Beliebte Suchanfragen

Cloud Native

DevOps

IT-Security

Agile Methoden

Java

Logo der codecentric AG, einem in Deutschland führenden IT-Consulting Unternehmen
Hamburger Menu
HOMELEISTUNGENRESILIENZ & IT-SECURITY
//

IT-Security-Siegel: Dein Zertifikat für mehr Sicherheit

Mit unserem IT-Security-Zertifikat bestätigen wir dir die umfassende Prüfung deiner IT-Sicherheit durch unsere Expert*innen – informiere dich jetzt zu unseren Prüfkriterien für eine bessere Sicherheit deiner Systeme.

//

Deine IT-Sicherheit – unabhängig geprüft

Laut Studien des Bitkom entstehen für deutsche Unternehmen jährlich 203 Milliarden Euro Schaden durch Cyberangriffe – 9 von 10 Unternehmen werden Opfer von Datendiebstahl, Spionage oder Sabotage. Für dein Unternehmen ist es essenziell, die IT-Sicherheit in regelmäßigen Abständen zu überprüfen.

Mit unserem codecentric-Prüfsiegel ist dein Unternehmen auf der sicheren Seite. Denn damit bestätigen wir, dass unsere zertifizierten Security-Expert*innen die IT-Infrastruktur und angeschlossenen Prozesse deines Unternehmens überprüft haben. Dabei gehen wir nach gründlich ausgearbeiteten Prüfkriterien vor, um sicherzustellen, dass wir einen ganzheitlichen Blick auf deine IT-Sicherheit werfen. Das Prüfsiegel hat dabei eine Gültigkeit von einem Jahr und wir empfehlen, es regelmäßig durch eine neue Prüfung erneuern zu lassen.

Seal_of_approval_badge_template.png

//

Die Vorteile unseres Security-Prüfsiegels für dein Unternehmen

  • Vertrauen und Glaubwürdigkeit: Unser Prüfsiegel zeigt deinen Kunden und Partnern, dass dein Unternehmen angemessene Sicherheitsmaßnahmen getroffen hat.
  • Nachweis der Einhaltung von Standards: Unser Prüfsiegel bestätigt, dass das Unternehmen in der Branche anerkannte Best Practices einhält.
  • Risikominderung: Durch die für unser Prüfsiegel notwendige Prüfung deiner IT-Sicherheit kann dein Unternehmen das Risiko von Sicherheitsvorfällen, Datenschutzverletzungen und anderen Bedrohungen verringern.
  • Kundenanforderungen erfüllen: In einigen Fällen können Kunden oder Auftraggeber spezifische Sicherheitsanforderungen stellen, insbesondere wenn es um den Umgang mit sensiblen Daten oder die Einhaltung von Datenschutzbestimmungen geht.

//

Welche Anforderungen muss mein Unternehmen erfüllen, um das IT-Security-Siegel zu erhalten?

Die nachfolgend genannten Prüfpunkte muss dein Unternehmen erfüllen, um das Prüfsiegel „IT-Security geprüft“ der codecentric AG für ein Jahr ab dem erfolgreichen Abschluss des Assessments führen zu dürfen. Adäquate Kompensationsmaßnahmen, deren Bewertung durch unsere Security-Expert*innen erfolgt, sind im Einzelfall möglich.

Netzwerkinfrastruktur

Physische Sicherheit

Allgemeine und technische Richtlinien

Administrative Prozesse

Verwaltung von Server- und Client-Systemen

Virenschutz

Patchmanagement

Storage-Management

Datenbankmanagement

Backup und Wiederherstellung

Notfallpläne

Vulnerability-Management

Virtualisierung

Cloud-Infrastruktur

Verfügbarkeits-/Security-Monitoring

Penetrationstest

//

Netzwerkinfrastruktur

Die Netzwerkinfrastruktur ist sinnvoll segmentiert, sodass Systeme verschiedener Kritikalitätsklassen technisch voneinander getrennt sind. Aus dem Internet erreichbare Systeme sind in einem separaten DMZ-Bereich angesiedelt. Die Clients sind in einem eigenen Netz bzw. je nach Unternehmensgröße in fachbereichsspezifischen eigenen Netzen angesiedelt. Wichtige zentrale Systeme sind redundant angebunden. Das WLAN weist eine adäquate Verschlüsselung auf und ist vor unautorisiertem Zugriff geschützt. Ein eventuell vorhandenes Gast-WLAN ist von anderen Netzen separiert und nicht öffentlich zugreifbar. Es existiert ein eigenes Netzwerk für administrative Tätigkeiten und alle administrativen Oberflächen sind ausschließlich über dieses Netzwerk erreichbar.

