrad regelmäßig zu messen. Dabei wird das aktuelle Sicherheitsniveau mit dem sich ständig verändernden Bedrohungsgrad verglichen.

Für den Securityexperten Dr. Rainer Knippschild kommt es bei der Etablierung eines kontinuierlichen Monitorings besonders auf die Ende-zu-Ende-Betrachtung der gesamten IT-Landschaft an. Dazu zählen u. a. Netzwerkzugriffskontrollen mit einem umfassenden Access- und Device-Management, Regeln zur Datenhandhabung und -speicherung, Vorgaben für Mitarbeiter in Bezug auf die Mobilarbeit, kryptografische Maßnahmen durch den Einsatz von Verschlüsselungs- und Hash-Funktionen mit nicht kompromittierbaren Algorithmen, Sicherheit bei Entwicklungs- und Supportprozessen sowie Meldungen zu Informationssicherheitsvorfällen und eine Gewährleistung von Systemaudits ohne Störung der Geschäftsprozesse.

Die Bedrohungslandschaft ändert sich kontinuierlich

Fortgeschrittene Angriffsmuster wie APTs (Advanced Persistent Threats) und Zero Day Attacks sind hochkomplex und laufen meist über einen längeren Zeitraum in mehreren Phasen ab: Dem Social Engineering, bei dem menschliche Schwächen ausgenutzt werden, folgt in der Regel die Analyse der vom Angriffsziel genutzten Firmware und dessen Verwundbarkeiten. An den Exploit, der Ausnutzung einer identifizierten Systemschwachstelle, die auch völlig neu sein kann, schließt sich der Callback an. Hier wird eine Verbindung zum Command-and-Control-Server aufgebaut, um den erfolgreichen Eintritt in das System zu kommunizieren. Dieser C-and-C-Server lädt über ein professionell aufgezogenes Botnetz weitere Schadsoftware in das betroffene System, das sich auf der Suche nach den für die Angreifer relevanten Daten verbreitet.

In der letzten Phase der Attacke kommt es schließlich zur Datenexfiltration und der damit einhergehenden Erpressung der Opfer. Die Angriffswerkzeuge (Exploit-Kits) werden auf dem Schwarzmarkt über anonyme Zahlungsmethoden vermarktet, z. B. Bitcoins. Während der Laufzeit eines Angriffs bleibt dieser oft monatelang unbemerkt. In der Regel ist bei der Entdeckung die Weiterentwicklung der Maskierung bereits so weit vorangeschritten, dass sich die Täter nicht mehr identifizieren lassen. Oft gibt man sich damit zufrieden, noch größeren Schaden abzuwenden. Und genau darin liegt das Problem: Die Verurteilungsraten für Hacker sind vergleichsweise gering, gemessen an den Erfolgsaussichten für die Delinquenten, die nicht selten finanziell gut aufgestellte, kriminelle Organisationen oder staatliche Regierungen sind.

Bei jedem Sicherheitsvorfall entstehen Kosten, deren Höhe von der spezifischen Ausprägung des Angriffs selbst und der Reaktionsgeschwindigkeit des Unternehmens abhängt: Aufgewendete Mitarbeiterstunden für Betriebsbeeinträchtigungen, Qualitätsabweichungen, Schadensermittlungen, IT-Forensik, Systemwiederherstellungen und Krisenmanagement halten das Unternehmen davon ab, sich auf das eigentliche Kerngeschäft zu konzentrieren. Laut einer europaweiten Befragung von 1 800 Unternehmen durch CA Technologies verloren bereits 2011 deutsche Unternehmen pro Jahr durchschnittlich 438 Personenstunden durch IT-Ausfälle. Der Aufwand wächst mit zunehmender Angriffsdauer. Nicht zu vergessen sind auch die direkten Kosten für Rechtsberatung, Lösegelder und Reputationsschäden. Schnell entstandene Fremdschäden, die durch ein Kompromittieren der Supply Chain hervorgerufen werden können, ziehen Vertragsstrafen und Bußgelder nach sich.

Lesen Sie auch: Interview mit Claus Straube: „Auch bei Microservices kann man Security zentral abbilden“

Um den Schaden einzudämmen, ist es deshalb notwendig, möglichst früh zu erkennen, dass ein Breach stattgefunden hat und wer mit welchen Motiven hinter einer solchen gezielten Attacke steckt. Lediglich in der frühen Angriffsphase des Exploits ist der Eindringling gezwungen, sein wahres Gesicht zu zeigen, bevor er sich wandlungsfreudig zu tarnen beginnt. Zur Früherkennung ist deshalb die stetige Analyse des gesamten Kommunikationsstroms notwendig; d. h. es werden Technologien benötigt, die in Echtzeit auf virtuellen Maschinen nicht nur Daten, sondern auch komplette Flows analysieren und die unterschiedlichen Angriffsvektoren – meist E-Mail, Datenbanken, Webtraffic, Netzwerk – miteinander korrelieren können.

