Schlagwort-Archiv Sicherheit

Wie sicher sind meine Daten im NormTracker?

Tatsächlich bekommen wir sehr häufig die Frage gestellt, wie sicher die Daten unserer NormTracker-Kunden in der Cloud sind. Der NormTracker läuft webbasiert in der Microsoft Cloud Azure, daher ist die Nachfrage berechtigt und nachvollziehbar. Sicherlich sorgt die Tatsache, die Sicherheit der Daten in andere Hände abzugeben, auch dafür, dass bei dem einen oder anderen ein komisches Bauchgefühl entsteht. Wir möchten Sie im Folgenden über die Speicherung der im NormTracker abgelegten Daten ausführlicher informieren:

Verglichen mit vielen lokalen Rechenzentren gehört die Microsoft Cloud auf Azure zu den sichersten der Welt. Aufgrund der umfangreichen Sicherheitsvorkehrungen und dem riesigen Aufwand, den Microsoft für die Sicherheit der Azure Dienste betreibt, sind wir davon überzeugt, dass kleinere Unternehmen und Rechenzentren hier nicht mithalten können. Ihre Daten sind damit so sicher, wie fast nirgends auf der Welt. Auch Normtracker baut auf die umfangreichen Informationssicherheitsfeatures der Microsoft Cloud auf und nutzt diese umfassend.

Umfangreiche Security Audits und Informationssicherheitszertifizierungen werden für jeden Dienst und jedes Microsoft Rechenzentrum regelmäßig erstellt. Natürlich sind die Nachweise, Auditberichte und Zertifikate jederzeit einsehbar. Sobald Sie einen Vertrag mit uns schließen, können wir Ihnen ebenfalls Einblick verschaffen. Zu den Zertifizierungen gehören selbstverständlich auch die ISO 27001, aber auch ISO 27018 sowie Zertifizierungen für den Finanzbereich, sodass sogar BaFin überwachte Unternehmen die Microsoft Cloud nutzen können.

Höchste Verfügbarkeit erleben wir seit über acht Jahren. Auf Basis unserer Erfahrung konnte bislang noch kein mittelständisches Rechenzentrum damit Schritt halten.

Viele Unternehmen nutzen bereits Office 365 und Azure. Dadurch ergibt sich eine sichere Anmeldung mit dem bekannten Microsoft Konto oder echtes Single Sign On mit Azure AD Zugangsdaten. Der Identity Provider Microsoft mit seinen vielen Funktionserweiterungen, wie integrierter 2-Faktor Authentifizierung und Conditional Access, gehört damit zu den global fortschrittlichsten und sichersten.

Wo liegen eigentlich genau die Daten?

Wir nehmen diese Frage sehr ernst. Die Normtracker Dienste werden derzeit aus den europäischen DS-GVO Standards entsprechenden Rechenzentren in Dublin und Amsterdam erbracht. Sobald die deutsche Microsoft Cloud verfügbar ist, ziehen wir unsere Kundendaten Schritt für Schritt in diese um.

Es ergeben sich aber noch weitere Vorteile durch die Nutzung der Microsoft Cloud Azure für unsere NormTracker Anwender:

  • Kostenminimierung: Dank dem ausgeklügelten Einsatz von Platform as a Service Diensten sichern wir Ihnen den hochverfügbaren, abgesicherten und performanten Betrieb zu günstigen monatlichen Kosten.
  • In die Dienste integrierte Überwachungsservices stellen ein schnelles Eingreifen unseres internen Cloud-Operation Teams sicher, sodass die allermeisten Fehler entweder gleich automatisch oder noch bevor es unsere Kunden merken, behoben werden können.
  • Die Speicherung aller Kundendaten geschieht mit ausgeklügelter Mandantentrennung, umfangreicher und modernster In-Table SQL und Storage Verschlüsselung, sodass Sie immer sicher sein können, dass Ihre Daten alleine Ihnen gehören.
  • Normtracker setzt immer die neuesten verfügbaren Technologien ein. Dies garantiert nicht nur andauernde Sicherheit und automatische Updates, sondern auch höchste Aktualität und immer neue verfügbare Funktionen für Sie.
  • Dank unserer vollen Office 365 Integration bei der Anmeldung mit Azure AD, aber auch SharePoint, können Sie zeitgleich an Ihren Richtliniendokumenten arbeiten und diese mit Versionshistorie sicher und compliancegerecht abspeichern. Dieses Feature ist optional. SharePoint Online von Office 365 ist nicht in Normtracker enthalten und muss separat erworben werden. Auch hierbei helfen wir Ihnen unsere Spezialisten gerne weiter.

