Bei secucat verfügen wir über Wissen und Erfahrung aus über fünfundzwanzig Jahren Tätigkeit in der IT-Branche.
Um Ihnen einen Eindruck von unserer Arbeit zu vermitteln, haben wir einige unserer Projekte rund um Informationssicherheit zusammengestellt.
Aufbau eines neuen Rechenzentrums
Beratung zur IT-Sicherheitsarchitektur in einem Projekt zur Digitalisierung von Schulen
Tätigkeiten:
- Schutzbedarf- und Risikoanalye einer On-Premise-Cloud Infrastruktur basierend auf Virtualiserungstechnologien (Durchführung und Dokumentation)
- Migration bestehender Altanwendungen
- Beratung in Compliance und Datenschutzfragen
- Vorschläge zu ergänzenden Sicherheitsmaßnahmen
- Beauftragung und Begleitung der Pentests
Auftraggeber: Städtischer Service-Dienstleister
Laufzeit: seit Januar 2020
Security-Prüfung
- Risikobewertung einer Cloud-Software-Anwendung
- Durchführung einer Business Impact Analyse
- Durchführung einer Risikoanalyse
- Vorschläge zu ergänzenden Sicherheitsmaßnahmen
- Beauftragung und Begleitung der Pentests
Auftraggeber: Pharmahandel
Laufzeit: November 2018–Februar 2019
Risikobewertung der wichtigsten IT-Assets des Unternehmens
- Analyse der Risiken bestehender IT-Assets
- Vorschläge für weiterführenden Maßnahmen
- Empfehlungen zur Verbesserung der Prozesse
- Empfehlungen zur Optimierung des Sicherheitsniveaus
Auftraggeber: Pharmahandel
Laufzeit: Juni–November 2018
Anbindung lokales (on premise) HR System an globales System
Ein Versicherungskonzern setzt im Rahmen eines globalen Projekts Human Resources Transformation für das Organisationsmanagement und das globale Human Resources Personalmanagement die cloudbasierte Software SAP SuccessFactors Employee Central ein. Dabei wurde das lokale (on premise) HR System an das globale System angebunden.
Tätigkeiten:
- Analyse der Ist-Situation für SuccessFactors, Dell Boomi, SAP HR
- Definition der Anforderungen an eine Sicherheitsprüfung aller drei Systeme
- Beratung bei der Erstellung der erforderlichen sicherheitsrelevanten Dokumente (BIA, BSHB, …)
- Bewertung der vorhandenen sicherheitsrelevanten Dokumente
- Beratung bei der Auswahl eines Dienstleisters für Penetrationstests
- Begleitung des Penetrationstests
- Begleitung, Unterstützung bei der Auswertung der Ergebnisse des Penetrationstests
- Abstimmung und Diskussion der Überprüfungsergebnisse mit dem Information Security Officer (ISO)
- Zusammenfassung der Ergebnisdokumentation der Sicherheitsprüfung
Auftraggeber: Versicherungskonzern
Projektsprache: Englisch
System: SuccessFactors, Cloud Dell Boomi
Aufwand: ~100 Personentage
Ein Versicherungsunternehmen führt für ein bestehendes Online-Portal eine TüV-Re-Zertifizierung durch. Gegenstand der Re-Zertifizierung ist die Software und der Datenschutz.
Tätigkeiten:
- Koordination und Begleitung des Re-Zertifizierungsprozesses des TüV-Audits mit den beteiligten Parteien (Betriebsorganisation, Datenschutz, Informationssicherheit und TüV)
- Beratung des Projekts in Fragen zur Datenschutz, IT Sicherheit und Software(prozesse)
- Sondierung und Evaluierung der vorhandenen Unterlagen
- in Zusammenarbeit mit der Betriebsorganisation Aufstellung eines Termin/Release-Plans zur Beseitigung von Findings aus der Erstzertifizierung
- telefonische wie schriftliche Abstimmung des Audits mit allen Beteiligten (Betriebsorganisation, Datenschutz, Informationssicherheit und TüV)
- Organisation und Begleitung des Audits
- interne Vorbereitung des Audits, einfordern und evaluieren der erforderlichen Unterlagen
- Organisation und Begleitung des Audits vor Ort
- Auswerten des Audit-Berichtes in Zusammenarbeit mit der Betriebsorganisation
- Erstellung eines Behebungsplan
Aufwand: ca.15 Personentage
Digitalisierung und Transformation der Webentwicklung und Einbettung des Marketings „On Premise to Cloud“.
