Aktuelle Informationen zum Thema Beratung, Schulung und Prüfung bezüglich Sicherer Computer:

• 24.12.2019: "Frohe Weihnachten!". Frohe Weihnachten und einen guten Rutsch ins neue Jahr all meinen Kunden und Partnern :-) Naja, Corona in allen Medien und keiner weiß, was so eine weltweite Pandemie bedeutet. Fehlende Notfallkonzepte kann man da nur sagen….
• 20.12.2019: "IT-Sicherheitssensibilisierung bei Gewürzfabrikanten". Sozusagen als Weihnachtsgeschenk für die Mitarbeiter gab es an diesem Freitag ein halbtägiges Seminar über die wichtigsten digitalen Angriffe aus dem Cyberspace. Phingangriffe und Social Engineering in allen Varianten und Ausprägungen wurden ausführlich erläutert und an Beispielen aufgezeigt. Die passenden Lösungen gab es dann im Anschluss aus dem Grundschutzkompendium vom BSI und aus Best Practises vom NIST. Erstaunlich immer wieder, wie sich die Angriffe und Probleme über alle Branchen hinweg gleichen. Naja, auf jeden Fall ein absoluter Mehrwert, so die Aussage der Teilnehmer, die durchgeführte Maßnahme Schulung und Sensibilisierung.
• 04.12.2019: "IT-Grundchutz Schulung". In Hessen gab es eine Schulung für Behörden, wie man effizient und wirtschaftlich die IT-Grundschutz - Methode 200-2 umsetzt. Da die Methode, meiner Meinung nach, am besten durch Learning-by-Doing vermittelt wird, wurde ausgiebig mit den Anwesenden trainiert, wie man Untersuchungsgegenstände definiert, Infrastrukturen, Prozesse und Anwendungen erfasst und dazu die Schutzbedarfe bzgl. der Sicherheitsziele ermittelt, welche Bausteine man aus dem Kompendium modellieren muss und welche nicht und wie man ergänzend eine Risikoanalyse nach 200-3 bzw. nach ISO 2005 durchführen muss. Alle Teilnehmer gaben ein sehr gutes Feedback über die Praxisnähe und die vorgestellten Maßnahmen, die sofort zur Anwendung gebracht werden können.
• 24.10.2019: "Schulung für Behörde". In Suhl wurde wieder einmal eine IT-Sicherheitsschulung für Beamte und Angestellte durchgeführt. Das Ziel war es typische Angriffe aufzuzeigen, wie Behördenmitarbeiter dazu verleitet werden auf Mails mit Anhängen oder Links zu klicken. Die Teilnehmer waren wie immer mit Eifer bei der Sache und konnten Handlungsanweisungen für Ihre tägliche Arbeit aus der Schulung mit nehmen.
• 22.10.2019: "KRITIS Audit (8a BSiG) bei Bundesbehörde". KRITIS - Audits sind immer etwas besonderes. Man erfährt als Prüfer, was diesen Staat am Laufen hält. Was keine Unterbrechung von Prozessen erlaubt. Auch bei dieser Behörde ist es so. Enorme Ströme von Geld werden bewegt um Bürgern Ihre zustehenden Leistungen zu übertragen. Angriffe auf diese Prozesse, Anwendungen, Netze, Rechenzentren hätten verherrnde Auswirkungen. Gut das das Bundesamt für Sicherheit in der Informationstechnik alle 2 Jahre uns Auditoren schickt, um die eingesetzten IT-Sicherheitsmaßnahmen zu Überprüfen und gemeinsam evtl. Verbesserungspotentiale zu heben. Ein tolles Audit, was ich hier unter der Flagge der TÜVit GmbH durchführen durfte.
• 14.10.2019: "Weiterbildung zum BSI-Praktiker". Auch wenn man schon mehr als 20 Jahren in IT-Sicherheit auf dem Buckel hat, so ist es immer wieder gut sich einer Weiterbildung in dem Themengebiet zu unterziehen. Man lernt Gleichgesinnte kennen und wird auch mal mit anderen Meinungen bzg. BSI-Vorgehensweisen überrascht :-) Eine Weiterbildung, die ich jedem Interessierten bzgl. BSI-Grundschutz empfehlen kann, ist diese Ausbildung, die man dann noch forführen kann zum BSI-Berater. Am Ende der fast ein wöchigen Ausbildung stand dann noch eine Abschlussprüfung, die mich mit deren Bestehen auch zum zertifizierten BSI-Praktiker machte.
