netz23

Security Management

Das Thema IT Sicherheit wird auch heute noch in vielen Unternehmen vernachlässigt. Ein Information Security Management System (ISMS) liefert einen prozessorientierten Ansatz, um den vielfältigen IT Gefährdungen zielgerecht zu begegnen. Dies beinhaltet Verfahren und Regeln, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Wir unterstützen unsere Kunden bei Erstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten ISMS auf Basis der Standards ISO27001 und BSI Grundschutz.

Die IT ist die Basis vitaler Geschäftsprozesse, Technikausfälle können daher schnell sehr bedrohlich für das gesamte Unternehmen werden. Das IT Risk Management deckt Gefahren auf und weist auf notwendige Maßnahmen in der Infrastruktur und der Organisation hin. Mit BSI 200-3 und ISO27005 nutzen wir bei unseren Kunden ein international anerkanntes Modell zum Risk Management, das einen geeigneten Umgang mit IT Risiken gewährleistet. Anhand von klar definierten Kontrollzielen können wir die getroffenen IT Sicherheitsmaßnahmen zur Risikoreduktion systematisch auf ihre Wirksamkeit und Effizienz prüfen.

Das Business Continuity Management umfasst den Bereich der Notfallvorsorge mit Präventivmaßnahmen zur Vermeidung von Notfällen sowie die Planung der Notfallbewältigung zur Wiederherstellung von Geschäftsprozessen und Systemen. Mit Hilfe einer Business Impact Analyse untersuchen wir die kritischen Geschäftsprozesse unserer Kunden hinsichtlich ihrer IT Abhängigkeit, betrachten Notfallszenarien, entwickeln Notfallpläne und konzipieren Notfallübungen. Wir installieren so ein funktionierendes Notfallmanagement und erstellen auch die dafür erforderliche Notfalldokumentation.

Security Solutions

Die Bedrohungsszenarien für die IT Landschaft werden komplexer und die dauerhafte Verteidigung des Netzwerks immer schwieriger. Die Angriffe sind heute stark automatisiert und Angreifer suchen gezielt nach bestimmten kritischen Komponenten in der IT Infrastruktur. Es ist daher nicht mehr ausreichend die Systeme in regelmäßigen Zyklen zu aktualisieren, vielmehr ist ein Realtime Schutz notwendig, der die Systeme schon schützt, wenn noch gar kein Patch vorliegt. Wir entwickeln bei unseren Kunden Lösungen um typische Angriffsmuster mit Hilfe von modernen Threat Intelligence Systemen automatisiert abzuwehren.

Einzelne Schwachstellen in der betriebenen Software eröffnen Angreifern immer wieder Einfallstore in die gesamte IT Infrastruktur. Daneben werden immer mehr Geräte der Mitarbeiter auch privat genutzt, sodass es nicht mehr ausreichend ist, nur die Unternehmenssoftware hinsichtlich ihres Gefährdungspotenzials zu betrachten. Viele IT Abteilungen konzentrieren sich immer noch rein auf das Aktualisieren ihrer Systeme nach Bekanntwerden einer neuen Sicherheitslücke und reagieren damit nur statt zu agieren. Wir entwerfen für unsere Kunden zur proaktiven Abwehr ein Common Vulnerability Scoring System (CVSS). Hiermit lassen sich potentielle und akute Sicherheitslücken nach verschiedenen Kriterien bewerten und miteinander vergleichen, so dass sich bereits im Vorfeld geeignete Gegenmaßnahmen planen und umsetzen lassen.

Die kontinuierliche Überwachung der IT Infrastruktur ist eine essentielle Maßnahme um Angriffe, Störungen oder auch Abweichungen vom Sollzustand so früh wie möglich aufzudecken. Wir implementieren bei unseren Kunden ein zentrales intelligentes Security Monitoring System, welches Daten aus verschiedensten Quellen im Netzwerk verarbeiten und auswerten kann. Dies umfasst Systemereignisse wie auch Livedaten aus Anwendungen und Datenbanken. Die Daten werden vom System gefiltert, korreliert und in Verbindung mit anderen Prozessen der IT Security Intelligence ausgewertet.