Ein Konzern führt ein neues Content Management System und ggf. weitere Werkzeuge im Bereich von digitalem Marketing und digitalem Vertrieb ein. Die am Markt eingekauften Produkte und Dienstleistungen werden auf ihre Konformität bezüglich Informationssicherheit und Datenschutz evaluiert.
Tätigkeiten:
- Beratung in Fragen zur Informationssicherheit und sowie Compliance und Datenschutz
- Prüfung der Prozesse und geplanter Verfahren auf Verträglichkeit mit den Sicherheitsanforderungen Sicherheitsrichtlinien des Auftraggebers
- Produktanalyse, Produkt-Evaluation
- Datenschutz- und Informationssicherheitsanalyse
- Risikobewertung
- Vorschläge für Datenschutzvertragsklauseln
- Maßnahmen-Katalog
System: Adobe Marketing Cloud
Aufwand: ca.20 Personentage
Eine Versicherung führt eine App zur Berechnung von Schäden aus Sachversicherungen ein. Der Einsatz von iPADs in der Versicherung soll untersucht werden. Schwerpunkt der Untersuchung ist, ob die durch den IT-Dienstleister eingesetzten Sicherheitsmaßnahmen und Sicherheitseinstellungen für den Einsatz in der Versicherung ausreichend sind.
Tätigkeiten:
- Prüfung einer iPAD App und Webanwendung
- Evaluierung der Sicherheitseinstellungen
- Analyse der Sicherheitsrisiken (agile Entwicklung)
- Vorschläge für Maßnahmen
- Organisation des Pentests
- Bewertung und Behebung der Findings
System: dedizierte Entwicklung für den Kunden, Rechenzentrum Outsourcing
Aufwand: ca.20 Personentage
Für einen Energie-Konzern wird die Evaluierung und Dokumentation des Identity Managements durchgeführt.
Tätigkeiten:
- Erhebung und Dokumentation der eingesetzten Identity Management Tools
- Erhebung und Dokumentation fehlender ID Management Prozesse
- Erstellung einer Roadmap zur Steuerung des Austauschs der eingesetzten Tools und Verfahren
Systeme: diverse Eigenentwicklungen, Active Directory, LDAP, Sailpoint
Aufwand: ca.50 Personentage
Das Unternehmen hatte bislang nur einen dokumentierten Prozess für den Software Entwicklungsprozess (Wasserfall). Dieser Prozess wurde angepasst an den agilen Software Entwicklungsprozess. In diesem Rahmen wurde die Ausbildung „Sichere Software Entwicklung“ angepasst.
Tätigkeiten:
- Evaluierung, Optimierung und Dokumentation des sicheren Software-Entwicklungsprozesses für agile und herkömmliche Vorgehensweisen
- Evaluierung der Schulung für Mitarbeiter in der Entwicklung
Aufwand: ca.20 Personentage
Bei einer Versicherung wird das Outsourcing des gesamten Rechenzentrumbetriebes an einen externen Dienstleister begleitet.
Tätigkeiten:
- Entwurf und Verhandlung der erforderlichen Sicherheitsthemen und KPIs im Master Service Level Agreement
- Entwurf und Dokumentation des Abnahmeprozesses der zu migrierenden Anwendungen
- Evaluierung und Abnahme der Dokumentation (Betriebskonzepte, SLAs, Sicherheitskonzepte der angebotenen Services)
Projektsprache: Englisch
Systeme: Virtualisierung, Rechenzentrum Betrieb, Data Center Netzwerk, Service Management Area, Security Monitoring, SIEM, Jumpserver, Windows Server, Linuxserver, Mainframe RACF, ESX, Oracle, DB2, MS SQL
Aufwand: ca.90 Personentage
Verbesserung des Identity Management Systems zur Behebung von durch die interne Revision festgestellten Mängeln.
Tätigkeiten:
- Konsolidierung
- Optimierung
- Dokumentation
der Prozesse im Identiy Management/Access Management und Monitoring
Projektsprache: Englisch
System: Eigenentwicklung, Confluence
Bei zwei fusionierten Unternehmen in der Automobil-Branche wurde der Abgleich von Policy und Richtlinien-Dokumenten durchgeführt mit Dokumentation der Ergebnisse.