Klassische signaturbasierte Lösungen, die für bekannte Schwachstellen und Schadcodes weiterhin ihre Berechtigung behalten, stoßen bei der Detektion neuer Bedrohungen allerdings an ihre Grenzen. Denn für einen speziell zugeschnittenen, bisher unbekannten Exploit existiert noch keine Signatur. Um sich vor APTs und Zero Days effektiv zu schützen, wird vielmehr mit Kontextinformationen so genannter Indicators of Compromise (IoCs) gearbeitet, die über das Verhalten des Systems erkennen lassen, welche Daten kopiert, verschoben, gelöscht und gelesen werden.

Technologie allein reicht selbstverständlich nicht aus. Sie kann überlistet werden und ist deshalb nicht überzubewerten. Es kommt dennoch darauf an, sie fachgerecht einzusetzen und die Meldungen in einer gesicherten Umgebung bestenfalls gemeinsam mit qualifizierten Forensikpartnern zu teilen, um sowohl eine eigene Wissensdatenbank und Expertise aufzubauen als auch gleichzeitig von den Veröffentlichungen anderer Fälle innerhalb dieses exklusiven Netzwerks zu profitieren.

Mehr Kooperation wagen

Der aktuelle Lagebericht des BSI überrascht nicht, wenn er ein neues Ausmaß der Gefährdung durch Cyberattacken auf allen denkbaren Angriffsvektoren unterstreicht. Auch dass kritische Infrastrukturen wie das Finanz- und Versicherungswesen zu den Hauptangriffszielen gehören, ist zwar besorgniserregend, aber nicht unbedingt verwunderlich. Interessant ist jedoch der künftige Einsatz von so genannten Mobile Incident Response Teams (MIRTs) durch das BSI. Sie sollen im Krisenfall zu einer verbesserten Reaktionsfähigkeit führen [3]. Ähnlich wie die in vielen Unternehmen und Institutionen bereits etablierten Computer Emergency Response Teams (CERTs) werden sich hier IT-Spezialisten kooperativ um Sicherheitsvorfälle und die Umsetzung präventiver Maßnahmen kümmern.

Dass die Nutzung einer solchen Kollaborationsplattform auch auf Branchenebene sinnvoll ist, zeigt die Gründung des German Competence Centre against Cyber Crime (G4C) durch Commerzbank, ING-DiBa und HypoVereinsbank im Jahr 2013. Die Akteure schaffen Synergieeffekte, indem sie sich interdisziplinär mit dem Aufbau einer gemeinsamen Methodenkompetenz zum Schutz vor gezielten Angriffen beschäftigen. So entsteht im aktiven Erfahrungsaustausch aus verschiedenen Perspektiven ein Frühwarnsystem mit Sensoren aus einer Wissensdatenbank über aktuelle Angriffsmuster, Phänomene und Risiken. Diese Fachkenntnis kann das einzelne Unternehmen sowohl aus zeitlicher als auch aus finanzieller Sicht in einem dynamischen digitalen Umfeld nicht abbilden. Doch der gemeinsame Know-how-Aufbau auf einer gefestigten Vertrauensgrundlage ist die konstruktive Lösung zu einer Problemstellung, die alle in gleichem Maße betrifft. Als Zukunftsmodell könnte sich aus solchen Kooperationen sogar ein gültiger Standard über die technischen, verhaltensbasierten IoCs herausbilden.

Von der Private- zur Community-Cloud

Zunächst jedoch scheint es auf dem Entwicklungspfad zu einer transparenten und kostengünstigen IT-Security einen Zwischenschritt zu geben: Neben der Shared Intelligence kristallisiert sich die physische Zusammenlegung von IT-Ressourcen heraus. Individuelle On-premise-Lösungen gehören schon bald der Vergangenheit an. Weil mit der technologischen Entwicklung auch die Anforderungen an die Infrastruktur des Rechenzentrums steigen, schließen sich immer häufiger Unternehmen und Organisationen der gleichen Branche zusammen. Sie bilden aus ihren individuellen privaten Clouds eine Community-Cloud.

