Die Nachfrage nach Experten-Beratung und Sicherheitstests steigt stetig. Gleichzeitig drängen viele Anbieter mit unterschiedlichen Services und Tools auf den Markt und versprechen absolute Sicherheit. Diese gibt es in dieser Form jedoch nicht. Es ist schwierig geworden im kritischen Themenbereich Cyber-Security, den passenden Anbieter oder Partner auszuwählen. Zertifizierungen, die auf international anerkannten und verbreiteten Standards beruhen, sind eine anerkannte Möglichkeit bindende Qualitätsmerkmale einzuführen und für Kunden und Partner auch überprüfbar zu machen.
„Es ist uns sehr wichtig, dass sowohl Marktteilnehmer als auch Kunden feststellen können, ob sie es mit einem Anbieter von Informationssicherheits-Dienstleistungen und -produkten zu tun haben, der Wert auf hohe Standards legt und dies mit Zertifizierungen untermauern kann. Wir als SEC Consult Gruppe orientieren uns an der internationalen Norm ISO 27001 Zertifizierung und der CREST Zertifizierung, die sowohl auf das Unternehmen aber auch auf den einzelnen Berater abzielt. Wir investieren konsequent in die Aus- und Weiterbildung unserer Mitarbeiterinnen und Mitarbeiter, und lassen diese nach internationalen Standards zertifizieren“ sagt Michael Ganzwohl, CEO SEC Consult Asia Pacific.
Genormte Sicherheit – wofür stehen ISO 27001 und CREST?
Die internationale ISO-Norm 27001 bietet einen systematisch strukturierten Ansatz für Informationssicherheit in Unternehmen und beschreibt die Anforderungen zur Implementierung sowie zum Betrieb eines Informationssicherheits-Managementsystems. Ebenso sind die Analyse und die Handhabung von Risiken der Informationssicherheit Teil dieser Norm.
Im asiatischen Raum bereits länger etabliert und von Unternehmen gefordert, in Europa aber bisher weniger verbreitet, ist die CREST-Zertifizierung, die ebenso den Markt für technische Informationssicherheit unterstützt und vertritt. Sie steht für international anerkannte Akkreditierungen für Organisationen und professionelle Zertifizierungen für Einzelpersonen, die Dienstleistungen in den Bereichen Penetrationstests, Cyber Incident Response, Threat Intelligence und Security Operations Center (SOC) anbieten. Internationale Glaubwürdigkeit sowie der Zugang zu branchenführenden Leitlinien, Standards und Möglichkeiten zum Austausch sowie zur Verbesserung von Know-how sind nur einige Punkte, die für eine CREST-Zertifizierung sprechen.
Daher hat SEC Consult die schon länger bestehende Zertifizierung für Penetration Testing vor kurzem um den Bereich Incident Response für Asien und Europa erweitert. Die Zertifizierung gilt sowohl für das Unternehmen als auch für ausgewiesene Spezialisten. Damit zählt SEC Consult zu einem von nur rund 30 Unternehmen weltweit, davon nur 5 in Europa, das über diese Zertifizierung verfügt.
Regelmäßige Sicherheitsüberprüfungen sind die Basis
Penetration Testing hat sich als eine effiziente Maßnahme etabliert, um ein sicheres IT-Umfeld zu schaffen. Die Pentests erfolgen je nach Projektumfang in unterschiedlichen Detailierungsstufen und Herangehensweisen, wie Blackbox, Greybox und Whitebox. Diese unterscheiden sich im Wesentlichen in der Menge der Information, die dem Pentester über zu testende Applikationen oder Netzwerke zur Verfügung steht. Wichtig ist dabei, potenzielle Einstiegspunkte und Schwachstellen aus Sicht eines Angreifers zu identifizieren. Erst dann können darauf aufbauend entsprechende Maßnahmen und Vorschläge abgeleitet werden, um das vorhandene Sicherheitskonzept und -niveau zu verbessern.
Ein Pentest ist allerdings immer nur eine Momentaufnahme des aktuellen Zustandes eines Systems oder eine Applikation. SEC Consult empfiehlt daher, regelmäßige „Kontrolluntersuchungen“ vorzunehmen. Denn bereits minimale Veränderungen in einer zuvor geprüften Umgebung können neue Angriffsvektoren eröffnen.
SEC Defence – Incident Response für den Ernstfall
Prävention ist jedoch nur die eine Seite der Medaille: Wenn trotz aller Vorsicht der Ernstfall eintritt, ist es für Unternehmen vorrangig, Experten an ihrer Seite zu wissen, die der Bedrohung auch gewachsen sind. Im Krisenfall ist das Team von SEC Defence als zertifizierter Anbieter für Incident Response und Incident Handling innerhalb kurzer Zeit vor Ort oder Remote überall in Europa einsatzbereit. Das Rapid Response Squad (die Blue Team-Einheit von SEC Defence) ergreift gemeinsam mit der betroffenen Organisation die erforderlichen Gegenmaßnahmen, um den Schaden auf ein Minimum zu begrenzen und den regulären Geschäftsbetrieb so schnell als möglich wiederherzustellen.
Eines ist jedenfalls sicher: Der nächste Angriff folgt bestimmt.
Die SEC Consult Experten unserer Blue und Red Teams unterstützen Sie deshalb weltweit sich mit Sicherheitsüberprüfungen und Simulationen bestmöglich vorzubereiten und im Notfall mögliche Schäden zu minimieren.