• 26.09.2019: "Sensibilisierungsschulung in Weimar" in einer Behörde war wieder gespickt mit Angriffen und der entsprechenden Verteidigung mittels IT-Grundschutzmaßnahmen. Als einer der wichtigsten Schutzmaßnahmen war die Sensibilisierung vor Fake-E-Mails, die zum Klicken oder Öffnen verleiten soll. Eigene Übungen und Überprüfungen für Zuhause rundeten die Sensibilisierungsschulung ab.
• 05.09.2019: "IT-Grundschutz-Basis-Testierung" in Bayreuth mit dem Kickstart des Projektes. Ein spannendes Thema. Ein Netzwerk- und Firewallausrüster möchte den Einstieg in die BSI-Zertifizierung wagen. Mein Part wird die Vorbereitung sein. Ein tolles Thema des Nachweises eines erfolgreichen ISMS, das man alle 2 Jahre wieder verlängern kann. Hierbei werden nur die vom BSI im IT-Grundschutzkompendium genannten Basis-Anforderungen umgesetzt.
• 31.07.2019: "IT-Sicherheitskonzept im Behörden-Umfeld erstellen" war das Thema in der hessischen Landeshauptstadt. Es wurde neben dem BSI IT-Grundschutz auf der Basis von ISO 27001, auch der neue Standard 200-2 (moderner Grundschutz) und die neue verwendete Risikoanalyse (angelehnt an der ISO 27005, der Standard 200-3) vorgestellt.
• 25.07.2019: "Informationssicherheits-Sensibilisierungsschulung in Gera" bei einer Behörde war ein schönes Erlebnis wieder einmal. Die Kolleginnen und Kollegen waren voll bei der Sache, wie es um die Themen Angriffe auf die IT und die Behördenmitarbeiter ging. Von CEO-Fraud über Emotet und Phishing-Mails wurde eine Vielzahl von gängigen Angriffen behandelt. Aber auch so wichtige Massnahmen wie Einstellungen bzgl. Produktsicherheit in den wichtigsten Standard-Programmen eines Behörden-PC wurde weiter gegeben. Ich denke man wird sich auch in Zukunft wieder im schönen Thüringen zu diesem spannenden Thema treffen.
• 02-04.07.2019: "ISO 27001 auf der Basis von IT-Grundschutz (Neu/nach Kompendium Feb. 2019)" in Nürnberg bei einer Versicherung, war diesmal eine echte Herausforderung. Das Migrationsprojekt und deren Influencer von seitens BSI und des Marktes konnte nicht herausfordernder sein. Alles war im Fluss, der Standard, die Migrationshilfen, die eingesetzten Tools, die Ratschläge. Man kann sich hier nur auf seine Kompetenz zurückziehen und darauf Vertrauen, dass ein ISMS, welches 10 Jahre funktioniert hat, nicht plötzlich durch eine Änderung des Standards auf BSI 200-2 komplett neu aufgebaut werden muss. Eine wunderbare Möglichkeit, den BSI-Standard als eine von vielen Compliance-Views auf ein ISMS zu sehen.
• 20.06.2019: "BSI Workshop bei Exporo in Hamburg". Wer schon ein Testat A und B nach BSI 100-2 erarbeitet hat, stellt sich natürlich die Frage, ob man zukünftig auf BSI Basis-Testat oder gleich auf die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz gehen sollte. In dem Workshop wurden die Unterschiede und das Delta ermittelt, sowie eine schlanke Vorgehensweise der Migration von BSI IT-Grundschutz alt auf neu aufgestellt.
• 14-16.05.2019: "3-tägiges Auditorentreffen des TÜV NORD Cert" in Essen, hatte wieder eine Fülle von Themen für seine Prüfer ausgewählt. Von der Familie der ISO - Sicherheitsstandards ISO 27000 bis hin zu TISAX, KRITIS, BNetzA war alles dabei, was ein Auditorenherz höher schlägen läßt.
