Als zentrales Element der adesso Security Services unterstützen wir unsere Kunden dabei, strategische Rahmenparameter zu etablieren, mit denen eine zielgerichtete Steuerung der Risiken ermöglicht wird - insbesondere vor dem Hintergrund regulatorischer Anforderungen.

Übersicht verschaffen

• Durchführung von GAP-Analysen, Audits & Reifegradbewertungen mit Hilfe des „xAIT Readiness Check“
• Bewertung von Prüfungsfeststellungen

Strukturen aufbauen

• Etablierung von Governance-, Risk- und Compliance-Strukturen sowie Steuerungselementen
• Evaluierung von unterstützenden Tools

Lücken schließen

• Behebung von Prüfungsfeststellungen
• Prüfungsvorbereitung und -begleitung

Standards

• BAIT, VAIT, KAIT, ZAIT (BaFin)
• IT-Sicherheitsgesetz
• Kritis
• NIST

Um schützenswerte Informationen sinnvoll managen zu können, ist es notwendig, ein Informationssicherheits-Management-System (ISMS) zu etablieren. Es hilft, notwendige Maßnahmen zu identifizieren, zu implementieren und auf Wirksamkeit hin zu überprüfen.

Standardunabhängig

• ISMS-Reifegradbestimmungen
• Erstellung einer Roadmap zum Aufbau und zur Optimierung eines ISMS
• Modellierung des Informationsverbundes
• Durchführung von Struktur-, Schutzbedarfs- und Risikoanalysen
• Erstellung von Sicherheitskonzepten
• Erstellung von Richtlinien
• Durchführung von Awareness- und Schulungsmaßnahmen

Herstellerunabhängig

• Umsetzung von risikominimierenden Maßnahmen
• Konzeption einer ISMS-Toolunterstützung
• Unterstützung auf dem Weg zur Zertifizierung

Standards

• ISO/IEC 2700x
• BSI 100, BSI 200
• KritisV gem. §8a 1-3 BSI-G
• Branchenspezifische Standards – zum Beispiel B3S, TISAX, WLA, etc.

Um den Unternehmenserfolg gewährleisten zu können, ist es unabdingbar, dass die (kritischen) Geschäftsprozesse kontinuierlich weitergeführt werden können. Das Business Continuity Management (BCM) bildet daher einen wichtigen Baustein im Risikomanagement des Unternehmens.

Beratung

• Aufbau eines Business Continuity Management Systems (BCMS)
• Aufbau eines IT Service Continuity Managements (ITSCM)
• Erstellung von Richtlinien und Prozessen
• Durchführung von Business-Impact-Analysen (BIA)
• Erstellung von Geschäftsfortführungsplänen und (IT-) Notfallplänen
• Durchführung von Schulungen

Audits

• Durchführung von Risikoanalysen
• Prüfung der Notfallvorsorgemaßnahmen
• Durchführung von Notfalltests

Standards

• ISO 22301, ISO 27031
• BSI 100-4, 200-4
• ITIL
• KritisV

In unserer globalisierten und digitalisierten Welt müssen Unternehmen verstärkt mit Hacker-Angriffen und sonstigen Arten von Cyberkriminalität rechnen. Um Bedrohungen vom Unternehmen fernzuhalten, müssen IT-Systeme regelmäßig geprüft und abgesichert werden.

Strategisch und taktisch

• Analyse der bestehenden Risiken hinsichtlich der Cyber Security mittels einer „Cyber Risk Analyse“
• Validierung der Compliance sowie Security- und Risk-Anforderungen
• Einführung eines Risk und Security Management Frameworks
• Etablierung eines Auslagerungsmanagements
• Konzeption eines Identity and Access Managements (IAM)
• Netzwerkarchitektur für Audits

Operativ

• Auswahl und Aufbau der Sicherheitsinfrastruktur (SIEM, SOC, SOAR, Schwachstellenmanagement)
• Durchführung von Cloud-Security-Audits und Konfigurationschecks
• Erstellung von Sicherheits-Checklisten für den IT-Betrieb
• Schulung des IT-Betriebs hinsichtlich Cloud-Sicherheit
• Monitoring
• Konzeption und Durchführung Phishing-Kampagnen

Sicherheitslücken in Apps, Anwendungen und APIs sind eine beliebte Hintertür für Hacker, über die sämtliche andere Sicherheitsmaßnahmen der Infrastruktur ausgehebelt werden können. Ein Secure Development Lifecycle ist daher essenziell, um sichere Software entwickeln zu können.