Security Operations

Die Unternehmensnetzwerke wachsen weiterhin stark, neue Technologien werfen neue Sicherheitsfragen auf, zugleich müssen zahlreiche Netzwerkthemen heute neu bewertet werden. Unsere Netzwerkexperten kennen die aktuellen Herausforderungen unserer Kunden in den Bereichen Internet, DMZ, LAN Management, WLAN, VPN oder auch VoIP. Typische Lösungen die wir bei unseren Kunden im Bereich Netzwerksicherheit integrieren sind Layer2 Verschlüsselung, Firewalls, Intrusion Detection Systeme, Network Access Control und automatisierte Logfile Analysen.

Am Ende der Kette eines typischen Angriffs auf eine IT Infrastruktur steht zumeist das Serversystem. Die vielfältigen Möglichkeiten für Angriffe auf die einzelnen Dienste eines Servers nehmen mit dem Einsatz von modernen Technologien wie der Virtualisierung noch weiter zu. Neben vorsätzlichen Handlungen, z.B. durch das Einschleusen von Schadprogrammen, sind im operativen Betrieb aber auch den Gefährdungen durch menschliche Fehlhandlungen entgegenzuwirken. Wir erstellen für unsere Kunden praxisnahe Richtlinien für die Serversicherheit, die Vorgaben behandeln dabei Themen wie Patchmanagement, Systemhärtung, regelmäßige Sicherheitschecks und Integritätsprüfungen.

Die Sicherheit von Anwendungen wird durch eine Vielzahl von Aspekten, wie dem Entwurf, der Implementierung, dem Deployment, der Aktualisierung und den operativen Maßnahmen zum sicheren Betrieb bestimmt. Im besonderen Fokus von Angreifern stehen heute oft Webanwendungen. Diese sind oft leicht zu identifizieren, enthalten sensible Informationen und sind dabei in der Regel schlecht geschützt. Um gängigen Gefahren wie SQJ Injections oder Session Highjacking zu begegnen, entwickeln wir bei unseren Kunden geeignete Maßnahmen zur Applikationssicherheit. Dies umfasst beispielsweise Vorgaben für die Entwicklung, Maßnahmen für den sicheren Applikationsbetrieb, Code Reviews, dedizierte Web Application Firewalls und sicherheitsspezifische Abnahmetest.

Sicherheitsrisiken beim Betrieb von Datenbanken entstehen oft durch eine Kombination aus fehlender Berechtigungskonzeption, ungenügender Überwachung, unzureichender Datensicherung und nicht vorhandenen Konsistenzkontrollen. Wir entwerfen daher für unsere Kunden ein Paket aus Maßnahmen für die Datenbanksicherheit, welches die Zugriffskontrolle, Authentifizierung, Verschlüsselung und die Auditierung der Datenbanken umfasst.

Der Trend der IT zu mobilen Endgeräten wie Laptops, Smartphones, Netbooks, E-Book Readern und Tablets geht weiter voran. Viele der klassischen infrastrukturell vorgenommen Sicherheitsmaßnahmen greifen in diesem Umfeld hier nicht mehr. Wir unterstützen unsere Kunden beim Entwurf und der Umsetzung von Prozessen zum sicheren Betrieb von mobilen Geräten. Die Mobile Security umfasst beispielsweise die Integration eines Mobile Device Management Systems, die Nutzung starker Authentifizierungsmethoden, Datenträgerverschlüsselung, lokale Paketfilter und Best Practices für die Administration.

Eine komplexe Aufgabe für die IT ist die Aufklärung von möglichen Missbrauchsfällen auf den IT Systemen im Unternehmen. Die Untersuchung von verdächtigen Vorfällen ist Aufgabe der IT Forensik. In einem multidisziplinären Team arbeiten wir im Sinne unserer Kunden mit Forensik Partnern zusammen. Wir erstellen so gerichtsfeste Sicherungen von digitalen Beweismitteln und analysieren diese anschließend nach fallspezifischen Kriterien. Dabei werden Methoden des Data Mining und des eDiscoverys beispielsweise zur Profilanalyse oder dem Nachweis von Einbruchsspuren genutzt.

