Abstract

Cybersecurity, also der Schutz von Daten und technischen Systemen gegen böswilligen Zugriff, Störung und Manipulation, stellt eine der größten Herausforderungen für Unternehmen bei deren Digitalisierung dar. Sie betrifft sämtliche Unternehmensbereiche und -aspekte – vom Mensch, über Prozesse, hin bis zur Technik, und sollte auf Grund der möglichen Risiken als strategisches Thema wahrgenommen und behandelt werden. Die IT Community Styria unterstützt Unternehmen aktiv durch ein breites Dienstleistungsportfolio und durch die Umsetzung von, und Beratung zu, Security best-practices in der Softwareentwicklung.
Die ITCS unterstützt Unternehmen in mehreren Bereichen.

Security Services

Security Services decken Dienstleistungen zur technischen Überprüfung und Absicherung von digitalen Services und Assets ab. Dazu zählen maßgeschneiderte Penetration Tests von Produkten und Services sowie Design, Implementierung und Betrieb für Enterprise Security Solutions mit Hilfe von industriespezifischen Lösungen. Ergänzende Leistungen wie die Überprüfung von Secure Coding best-practices, die Integration von Penetration Tests in Softwareentwicklungsprozesse und die aktive Absicherung von Ressourcen in der Softwareentwicklung runden das Angebot ab.

Security Advisory

Security Advisory unterstützt Unternehmen bei der Optimierung ihrer Securitystrategie und behandelt wichtige Bereiche wie Business Continuity, Governance, Risk Management und Security Management. Dabei begleiten wir Kunden über den gesamten Lebenszyklus von der strategischen Ausrichtung, hin bis zu Design und Implementierung.

Security Compliance

Security Compliance begleitet Unternehmen bei der Erhöhung des Sicherheitsreifegrades ihrer Produkte und Unternehmensstruktur, sowie bei der Einhaltung von Richtlinien wie in etwa GDPR/DSGVO. Darüber hinaus führen wir Security Reviews und technische Due Diligences für Unternehmen und Produkte durch und begleiten Mergers & Acquisitions Projekte um Cyberrisiken aufzuzeigen und Empfehlungen zur Behebung abzugeben.

Referenzprojekte

BearingPoint GmbH

Bernd Koberwein

✉
bernd.koberwein@bearingpoint.com

Projektauftrag

IT-Systeme, Services und digitale Produkte sind zunehmend Angriffen über das Internet ausgesetzt. Dabei werden neben der Durchführung von automatisierten Schwachstellenscans oftmals auch gezielt Firmen oder ihre Produkte von Angreifern ins Visier genommen. Die regelmäßige Überprüfung der Sicherheit ist eine Voraussetzung für die effektive Abwehr von Cyber Attacken. Unentdeckte Schwachstellen können zur Bedrohung werden und es Angreifern ermöglichen, tief in Unternehmensnetze vorzudringen und an Kundendaten oder geistiges Eigentum zu gelangen. Ebenso besteht das Risiko, dass kritische Geschäftsprozesse manipuliert oder wichtige Services beeinträchtigt werden. Wie gut die bereits getroffenen Sicherheitsmaßnahmen wirklich sind, lässt sich objektiv nur durch eine Überprüfung von erfahrenen Sicherheitsexperten feststellen.

Aufgabe der ITCS Firma

  • Definition des Inspection Scopes und der Zielsetzung
  • Intelligence Gathering und Threat Modelling
  • Schwachstellenanalyse und Entwicklung von Exploits
  • Durchführung von Exploits und Dokumentation über Screenshots/Videos
  • Erstellung eines detaillierten Inspection Reports mit Risk Rating und Empfehlungen zur Behebung, sowie einer Management Summary
  • Gemeinsame Debriefing Session mit Kunden

Vorgehen bei der Umsetzung

Es wurde in einem gemeinsamen Kundenmeeting die Zielsetzung definiert. Dazu gehören die zu überprüfenden Systeme, Einschränkungen hinsichtlich der Aktivitäten und Techniken (Denial of Service, Fuzzing, SQL Injections, etc.) sowie die Menge und Art der Informationen die wir über das Ziel erhalten (Black/Grey/White Box Testing).

