Information Security & Risk

Innovation und Sicherheit müssen im gleichen Takt wirken.

„Der technologische Wandel und die umfassende Digitalisierung von unternehmerischen Wertschöpfungsketten erfordern neue und veränderte IT-Sicherheitsstrategien. Benötigt werden auf die jeweiligen Unternehmensziele angepaßte zielgenaue organisatorische und technische Lösungen, die effektiv und effizient die Steuerung von Risiken für informationelle Unternehmenswerte sichern.
AEQUITAS SENSUS entwickelt wirkungsvolle IT-Sicherheitsmodelle für Sie, die Ihnen das Erreichen Ihrer Sicherheitsziele sicherstellen, ohne die Innovationskraft oder die Umsetzungsstärke Ihres Unternehmens einzuschränken. Partnerschaftlich, kompetent und projektsicher.“

Ralf Adebar, Management Consulting

Strategischer Innovationsfaktor Informationssicherheit

Die Notwendigkeit des wirkungsvollen Schutz von Informationen und Daten gegen Verlust, Veränderung oder Diebstahl wird von vielen Unternehmen als Kernaufgabe einer erfolgreichen digitalen Transformationsstrategie erkannt. Die Erkennung und Analyse relevanter Sicherheitsrisiken und die Ableitung zielgenauer und wirksamer Maßnahmen zur Risikosteuerung sind allerdings für viele Organisationen ein aufwändiger und kostenintensiver Vorgang: Risiken und Chancen des Aufbau einer unternehmensweiten Steuerung der Informationssicherheit liegen eng beieinander.

Die Erfahrung der ISM-Expert*innen der AEQUITAS SENSUS und die Qualität der von uns eingesetzten Better-Practice-Frameworks unterstützen und sichern den Programm- oder Projekterfolg bei Entwicklung, Aufbau und Betrieb von Steuerungssystemen für Informationssicherheit. Die fachliche Expertise des AEQUITAS SENSUS-Team verbindet sich dabei mit einem umfassenden Verständnis für die Anforderungen, Notwendigkeiten und Ziele der Geschäftsmodelle unserer Mandanten.

Die Expertise unserer ISM-Berater*innen bringen wir flexibel und aufgabengerecht Workshop- und Coaching-basiert bis zur vollumfänglichen langfristigen ISM-vor-Ort-Unterstützung ein.

Erhaltung digitaler Fähigkeiten auch im IT-Krisenfall

Die zunehmende Komplexität von Vernetzung, Kommunikation und IT-Technologie stellt Unternehmen kontinuierlich vor neue Herausforderungen im Bereich des IT-Notfall- und IT-Krisenmanagement. Viele Branchen stehen zusätzlich immer stärker unter regulatorischem Zwang, spezifische Anforderungen an das IT-bezogene Risikomanagement umzusetzen. Und der Druck zum Aufbau von leistungsfähigen und transformationssicheren IT-Notfallsteuerungssystemen wird in den nächsten Jahren weiter zunehmen.

AEQUITAS SENSUS unterstützt mittelständische und große Unternehmen bei der Entwicklung, dem Aufbau und der Optimierung von Steuerungssystemen für die Geschäftsfortführung (Business Continuity Management System; BCMS) sowie die IT-Notfallsteuerung auf Basis national und international etablierter Better-Practice-Ansätze wie ISO 22301, ISO/IEC 27031 und BSI-Standard 100-4. Die Wahrung einer ganzheitlichen und unternehmensweiten Sicht der relevanten Unternehmensrisiken wird durch die Anwendung von anerkannten Rahmenwerken zur Risikoanalyse sichergestellt. Bei der Umsetzung stehen die individuelle Risikoanalyse, der Aufbau einer unternehmensspezifischen Governance für Notfallmanagement und Geschäftsfortführung, die Durchführung von Business Impact Analysen (BIA) sowie die Ausarbeitung von Geschäftsfortführungsplänen und technischen und organisatorischen IT-bezogenen Massnahmenplänen und deren Wirkungsüberprüfung im Vordergrund.

Die Definition und Einrichtung der für das Steuerungssystem der Geschäftsfortführung relevanten Schnittstellen ist dabei eine wichtige Grundlage der Wirkungsfähigkeit des BCMS. Die prozessuale und fachliche Integration erfolgt unternehmensspezifisch in das übergeordnete Risiko Management, das Steuerungssystem für Informationssicherheit, die etablierten Massnahmen des Datenschutzes, das Auslagerungsmanagement sowie die bestehenden Verfahren für den IT-bezogenen Wiederanlauf und das IT-Service Continuity Management (ITSCM) und den IT-Betrieb des Unternehmens.