Security Assessment

Regelmäßige Security Audits gehören zu den Best Practises der IT Sicherheit und sind Teil einer umfassenden und nachhaltigen IT Sicherheitsstrategie. Sie dienen der Planung, Dokumentation und ständiger Weiterentwicklung der Informationssicherheit. Anhand der Anforderungs- und Maßnahmenkataloge von gängigen Standards wie ISO27001, COBIT, ITIL oder Grundschutz wird durch Security Audits der Umsetzungsgrad der Sicherheitsmaßnahmen evaluiert, sodass unsere Kunden ein genaues Lagebild des erreichten IT Sicherheitsniveaus erhalten.

Immer häufiger liest man Meldungen von Unternehmen, die als Teil eines weltweiten Botnets identifiziert wurden oder bei denen ungewollte Zugänge gefunden wurden, die schon über Monate oder sogar Jahre hinweg aktiv sind. Viele IT Abteilungen treibt deshalb zu Recht die Sorge um, dass sie bereits Opfer eines solchen Angriffs geworden sind, ohne dies zu merken. Um sicherzustellen, dass ein Unternehmen nicht bereits infiltriert wurde, führen wir bei unseren Kunden einen dedizierten Infiltration Test durch, der den Netzwerkverkehr und die Systeme bezüglich versteckter und ungewollter Aktivitäten untersucht.

Ein Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das aktuelle IT Sicherheitsniveau eines Unternehmens zu prüfen. Der Test dient dazu, die Erfolgsaussichten eines vorsätzlichen Angriffs einzuschätzen und damit die Wirksamkeit von bereits umgesetzten Sicherheitsmaßnahmen zu überprüfen. Bei der Durchführung von Penetrationstest orientieren wir uns am etablierten Standard OSSTMM, einer Methodik zur Planung, Durchführung und Dokumentation von technischen Sicherheitsüberprüfungen, die den Anforderungen der wichtigsten Normen und Standards wie ISO27001, COBIT, ITIL und Grundschutz entspricht. Typische Angriffspunkte für unsere Penetrationstest sind die aktiven Netzwerkkomponenten, Firewalls, Server, DMZ und die drahtlosen Netze.

Webanwendungen sind nicht nur bei Anwendern sehr beliebt, auch Angreifer suchen gerne und erfolgreich dort nach Sicherheitslücken, um beispielsweise an sensible Daten zu gelangen. Mit der Durchführung von Webapplikationstests machen wir das Sicherheits- und Bedrohungspotenzial der betriebenen Webapplikationen transparent. Bei der Durchführung der Tests orientieren wir uns am Standard OWASP Testing Guide, einem etablierten Framework für das Testen von Webanwendungen. Typische Testinhalte sind die Prüfung gegenüber der Injection Angriffen, die Prüfung der sicheren Authentifizierung und des Session Managements sowie die Absicherung vor DoS Angriffen.

Kontakt

netz23 ist ein IT Dienstleistungsunternehmen und agiert kundenorientiert im strategischen IT Management, im IT Sicherheitsmanagement und im Design von IT Sicherheitsprozessen.

Mit hoch spezialisiertem Wissen beraten wir Sie in allen wichtigen Bereichen der modernen IT und verbinden dabei unsere langjährige Praxiserfahrung mit innovativen Konzepten. Wir erarbeiten Strategien, die an Ihren spezifischen Anforderungen ausgerichtet sind und setzen gemeinsam mit Ihnen Prozesse um, die einen effizienten und sicheren IT Betrieb gewährleisten.

Interesse an einem Thema?

