Datenschutz & Informationssicherheit

Datenschutz & Informationssicherheit

24 - 02 - 2021
15 Min

Jede Information, die als "identifiziert oder identifizierbar" eingestuft werden kann, stellt personenbezogene Daten dar. Das kann ein Name sein, eine Adresse, eine Kartennummer, sogar eine IP-Adresse oder eine Cookie-ID. Die Allgemeine Datenschutzverordnung der EU (GDPR) versucht, das Gleichgewicht zu finden einerseits strikt genug zu sein, um Einzelpersonen einen klaren und fühlbaren Schutz zu bieten, und gleichzeitig flexibel genug legitime Interessen von Unternehmen und der Öffentlichkeit zu berücksichtigen. Die Einhaltung der Anforderungen der GDPR ist bei der Verarbeitung personenbezogener Daten erforderlich.

Datenschutz ist definiert als "rechtliche Kontrolle über den Zugang zu und die Verwendung von personenbezogenen Daten". Genauer gesagt bezieht sich die GDPR auf "den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten". Es handelt sich im Wesentlichen um eine Reihe von Gesetzen, Vorschriften und bewährten Verfahren in Bezug auf die Erhebung und Verwendung personenbezogener Daten von Einzelpersonen. Informationssicherheit ist definiert als die Praxis des Schutzes von Informationen (sowohl physische als auch digitale Daten) vor unbefugtem Zugriff, Verwendung, Veränderung oder Störung.

In xitee bieten wir Dienstleistungen an, um Ihre Daten sicher zu halten und zu schützen.

Cyber-Angriffe auf kritische Infrastrukturen, wie z. B. auf Krankenhäuser, werden immer aggressiver und häufiger. Um mögliche Risiken in Hinblick auf  Ihre Lösung auszuschließen, bieten wir Penetrationstests an. Ziel ist es, mithilfe von Methoden, die normalerweise von Hackern verwendet werden, Schwachstellen zu identifizieren, durch die das System kompromittiert, vertrauliche Informationen verloren oder die Verfügbarkeit von Diensten beeinträchtigt werden kann.

Darüber hinaus empfehlen und bieten wir eine GAP-Analyse, um Ihre Prozesse, Aktivitäten und Abläufe hinsichtlich der Anforderungen der ISO/IEC 27001 zu bewerten und alle erforderlichen Maßnahmen zu identifizieren, um die Konformität mit den gesetzlichen Anforderungen zu gewährleisten sowie eine mögliche Zertifizierung zu erreichen.

Code-Überprüfung

Unser Quellcode-Review-Service zielt darauf ab, versteckte Schwachstellen und Designfehler aufzudecken und zu überprüfen, ob Sie die wichtigsten Sicherheitskontrollen implementiert haben. Hierbei verwenden wir eine Kombination aus automatischen Scan-Tools und manueller Überprüfung, um Kodierungspraktiken, Performance-Probleme, Sicherheitsschwachstellen, wie Injektionsfehler & Cross-Site-Scripting, Sicherheits-Konfigurationsregeln, integrierte Bibliotheken usw. zu überprüfen.

Der erste Schritt eines Code-Review-Prozesses ist das Durchführen einer Anwendungsanalyse und die Erstellung eines sog. Bedrohungsprofils.

Dem folgt eine Überprüfung des Code-Layouts, um einen spezifischen Code-Review-Plan für jede einzelne Anwendung zu entwickeln.

Anschließend verwenden wir in der Regel einen hybriden Ansatz, um sowohl automatisierte Scans als auch manuelle Code-Review durchzuführen.

Nach Überprüfung des Codes stellen wir Ihnen einen Abschlussbericht mit den gefundenen Schwachstellen sowie Lösungsvorschlägen / Optimierungsschritten zur Verfügung.

Gap-Analyse-Audit

Gap-Analysen zeigen strategische und operative Lücken in Ihrem Unternehmen auf, die verbessert werden sollten. Das Audit ermittelt den Reifegrad Ihrer Informationssicherheit auf Basis der Best-Practice-Anforderungen der ISO/IEC 27001.