Wirkungsvoller Datenschutz durch ganzheitliche Steuerung

Die Aufrechterhaltung eines wirkungsvollen und vorgabengerechten Schutzes von personenbezogenen Daten ist vor dem Hintergrund sich ständig verändernder Bedrohungssituationen und sich fortlaufend weiter entwickelnden rechtlichen Grundlagen keine isolierte Aufgabe Einzelner mehr. Die sich mit der Verarbeitung von personenbezogenen Daten für die Unternehmen ergebenden Risiken weiten sich gerade durch die digitale Transformation umfassend aus und können nicht mehr durch Einzelmaßnahmen oder technischen Teillösungen gesteuert werden. Datenschutz kann zunehmend nur durch eine ganzheitliche Betrachtung über den vollständigen Lebenszyklus von Daten und Informationen uneingeschränkt sichergestellt werden.

Vorbild für einen modernen systemischen Datenschutz können die Erfahrungen und Erfolge aus dem Bereich der Informationssicherheit darstellen. Insbesondere die bewährten Verfahren und Methoden des Aufbaus von regel- und prozessbasierenden Steuerungssystemen können die professionelle Grundlage für den Aufbau, die Erweiterung oder die Optimierung der bestehenden Einzelmaßnahmen des Datenschutzes sein.

Mit der Verabschiedung des ISO-Standard ISO/IEC 27701 sind die normativen Grundlagen für die direkte integrierte Anbindung von Datenschutzverfahren und -maßnahmen an ein bestehendes zertifizierungsfähiges fachliches Steuerungssystem gegeben. Die für das Kostenaufkommen und die Wirkungsfähigkeit der bestehenden Datenschutzverfahren nachteilige systemseitige Trennung zwischen Datenschutz und Informationssicherheit kann auf dieser Basis endlich behoben werden.

AEQUITAS SENSUS bietet mit dem originären Integrated Security & Privacy Management Framework mittleren und großen Unternehmen aller Branchen die wirksame und nachweisorientierte Möglichkeit, Datenschutz und Informationssicherheit effizient zu verbinden und uneingeschränkt über den vollen Lebenszyklus der Verarbeitung personenbezogener Daten zu verstehen, zu analysieren, zu kontrollieren und zu steuern.

Mehr Digitalisierungserfolg durch wirksame Behandlung von Cyber-Risiken

Die Digitale Transformation schafft globale und digitale Welt. Die breite und tiefe Daten- und Informationsvernetzung schafft enorme Potentiale zur Leistungssteigerung und zur Lösung komplexer Probleme. Allerdings: Cyber-Risiken können es Unternehmen schwer oder sogar unmöglich machen, diese Vorteile und Chancen für den eigenen Erfolg zu nutzen.

Was vor nur 10 Jahren nur ein sich gerade herausbildendes Risiko war, ist heute eine für Unternehmen jeder Größenklasse und jeder Branche ein geschäftskritisches Kernrisiko geworden. Die steigende Qualität, Frequenz und Wirksamkeit von Cyber-Bedrohungen stellen die Fähigkeiten von Unternehmen zur Erkennung, Behandlung und Abwehr vor immer neue und immer weiterwachsende Herausforderungen.

Professionelle Cyber-Kriminelle bedrohen prozesskritische Informationen, Produkt- und Verfahrens-Wissen, Finanzinformationen und personenbezogene Daten und können durch den Diebstahl, die Veröffentlichung oder die Veränderung dieser informationellen Werte umfassende Störungen des Geschäftsbetriebes und der Wertschöpfungsketten des Unternehmens oder die Verletzung von mit empfindlichen Strafbemessungen belasteten gesetzlichen Vorgaben bewirken.