Kontaktieren Sie uns unter info@netz23.de

Datenschutz

Mit nachfolgenden Informationen möchten wir Ihnen einen Überblick verschaffen, wie wir mit Ihren Daten umgehen, die wir im Zusammenhang mit dem Besuch unserer Internetseite netz23.de und der Nutzung der dort angebotenen Funktionen und Leistungen bei Ihnen erheben. Zudem möchten wir Sie über Ihre Datenschutzrechte informieren. Welche Daten im Einzelnen verarbeitet, und wie sie genutzt werden, hängt von den jeweils in Anspruch genommenen Leistungen ab.

1. Verantwortlicher, Art. 4 Ziffer 7 DSGVO

Der für die Verarbeitung Ihrer Daten Verantwortliche im Sinne von Art. 4 Ziffer 7 Datenschutz – Grundverordnung (DSGVO) ist

netz23
Bonhoefferufer 16
10589 Berlin

2. Was sind „Personenbezogene Daten"?

Personenbezogene Daten sind Informationen zu Ihrer Person, die Rückschlüsse auf Ihre Identität zulassen, z.B. Ihr Name, Ihre Adresse oder Ihre Telefonnummer. Informationen, die keine Rückschlüsse auf eine bestimmte oder bestimmbare Person zulassen, fallen nicht darunter.

3. Umfang der Datenerhebung, -verarbeitung und -nutzung

Besuch unserer Webseite

Beim rein informatorischen Besuch unserer Internetseite, also wenn Sie uns nicht anderweitig Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Wenn Sie unsere Website betrachten möchten, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten:

IP-Adresse
Datum und Uhrzeit der Anfrage

Unsere Internetseiten verwenden keine Cookies, es werden keine weiteren personenbezogenen Daten automatisch gespeichert.

Nutzung des Kontaktformulars

Wenn Sie unser Kontaktformular benutzen, werden die folgenenden Informationen gespeichert:

IP-Adresse Datum und Uhrzeit der Formularnutzung Name im Formular
Mail-Adresse im Formular
Text im Formuar

Kontaktaufnahme per E-Mail

Wenn Sie mit uns per E-Mail Kontakt aufnehmen, dann landet Ihre E-Mail einschließlich darin enthaltener personenbezogener Daten (wie z.B. Name und Anschrift) auf unserem Posteingangsserver.

4. Zweck der Verarbeitung und Rechtsgrundlage

Wir verarbeiten personenbezogene Daten gemäß den Bestimmungen der Europäischen Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

Zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 b) DSGVO) Die Verarbeitung von Daten erfolgt zur Erbringung unserer vertraglichen Leistungen oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen.

Im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f) DSGVO) Über die Nutzung zur eigentlichen Vertragserfüllung hinaus kann es erforderlich sein, Ihre Daten zur Wahrung berechtigter Interessen von uns oder Dritten zu verarbeiten, z.B. Gewährleistung der IT-Sicherheit unseres System Verbesserung der Nutzbarkeit unserer Internetseite

Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 a) DSGVO) Für bestimmte Zwecke benötigen wir Ihre Einwilligung. Eine Verarbeitung findet insoweit nur statt, wenn Sie diese Einwilligung ausdrücklich erteilt haben. Sie können Ihre Einwilligung jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung vor Zugang des Widerrufs.

5. Empfänger der Daten

Wir leiten Ihre personenbezogenen Daten nicht an Dritte weiter.

6. Übermittlung von Daten in ein Drittland

An Empfänger mit Sitz außerhalb der EU und des EWR übermitteln wir keine Daten.

7. Dauer der Speicherung

Anfragen per E-Mail löschen wir, sobald wir die Anfrage beantwortet haben, und der Anlass der Anfrage erledigt ist.

Übersenden Sie uns Daten, die für die Erfüllung vertraglicher und gesetzlicher Pflichten erforderlich sind, dann speichern wir diese nur solange, bis die Pflichten erfüllt sind.

