mikado ag

Mit CloudFit bietet die mikado ag eine schlanke und deshalb aufwandsschonende Analyse der Sicherheitsbedingungen für die Nutzung von Cloud-Diensten an. Sie führt zu einer gewichteten Übersicht der sicherheitsrelevanten Aspekte und gibt dabei gleichzeitig konkrete Empfehlungen zur Verbesserung der Informationssicherheit, Vertrauenswürdigkeit und Robustheit. CloudFit zielt als systematische Analyse darauf ab, die Entscheidungsprozesse bei der geplanten Nutzung von Services aus der Public Cloud abzusichern. Das Audit von CloudFit beruht method…

Ob am Flughafen München, bei der Deutschen Bahn im Ruhrgebiet oder bei den Stadtwerken in Velbert: Sofern es sich um öffentliche Unternehmen handelt und eine Vielzahl Kunden unmittelbar davon betroffen sind, werden Computerausfälle zwangsläufig schnell publik. Dabei sind IT-Notfälle auch in den anderen Bereichen der Wirtschaft keineswegs eine unbekannte Angelegenheit. Jedes achte Unternehmen befand sich nach einer Erhebung des Beratungshauses mikado bereits einmal in der Situation, dass streikende IT-Systeme den Geschäftsbetrieb massiv beeint…

Viele Unternehmen sind nach den Beobachtungen des Beratungshauses mikado ag nur unzureichend auf IT-Notfälle vorbereitet. Seinen Analysen zufolge bestehen oft vielfältige Schwächen, die im Problemfall erhebliche Auswirkungen auf die Geschäftstätigkeit haben können. Sie können vor allem in Unternehmensverhältnissen mit einer hohen Komplexität der Geschäftsprozesse und großen Abhängigkeit von der Informationstechnik entstehen. Zu typischen Notfallsituationen gehören beispielsweise gravierende IT-Schäden, Feuer oder der plötzliche Ausfall wichti…

Unternehmen stehen vor der Herausforderung, geeignete Sicherheitsstrategien zu entwerfen und sie kontinuierlich weiterzuentwickeln. Die Verantwortung dafür liegt letztlich bei der Geschäftsleitung, ohne dass diese sich vielfach jedoch in diesem speziellen Themenfeld ausreichend kompetent fühlt. Zu diesem Ergebnis kam beispielsweise eine CEO-Befragung der mikado ag im letzten Jahr. Danach äußerte mehr als die Hälfte der befragten Top-Manager, dass sie mangels erforderlicher Kompetenzen keinen strategischen Beitrag zur Informationssicherheit le…

Die mikado ag wird auf der diesjährigen IT-Sicherheitsmesse it-sa in Nürnberg (Stand 12.0-453) ihr Leistungsportfolio im Rahmen der Kooperation „High Security RZ 4.0“ präsentieren. Als weitere Partner gehören die proRZ GmbH, die Schneider Electric GmbH und die msg services ag dazu. Diese Partnerschaft verfolgt das ambitionierte Ziel, eine ganz neue Dimension von Informationssicherheit in Rechenzentren zu erzeugen. Denn hinter der Kooperation verbirgt sich ein Best-of-Breed-Konzept, das alle erfolgskritischen Anforderungen eines zukunftsgeric…

Nach den Erkenntnissen der mikado ag sind viele Sicherheitsstrategien von Unternehmen und Behörden veraltet, weil sie nicht die fortlaufenden organisatorischen und technischen oder rechtlichen Veränderungen berücksichtigen. Wie Analysen des Beratungshauses zeigen, können dadurch erhebliche Sicherheitsdefizite von weitreichender Bedeutung entstehen. Es weist darauf hin, dass in den letzten Jahren in großer Zahl Unternehmen oft tiefgreifende Organisationsveränderungen durchgeführt haben. Deren Ursachen sind vielfältig und zielen beispielsweis…

Der jüngste Datendiebstahl von rund 1,2 Milliarden Nutzerprofilen im Internet mit Benutzername und Passwort weist nach Einschätzung der mikado ag deutlich darauf hin, dass viele Websites gegen solche Angriffe nur unzureichend gesichert sind. Das Beratungshaus plädiert deshalb für eine großflächige Initiative mit Penetrationstests der Websites vor allem von Unternehmen und behördlichen Einrichtungen. Ein häufiges Verfahren bei missbräuchlichen Zugriffen auf interne Datenbanken ist die sogenannte SQL Injection, bei der etwa über die Kontaktform…