AEQUITAS SENSUS entwickelt Cyber-Sicherheitsmodelle und adressiert dabei die notwendigen Elemente einer wirksamen Unternehmensstrategie für Cyber Security. Ausgehend von den individuellen Anforderungen und Vorgaben des Unternehmens werden Governance, Compliance und Risikosteuerung erfasst und die Abdeckung dieser Anforderungen durch die bestehenden Kontrollsysteme analysiert. Unterstützt durch die organisatorische und technische Erfahrung der Cyber-Experten von AEQUITAS SENSUS werden Unternehmen in die Lage versetzt, passgenaue und sichere Entscheidungen zur Behandlung von Cyber-Risiken zu treffen und damit die Widerstandsfähigkeit gegenüber einer sich ausweitenden Bedrohungslage aus dem Cyber-Raum zu verbessern.

  1. 1
    Ziele:

    Unsere Berater sind mit den Anforderungen an normengerechte und wirkungsvolle Steuerungssysteme für Informationssicherheit vertraut, eine ergebnisgenaue Umsetzung von Programm- und Projektaufgaben auch vor dem Hintergrund von reduzierten Zeitfenstern und Ressourcenoptionen ist dabei selbstverständlich. Die IS-Experten der AEQUITAS SENSUS kennen die Anforderungen der IT-Sicherheit und des Chief Information Security Officer (CISO) als auch die der Vorstände und Geschäftsführer.

  2. 2
    Vorgehensmodell:

    AEQUITAS SENSUS ist Partner für die Entwicklung, den Aufbau und die Optimierung von Steuerungssystemen für Informationssicherheit (ISMS) in mittelständischen und großen Unternehmen in den Branchen Handel, Verkehr, Fertigung, Logistik, Lebensmittel, Energie und Finanzen. Der Aufbau des ISMS erfolgt dabei auf Basis der durch den Mandanten gewählten fachlichen Grundlage unter Einsatz der projektsicheren SENSUS-Methodik, die ausgehend von der initialen Bestandsanalyse auf Prozess-, Verfahrens- und Technologieebene die notwendigen Umsetzungsumfänge zur Erreichung der Entsprechung zur gewählten Rahmengrundlage definiert. Der Einbezug der individuellen strategischen, organisatorischen und technischen Anforderungen der Unternehmen wird dabei in allen Realisierungsphasen umfassend sichergestellt. Im Rahmen von gemeinsam mit dem Mandanten durchgeführten SWOT-Analysen und Zielsetzungs-Workshops wird die Reichweite des angestrebten ISMS definiert und direkt an die Unternehmensziele angebunden, um eine langfristige Passgenauigkeit und Wachstumssicherheit des ISMS auch mit Hinblick auf funktionale und betriebswirtschaftliche Notwendigkeiten zu ermöglichen.

  3. 3
    Leistungen:

    • Entwicklung und Aufbau von Steuerungssystemen für Informationssicherheit auf Basis ISO/IEC 27001, BSI IT-Grundschutz oder branchenspezifischer bzw. regulatorischer Ausprägungen der ISO/IEC 27001
    • Optimierung von Steuerungssystemen für Informationssicherheit (Reifegraderhöhung, Zertifizierungsvorbereitung)
    • Reifegradanalyse im Rahmen der Zertifizierungsvorbereitung (GAP-Analyse)
    • Wirkungsüberprüfung bestehender ISM-Verfahren (quantitativ, qualitativ)
    • Durchführung von Schulungs- und Informationsmaßnahmen im Rahmen der ISMS-Einführung
    • CISO-Advisory
    • Interims-CISO
    • Externer Informationssicherheitsbeauftragte/r
    • ISMS-Erweiterung zur Entsprechung § 8a BSIG (KRITIS, KritisV)
    • Geeignete Prüfung im Sinne des § 8a BSIG für die Nachweiserbringung gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI)

  1. 1
    Ziele:

    Das AEQUITAS SENSUS BCM-Team unterstützt Unternehmen bei der Konzeption, dem Aufbau und der Optimierung von Systemen, Verfahren und Methoden für die Geschäftsfortführung im Not- und Krisenfall. Unsere nach ISO 22301 zertifzierten Lead-Auditoren und Fachberater bieten umfangreiche Erfahrung in der Realisierung von programm- oder projektbezogenen BCM-Aufgabenstellungen.

    Ungeachtet der Größe oder der Branchenzugehörigkeit eines Unternehmens ist die Zielsetzung dabei immer die kosteneffiziente und fokussierte Etablierung von zielgenau auf die Unternehmensziele und bestehende rechtliche, gesetzliche oder branchenspezifische Regelungen ausgerichteten Vorgaben, Verfahren und Methoden der sicheren Bewältigung von Notfällen und Krisen.