//

Physische Sicherheit

Der Zutritt in relevante Gebäudeteile des Unternehmens oder ggf. kritische Bereiche des Unternehmensgeländes ist entsprechend eingeschränkt, sodass Externe sich nicht frei im Gebäude bewegen können und kritische Bereiche auch nur für berechtigte Mitarbeitende zugänglich sind. Die Netzwerkinfrastruktur ist physisch durch bauliche Maßnahmen geschützt, sodass der physische Zugriff auf Kabel, Router, Switche und Firewalls nur einem eingeschränktem Personenkreis möglich ist.

//

Allgemeine und technische Richtlinien

Es existiert eine verbindliche Passwortrichtlinie, die adäquate Passwörter für Benutzer und Administratoren vorschreibt. Darüber hinaus muss für alle aus dem Internet erreichbaren administrativen Logins 2FA verwendet werden. Es existiert eine Kryptorichtlinie, welche den Einsatz kryptografischer Verfahren und ggf. die Verwendung einer eigenen Certificate Authority (CA) im Unternehmen regelt. Die Mitarbeitenden werden mindestens jährlich verpflichtend im Bereich Phishing geschult, um Phishing-Angriffen vorzubeugen.

//

Administrative Prozesse

Administrative Tätigkeiten finden ausschließlich über verschlüsselte und vertrauenswürdige Verbindungen statt. Administrative Tätigkeiten können jederzeit einem Administrator zugeordnet werden und sind somit nachvollziehbar. Es gibt ein dediziertes On- und Offboarding-Verfahren, in dem die benötigten Berechtigungen und Zugänge nachvollziehbar gewährt bzw. entzogen werden.

//

Verwaltung von Server- und Client-Systemen

Die eingesetzten Server- und Client-Systeme sowie Mobilgeräte werden nach einem standardisierten Verfahren aufgesetzt und zentral durch die IT verwaltet. Im Zuge der initialen Einrichtung findet auch eine Härtung der Systeme statt, die Angriffe auf das jeweilige System erschwert. Mobilgeräte, die das Unternehmensgelände verlassen, werden in einem Mobile Device Management verwaltet, über welches sie lokalisiert, gesperrt oder gelöscht werden können. Alle Systeme weisen eine effektive Verschlüsselung auf. Es gibt eine Inventarisierung aller Systeme und entweder eine Liste mit freigegebenen Programmen inkl. Versionen oder eine Erfassung der installierten Programme inkl. Version.

//

Virenschutz

Auf allen Client-Rechnern sowie auf allen direkt aus dem Internet erreichbaren Systemen muss eine aktuelle Virenschutzlösung zum Einsatz kommen. Die Virenschutzlösung wird zentral verwaltet und darf durch die Mitarbeitenden nicht pauschal deaktiviert werden können. Die Signaturen der Virenschutzlösung müssen durch entsprechende Maßnahmen immer aktuell gehalten werden.

//

Patchmanagement

Für alle eingesetzten Systeme muss ein adäquates Patchmanagement stattfinden. Der Einsatz der verschiedenen Anwendungen und Betriebssysteme muss inklusive Versionsnummer dokumentiert sein. Es muss ein Vorgehen existieren, um bekannt gewordene Schwachstellen zu bewerten und sicherheitskritische Schwachstellen zeitnah zu schließen. Insbesondere dürfen keine veralteten Systeme mit bekannten offenen Sicherheitslücken im Einsatz sein.

//

Storage-Management

Insofern zentrale Storage-Systeme zum Einsatz kommen, muss ein nachvollziehbares Rollen- und Rechtemodell für die gespeicherten Daten existieren. Eingesetzte Storage-Systeme sollten abhängig der gespeicherten Daten ggf. redundant aufgebaut werden, um Datenverlust vorzubeugen.

//

Datenbankmanagement

Falls Datenbanksysteme zum Einsatz kommen, muss ein nachvollziehbares Rollen- und Rechtemodell existieren und eine Mandantentrennung stattfinden. Der Zugriff auf die Datenbanken muss im Rahmen der Netzwerksegmentierung auf erforderliche Systeme eingeschränkt sein.

