Kontakt  |  Leistungen  |  Produkte  |  Referenzen  |  Links

  Informationssicherheitsrichtlinien und -spezifikationen

Eine der Säulen eines guten Informationssicherheitsmanagements stellt das Regelwerk dar. Das Regelwerk besteht hauptsächlich aus Richtlinien und Direktiven. Bei den Richtlinien setzt sich das Regelwerk aus Information Security Policies und Information Security Specifications zusammen. Die Policies bilden den generischen übergeordneten Teil des Regelwerks während die Specifications den detaillierten technischen Teil abbilden, der von den Sicherheits- und Systemadministratoren auf den Systemen umgesetzt wird... [mehr]

 Informationssicherheitsrichtlinien und -spezifikationen

Eine der Säulen eines guten Informationssicherheitsmanagements stellt das Regelwerk dar. Das Regelwerk besteht hauptsächlich aus Richtlinien und Direktiven. Bei den Richtlinien setzt sich das Regelwerk aus Information Security Policies und Specifications zusammen. Die Policies bilden den generischen übergeordneten Teil des Regelwerks und gelten für alle normalen Benutzer, während die Specifications den detaillierten technischen Teil abbilden, der von den Sicherheits- und Systemadministratoren auf den Systemen umgesetzt wird.

Ich kann Ihnen mit meiner Erfahrung von 15 Jahre im Policies schreiben, eine Vielzahl von Policies und Specifications anbieten. Alle Policies und Specifications basieren auf den Standards BS17799-1 und -2 sowie auf DIN ISO 27001. Alle Polcies sind standardisiert und vorgefertigt, und müssen nur noch geringfügig auf Ihr IT-Umfeld angepasst werden. Zur Anpassung gehören Ihr Layout, Ihre Referenzen und Verweise auf andere intern geltenden Policies oder Regelwerke, und natürlich all Ihre Sonderwünsche (z.B. Reduzierung oder Erweiterung eines Kapitels, besondere Graphiken oder auch fixe Deviations von allgemein gültigen Standards - z.B. Hochsicherheit anstatt mittlere Sicherheit, etc.).

Ich kann Ihnen Policies und Specifications für eine Vielzahl von Plattformen anbieten. Alle meine Regelwerke biete ich zu einem Preis von 8000 Euro an. Für diese Kosten erhalten Sie ein standardisiertes Regelwerk inklusive 2 Manntage Dienstleistung vor Ort. Ein Manntag dient Aufnahme Ihrer Anforderungen und ein weiterer Manntag dient Vorstellung des Ergebnisses.

Alle Änderungswünsche an den Policies, die in meinem Büro vorgenommen werden rechne ich per "Time and Material" ab, wobei ein Stundesatz von 90 Euro/h zugrunde gelegt wird. Sollten die Änderungen in Ihrem Hause vorgenommen werden, so erhöht sich der Stundensatz auf 105 Euro und es fallen keine weiteren Kosten an. Dieser Service hat für die Kunden, die Wert auf eine standardisierte Policy legen den Vorteil, dass die Policies sehr kostengünstig zu erhalten sind.

Ich biete die folgenden Informationssicherheitsrichtlinine an:

• Phsische Sicherheitsrichtlinien für Zugangskontrolle RZ nach ISO900x
• Corporate Information Security
• Computer Risk Analysis
• Risk Acceptance and Deviations
• Joint Venture
• Authentication and Authorization
• Secure Authentication (Dual Authentication)
• Biometrics
• Directory Standards
• Cryptographic Controls
• PKI Standards
• Rollen und Berechtigungen für Identity Management
• Password (User, Admin)
• Development Standards and Secure Coding
• Information Handling and Labeling
• Confidentiality Agreements
• Audit Controls
• IT-Security Compliance
• eDiscovery
• IT Contingency Planning Policy and Handbook
• Disaster Recovery
• Backup and Backup Process
• Product Security
• Virus Control and Malicous Code
• Reporting Requirements und Event Management
• User Security Awareness
• BlackBerry Enterprise Server and Client
• Netzwerk
  • Firewall
  • Intrusion Prevention
  • Router
  • VPN
  • Remote Access and Third Parties
  • Mobile Computing
  • Teleworking
  • Telecommunication
  • WLAN
• Windows
  • Windows 2003 Server
  • Windows 2000 und XP (Kerberos, Network, GRP, etc.)
  • Windows NT 4.0
  • LanManager
• UNIX
  • UNIX generisch
  • Solaris 8, 9 und 10
  • HP-UX
  • Suse Linux
• OS2/Warp 4
• VMS (DEC-VAX)
• OS400
• Oracle 9 und 10
• Oracle Director
• IBM Policy Director
• Siteminder und Identityminder
• Sybase
• SQL Server
• SAP R3
• Citrix
• Internet Explorer 5 und 7
• Mozilla Firefox
• Java
• Webserver and Webapplication (IIS, Apache)

Natürlich kann ich Ihnen zu jeder Policy auch gleichzeitig eine Auditcheckliste für das jeweilige Themengebiet anbieten. Alle Policies stehen in deutscher und englischer Sprache zur Verfügung. Sie erhalten die Produkte im Word 97-2003 / 2007 und im pdf-Format farbig gedruckt und gebunden, sowie jeweils eine Kopie auf einem Datenträger.

Da ich keine großer Freund von Sicherheitsrichtlinien auf Papier bin, auch wenn diese hauptsächlich in dieser Form gefordert werden, und in Ihrem Corporate Intranet auf der Informationssicherheitsabteilungs-Webseite abgelegt sind, möchte ich Sie gerne an dieser Stelle auf unsere CoRex Suite verweisen , mit der Sie auf der Ebene der Direktiven aus allen Richtlinien diese Rollen und Objekten zuweisen können. Zum einen verwalten Sie damit Ihre Richtlinien auf der Direktivenebene webbasiert, zum anderen sieht jede Rolle auch nur die Richtlinien, die für diese Rolle relevant sind. Unser Produkt eignet sich hervorragend auch für die Umsetzung von Richtlinien nach PCI-DSS und vielen anderen Industrieanforderungen. Lesen Sie dazu auch folgendes pdf

[weniger]

  Hochsicherheitsserver

Das Bedrohungs-Szenario der IT-Sicherheit hat sich in den letzten Jahren gewandelt. Das Problem der sich selbst darstellenden Hacker hat sich vermindert, das der professionellen Sabotage und Spionage hat sich verstärkt. Bei der Computer-Spionage wird weltweit aufgerüstet. Nicht nur in Schwellenländern sind in speziell eingerichteten Zentren mehrere tausend Spezialisten für die computergestützte Aufklärung tätig. Aber auch auf dem Gebiet der Sabotage von Systemen wird viel vorbereitet. Terrorgruppen und Staaten investieren in die Fähigkeit, bei Bedarf die Infrastruktur von Organisationen und Firmen schädigen zu können. Der HSS erzeugt Sicherheit nach einem vollkommen anderen Prinzip als herkömmliche Lösungen, die - das zeigt gerade die jüngste Vergangenheit - keinen ausreichenden Schutz gegen Spionage und Sabotage bieten können... [mehr]

  Hochsicherheitsserver

Das Bedrohungs-Szenario der IT-Sicherheit hat sich in den letzten Jahren gewandelt. Das Problem der sich selbst darstellenden Hacker hat sich vermindert, das der professionellen Sabotage und Spionage hat sich verstärkt. Bei der Computer-Spionage wird weltweit aufgerüstet. Nicht nur in Schwellenländern sind in speziell eingerichteten Zentren mehrere tausend Spezialisten für die computergestützte Aufklärung tätig. Aber auch auf dem Gebiet der Sabotage von Systemen wird viel vorbereitet. Terrorgruppen und Staaten investieren in die Fähigkeit, bei Bedarf die Infrastruktur von Organisationen und Firmen schädigen zu können. Der HSS erzeugt Sicherheit nach einem vollkommen anderen Prinzip als herkömmliche Lösungen, die - das zeigt gerade die jüngste Vergangenheit - keinen ausreichenden Schutz gegen Spionage und Sabotage bieten können.