  2. 2
    Vorgehensmodell:

    Um Unternehmensbedrohungen mit geeigneten organisatorischen Strukturen, Prozessen, Verfahren und indivuell abgeleiteten Maßnahmen bewältigen zu können, hat AEQUITAS SENSUS wirksame Methoden zu Prüfung, Aufbau und Verbesserung von Steuerungssystemen für die Geschäftsfortführung (BCMS) entwickelt.

    Unsere Experten orientieren sich an fachlichen Better-Practices sowie professionellen Projektumsetzungsverfahren auf der Basis internationaler Standards. Die für das individuelle Unternehmen jeweils relevanten aktuellen Marktgegebenheiten, regulatorischen Anforderungen und Entwicklungen sowie die im Rahmen der bestehenden Kontrollsystemen für Unternehmensrisiken etablierten Regelkreise werden als Grundlage der fachlichen Ableitung des zu etablierenden Steuerungssystem herangezogen.

    Zentrales Erfolgskriterium dabei ist die Einbindung der unternehmensseitig relevanten organisatorischen und fachlichen Bereiche zur Sicherstellung der vollständigen Erfassung der notwendigen Perspektiven und Anforderungen. Diese Anforderung wird mittels vorbereitender fachlicher Workshops (onsite, offsite, remote) realisiert, deren Ergebnisse im Rahmen der unternehmensinternen Konsultation als verbindliche Umsetzungsgrundlage bestimmt werden.

  3. 3
    Leistungen:

    • BCM-Reifegrad-Assessment
    • Konzeption und Durchführung von Business Impact Analysen
    • Konzeption und Aufbau von Steuerungssystemen der Geschäftsfortführung (BCMS)
    • Optimierung von Steuerungssystemen der Geschäftsfortführung (BCMS)
    • Notfall- und Krisensimulationen
    • Tests und Übungen von organisatorischen und technischen Verfahren der Geschäftsfortführung und des IT-Service Continuity Management
    • Durchführung von BCM-Schulungen und Informationsveranstaltungen

  1. 1
    Ziele:

    Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss sich den spezifischen Risiken und Herausforderungen stellen, die sich daraus ergeben. Datenschutzrisiken sind auf Grund der bestehenden gesetzlichen Grundlagen und der sich gleichzeitig schnell verändernden Bedrohungslage im Bereich Cyber Security keine nachgelagerten Teilrisiken mehr: die erfolgreiche Steuerung von Datenschutz und Datensicherheit zahlt unmittelbar auf ein unternehmerisches Kernrisiko ein.

    Die Entwicklung und der Aufbau eines integrierten Steuerungssystems für Datenschutz und Informationssicherheit (oder die Ergänzung eines bestehendes ISMS durch datenschutzspezifische Vorgaben, Methoden und Verfahren) bietet den notwendigen ganzheitlichen und integrierten Ansatz, um den umfassenden Anforderungen gerecht zu werden. Die Nutzung bestehender langjähriger Erfahrungen und Kenntnisse auf Basis von Best- und Better Practices in der zielgerechten und effizienten Gestaltung von Steuerungssystemen für Informationssicherheit, Business Continuity und IT-Risk-Management ermöglicht den Spezialisten von AEQUITAS SENSUS das von vielen Unternehmen angestrebte Ziel messbar erfolgreich umzusetzen: Verbesserung der Wirksamkeit, der Messbarkeit und der Kosteneffizienz von Datenschutz und Datensicherheit.

  2. 2
    Vorgehensmodell:

    Die G

    Die Gestaltung und der Aufbau eines integrierten Steuerungssystemes für Datenschutz und Informationssicherheit erfolgt auf der Grundlage professioneller Beratungs- und Projektmanagementansätze. AEQUITAS SENSUS bietet durch die langjährige Erfahrung seines Beratungs-Teams für Datenschutz und Informationssicherheit die notwendige fachliche Verlässlichkeit. Unter Einbezug der relevanten betriebswirtschaftlichen und strategischen Kriterien des Unternehmens werden die bestehenden Prozesse, Vorgaben, Verfahren und Methoden analysiert und die Lücken hinsichtlich des definierten Zielbildes nachvollziehbar ermittelt sowie die sich hieraus ergebenden spezifischen Unternehmensrisiken aufgezeigt.