Anwendungsnah

• Sicherheit im Software Development Lifecycle (SDLC)
• Threat-Modelling
• Entwicklertrainings
• Sicherheitskonzepte
• Secure Coding
• Security by Design
• SecDevOps
• Code Reviews
• Active Directory Audit

Pentests und Assessments

• Netzwerk
• Webapplikation und Web-API
• Workstation
• Mobile App und OS (iOS, Android)
• Segmentation Test (nach PCI DSS)
• W-LAN Assessments
• Statische und dynamische Codeanalysen
• Netzwerkarchitektur Audits
• Firewall Audits

In SAP-Systemen liegen oft die wichtigsten Unternehmensdaten. Darum helfen wir Ihnen, diese zu schützen. Wir unterstützen Sie dabei, Ihre Risiken klar zu identifizieren, Berechtigungen effizient und sicher zu gestalten und Kontrollen zu automatisieren.

SAP Security Services

• Lückenlose Prüfung der SAP-Systeme mit dem WerthAUDITOR
• Umfassende Ergebnisse und Handlungsempfehlungen für eine verbesserte Sicherheit

SAP GRC

• Aufbauen des SAP GRC für ein effektives Zugriffsmanagement
• Automatische Kontrollen für das interne Kontrollsystem (IKS)
• Fachliche Expertise für Risiken

SAP-Berechtigungen

• Redesign der Berechtigungen bei einer S/4HANA-Einführung (inklusive Fiori und HANA)
• Berechtigungskonzepte für jegliche SAP-Systeme
• Bereinigen von Berechtigungsrisiken, wenn ein Audit bevorsteht
• Schulungen für SAP-Anwendende und -Fachleute zum Thema SAP-Berechtigungen
• Support im operativen Betrieb der Rollenadministration

Wir unterstützen Sie im ganzheitlichen Betrieb - sowohl personell und technisch. Ihre Software läuft bei uns sicher, da adesso den Betrieb kontinuierlich überwacht und prüft. Zudem unterstützen wir Sie auch beim sicheren Betrieb in der Cloud oder in Ihrem Rechenzentrum.

Betreiben und Erkennen

• Kontinuierliche Überwachung durch ein Security Info und Event Managementsystem (SIEM)
• Einrichtung eines SOC, das die Cloud Sicherheit proaktiv weiterentwickelt und auf Angriffe reagiert
• Regelmäßige automatisierte Scans der Infrastruktur und Anwendungen
• Pentesting
• Konfiguration und Absicherung von Plattformen wie Cloud-Umgebungen, Webserver oder im IoT-Bereich

Unterstützen und beraten

• Authentifizierungsverfahren – zum Beispiel eID, RFIDs, Smartcards oder Zertifikate
• Identity und Access Management
• Security News und Informationen
• Aktive Mitarbeit beim OWASP Germany

Schulungen und Standards

• Erstellen von Sicherheitschecklisten für den IT-Betrieb
• Schulung des IT-Betriebs hinsichtlich (Cloud-) Sicherheit
• Security Champions Programm
• CSVS, ASVS, OpenSAMM

Um die Anforderungen des Datenschutzes beziehungsweise der EU-DSGVO konform umsetzen zu können, ist der Betrieb eines (Datenschutz) Managementsystems, das die technischen und organisatorischen Aspekte berücksichtigt, unerlässlich.

Aufbau von Managementsystemen

• Etablierung eines Privacy Information Management Systems (PIMS) nach ISO 27701
• Konzeption und Umsetzung Datenschutzmanagement und dazugehörigen Prozessen gemäß EU-DSGVO (Verarbeitungsverzeichnis, Auftragsdatenverarbeitung etc.)
• Erarbeitung von technisch Organisatorischen Maßnahmen (TOMs)

Operationalisierung

• Bereitstellung eines externen Datenschutzbeauftragten
• Datenschutzberatung
• Coaching
• Evaluierung von unterstützenden Tools
• Durchführung von Schulungen und Awareness-Kampagnen
• Unterstützung bei Datenschutz-Notfällen