• 06-08.05.2019: "ISMS Schulung für ISO 9001 Auditoren" in Paderborn. Eine große Firma für Zertifizierungen in Deutschland gönnte Ihren 9001 Auditoren einen Blick in die Welt der IT-Sicherheit. Bezüglich des ISO 27001 - Standards und dem sogenannten Managementrahmen war es für die Auditoren bekanntes Terrain. Das spannende waren wohl die IT-Sicherheits-Controls im Anhang und deren Deutung und Interpretation durch einen erfahrenen Auditor in diesem Umfeld.
• 16.04.2019: "Sicherheitstraining für Behörden" wurde im Schatten des Doms in Thüringen geschult und hatte die Themen wie Bitcoin-Mining, IOT-Angriffe und Cloud-Security zum Inhalt. Besonderes Gefallen findet bei den Teilnehmern immer das Life-Beispiel eines Bitcoin-Trojaners, der im Hintergrund auf einer Demowebseite unbemerkt durch den Betrachter Krypto-Coins schürft ("wie Goldschürfen nur Digital"). Und da soll noch einer sagen, dass IT-Sicherheit mit solchen Themen keinen Spaß macht :-)
• 27.03.2019: "EU-DSGVO - Zertifizierung mittels BS10012" war das Thema bei einer Weiterbildung des TÜV Nord Certs für seine Auditoren. Alles was es bei dieser Datenschutz-Zertifizierung zu beachten gibt, wurde ausführlich erläutert und beigebracht. Für Auditoren, die jedoch schon immer den technischen Datenschutz des BDSG mitgeprüft haben, kein Problem. Somit für Unternehmen eine wunderbare Möglichkeit Ihre Bemühungen bzgl. Datenschutz für Dritte darzustellen.
• 21-22.02.2019: "IT-Sicherheits-Sensibilisierung" war das Thema bei einem Spezialisten für Gewürzmischungen in Walluf. Volles Haus sagt man bei uns, da der Raum bei allen Schulungen brechend voll war. Neben Angriffen auf IT-Komponenten, die jeder Zuhause hat, wurde gezeigt, wie diese Angriffe dazu verwendet werden können, die eigene Firma zu beinträchtigen. Mit den TOP 3 der Sicherheitsmaßnahmen, die die meisten Angriffe verhindern, wurden den Teilnehmern Verteidigungsmöglichkeiten aufgezeigt. Da sieht man wieder, dass das Thema IT-Sicherheit bei allen Berufsgruppen angekommen ist. Die Teilnehmer waren engagiert bei der Sache und nicht nur dem Dozenten hat es sehr viel Spaß gemacht. Immer wieder gerne...
• 13-20.02.2019: "ISO 27001 Re-Zertifizierungsaudit" bei einem großen deutschen Automobilzulieferer in der Nähe von Stuttgart. Hier wurden verschiedene Standorte nach den Kapiteln 4-10 der Norm, sowie ausgewählte Controls des Anhangs A überprüft und erfolgreich ein Zertifikat für die nächsten 3 Jahre ausgestellt. Bemerkenswert bei dieser Firma ist die eigene Compliance-Abteilung, die in der Tat sich das ganze Jahr mit Zertifizierungen beschäftigt (ISO 9001, ISO 14000, TISAX...). Ein Trend, der wohl nicht aufzuhalten ist. Umso wichtiger, dass in Zukunft Kombiaudits mehrere Audits und deren verschiedene Standards auf einmal abdecken können.
• 06.02.2019: "Risikoanalyse nach BSI 200-3" durchführen war das Thema dieser Schulung in Wiesbaden bei einem großen Rechenzentrumgsbetreiber. Dabei wurde vorallem Wert auf die Kompatibilität des ISO 27005 gelegt und in diesem Zusammenhang die neue Risikoanalyse des moderniersierten IT-Grundschutzes erklärt, die man nun bei der ISO 27001 auf der Basis von IT-Grundschutz zur Verfügung hat. Anhand von anschaulichen Beispielberechnungen wurde den Teilnehmern die Systematik vermittelt, so dasss Alle nach Ende der Veranstaltung eigene Risikoanalysen manuell durchführen konnten.

Archiv "Aktuelles": 2018