Wenn Sie NormTracker testen möchten, dann schreiben Sie uns eine Nachricht an hello@certvision.de.

Bei Fragen zur Sicherheit unseres webbasierten Tools stehe ich gerne zu Ihrer Verfügung.

Zur IT-Sicherheit in wenigen Schritten

Bei der IT-Sicherheit soll ein Schutz vor Bedrohungen hergestellt und das Risiko dieser auf ein akzeptables Maß gebracht werden. Wie das geht und wie Sie der NormTracker einfach, sicher und schnell dabei unterstützen kann, erklären wir Ihnen hier in wenigen Schritten.

Zu Beginn

Egal ob VdS 10000, ISO/IEC 27001 oder BSI IT-Grundschutz, am Anfang steht die Erstellung des ranghöchsten Dokuments des ISMS (Informationssicherheits-Managementsystem) – die Leitlinie oder auch IT-Sicherheitsleitlinie / IT Security Policy genannt.

Zweck der Leitlinie ist die Bekennung zur Einhaltung der Informationssicherheit. In Ihr werden zudem die verantwortlichen Personen sowie Ziele festgelegt.

Anschließend werden die Richtlinien sowie die dazugehörigen Verfahren zur Einhaltung dieser definiert.

Der NormTracker führt Sie spielendleicht durch diese Dokumente und hilft Ihnen bei der Erstellung. Zudem erhalten Sie Unterstützung durch Anforderungslisten aus der Norm, ein Aufgaben- sowie Gefahrenmanagement und ein Dokumentenstore. Die Anforderungslisten arbeiten Sie wie lebendige Checklisten ab. Darüber hinaus können Sie diese im Rahmen eines Audits als transparenten Erfüllungsnachweis der jeweiligen Norm nutzen.

Bestandsanalyse

Wissen, was abgesichert werden muss – Während der Bestandsanalyse werden alle IT Systeme, Anwendungen, Hard- und Software, aber auch IT-bezogene Prozesse aufgenommen, um einen Überblick der vorhandenen Ressourcen zu erhalten. Nur so können Sie den Schutzbedarf für Ihr Unternehmen wirklich ermitteln.

Durch die Bestandsanalyse wird der Stand der aktuell eingesetzten Technik und gegenwärtigen IT-Sicherheit transparent dargelegt. Noch leichter und schneller geht die Bestandsaufnahme, wenn Sie einen Prozess nach dem Nächsten durchgehen. Machen Sie sich am besten einen Plan, bei welchem Prozess Sie anfangen und bei welchem Sie aufhören möchten. So werden die noch so kleinsten eingesetzten IT Ressourcen ermittelt und nicht vergessen.

Die Bestandsanalyse ist für die Erstellung der IS-Richtlinien erforderlich und wichtig für die Ermittlung des Risikopotenzials sowie das Treffen späterer Maßnahmen. Sie können die Bestandsaufnahme auch von einem externen IT-Sicherheitsberater durchführen lassen, wenn Ihnen hierfür die Zeit und Fachkompetenz fehlen sollten.

Mit Hilfe des NormTrackers erfassen Sie alle IT-Systeme detailliert und übersichtlich und benennen die Verantwortlichkeiten. Weitere Features ermöglichen Ihnen die Überwachung, Risikobewertung und Aufgabenzuweisung. Das Tool führt Sie Schritt für Schritt durch die IS-Richtlinien und Verfahren.