Der HSS basiert auf Linux (Debian, Suse, Redhat). Er arbeitet mit einem modifizierten Kernel des Betriebssystems. Warum nur Linux? Weil jedes proprietäre Betriebssystem per se unsicher ist.

Nur die HSS-Comfortware kann Programme so präparieren, dass der HSS sie akzeptiert. Der HSS arbeitet mit 4 Sicherheitsstufen. Schon die erste ist weit sicherer als alle herkömmlichen Lösungen. Gegen Viren und Trojaner immunisiert der HSS vollständig und dauerhaft. Der HSS ist sehr einfach und sehr schnell zu bedienen. Zum Beispiel bei Neueinspielungen von Programmen. Beim HSS macht man keine Sicherheitskompromisse, weil es mal besonders schnell gehen muss. Bei der Sicherheit lässt der HSS keine Kompromisse zu. Und es geht trotzdem schnell.

Der HSS ist keine Firewall.
Der HSS ist keine Intrusion-Detection-Lösung.
Alle herkömmlichen Systemhärtungen hat der HSS auch.
Seine besondere Wirkungsweise beginnt erst danach.

Normalerweise ist die Erreichung von Sicherheit immer ein Prozess. Bei langlebigen Installationen, wie der Produktionssteuerung, ist der HSS nicht nur die kostengünstigste, sondern auch die effizienteste Lösung überhaupt. Einmal installiert - und dann ist Ruhe.

Dieses Produkt ist für folgende Zielgruppe besonders interessant:

  • Technologiefirmen
  • Banken
  • Behörden/Regierungsstellen
  • Infrastruktur/Kraftwerke/Versorger

[weniger]

  Visual Token

Der iPisec Visual Token ist ein universell einsetzbares Verschlüsselungsgerät. Sein Hauptanwendungsgebiet ist der elektronische Zahlungsverkehr. Aber im Gegensatz zu den bekannten Transaktions-Verfahren ist die Datensicherheit in diesem Fall nicht vom benutzen Rechner abhängig... [mehr]

  Visual Token

Der iPisec Visual Token ist ein universell einsetzbares Verschlüsselungsgerät. Sein Hauptanwendungsgebiet ist der elektronische Zahlungsverkehr. Aber im Gegensatz zu den bekannten Transaktions-Verfahren ist die Datensicherheit in diesem Fall nicht vom benutzen Rechner abhängig.

Beim herkömmlichen Online-Banking wächst stets die Gefahr, dass mit der zunehmenden Verbreitung von Viren, Würmern und Trojanern, sensible Daten wie Passwörter, PIN und TAN in fremde Hände gelangen können. Üblicherweise werden dabei Tastatureingaben aufgezeichnet und der Ablauf von Banktransaktionen manipuliert, ohne dass der Benutzer etwas Böses ahnt.

Leider sind auch die vielfach als sicher angepriesenen Verfahren wie das Online-Banking per HBCI mit einer Smartcard nicht immun gegen Angriffe von Schadsoftware. Schließlich bekommt der Benutzer gar nicht mit, was seine Smartcard tatsächlich verschlüsselt. Denn auch wenn der Monitor die gültigen Überweisungsdaten zeigt, heißt das längst nicht, dass genau diese Daten der Smartcard zur Verschlüsselung übergeben werden.

