Wesentliches Kriterium für eine funktionsfähige IT/OT-Sicherheit, Informationssicherheit, Cybersecurity, Datensicherheit und dgl., ist die Sicherheitsstrategie. Darauf aufbauend müssen die zentralen, messbaren und kontrollierbaren Ziele den IT-Verantwortlichen von der Unternehmensleitung (Managementverantwortung) vorgegeben werden. Nur so ist zu erwarten, dass bekannt ist wohin die Reise gehen soll.
Während größere Organisationen mit entspechenden Ressourcen (Personal, Kapital, Zeit) sehr wahrscheinlich auf ein vollwertiges Informations-Sicherheitsmanagement-System nach ISO 27001 vertrauen, werden kleinere Unternehmen eher einfachere Konzepte implementieren.

Sicherheitscheck, Sicherheitsbewertung

Wie die Anforderungen und die reale Umsetzung der Sicherheit ihrer IT/OT-Systeme geprüft werden können, ist abhängig vom jeweiligen Kundensystem.
Ich persönlich halte nicht sehr viel von den aktuell angebotenen vorgefertigten Pen-Tests auf Abo-Basis durch angelernte, rasch eingeschulte 'sales professionals'. Zudem würde ich niemals zu einem softwarebasierten Penetrationstest gegen Ihre Live-Systeme, also die produktiven Echt-Systeme raten, obwohl diese simulierten Angriffe werbewirksam vermarktet werden.
Die meisten Angriffe gegen die IT Ihres Unternehmens beginnen tatsächlich durch aktive oder unbewusste Mitwirkung der Computeranwender, Netzwerkdrucker, IoT Geräte und der gleichen. Ihre OT-Systeme (Produktion/Fertigung) werden meistens über den Umweg der IT kompromittiert. Im schlimmsten Fall sind die OT-Systeme auch direkt aus dem Internet erreichbar.
Daher prüfe ich nicht ausschließlich die Sicherheit ihrer Netzwerkkomponenten, sondern analysiere neben Konfigurationsfehlern ihrer Hard- und Software, die IT Prozesse ihres Unternehmens. Dazu zählen beispielsweise: Sicherheits-, Risiko- und Wissensmanagement, Fehlerkultur, Gebäudeschutz, Brandschutz, Zutrittsschutz, Backup und Archivlösungen, Dokumentation, Incident Handling, udgl.
Bei großen Organisationen orientiert sich die Sicherheitsprüfung natürlich am ISO-27000 Framework. Für mittlere und kleine Organisiationen empfiehlt sich ein Vorgehen, das auf DIN Spec 27076 aufbaut.
RM consulting bietet ausschließlich ganzheitliche IT Sicherheistprüfungen an [Netzwerke, Systeme, Komponenten, Organisation, social engineering, ...]. Dieser Prozess ist natürlich aufwendiger und verlangt entsprechende IT-Kenntnisse und Erfahrung auf dem Gebiet der Netzwerk- und Systemanalyse, aber auch gut entwickelte Softskills im Umgang mit Menschen.
Wenn Sie unsicher sind, ob Ihre Computersysteme tatsächlich sicher konfiguriert sind, kontaktieren Sie mich für eine kostenlose Erstberatung telefonisch oder per E-Mail. Wir stimmen dann gemeinsam das weitere Vorgehen ab.

Requirements Engineering, Anforderungsanalyse, Bedarfsermittlung

Bevor sie über Kosten für neue Hard- und Software nachdenken, sollten sie den objektiven Bedarf für die bestmögliche Erfüllung der gewünschten Anforderungen erheben. Auch sollten Sie niemals ohne entsprechender Planung den Schritt in die "Cloud" wagen. Klären Sie zudem unbedingt die Datenbasis, den Bedarf und die Einsatzszenarien vor der Implementierung von AI/KI. Insbesondere, wenn diese auf GenAI mit unbekannten (betriebsfremden) Trainingsdaten und Trainingsmustern basiert. Locken anfänglich noch Kosten- und Leistungsvorteile, kann sich dieser Schritt schon bald als unbeherrschbare Hydra entpuppen. Wie schon mehrfach erwähnt, bin ich ein unabhängiger Berater und nicht von Verkaufszahlen abhängig.
Ohne Bedarfsanalyse und guter Planung, wird auch die teuerste Neuanschaffung nicht das gewünschte Ergebnis liefern können. Als Experte für Requirements Engineering, Sicherheitsplanung, Systemplanung, Netzwerkplanung, IT Konsolidierung, u.a., stehe ich Ihnen gerne zur Seite.