Auswertung und Bewertung

Nach der Bestandsanalyse folgt die Auswertung der aufgenommenen Daten. Lokalisieren Sie die Schwachstellen und ordnen Sie diese, sodass eine priorisierte Abarbeitung möglich ist. Haben Sie die Gefährdungen mit dem höchsten Risiko bereits bewertet, lassen sich auch die Budgets für erforderliche Maßnahmen besser einplanen. Ein externer Informationssicherheitsbeauftragter (ISB) bietet sich in jedem Fall für diese Aufgabe an. Mit dem fachlichen Knowhow und der gesammelten Erfahrung, können die Gefährdungen noch realer eingeschätzt und bewertet werden.

Das Risiko einer erkannten Gefährdung wird sowohl durch die Festlegung der Wahrscheinlichkeit des Eintretens sowie der Tragweite bzw. Schadenshöhe bei Eintritt ermittelt. Hierfür bietet sich eine Entscheidungstabelle an, die Sie im NormTracker unternehmensspezifisch skalieren können.

(Abb. Risikoeinstellung im NormTracker)

Sobald Sie die IT-Systeme aufgenommen haben, können Sie in der gleichen Maske zentral und übersichtlich das Gefährdungspotenzial bestimmen und überwachen.

Planung und Umsetzung der Maßnahmen

Starten Sie mit der sorgfältigen Planung der erforderlichen Maßnahmen. Maßnahmen sind Aufgaben, die in erster Linie der Risikominimierung und Gefahrenbeherrschung dienen. Legen Sie für die Maßnahmen Verantwortlichkeiten, Plantermine und Intervalle fest, sofern diese wiederkehrend geprüft werden müssen. Arbeiten Sie alle Maßnahmen strukturiert im NormTracker ab. Der Umsetzungsfortschritt wird Ihnen einen optimalen Überblick des Abarbeitungsstands gegeben. Die in den Normen vorgegebenen Maßnahmen sind bereits im NormTracker integriert. Sie legen nur noch Plantermin und Verantwortlichen fest.

Wirksamkeitsprüfung

Einige Maßnahmen müssen regelmäßig wiederholt werden, andere finden einmalig statt, doch Tatsache ist, dass alle getroffenen und umgesetzten Maßnahmen in regelmäßigen Abständen validiert werden müssen. Anforderungen und Stand der Technik ändern sich fortlaufend, Angriffe werden immer raffinierter, Schutzsoftwaren werden laufend aktualisiert. Nehmen Sie sich ausreichend Zeit für die Wirksamkeitsprüfung der getroffenen Maßnahmen. Führen sie geplante Tests durch und protokollieren Sie die daraus resultierenden Ergebnisse sowie Erkenntnisse im NormTracker. Eventuell müssen Sie den Schutzbedarf verschärfen und weitere Maßnahmen definieren. Greift eine Maßnahme jedoch so gut, ist es auch möglich, dass Sie das Risiko einer Gefährdung im Nachhinein wieder herab setzen können.

Kontinuierlicher Verbesserungsprozess

Halten Sie sich bei den Schritten den PDCA-Zyklus (Plan – Do – Check – Act) vor Augen, der den kontinuierlichen Verbesserungsprozess beschreibt. Definieren Sie ein Best-Practice, mit dem Sie zukünftig festschreiben, welche Systeme eingesetzt werden dürfen und wie diese bewertet, überwacht und geprüft werden.

Generieren Sie sich per Klick Auditberichte und fangen Sie an IT-Sicherheit im Unternehmen zu leben.

Wussten Sie, dass ein Abonnement des NormTrackers auch eine fachliche Unterstützung durch einen unserer renommierten IT-Security Experten aus Ihrer Region beinhaltet?

Wenn Sie mehr zu diesem Thema wissen möchten, den NormTracker einsetzen oder in unsere Datenbank als IT-Security Experte aufgenommen werden möchten – Dann schreiben Sie uns eine Nachricht an hello@certvision.de oder rufen Sie uns an +49 (0) 911 14 885 202.