Obwohl ein Pflichtprogramm der Unternehmen, werden mögliche Gefährdungen der Informationstechnik nicht kontinuierlich ermittelt. Nach den Beobachtungen der mikado ag finden solche Risikoanalysen häufig nur punktuell oder ohne klare Systematik statt. Dabei ist eine präzise Kenntnis des Gefährdungspotenzials die Grundlage für ein bedarfsgerechtes Risikomanagement. Robert Hellwig, IT-Security-Analyst des Beratungshauses, hat Eckpunkte einer systematischen Risikoanalyse zusammengestellt: • Kenntnis der rechtlichen Anforderungen: Die rechtlichen…

Die mikado ag hat mit Security BaseFit eine Audit-Methode zur schlanken und kostenschonenden Analyse der Informationssicherheit in Mittelstandsunternehmen und Behörden entwickelt. Ihre Durchführung beschränkt sich auf lediglich zwei Tage vor Ort und wird aktuell im Rahmen einer Sonderaktion zu ermäßigten Konditionen angeboten. Security BaseFit führt zu einer gewerteten Übersicht des bestehenden Niveaus in der Informationssicherheit. Die Statusaufnahme wird für Unternehmen auf Basis der ISO 27001-Normen und bei Behörden in Orientierung am BSI…

Nach den Beobachtungen der mikado ag wird in jüngster Zeit verstärkt in den Aufbau von ISO/IEC 27001-konformen Informationssicherheits-Managementsystemen (ISMS) investiert. Da Unternehmen und Behörden bei der Projektierung häufig Neuland betreten, hat der IT-Security-Analyst des Beratungshauses, Robert Hellwig, einige praxisbewährte Empfehlungen zusammengestellt. Sie zielen auch auf eine schlanke Realisierung ab: 1. Fürsprecher in der Chefetage gewinnen: Ein Managementsystem für die Informationssicherheit kann nur fruchten, wenn es auf alle…

Die Sicherheitsverantwortlichen geben der Qualität ihrer Informationssicherheit nur bescheidene Noten. Sie erwarten nach einer Studie der mikado ag deshalb eine bessere Budgetausstattung und schlankere Lösungskonzepte, aber auch Initiativen für eine höhere Akzeptanz und mehr Engagement der Geschäftsleitung. „Die NSA-Affäre mit ihren vielfältigen Abhorchaktionen hat offenbar nur in der allgemeinen Öffentlichkeit für Diskussion gesorgt, aber der Informationssicherheit in den Unternehmen keinen spürbar neuen Schub gegeben“, urteilt Robert Hell…

Der Berliner Security-Spezialist mikado ag hat ein Vorgehensmodell für schlanke Projekte zur Datenverschlüsselung mit BSI-orientierter Analyse der Anforderungen entwickelt. Insbesondere der Einsatz von Best Practices als Templates sowie standardisierte Vorgehensmodule verringern dabei den Projektaufwand und die organisatorischen Maßnahmen, ohne dass es dabei zu Abstrichen in der professionellen Realisierung kommt. Dieses Dienstleistungspaket wird für mittelständische Unternehmen und Behörden zu einem Festpreis angeboten. Sein Ziel besteht i…

Die Snowden-Veröffentlichungen zu den umfangreichen Ausspäh-Aktivitäten der Geheimdienste haben bei den Security-Verantwortlichen in den Mittelstandsunternehmen zwar keinen hektischen Aktionismus ausgelöst. Wohl aber sehen sich viele gezwungen, sich einer umfangreicheren Verschlüsselung ihrer Datenkommunikation zu widmen. Nach einer Erhebung der mikado ag werden ihnen zusätzliche Budgets zur Verfügung gestellt oder die Projektprioritäten den neu erkannten Herausforderungen angepasst. Der Befragung zufolge empfindet sich jede zweite mittelstä…