    Die fachliche Umsetzung und Operationalisierung des integrierten Steuerungssystems für Datenschutz und Informationssicherheit erfolgt in einem iterativen und gemeinschaftlichen Arbeitsprozess, bei dem der fortlaufende Einbezug aller relevanten Stellen der Organisation durch das Projektteam sichergestellt wird. Verständlichkeit, Transparenz und konstruktive Feedback-Loops sind selbstverständliche Umsetzungsanforderungen.

    Wir unterstützen Sie auch bei der Inbetriebnahme und der Weiterentwicklung eines integrierten Steuerungssystems für Datenschutz und Informationssicherheit. Informations- und Schulungsmaßnahmen gehören ebenso zu den Leistungen des Experten-Teams von AEQUITAS SENSUS wie die standardisierte und verfahrenssichere Überprüfung von Reifegraden und definierter Leistungsparameter als Teil des fortlaufenden Verbesserungsverfahrens.

  3. 3
    Leistungen:

    • Entwicklung Unternehmensstrategie für Datenschutz und Informationssicherheit
      (Enterprise Privacy Strategy)
    • Durchführung Analyse Bestandssituation (GAP-Analyse)
    • Verfahrensbasierte Wirkungsprüfung Bestandsverfahren
    • Entwicklung und Aufbau Integriertes Steuerungssystem für Datenschutz und Informationssicherheit auf Basis ISO/IEC 27001 und Extension ISO/IEC 27701
    • Entwicklung und Aufbau datenschutzbezogenes Control-Set auf Basis COBIT 5
    • Schulungs- und Informationsmaßnahmen Integrierter Datenschutz

  1. 1
    Ziele:

    Der Schutz der informationellen Geschäftswerte und der persönliche Schutz der Mitarbeitenden eines Unternehmens werden durch die Fähigkeit zur schnellen, zielgerichteten und wirksamen Antwort auf eintretende Cyber-Bedrohungen sichergestellt. Organisatorische und technische Maßnahmen werden in ihrer Leistungsfähigkeit verbessert und bilden die Grundlage, um durch fortlaufende Optimierung den Schutz auch von ambitionierten Digitalisierungsprogrammen gewährleisten zu können.

  2. 2
    Vorgehensmodell:

    Wirksame Maßnahmen zur Behandlung von Cyber-Risiken basieren auf der genauen Analyse und Darstellung der für das Unternehmen relevanten Cyber-Risiken. Die Erhebung der Risikosituation kann eigenständig durch die AEQUITAS SENSUS Experten erfolgen oder im Rahmen eines gemeinsamen durchgeführten Assessment. Zentrales Ergebnis dabei: die Quantifizierung der erkannten Risiken sowie die verlässliche Einordnung der Bedrohungslage, auch vor dem Hintergrund von Wachstums- oder Transformationszielen.

    Ausgehend von den Analyseergebnissen wird die unternehmensspezifische Cyber-Strategie entwickelt, deren Umsetzung die relevanten Cyber-Risiken für das Unternehmen adressiert und mit dem Ziel der Verringerung der Bedrohungslage etabliert wird. Die Strategieformulierung und -umsetzung erfolgt in aller Regel durch die Entwicklung verständlicher und mit unmittelbaren Handlungsvorgaben ausgestatteter „Cyber RoadMaps“, die eine projektorientierte Realisierung der Sicherheitsziele für das Unternehmen ermöglichen.

    AEQUITAS SENSUS begleitet, unterstützt oder verantwortet die Umsetzung der durch das Unternehmen definierten Cyber-Strategie und bietet auch während der Umsetzungsphase intensive Unterstützung hinsichtlich Aktualisierungs- und Anpassungsnotwendigkeiten der geplanten oder implementierten Maßnahmen vor dem Hintergrund aktueller Veränderungen der Cyber-Bedrohungslage.

  3. 3
    Leistungen:

    • Cyber-Risikoanalyse (Erkennung und Darstellung der IST-Situation)
    • Entwicklung einer unternehmensspezifischen Strategie zur Behandlung von Cyber-Risiken
    • Entwicklung von Cyber-Roadmaps zur Strategieumsetzung
    • Überprüfung organisatorischer und technischer Control-Sets (Wirksamkeitsmessung)
    • Cyber Security Management Review von Drittparteien
    • AEQUITAS SENSUS CyberRisk Assessment (internal controls)