Nach einer Freigabe durch den Kunden (Letter of Authorization) wurden innerhalb des definierten Testzeitraums zahlreiche Techniken zur Identifikation von Sicherheitsschwachstellen angewandt und Exploits entwickelt. Abschließend wurde das Zielsystem wieder bereinigt und Reports erstellt, welche neben der allgemeinen Bewertung der identifizierten Schwachstellen auch persönliche Empfehlungen der Tester enthielt. Dadurch wurde eine realitätsnahe Bewertung erreicht, um das Risiko einer Attacke und deren Auswirkungen besser einschätzen zu können.

Kundennutzen

  • Professionelle Überprüfung des eigenen Softwareprodukts auf Sicherheitslücken durch OSCP-zertifizierte Sicherheitsexperten
  • Realitätsnahe Simulation eines gut ausgebildeten und motivierten Angreifers, der sich zum Ziel gesetzt hat, sensible Daten zu extrahieren oder weiter in das Kundensystem vorzudringen
  • Erhalt eines detaillierten technischen Reports mit klaren Empfehlungen zur Absicherung des Softwareprodukts sowie zu Secure Coding best-practices
  • Möglichkeit zur direkten Befragung des Sicherheitsexperten / PenTesters zum Vorgehen und Empfehlungen zur sicheren Softwareentwicklung
  • Nachweis einer externen Überprüfung für Zertifizierungen und Erfüllung der Sorgfaltspflicht (due diligence)
„Die laufende Durchführung von Penetrationstests unserer Produkte ist wesentlich, um unseren Kunden und Partnern die höchstmögliche Datensicherheit, Verfügbarkeit und Stabilität der Lösungen zu gewährleisten. Hierbei unterstützt uns BearingPoint nicht nur in der Planung - durch ein maßgeschneidertes Konzept - sondern vielmehr durch eine sehr professionelle Durchführung und Aufbereitung der Testergebnisse. Die so entdeckten Optimierungspotenziale wurden zusätzlich durch umfangreiches technisches Fachwissen untermauert und mögliche Szenarien aufgezeigt. Mit diesen Erkenntnissen können wir unsere Produkte nun noch besser absichern bzw. zukünftig noch sicherer entwickeln.“
Dr. Andreas Opelt, CMO - Member of the Executive Board, Saubermacher Dienstleistungs AG

BearingPoint GmbH

Bernd Koberwein

✉ bernd.koberwein@bearingpoint.com

Projektauftrag

Der Bereiche zur Anmeldung und Verwaltung von Kandidaten für das eVoting der Landeshauptstadt sollte in Bezug auf den NIST Reifegrad analysiert werden. Hintergrund war die Erweiterung des eVoting Services auf das gesamte Land. Es wurden mehr als 170 Dokumente evaluiert und diverse Online Sessions abgehalten, um den aktuellen Stand des eVotings zu verifizieren. Anschließend wurde ein Report erstellt basierend auf den standardisierten NIST Kategorien. Basierend auf den Erkenntnissen wurden die Risiken definiert und ein Maßnahmenkatalog erstellt, um den Vorgaben zu entsprechen.

Aufgabe der ITCS Firma

  • Review des gesamten Securityumfelds, sowohl hinsichtlich der Governance, als auch technisch.
    • Die Governance Überprüfung umfasst die Bereiche: Business- und IT-Strategie, People & Organisation, Prozesse, Infrastruktur, Security, Risk, Compliance und Business Continuity Management und IT/Service Provider.
  • Erstellung eines vollständigen Reports welcher die NIST Kapitel im Detail durchleuchtet und den Status der Compliance dokumentiert. Die Risken wurden im Detail erläutert und die notwendigen Maßnahmen beschrieben.
  • Durchführen von Read-Outs mit den Stakeholdern und Erläuterung der Ergebnisse, Risiken und notwendigen Maßnahmen.

Vorgehen bei der Umsetzung

Das Projekt erstreckte sich über einen Zeitraum von 4 Wochen. Es gab eine Initiierungsphase zum Aufsetzen des Projekts, eine Phase zur Vorbereitung der Workshops und Aufstellung der Anforderungen zum Lieferumfang. In der nächsten Phase wurde Reviews durchgeführt, sowie Workshops und die Analyse der Dokumente. Sämtliche Ergebnisse aus dieser Phase wurden anschließend analysiert, verifiziert und dokumentiert und nötigen Dokumente vervollständigt, sowie Read-Outs und letzte Abstimmungen durchgeführt.