Die Vorteile sind offensichtlich: Auf aktuelle Technologietrends lässt sich mit wenig Aufwand schnell und vollumfänglich reagieren. Zudem lassen sich übergreifende Standards zu Datenschutz und Security leicht umsetzen. Auch im Bereich der öffentlichen Verwaltung wird der Umbruch als Chance verstanden: Mit dem Projekt IT-Konsolidierung Bund arbeitet das Bundesministerium des Inneren an der Entwicklung der so genannten Bundes-Cloud, einer Konzentration des IT-Betriebs der unmittelbaren Bundesverwaltung. Die Automobil-Cloud ENX oder das Community-Cloud-Projekt der deutschen Landesbanken zeigen weitere Potenziale dieser Nutzform auf.

Gründliche Analyse im Vorfeld eines Zusammenschlusses empfehlenswert

Wie auch immer eine gemeinschaftliche Cloud-Architektur im Einzelfall aussieht, sie sollte im Vorfeld einer gründlichen Analyse hinsichtlich der sicherheits- und datenschutzrechtlichen Anforderungen unterzogen werden. Damit bei der Zusammenlegung eine saubere Trennung der eigenen sensiblen Daten von denen des Wettbewerbs gewährleistet und der wirtschaftliche Benefit tatsächlich realisiert wird, gilt es, analog zum Supply-Chain-Management die einzelnen Glieder schonungslos zu durchleuchten. Transparenz hinsichtlich der Kontrollmöglichkeiten, auch zu Security- und Compliance-Fragen, ermöglichen sorgfältig ausgearbeitete Service-Level-Agreements nach dem ITIL-Vorbild. Bei der Vertragsgestaltung ist außerdem ein besonderes Augenmerk auf das Auditrecht und die Weisungsbefugnis zu legen: Unangekündigte Vor-Ort-Kontrollen bei dem beauftragten Cloud-Anbieter sollten im Idealfall sowohl dem Cloud-Anwender selbst als auch dessen dafür einberufenen unabhängigen Dritten gewährt werden.

Spezielle IT-Unternehmensberatungen bieten sich für die Umsetzung von Digitalisierungsstrategien an. Aufgrund ihrer Erfahrung in wichtigen Bereichen, wie Securitytest und -evaluation, Secure Systems Engineering und Forensic Real Time Recovery, verfügen sie über ein breites Hersteller- und Partnernetzwerk. Es lohnt sich, die Roadmap gemeinsam mit ausgewiesenen Experten zu entwerfen und von einem ganzheitlichen, zertifizierten Cybersecurityansatz zu profitieren, der das eigene Business schützt und dem Kunden das Gefühl vermittelt, in sicheren Händen zu sein.

Fazit

Die richtige IT-Security-Strategie spielt heute eine größere Rolle denn je. Sie ist wichtig, um Daten vor unautorisiertem Zugriff zu schützen, störungsfreie Betriebsabläufe zu ermöglichen, das Vertrauen der Kunden zu gewinnen und sich somit auf dem digitalen Markt souverän von seinen Wettbewerbern zu differenzieren. Dabei sollte der Weg von der Geschäftsleitung vorgegeben werden und sich jeder einzelne Schritt an einem festgelegten Modell orientieren. In einem geschlossenen Regelkreis sind die getroffenen Maßnahmen unter Berücksichtigung der gegenwärtigen Gefahren fortwährend zu durchdenken und weiterzuentwickeln, sodass der Securityaspekt als ein stets begleitender Prozess des laufenden Geschäftsbetriebs berücksichtigt wird und nicht nur reaktiv im Schadensfall Beachtung findet.

Vor dem Hintergrund zielgerichteter und langfristiger Angriffsvorbereitungen der Täter bilden sich auf der Verteidigerseite gemeinsame Wege zu exklusiven Netzwerken heraus, in denen Technologien und Intelligence unter den Teilnehmern gleichermaßen geteilt und optimiert werden. Professionelle IT-Unternehmensberatungen unterstützen dabei, das gewünschte Securityniveau erfolgreich zu realisieren, indem sie ihren Erfahrungsschatz aus einer umfassenden Branchen- und Projektexpertise nutzen, als Mentor, Tester, Umsetzer oder Vermittler auftreten und gefundene Lösungen zertifizieren.

Mehr zum Thema:

Security-DevOps – Wie Sie in agilen Projekten trotzdem sicher bleiben

Geschrieben von
René Kurmann
René Kurmann
René Kurmann verantwortet als Leiter von Securityprojekten die strategische Kundenentwicklung bei einem Anbieter von IT- und Geschäftsprozessdienstleistungen. Er erstellt Sicherheits- und Datenschutzkonzepte sowie Risikoanalysen in der Automotive-Industrie. Seine Schwerpunkte liegen dabei auf der Ermittlung des Gefährdungspotenzials, der Analyse der IT-Architektur auf Sicherheitslücken sowie der Implementierung priorisierter Lösungsansätze durch die Detaillierung fachlicher Securityanforderungen.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.