Durch die Verwendung des iPisec Visual Token umgeht man die oben genannten Probleme. Überweisungsdaten werden grundsätzlich vor der Verschlüsselung angezeigt und müssen vom Benutzer per Druck auf das eingebaute Display bestätigt werden. Nachfolgend werden diese Daten innerhalb des Gerätes verschlüsselt. Viren, Würmer und Trojaner haben somit keine Chance mehr. Die Anwendungsgebiete des iPisec Visual Tokens sind

• Homebanking
• Sicherer Internet-Zahlungsverkehr
• Allgemeiner Zahlungsverkehr im öffentlichen Raum
• Digitale Signatur
• Verschlüsselung beliebiger Dateien/Daten für die Übertragung zwischen zwei iPisec Visual Token

[weniger]

  RHiPP

RHiPP, das bedeutet Robust High Performance Protocol. RHiPP überträgt. RHiPP macht immer weiter. Auch dann, wenn der Stecker vorübergehend gezogen wird (egal welcher). RHiPP ist das funktionsstabilste Protokoll überhaupt. RHiPP kann Realtime-Anforderungen asymmetrisch realisieren. RHiPP überträgt Dateien, Datenbanken, Verzeichnisse, Teilverzeichnisse und Bündel von Verzeichnissen. RHiPP ist das einzige Protokoll, das am Ziel eine 100%-ige bitidentische Kopie des Originals erzeugt. RHiPP ist das einzige Protokoll, das Dateien bis zu einer Größe von 16 Etabytes überträgt... [mehr]

  RHiPP

RHiPP, das bedeutet Robust High Performance Protocol. RHiPP überträgt. RHiPP macht immer weiter. Auch dann, wenn der Stecker vorübergehend gezogen wird (egal welcher). RHiPP ist das funktionsstabilste Protokoll überhaupt. RHiPP kann Realtime-Anforderungen asymmetrisch realisieren. RHiPP überträgt Dateien, Datenbanken, Verzeichnisse, Teilverzeichnisse und Bündel von Verzeichnissen. RHiPP ist das einzige Protokoll, das am Ziel eine 100%-ige bitidentische Kopie des Originals erzeugt. RHiPP ist das einzige Protokoll, das Dateien bis zu einer Größe von 16 Etabytes überträgt (Sie haben noch gar keine solchen Dateien? Aber derzeit werden die Dateien schneller groß als die großen Computer schnell).

Dieses Produkt ist für folgende Zielgruppe besonders interessant:

•     Rundfunk, Fernsehen, Filmeverwerter
•     Verlage
•     Banken
•     Archivsysteme
•     Rechenzentren, ISPs
•     Technologiefirmen

RHiPP ist ideal für die Einbindung in automatisierte Abläufe. Der RHiPP-Scheduler ermöglicht mit seiner Skriptsprache alle denkbaren Automatisierungen.
RHiPP ist ideal für die Übertragung von Bewegtbilddateien, Bilddateien, Tondateien, Druckvorlagen, technischen Zeichnungen und Finanzdaten.
RHiPP ist Posix-kompatibel und läuft auf (fast) allen Plattformen. WIN, UNIX, LINUX, SOLARIS, MAC...

• RHiPP überträgt Daten von A nach B.
• RHiPP ist ein Transfersystem auf Basis TCP/IP
• RHiPP arbeitet mit einem eigenen Protokoll
• RHiPP ist ein Werkzeug für Systemintegratoren
• RHiPP ist hoch performant. Performanter als alle herkömmlichen Protokolle. Bei kleinen Dateien macht das nur wenige Prozent aus. Bei sehr großen Datenmengen ist RHiPP drei bis sieben mal so schnell.
  