Kundennutzen

  • Ganzheitliches Review des Security- und NIST-Reifegrads
  • Erfassung und Dokumentation der Risiken zur Behandlung im Risk Board
  • Erstellung eines Maßnahmenkatalogs zur Planung der Erhöhung des Reifegrads
  • Basis für Nachweis gegenüber den Behörden

axtesys GmbH

Markus Moser

markus.moser@axtesys.at

Projektauftrag

Unterstützung bei der Implementierung neuer, sicherheitskritischer Infrastruktur durch externes Consulting.

Vorgehensweise bei der Umsetzung

Durch unsere Mitarbeit im Projektteam konnte unser reicher Erfahrungsschatz gut zur Überwindung technischer und organisatorischer Hürden genutzt werden. Besonders durch Review-Anmerkungen in den Bereichen Software-Architektur, nicht funktionale Anforderungen und Projektabschätzung bzw. -ablauf konnte viel erreicht werden.

Kundennutzen

Für unseren Kunden erwiesen sich die externe Validierung der Lösungskonzepte und das Einfließen unserer Expertise als Hauptnutzen und die erste Projektphase wurde erfolgreich abgeschlossen. Wir freuen uns bereits auf die Umsetzung des Konzepts in der zweiten Phase, bei der Axtesys auch beratend unterstützen wird.

axtesys GmbH

Markus Moser

Projektauftrag

Die hausinterne Verwaltung der Fondsdaten ist 12 Jahre lang erweitert worden, nun stößt die teilweise veraltete und heterogene Umsetzung an ihre Grenzen.

Aufgabe der ITCS Firma

Es soll ein neues System konzipiert werden, das von der eigenen IT umgesetzt werden kann und alle Daten und Prozesse in einer Anwendung vereint. Höchste Sicherheit und Fehlerlosigkeit ist dabei im Bankenumfeld natürlich Voraussetzung.

Vorgehen bei der Umsetzung

Nach umfangreichen Interviews mit allen Benutzergruppen wurden die Anforderungen analysiert und kategorisiert. Ein erster Entwurf einer Oberfläche half beim Erstellen weiterer Use Cases. Durch eine detaillierte Architektur konnten auch Spezialfälle berücksichtigt werden. Ein erster Durchstich stellte die grundlegende Funktionalität des Frameworks sicher.

Kundennutzen

Dem Kunden steht nun eine umfassende Dokumentation des Anforderungsprozesses zur Verfügung, eine Übersicht über die bisherigen Systeme und über die benötigten Module, sowie detaillierte Konzept- und Architekturdokumente zur maximalen Unterstützung einer Umsetzung oder auch zur Konfiguration eines fertigen Systems.

axtesys GmbH

Markus Moser

Projektauftrag

Im täglichen Geschäft und Schriftverkehr einer Versicherung ist es nötig, vertrauliche E-Mails an Kunden zu versenden. Die Grazer Wechselseitige Versicherung wollte ihre Effizienz in der E-Mail-Kommunikation steigern. und beauftragte

Vorgehensweise bei der Umsetzung

Unter enger Abstimmung mit der Grawe-Infrastruktur und innerhalb kurzer Zeit setzten die Experten von axtesys das gewünschte Add-In um. Das Projektteam rund um
Doris Pedratscher baute dabei auf langjährige Erfahrung im Bereich .NET und Infrastruktur. axtesys veranstaltete auch einen Workshop mit den Mitarbeitern, in dem alle nötigen Schritte für die Erstellung einer passenden Installationsdatei behandelt wurden.

Aufgabe der ITCS Firma

axtesys wurde beauftragt ein Add-In für Outlook zu entwickeln, das die Vertraulichkeitsstufe von E-Mails mit einem einzigen Klick erhöht. Außerdem war es der Wunsch der Versicherung, dass das Add-In zentral gesteuert auf allen Workstations automatisiert eingespielt werden kann. 

Kundennutzen

"Durch das neue Add-In können unsere Mitarbeiter nun schneller und effizienter arbeiten. Besonders erfreulich war, dass axtesys dank der hausinternen Übersetzungsabteilung die englische Übersetzung schnell und problemlos liefern konnte. Es war eine sehr angenehme Zusammenarbeit“ sagt Philipp Puswald von den IT Services der Grazer Wechselseitigen Versicherung.

Weiterführende Informationen:

https://axtesys.at/referenzen/vertraulichkeit-auf-einen-klick/