//

Backup und Wiederherstellung

Abhängig der eingestuften Kritikalität der Daten müssen regelmäßige Backups erstellt werden. Hierbei sollte auch mindestens eine Version des Backups an einem anderen Ort als dem Ursprung der Daten gelagert werden. Die Wiederherstellung einzelner Daten und ganzer Systeme aus dem Backup muss mindestens jährlich getestet werden. Zugriffe auf die Backupsysteme sollten so weit es geht eingeschränkt sein. Kritische Unternehmensdaten müssen mindestens auf Monats-Basis ein Jahr lang vorgehalten werden. Ebenfalls sollten die Speichermedien für die Datensicherung der kritischen Unternehmensdaten nur während des Backups und der Wiederherstellung mit dem Netzwerk bzw. dem Ursprungssystem verbunden sein.

//

Notfallpläne

Es muss eine Risikobetrachtung durchgeführt worden sein, sodass die Kritikalität der einzelnen Systeme und Prozesse dokumentiert ist. Für verschiedene Risikoszenarien müssen Notfallpläne existieren und die Mitarbeitenden entsprechend geschult sein, um im Krisenfall diese Notfallpläne abarbeiten zu können.

//

Vulnerability-Management

Das Unternehmen sollte einen Prozess etabliert haben, über den es neue Sicherheitsschwachstellen identifiziert. Diese Schwachstellen müssen bewertet werden, um entsprechende Maßnahmen abzuleiten. Diese Maßnahmen müssen abhängig von der Kritikalität der bekannten Schwachstellen in angemessener Zeit umgesetzt werden. Darüber hinaus müssen bekannte Schwachstellen zentral verfolgt und regelmäßig neu bewertet werden. Sicherheitsvorfälle können von den Mitarbeitenden an eine zentrale Stelle gemeldet werden, welche eine Bewertung des Vorfalls vornimmt und notwendige Maßnahmen einleitet.

//

Virtualisierung

Kommt eine Virtualisierung zum Einsatz, so muss in der Virtualisierungslösung ein nachvollziehbares Rollen- und Rechtekonzept für alle Ressourcen zum Einsatz kommen. Die Netzwerkanforderungen müssen auch virtualisiert umgesetzt sein, um die Netzwerke entsprechend zu segmentieren.

//

Cloud-Infrastruktur

Kommen Cloud-Komponenten zum Einsatz, so sind gängige Best-Practices und Sicherheits-Empfehlungen des jeweiligen Cloud-Anbieters zu befolgen. Insbesondere müssen alle Zugriffe auf Systeme in der Cloud direkt aus dem Internet mittels 2FA abgesichert werden. Der Datenfluss zwischen Cloud- und on-prem-Systemen muss entsprechend abgesichert sein.

//

Verfügbarkeits-/Security-Monitoring

Es findet ein zentrales Monitoring der kritischen Systeme statt, welches die Auslastung erfasst und bei absehbaren Engpässen oder Ausfällen eine Alarmierung durchführt. Ebenfalls findet ein zentrales Logging sicherheitsrelevanter Ereignisse statt und bei Auffälligkeiten erfolgt auch hier eine Alarmierung. Der administrative Zugriff auf die Monitoring- und Logging-Systeme sollte nach Möglichkeit unabhängig von anderen administrativen Tätigkeiten erfolgen.

//

Penetrationstest

Es muss ein Penetrationstest auf das Client-Netzwerk sowie weiterer kritischer Netzbereiche nachgewiesen werden. Ziel ist es hierbei, die Auswirkungen eines übernommenen Client-Rechners nachzuvollziehen und die erreichbaren Systeme hinsichtlich der Netzwerksegmentierung zu identifizieren. Der Test kann durch die codecentric oder auch von einem anderen externen Anbieter durchgeführt werden.

Netzwerkinfrastruktur

Physische Sicherheit

Allgemeine und technische Richtlinien

Administrative Prozesse

Verwaltung von Server- und Client-Systemen

Virenschutz

Patchmanagement

Storage-Management

Datenbankmanagement

Backup und Wiederherstellung

Notfallpläne

Vulnerability-Management

Virtualisierung

Cloud-Infrastruktur

Verfügbarkeits-/Security-Monitoring

Penetrationstest

//

Netzwerkinfrastruktur

Die Netzwerkinfrastruktur ist sinnvoll segmentiert, sodass Systeme verschiedener Kritikalitätsklassen technisch voneinander getrennt sind. Aus dem Internet erreichbare Systeme sind in einem separaten DMZ-Bereich angesiedelt. Die Clients sind in einem eigenen Netz bzw. je nach Unternehmensgröße in fachbereichsspezifischen eigenen Netzen angesiedelt. Wichtige zentrale Systeme sind redundant angebunden. Das WLAN weist eine adäquate Verschlüsselung auf und ist vor unautorisiertem Zugriff geschützt. Ein eventuell vorhandenes Gast-WLAN ist von anderen Netzen separiert und nicht öffentlich zugreifbar. Es existiert ein eigenes Netzwerk für administrative Tätigkeiten und alle administrativen Oberflächen sind ausschließlich über dieses Netzwerk erreichbar.