[weniger]

  HSG Active Gateway

Ein vom Internet direkt adressierbarer Datenkreis kann keine Sicherheit bieten. Schon gar nicht gegen einen Gegner, der über unbegrenzte Ressourcen verfügt.
Daraus ergibt sich ebenso zwingend die Lösung: Die Abschottung des äußeren Datenkreises (Internet-Zugriff, eMail) vom inneren Datenkreis (Unternehmensdatenverarbeitung, geheime Daten). Hermetisch darf diese Abschottung aber nicht sein. Es muss sichere und performante Durchgänge geben. Hierfür gibt es jetzt eine neuartige Lösung... [mehr]

  HSG Active Gateway

1. Die Bedrohung durch Sabotage und Spionage ist höher denn je und noch ist kein Ende des Wachstums abzusehen.
2. Die Bedrohung durch sogenannte Kaputtmach-Hacker hat abgenommen, aber ist immer noch ernst zu nehmen und real.
3. Große Organisationen und Staaten investieren in die Fähigkeit, Daten auszuspähen und die Infrastruktur und wirtschaftliche Leistungsfähigkeit vermeintlicher Gegner zu stören. Auch die Bundesrepublik Deutschland macht da keine Ausnahme, Stichwort „Bundestrojaner“. Nicht nur hier, auch in weiten Teilen der Welt wird die eigene Bevölkerung von der Verwaltung als Gegner eingestuft.
4. Staaten mit enger Verbindung zur heimischen Wirtschaft (z.B. die USA) nutzen diese, um eigene Informationsbedürfnisse schon in das Design neuer Produkte der Informationstechnologie einfließen zu lassen. Nicht umsonst hat auch Israel eine sehr starke Marktposition bei Produkten der IT-Sicherheit.
5. Für große Organisationen, noch mehr aber für große Staaten gilt: es gibt keine Limitierung der Ressourcen. Wenn es ein Land für China für sinnvoll erachtet, jedes Gerät und jede Einrichtung für IT-Sicherheit in Stückzahlen zu besorgen und aufwendig zu analysieren, so wird das gemacht. Gefundene Sicherheitslücken werden geheim gehalten und im eigenen Interesse verwertet.
6. Die Anwender versuchen sich gegen unerlaubte Handlungen zu schützen, werden aber von den Herstellern nur unzureichend unterstützt. Das mag daran liegen, dass der Schutz politisch nicht gewollt ist.
7. Der Schutz einer IT-Einrichtung ist aber auch technisch extrem schwierig.
       Schließlich muss der Schutz umfassend sein, dem Angreifer genügt aber eine einzige Schwachstelle.
8. Firewalls sind die am häufigsten genutzten Schutzeinrichtungen. Sie sind in der derzeitigen IT-Welt unverzichtbar. Die Schutzwirkung einer Firewall ist begrenzt. Sie ist notwendig aber nicht hinreichend.
9. Malwarescanner sind ebenfalls unverzichtbar. Natürlich ist die Schutzwirkung von Malware sehr stark auf externe Unterstützung angewiesen. Malware kann erst erkannt werden, wenn sie erkannt worden ist. Klingt widersprüchlich, aber das Versprechen, Malware an ihrem Verhalten zu erkennen, ist in hohem Masse unerfüllbar.
10. Systeme, die ein unbefugtes Eindringen verhindern, sind noch schwächer in der Wirkung. Zufriedenstellend ist die durchdachte automatische Auswertung von Logs, um ein unbefugtes Eindringen möglichst frühzeitig zu erkennen.
11. Alle Schutzeinrichtungen sind ohne Wirkung, wenn diese nicht mehr Gut von Böse unterscheiden können. Im Normalfall richtet sich ein Angriff auf das schwächste Glied. Und das ist der direkt hinter der Firewall stehende „Rich Client“. Oder auch der Rich Client, der von außen auf ein System zugreift. Der sich per Download einen Keylogger geholt hat und jetzt unter Fremdkontrolle steht.
12. Wie viele Clients haben Hintertürchen? Von den WIN-PCs neuerer Bauart sind es alle. Dafür hat der Hersteller des Betriebssystems gesorgt. Zwar ist der Missbrauch der Hersteller-Hintertüren nicht einfach – für die Nichthersteller. Aber offen ist offen.
13. Wesentlich weniger gefährdet sind Linux-Clients. Aber diese Bauart im Client-Bereich ist selten.

