Der Navigator für Informationssicherheit im Mittelstand

Seit 25 Jahren begleite ich mittelständische Unternehmen bei der Erreichung ihrer Sicherheitsziele. Ich bin Co-Autor der VdS-Richtlinien 3473/10000 für Informationssicherheit in KMU sowie VdS 10010 zur Umsetzung der europäischen Datenschutzgrundverordnung (DSGVO), Autor zahlreicher Fachpublikationen und gefragter Dozent, Impulsgeber und Live Hacker.

Beratungsportfolio

  • Positionsermittlung: Überprüfung und Bewertung von Informationssicherheit auf Basis von VdS 3473/10000, ISO 27001, § 8a BSIG (KRITIS) oder Best Practices. Technische Schwachstellenanalysen, Penetrationstests und Red Team Assessments.
  • Kursbestimmung: Beratung in den Bereichen Informationssicherheitsmanagement, Risikomanagement und Notfallmanagement.
  • Zielführung: Unterstützung bei Einführung und Betrieb sowie Zertifizierung von ISMS (VdS 3473/10000, ISO 27001, KRITIS/B3S) sowie BCMS (ISO 22301, BSI 100-4), Entwicklung von Sicherheitskonzepten, Stellung des CISO bzw. Informationssicherheitsbeauftragten.

(zum Profil)

Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS)

In der Arbeitsgruppe KRITIS haben sich Experten zusammengefunden, die sich täglich mit Kritischen Infrastrukturen (KRITIS) gemäß § 2 (10) BSI-Gesetz i. V. m. BSI-Kritisverordnung beschäftigen und unabhängig voneinander zu dem Schluss gekommen sind, dass die Ressourcen unserer Bundesrepublik zur Reaktion auf Großschadenslagen durch Cyber-Vorfälle im Bereich der Kritischen Infrastrukturen nicht ausreichen, um die Auswirkungen der dadurch verursachten Krisen und Katastrophen zu bewältigen. Die Arbeitsgruppe ist vollständig unabhängig von Staat oder Wirtschaft und hat als Ziel, die Versorgungssicherheit der Bevölkerung zu erhöhen.

Nach der Auflösung des Arbeitskreis Kritische Infrastrukturen (AK KRITIS) der Gesellschaft für Informatik (GI e.V.), in dem ich seit 2014 Mitglied des Leitungsgremiums war, freue ich mich, in der AG KRITIS wieder eine Plattform zur konstruktiven Zusammenarbeit in diesem Bereich gefunden zu haben.

Weitere Informationen gibt es auf der Homepage und Twitter.

Let’s get physical – MRMCD 2019

Physische Penetrationstests, auch Physical Security Assessments oder Realtests, die oft im Rahmen eines Red Teamings durchgeführt werden, kombinieren althergebrachte Methoden und Werkzeuge von Spionen und Einbrechern mit modernen Hacking-Tools. Mein Talk über physische Penetrationstests auf den diesjährigen MetaRheinMainChaosDays (MRMCD) stellt einige dieser Techniken und Werkzeuge vor und zeigt anhand von Praxisbeispielen, worauf es bei der Planung, Vorbereitung und Durchführung ankommt.

Eine Aufzeichnung des Talks gibt’s hier.

Pressekonferenz zur IT-Sicherheit in Arztpraxen

Bericht der Tagesschau zur Sicherheit von Patientendaten in Arztpraxen

Im Rahmen einer Pressekonferenz wurden heute in Berlin die Ergebnisse der von uns durchgeführten IT-Sicherheitsüberprüfung von 25 Arztpraxen vorgestellt. Auch die ARD war vor Ort und berichtete in der Tagesschau.

Klarstellung: Im Beitrag und auch bei anderen Medien wird es so dargestellt, als spräche ich für den Chaos Computer Club. Ich bin zwar Mitglied im CCC, die ganze Aktion hatte jedoch nichts mit dem Club zu tun, sondern wurde vom Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) beauftragt.