Anhand der GAP-Analyse bewerten wir Ihre Prozesse, Aktivitäten und Abläufe im Hinblick auf die Anforderungen der ISO/IEC 27001:2013 und identifizieren alle erforderlichen Maßnahmen, um Konformität mit den gesetzlichen Anforderungen sowie eine optionale Zertifizierung zu erlangen. Mit unserem strukturierten Best-Practice-Modell schützen wir vertrauliche Daten, sichern die Integrität Ihrer Betriebsdaten und erhöhen die Verfügbarkeit Ihrer IT. Der Abschlussbericht enthält dann konkrete Empfehlungen. 

Ausgewählte Prüfungsschwerpunkte nach ISO/IEC 27001:2013:

  • Kontext und Führung der Organisation (Managementverantwortung, Governance, Richtlinien)
  • Planung (einschließlich Risikomanagement)
  • Support (einschließlich Ressourcen, Kompetenz, Kommunikation und Dokumentation)
  • Betrieb (operative Planung und Steuerung)
  • Leistungsbewertung (Überwachung, interne Audits, Managementbewertungen)
  • Zugriffskontrolle, Kryptographie sowie physische und umgebungsbezogene Sicherheit
  • Entwicklung und Wartung von Informationssystemen
  • Management von Sicherheitsvorfällen
  • Business-Continuity-Management
  • Einhaltung von Vorschriften
  • Kontinuierliche Verbesserung

Penetrationstests

Ein Penetrationstest ist ein simulierter Cyber-Angriff auf das Computersystem des Kunden, um es auf ausnutzbare Schwachstellen hin zu überprüfen. Im Zusammenhang mit der Sicherheit von Webanwendungen werden Penetrationstests in der Regel eingesetzt, um die Web Application Firewall (WAF) zu erweitern. Am Ende des Tests steht ein Ergebnisbericht sowie Empfehlungen für Optimierungsmaßnahmen.

Komplexe IT-Systeme sammeln und verarbeiten Daten, die potenziell missbraucht werden könnten.  Da in der Regel zumindest ein Teil des Systems öffentlich zugänglich ist, z.B. ein Webserver, muss sichergestellt werden, dass nur autorisierte Benutzer das System bedienen können und dass die Sicherheitsvorkehrungen keinen unbefugten Personen den Zugriff auf Systemelemente ermöglichen.

Die Systemsicherheit wird bewertet, indem ein simulierter Angriff auf das Computersystem durchgeführt wird. Anhand dieses Tests können Schwachstellen und die Auswirkungen eines möglichen Sicherheitsverstoßes identifiziert werden. Typische Bedrohungen sind z.B. Fehlfunktionen oder Überlastungen des Systems durch übermäßige Nutzung von Komponenten, die im öffentlichen Netzwerk zur Verfügung stehen (API, Webformulare...), der Verlust sensibler personenbezogener Daten oder der unbefugte Zugriff auf eingeschränkte Anwendungsfunktionen. Zu den Hauptformen von Penetrationstests zählen externe, interne und physische Penetrationstests.

Unser Ansatz zur Testmethodik:

  • PLANUNG - Festlegen von Gegenstand und Umfang des Sicherheitsaudits
  • SCANNING - Durchführung eines Kick-off-Workshops mit den Verantwortlichen für IT, Informationssicherheit und den Betrieb der betroffenen IT-Systeme
  • DURCHFÜHRUNG - Durchführung der Penetrationstests nach bewährten und etablierten Standards, wie z.B. dem OWASP Testing Guide. Einsatz bewährter, aktueller Tools und Durchführung ergänzender manueller Analysen/Nachprüfungen (False Positives).
  • ANALYSE UND REPORTING - Ergebnisbericht und Präsentation mit priorisierten Maßnahmenempfehlungen
  • OPTIONAL - Durchführung einer Nachuntersuchung

Vorteile von Penetrationstests:

  • Bessere Beurteilung des aktuellen Schutzniveaus eingesetzter IT-Systeme
  • Bewertung der etablierten Schutzmaßnahmen
  • Reduzierung der Haftungsrisiken, die durch unzureichende Sicherheit Ihrer Systeme entstehen

Anderer Blog aus der gleichen Branche