Resilienz der Netz- und Informationssysteme, NIS2, NISG

Seit Oktober 2024 sollten eigentlich sehr viele mittlere und große Unternehmen ein weit strengeres Sicherheitsmanagement zur Gewährleistung der Stabilität und Sicherheit ihrer IT/OT-Systeme implementiert haben, um vor sog. Cyberrisiken bestmöglich geschützt zu sein. Selbst wenn das eigene Unternehmen nicht unmittelbar im Katalog der 'wichtigen, wesentlichen oder kritischen' Infrastruktur erfasst wird, so müssen zumindest vorgelagerte und/oder nachgelagerte Prozessketten (Lierferanten, Kunden, Geschäftspartner) ein besonderes Augenmerk auf die Einhaltung der Cybersecurity und Resilienz legen.
Natürlich unterstütze ich Sie auch bei Fragestellungen zu NIS2 [EU-Richtline 2022/2555, CELEX 32022L2555] und dem novellierten NISG (sobald dieses vorliegt), und helfe Ihnen beim Aufbau eines auf Ihre Bedürfnisse angepassten Informations-Sicherheits-Management-Systems (ISMS).

Datensicherheit, Datenschutz, EU-DSGVO, DSG, ...

Seit Mai 2018 müssen alle natürlichen und juristischen Personen sowie öffentliche Organisationen, welche personenbezogene Daten innerhalb der EU oder für Unternehmen in der EU speichern oder verarbeiten, die Vorgaben der europäischen Datenschutz Grundverordnung 2016/679 erfüllen.
Leider habe ich immer noch Kontakt zu Unternehmen, welche die gesetzlichen Vorgaben hinsichtlich Datenschutz und Datensicherheit nicht oder nicht korrekt umgesetzt haben. Wenn Sie bzw. Ihr Unternehmen nicht wirklich sicher sind, auch alle rechtlichen Vorgaben korrekt zu erfüllen (aber ohne unnötiges Gold Plating), dann sollten Sie mich rasch kontaktieren. Zumindest noch bevor Sie von der Datenschutzbehörde zur Stellungnahme eingeladen werden.

Als unabhängiger systemischer Berater sorge ich dafür, dass Ihnen auch die Vorteile, Chancen und Einsparungspotentiale bei der Erfüllung dieser 'Pflichten' bewusst werden. Sie können z.B. Ihren Kunden, Lieferanten, Mitarbeitern und auch Ihren Mitbewerbern nachweisen, dass Sie ein verlässlicher Partner im Geschäftsalltag sind. Vergleichen Sie dazu auch gerne die Vorgaben nach EU-Richtlinie 2022/2555 (NIS2, zukünftig novelliertes NISG), der EU-Verordnung 2022/0272 (CyberResilienceAct), der CSDDD (Lieferkettenrichtinie) oder der überarbeiteten und bald gültigen EU-Produkthaftungsrichtlinie (EU 2022/0302 COD) für Software. Schließlich rechnet sich keine Investition in zusätzliche Sicherheitsmaßnahmen, wenn Sie oder Ihr Unternehmen nicht auch den Mehrwert erkennen und schätzen.

Aktuelle KMU Förderung: Cybersecurity Schecks 2024 (NIS2 Umsetzungsmaßnahmen)

Nutzen Sie die Gelegenheit der förderbaren Management- und Expertenberatung, sowie für die Anschaffung und Implementierung notwendiger Schutzkomponenten (zB. Echtzeitdetektierung, SIEM). Die Förderung kann noch bis Ende November 2024 beantragt werden!
Detaillierte Informationen finden Sie auf der Webseite der FFG.

KMU.DIGITAL, IT- und Cybercrime Security | Technologie und Innovation

Als zertifizierter IT- und Datenschutz-Sicherheitsexperte unterstütze ich Ihr Unternehmen auch im Rahmen der KMU.DIGITAL Förderaktion.
Sie können auf meine Expertise und Unterstützung bei folgenden Maßnahmen vertrauen:

• Strategieberatung zu IT- und Cybersecurity (Schwachstellenanalysen, Maßnahmenplanung)
• Umsetzungsmaßnahmen der IT- und Cybersecurity Strategie (Projektmanagement, Begleitung, Durchführung)
• Strategieberatung im Bereich Resilienz durch IT- und Cybersecurity
• Umsetzung von Ökologisierungsprojekten (Projektmanagement, Begleitung, Durchführung)

Außerdem können Sie auf meine Expertise im Rahmen von diversen TIP-Förderaktionen zugreifen. Aktuell bietet die Wirtschaftskammer Nö eine zu 100 Prozent geförderte 8 Stunden Kurzberatung an, um die Cyber-/IT-Sicherheit ihres Unternehmens zu bewerten.

Melden Sie sich einfach für eine geförderte Beratung an und wählen Sie mich aus dem TIP-Beraterpool aus.
Achtung: die jeweiligen Fördertöpfe sind erfahrungsgemäß rasch ausgeschöpft!

Schulungen, Coaching, Vorträge