Unterstützung des ISO in einer Versicherung
Tätigkeiten:
- Prüfung von Ausnahmeanträgen und Service Accounts (Technischen Usern) - Anträge, Abnahme von Sicherheits- und Datenschutzkonzepten
- Durchführung von Business Impact Analysen
- Planung von Interviews zur Evaluierung des Sicherheitsprozesses
Projektsprache: Englisch
Schulungen für Project Security Officer
Konzeption und Durchführung von mehreren 4-tägigen Inhouse Schulungen für Project Security Officer in einer Versicherung, unter anderem über
- Grundlagen der Informationssicherheit
- interne Sicherheitsrichtlinien
- Prozesse
- ...
Diese viertägige Schulung mit einem anschließenden Coaching-Tag im Unternehmen für jeden Teilnehmer ist für IT-Sicherheitsbeauftragte konzipiert, die ihre Rolle neu übernehmen. Themen werden tagesaktuell behandelt.
Tätigkeiten:
- Rolle und Grundlagen der IT-Sicherheit (Standards, Grundschutz, Awareness usw.)
- Verantwortung und Aufgaben eines CERT-Mitarbeiters / einer CERT-Mitarbeiterin
- Handling von Bedrohungen und Schwachstellen
- Bewertung und Einschätzung von Bedrohungen und Schwachstellen
- Vermittlung von Grundlagen u.a. Verschlüsselung, Betriebs- und Netzwerksicherheit
- rechtliche Aspekte der IT-Sicherheit und des Datenschutz
Der anschließende Coaching-Tag bietet den Teilnehmern die Möglichkeit, die erlernten Kenntnisse bei alltäglichen Aufgaben gemeinsam mit dem Coach zu sichern und auf die eigene Situation zu übertragen.
- Durchführung von Business Impact Analysen
- Risikoanalysen/ Auswertung von Source-Code-Scans
- Beauftragung/Begleitung von Pentests
- Beratung bei Projekten in Fragen des Datenschutzes und anderer Compliance-Vorschriften
- Unterstützung des Information Security Officers beim Schwachstellen-Management
- Auswertung von Schwachstellen-Scans
- Erstellen von Virenreports
Auftraggeber: Logistik Unternehmen
Unterstützung eines Information Security Officers in einem Logistik-Unternehmen
- Etablierung eines neuen GRC Portals
- Evaluierung der Altprozesse
- Transformation in Neusystem
System: RSA Archer
Diese viertägige Schulung mit einem anschließenden Coaching-Tag im Unternehmen für alle Teilnehmer*innen ist für IT-Sicherheitsbeauftragte konzipiert, die ihre Rolle neu übernehmen. Themen werden tagesaktuell behandelt.
Tätigkeiten
- Rolle und Grundlagen der IT-Sicherheit (Standards, Grundschutz, Awareness usw.)
- Verantwortung und Aufgaben eines IT-Sicherheitsbeauftragten
- technische, organisatorische und personelle Bedrohungen und Schwachstellen
- IT-Risikomanagement (Risikoanalyse, Risikobewertung, Sicherheitskonzepte, usw.)
- Vermittlung von Grundlagen u.a. Identity Management, Verschlüsselung, Betriebs- und Netzwerksicherheit
- rechtliche Aspekte der IT-Sicherheit, Datenschutz
Der anschließende Coaching-Tag bietet den Teilnehmer*innen die Möglichkeit, die erlernten Kenntnisse bei alltäglichen Aufgaben gemeinsam mit dem Coach zu sichern und auf die eigene Situation zu übertragen.
Erarbeitung gemeinsamer IT-Sicherheitslinien auf Grundlage zweier unterschiedlicher Dokumente
Nach der Fusion zweier großer international tätiger Finanzdienstleister existierten zwei verschiedene Arten von IT-Sicherheitsrichtlinien. Die Richtlinien des einen Finanzdienstleisters bestanden lediglich aus Geboten, die Richtlinien des anderen Finanzdienstleisters ergänzten die Gebote um detaillierte Erklärungen und praktische Beispiele.
- Herausarbeiten der Abweichungen der beiden Richtlinienkataloge auf Anweisungsebene
- Validierung der Unterschiede
- Vorschläge zum Vorgehen, um finale Gebote zu ermitteln
- Vorschläge für Enderfassung eines gemeinsamen Richtlinienwerks
- Präsentation der Vorschläge, Diskussion und Abstimmung in den zuständigen Gremien
- Vorbereitung und Einholung der Genehmigung des Vorgehens
- Projektübergabe an lokalen Verantwortlichen
Auftraggeber: international tätiger Finanzdienstleister
Projektsprache: Englisch
Aufwand: ca. 10 Personentage