//

Physische Sicherheit

Der Zutritt in relevante Gebäudeteile des Unternehmens oder ggf. kritische Bereiche des Unternehmensgeländes ist entsprechend eingeschränkt, sodass Externe sich nicht frei im Gebäude bewegen können und kritische Bereiche auch nur für berechtigte Mitarbeitende zugänglich sind. Die Netzwerkinfrastruktur ist physisch durch bauliche Maßnahmen geschützt, sodass der physische Zugriff auf Kabel, Router, Switche und Firewalls nur einem eingeschränktem Personenkreis möglich ist.

//

Allgemeine und technische Richtlinien

Es existiert eine verbindliche Passwortrichtlinie, die adäquate Passwörter für Benutzer und Administratoren vorschreibt. Darüber hinaus muss für alle aus dem Internet erreichbaren administrativen Logins 2FA verwendet werden. Es existiert eine Kryptorichtlinie, welche den Einsatz kryptografischer Verfahren und ggf. die Verwendung einer eigenen Certificate Authority (CA) im Unternehmen regelt. Die Mitarbeitenden werden mindestens jährlich verpflichtend im Bereich Phishing geschult, um Phishing-Angriffen vorzubeugen.

//

Administrative Prozesse

Administrative Tätigkeiten finden ausschließlich über verschlüsselte und vertrauenswürdige Verbindungen statt. Administrative Tätigkeiten können jederzeit einem Administrator zugeordnet werden und sind somit nachvollziehbar. Es gibt ein dediziertes On- und Offboarding-Verfahren, in dem die benötigten Berechtigungen und Zugänge nachvollziehbar gewährt bzw. entzogen werden.

//

Verwaltung von Server- und Client-Systemen

Die eingesetzten Server- und Client-Systeme sowie Mobilgeräte werden nach einem standardisierten Verfahren aufgesetzt und zentral durch die IT verwaltet. Im Zuge der initialen Einrichtung findet auch eine Härtung der Systeme statt, die Angriffe auf das jeweilige System erschwert. Mobilgeräte, die das Unternehmensgelände verlassen, werden in einem Mobile Device Management verwaltet, über welches sie lokalisiert, gesperrt oder gelöscht werden können. Alle Systeme weisen eine effektive Verschlüsselung auf. Es gibt eine Inventarisierung aller Systeme und entweder eine Liste mit freigegebenen Programmen inkl. Versionen oder eine Erfassung der installierten Programme inkl. Version.

//

Virenschutz

Auf allen Client-Rechnern sowie auf allen direkt aus dem Internet erreichbaren Systemen muss eine aktuelle Virenschutzlösung zum Einsatz kommen. Die Virenschutzlösung wird zentral verwaltet und darf durch die Mitarbeitenden nicht pauschal deaktiviert werden können. Die Signaturen der Virenschutzlösung müssen durch entsprechende Maßnahmen immer aktuell gehalten werden.

//

Patchmanagement

Für alle eingesetzten Systeme muss ein adäquates Patchmanagement stattfinden. Der Einsatz der verschiedenen Anwendungen und Betriebssysteme muss inklusive Versionsnummer dokumentiert sein. Es muss ein Vorgehen existieren, um bekannt gewordene Schwachstellen zu bewerten und sicherheitskritische Schwachstellen zeitnah zu schließen. Insbesondere dürfen keine veralteten Systeme mit bekannten offenen Sicherheitslücken im Einsatz sein.

//

Storage-Management

Insofern zentrale Storage-Systeme zum Einsatz kommen, muss ein nachvollziehbares Rollen- und Rechtemodell für die gespeicherten Daten existieren. Eingesetzte Storage-Systeme sollten abhängig der gespeicherten Daten ggf. redundant aufgebaut werden, um Datenverlust vorzubeugen.

//

Datenbankmanagement

Falls Datenbanksysteme zum Einsatz kommen, muss ein nachvollziehbares Rollen- und Rechtemodell existieren und eine Mandantentrennung stattfinden. Der Zugriff auf die Datenbanken muss im Rahmen der Netzwerksegmentierung auf erforderliche Systeme eingeschränkt sein.