Open Source Content Management-Systeme(CMS) gehören zu den am weitesten verbreiteten Systemen für Websites. Zu den am häufigsten eingesetzten Lösungen im deutschsprachigen Raum gehören beispielsweise Wordpress, TYPO3, Drupal und Joomla. Websites auf dieser CMS-Basis weisen nach den Erkenntnissen der Unternehmensberatung mikado ag in bestimmten Funktionsbereichen jedoch häufig große Sicherheitslücken auf. Sie betreffen weniger die Kernsysteme, sondern insbesondere die individuellen Ergänzungen. Zu ähnlichen Erkenntnissen ist kürzlich das BSI g…

Die Netzwerksicherheit steht in den Security-Prioritäten der Unternehmen derzeit ganz oben, gefolgt von den Themen Mobile- und Cloud-Sicherheit. Hingegen genießen die Web-Applikationen nach einer Erhebung der mikado ag derzeit nur eine nachgeordnete Bedeutung auf der Agenda der Security-Verantwortlichen, vor allem weil andere Projektprioritäten bestehen. Allerdings wird das Gefährdungsrisiko von ihnen mehrheitlich auch zu gering eingeschätzt, um einen dringenden Handlungsbedarf auszulösen. Sie werden hauptsächlich in ganz anderen Feldern ges…

In letzter Zeit sind erneut zahlreiche Hackerangriffe auf Internetseiten von Banken, Unternehmen und öffentlichen Institutionen bekannt geworden. Doch auch weniger prominente Websites weisen vielfach erhebliche Sicherheitslücken auf, dies ermittelte das Security-Beratungshaus mikado ag in einer eigenen Untersuchung. Dabei wurden Websites über automatisierte Penetrationstests auf mögliche Schwachstellen analysiert und in fast jedem zweiten Fall Sicherheitslücken der höchsten Risikostufe gefunden. „Unseren Analysen zufolge sind einige der beson…

Hacker von WLANs gehen fast immer nach dem gleichen Schema vor: Netzwerk finden, Datenpakete abfangen und in das Netz eindringen. Dabei gibt es grundsätzlich zwei Angriffsansätze: Erstens das Mithören der Daten zum Knacken des WLAN-Zugangs oder zweitens das Umleiten von Datenpaketen über einen Access Point des Hackers. Der zweite Ansatz ist besonders kritisch, da der Hacker als „Man in the Middle“ Datenverbindungen mithören oder auch manipulieren kann. Insbesondere besteht die Gefahr, dass der Hacker Anmeldeinformationen zu wichtigen Ressourc…

Zwar verlangen die Compliance-Vorschriften auch ein anforderungsgerechtes Sicherheitsprofil der Web-Anwendungen, tatsächlich bestehen hier in der Praxis häufig noch erhebliche Defizite. So ermittelte beispielsweise eine letztjährige Studie der mikado ag, dass die Unternehmen nur in jedem zehnten Fall wenigstens alle sechs Monate in ihren Portalen und Internetshops Sicherheitsanalysen vornehmen. Diese Zurückhaltung resultiert nicht zuletzt daraus, dass die Web-Sicherheit nur eine geringe Aufmerksamkeit genießt und die Konzentration stattdessen…

In dem Stresstest „Web-Security“ wird beispielsweise untersucht, wie hoch der Sicherheitsbedarf aufgrund der eigenen Compliance-Anforderungen ist und in welchem Rhythmus systematische Risikoanalysen der Web-Applikationen vorgenommen werden. Der Online-Check geht ebenso der Frage nach, ob für die Internet-Anwendungen überhaupt klare Sicherheitsregeln und diese auch für eingesetzte Dienstleister gelten. Ebenso widmet er sich der Häufigkeit und Folgen möglicher Web-Attacken und wie mit diesen Sicherheitsvorfällen dann umgegangen wurde. „Dieser…

Firmennetzwerke sind nach wie vor unterschiedlichsten Bedrohungen ausgesetzt, mit den bekannten Folgen. Jedes Unternehmen verfügt daher über Firewall, SPAM-Filter und aktuellen Virenschutz, um über das Internet vorgetragene Angriffe auf die IT-Infrastruktur abzuwehren. Aktuelle Studien zeigen jedoch, dass ein Großteil der Sicherheitsvorfälle nicht von außen verursacht wird. Alle Geräte mit einem Netzwerkinterface, die unautorisiert ins interne Firmennetz gelangen, stellen eine mögliche Gefahrenquelle dar. Dabei ist es egal ob sie von einem K…