Ein vom Internet direkt adressierbarer Datenkreis kann keine Sicherheit bieten. Schon gar nicht gegen einen Gegner, der über unbegrenzte Ressourcen verfügt.
Daraus ergibt sich ebenso zwingend die Lösung: Die Abschottung des äußeren Datenkreises (Internet-Zugriff, eMail) vom inneren Datenkreis (Unternehmensdatenverarbeitung, geheime Daten). Hermetisch darf diese Abschottung aber nicht sein. Es muss sichere und performante Durchgänge geben. Hierfür gibt es jetzt eine neuartige Lösung: Das HSG Active Gateway.

Weitergehende Informationen entnehmen Sie bitte diesem PDF

[weniger]

  Rapid Prototyping

Die iPisec Schnellentwicklung beruht auf der Modifikation von komplexen und hochperformanten Funktionsrahmen, den C-Frames. Dadurch ergibt sich zwar ein umfangreicherer Code als bei der herkömmlichen Programmierung. Bei den heutigen Systemumgebungen spielt das aber kaum noch eine Rolle. Wir verwenden keine speziell designten Werkzeuge, sondern arbeiten mit C und Delphi. Dadurch ist man nicht auf Laufzeitumgebungen angewiesen. Und man erreicht sowohl leistungsfähige Programme als auch weitgehende Wiederverwendbarkeit von Klassen und Teilklassen... [mehr]

  Rapid Prototyping

Die iPisec Schnellentwicklung beruht auf der Modifikation von komplexen und hochperformanten Funktionsrahmen, den C-Frames. Dadurch ergibt sich zwar ein umfangreicherer Code als bei der herkömmlichen Programmierung. Bei den heutigen Systemumgebungen spielt das aber kaum noch eine Rolle. Wir verwenden keine speziell designten Werkzeuge, sondern arbeiten mit C und Delphi. Dadurch ist man nicht auf Laufzeitumgebungen angewiesen. Und man erreicht sowohl leistungsfähige Programme als auch weitgehende Wiederverwendbarkeit von Klassen und Teilklassen.

Rapid Prototyping führt in der Regel zu diesem Ergebnissen:

• Sicherere Planung von Kosten und Zeit
• exaktere Beschreibung der Lasten und Pflichten
• Weniger Änderungen während der Erstentwicklung
• erhebliche Verkürzung der Realisierungszeit von 20% bis 60%
• leistungsfähigere Anwendungen, die zu effizienteren und effektiveren Prozessen führen.
• bessere Nutzung des Fach-Knowhows der betroffenen Mitarbeiter.
• genauere Einschätzung der wirtschaftlichen Ergebnisse einer Entwicklung.
• Iterative Nutzung von Erkenntnissen aufgrund des Prototyps; Redesign zur Verbesserung von Produktivität und Qualität schon vor der Realisierung
• Bessere Abstimmung bei der Integration in bestehende Organisationen und Prozesse
• Höhere Akzeptanz bei den Betroffenen
• Frühzeitiges Erkennen von Folgeproblemen
• Initiierung von Modifikationen der Prozesse ausserhalb des eigentlichen Systems
• Neue Erkenntnisse mit Verschiebung der Prioritäten

Für plattformübergreifende Entwicklungen stehen auch C-Frames in Java zur Verfügung.

Dieses Produkt ist für jeden interessant, der diese Ziele erreichen möchte:

• Schnellere und sicherere Entwicklung
• Kostensenkungen
• Wiederverwendbarkeit der Prototypteile
• Nutzbare Ergebnisse statt Besprechungsprotokolle
• Freie Laufzeitumgebung
• Zeit- und Kostensicherheit bei Planungen und Entscheidungen
• Belastbare Basis für Evaluierungen
• Reibungslose Integration in bestehende Organisationen und Prozesse

Software: C, Java, Delphi

[weniger]

  Corporate Risk Expert Suite

Ausführliche Informationen zum Download