IT-Sicherheit in Arztpraxen

GDV Magazin „Positionen #1_2019“

Im Rahmen der Initiative „Cybersicher“ des Gesamtverbandes der Versicherungswirtschaft (GDV) haben wir bei 25 Arztpraxen umfassend geprüft, wie sie in Bezug auf Informationssicherheit aufgestellt sind. Die Resultate werden bei einem Pressegespräch am 8. April in Berlin bekannt gegeben. Vorab wurden bereits einige Artikel zu diesem Thema veröffentlicht:

BSI Anerkennung der VdS 10000

Der Leitungsstab des Bundesamtes für Sicherheit in der Informationssicherheit (BSI) hat sich unlängst zu den VdS-Richtlinien 10000 geäußert:

Das Regelwerk VdS 10000 „Informationssicherheitsmanagement-system für KMU“ stellt ebenso wie die Basis-Absicherung des IT-Grundschutzes einen geregelten Prozess zur Einführung eines ISMS dar. Ebenfalls vergleichbar sind die beschriebenen Handlungsfelder, Unterschiede ergeben sich jedoch in der Ausprägung der einzelnen Anforderungen, die das VdS-Regelwerk in einigen Handlungsfeldern weniger konkret ausformuliert. Somit stellen die Anforderungen der VdS 10000 eine Teilmenge der Basis-Absicherung des IT-Grundschutzes dar und bilden eine gute Basis zur Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001.

Hierdurch wurde nun auch von offizieller Seite bestätigt: Mit den VdS-Richtlinien 10000 kann ein elegantes und effizientes ISMS aufgebaut werden, das bei Bedarf auf die „großen“ Standards aufgerüstet werden kann!

VdS 10000 – Die wesentlichen Unterschiede zur VdS 3473

Nach drei Jahren, in der sich die VdS 3473 als pragmatischer Standard für Informationssicherheitsmanagement in KMU beweisen konnte und dabei ständig an Bedeutung gewonnen hat, wurden die Richtlinien einer ersten Revision unterzogen. Neben allgemeinen Fehlerkorrekturen waren die Hauptziele dabei insbesondere eine weitere Vereinfachung, Verzahnung mit anderen VdS-Richtlinien (insbesondere VdS 10010 zur Umsetzung der DSGVO) sowie eine Annäherung an bestehende Normen und Standards, wie BSI 200-x oder TISAX. Die sichtbarste Änderung ist eine Umbenennung in VdS 10000 und damit die Einsortierung in die neu geschaffene Reihe rund um die Themen Informationssicherheit und Datenschutz. Die Richtlinien wurden auf der IT-Security-Messe „it-sa“ in Nürnberg als Entwurf vorgestellt und erhielten ein durchweg positives Feedback. Nachfolgend werden die wesentlichen Änderungen zur ersten Version aus dem Jahr 2015 vorgestellt.

VdS 10000 – Die wesentlichen Unterschiede zur VdS 3473 weiterlesen

Bericht des NDR zum Live Hacking bei wilhelm.tel

Bericht im Schleswig-Hostein Magazin zum Live Hacking
Bericht im Schleswig-Hostein Magazin zum Live Hacking bei wilhelm.tel

Beim letzten Live Hacking in Norderstedt hat mich ein Fernsehteam des NDR begleitet. Der Bericht inkl. kurzem Interview kann in der NDR Mediathek oder der ARD Mediathek angeschaut werden. Update: Inzwischen leider nicht mehr in der Mediathek abrufbar.

VdS 3473 wird aktualisiert

Nach drei Jahren, in der sich die VdS 3473 als pragmatischer Standard für Informationssicherheitsmanagement in KMU beweisen konnte und dabei ständig an Bedeutung gewonnen hat, wurde nun ein Projekt zur Aktualisierung der Richtlinien durch die VdS Schadenverhütung gestartet. Die Steuerung erfolgt über die Webseite des Projektleiters Mark Semmler. Die aktualisierten Richtlinien werden voraussichtlich am 9. Oktober 2018 im Rahmen der it-sa in Nürnberg vorgestellt. Wer als Unterstützer am Projekt teilnehmen möchte, kann sich hier melden. Ich freue mich, wie schon bei der ersten Version der VdS 3473 und der VdS-Richtlinien 10010, wieder zum Kernteam zu gehören.