Sind die Daten hierfür nicht mehr erforderlich, werden sie regelmäßig gelöscht. Eine Löschung erfolgt nicht, soweit Handels- und steuerrechtliche Aufbewahrungspflichten entgegenstehen oder Daten zum Nachweis von Forderungen aus einem Vertragsverhältnis erhalten bleiben müssen, im Rahmen der regelmäßigen Verjährungsfrist (3 Jahre, § 195 BGB).

8. Sicherheit Ihrer Daten

Wir treffen alle angemessenen technisch-organisatorische Maßnahmen, um den Schutz Ihrer Daten zu gewährleisten.

9. Ihre Datenschutzrechte

Als „betroffene Person“ haben Sie das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, das Recht auf Widerspruch aus Art. 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG (n.F.). Sie haben auch das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren (Art. 77 DSGVO i.V. m. § 19 BDSG (n.F.)).

10. Pflicht zur Bereitstellung von Daten

Sie sind weder gesetzlich, noch vertraglich verpflichtet, uns Daten beim Besuch unserer Internetseite zur Verfügung zu stellen. Für die Nutzung unserer Services ist es jedoch erforderlich, dass Sie uns diejenigen Daten mitteilen, die für die Erbringung dieser Leistungen benötigt werden. Ohne diese Daten ist eine Nutzung dieser Leistungen nicht möglich. So benötigen wir zur Beantwortung Ihrer Anfragen Ihren Namen und Ihre Mail-Adresse.

11. Automatisierte Entscheidungsfindung und Profiling

Eine Automatisierte Entscheidungsfindung und/oder Profiling im Sinne von Art. 22 Abs. 1 und 4 DSGVO finden nicht statt.

12. Datenschutzbeauftragter

Wenn Sie Fragen oder Anmerkungen zum Thema Datenschutz haben, senden Sie uns eine E-Mail an datenschutz@netz23.de

13. Änderungen der Datenschutzerklärung

Wir behalten uns vor, die Regelungen unserer Datenschutzerklärung von Zeit zu Zeit anzupassen. Ältere Fassungen der Datenschutzerklärung können Sie über die o.g. Mailadresse bei uns anfordern.

V 1.1 Berlin im Dezember 2020

jobs

Werkstudent IT-Sicherheit (m/w/d)

1 Ihre Aufgaben
• Unterstützung bei der Umsetzung von IT Sicherheitsmaßnahmen
• Begleitung von IT Sicherheitsanalysen wie Audits und Penetrationstest
• Überprüfung und Pflege von IT Dokumentationen
• Überprüfung von Berechtigungen
• Erstellung von IT Sicherheitskonzepten
• System- und Security Monitoring

2 Ihr Profil
• Technisch-orientiertes Studium, z.B. Informatik
• Grundlegende Kenntnisse in den Bereichen Systeme, Netzwerke, Infrastrukturen, Anwendungen
• Interesse am Thema IT Sicherheit
• Gute Kommunikations- und Teamfähigkeit

3 Wir bieten
• Mitarbeit im spannenden Umfeld IT Sicherheit
• Sammeln von praktischen Erfahrungen bei Kunden
• Eine positive Arbeitsatmosphäre
• Remotearbeit möglich
• Möglichkeit auf Übernahme nach dem Studium

Ihre Bewerbung schicken Sie bitte an jobs@netz23.de

Impressum

Angaben gemäß § 5 TMG
netz23 / Geschäftsführender Inhaber: Magnus Kolweyh
Bonhoefferufer 16
10589 Berlin

Haftung für Inhalte

Als Diensteanbieter sind wir gemäß § 7 Abs.1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.

Haftung für Links

Unser Angebot enthält Links zu externen Webseiten Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.

Urheberrecht

Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers. Downloads und Kopien dieser Seite sind nur für den privaten, nicht kommerziellen Gebrauch gestattet. Soweit die Inhalte auf dieser Seite nicht vom Betreiber erstellt wurden, werden die Urheberrechte Dritter beachtet. Insbesondere werden Inhalte Dritter als solche gekennzeichnet. Sollten Sie trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Inhalte umgehend entfernen.