//

Backup und Wiederherstellung

Abhängig der eingestuften Kritikalität der Daten müssen regelmäßige Backups erstellt werden. Hierbei sollte auch mindestens eine Version des Backups an einem anderen Ort als dem Ursprung der Daten gelagert werden. Die Wiederherstellung einzelner Daten und ganzer Systeme aus dem Backup muss mindestens jährlich getestet werden. Zugriffe auf die Backupsysteme sollten so weit es geht eingeschränkt sein. Kritische Unternehmensdaten müssen mindestens auf Monats-Basis ein Jahr lang vorgehalten werden. Ebenfalls sollten die Speichermedien für die Datensicherung der kritischen Unternehmensdaten nur während des Backups und der Wiederherstellung mit dem Netzwerk bzw. dem Ursprungssystem verbunden sein.

//

Notfallpläne

Es muss eine Risikobetrachtung durchgeführt worden sein, sodass die Kritikalität der einzelnen Systeme und Prozesse dokumentiert ist. Für verschiedene Risikoszenarien müssen Notfallpläne existieren und die Mitarbeitenden entsprechend geschult sein, um im Krisenfall diese Notfallpläne abarbeiten zu können.

//

Vulnerability-Management

Das Unternehmen sollte einen Prozess etabliert haben, über den es neue Sicherheitsschwachstellen identifiziert. Diese Schwachstellen müssen bewertet werden, um entsprechende Maßnahmen abzuleiten. Diese Maßnahmen müssen abhängig von der Kritikalität der bekannten Schwachstellen in angemessener Zeit umgesetzt werden. Darüber hinaus müssen bekannte Schwachstellen zentral verfolgt und regelmäßig neu bewertet werden. Sicherheitsvorfälle können von den Mitarbeitenden an eine zentrale Stelle gemeldet werden, welche eine Bewertung des Vorfalls vornimmt und notwendige Maßnahmen einleitet.

//

Virtualisierung

Kommt eine Virtualisierung zum Einsatz, so muss in der Virtualisierungslösung ein nachvollziehbares Rollen- und Rechtekonzept für alle Ressourcen zum Einsatz kommen. Die Netzwerkanforderungen müssen auch virtualisiert umgesetzt sein, um die Netzwerke entsprechend zu segmentieren.

//

Cloud-Infrastruktur

Kommen Cloud-Komponenten zum Einsatz, so sind gängige Best-Practices und Sicherheits-Empfehlungen des jeweiligen Cloud-Anbieters zu befolgen. Insbesondere müssen alle Zugriffe auf Systeme in der Cloud direkt aus dem Internet mittels 2FA abgesichert werden. Der Datenfluss zwischen Cloud- und on-prem-Systemen muss entsprechend abgesichert sein.

//

Verfügbarkeits-/Security-Monitoring

Es findet ein zentrales Monitoring der kritischen Systeme statt, welches die Auslastung erfasst und bei absehbaren Engpässen oder Ausfällen eine Alarmierung durchführt. Ebenfalls findet ein zentrales Logging sicherheitsrelevanter Ereignisse statt und bei Auffälligkeiten erfolgt auch hier eine Alarmierung. Der administrative Zugriff auf die Monitoring- und Logging-Systeme sollte nach Möglichkeit unabhängig von anderen administrativen Tätigkeiten erfolgen.

//

Penetrationstest

Es muss ein Penetrationstest auf das Client-Netzwerk sowie weiterer kritischer Netzbereiche nachgewiesen werden. Ziel ist es hierbei, die Auswirkungen eines übernommenen Client-Rechners nachzuvollziehen und die erreichbaren Systeme hinsichtlich der Netzwerksegmentierung zu identifizieren. Der Test kann durch die codecentric oder auch von einem anderen externen Anbieter durchgeführt werden.

Dein unverbindliches Angebot

Mit unserem Prüfsiegel bestätigen wir dir unsere umfangreichen Tests im Bereich IT-Security. Damit kannst du nachweisen, dass du dich mit dem Thema IT-Security beschäftigst und langfristig Vertrauen bei deinen Kunden und Partnern aufbauen.

Kevin Wennemuth

Head of IT Security

Kevin Wennemuth

Head of IT Security

//

Gemeinsam bessere Projekte umsetzen.

Wir helfen deinem Unternehmen.

Du stehst vor einer großen IT-Herausforderung? Wir sorgen für eine maßgeschneiderte Unterstützung. Informiere dich jetzt.

Hilf uns, noch besser zu werden.

Wir sind immer auf der Suche nach neuen Talenten. Auch für dich ist die passende Stelle dabei.