Sehr engagiert, hochprofessionell, immer teamorientiert, überdurchschnittlich erfolgreich und extrem schnell!
Josef Schriek, Wonder Automotive Europe
Mein TISAX® Audit verlief weitestgehend reibungslos und war auf Anhieb erfolgreich, wir können nun Informationssicherheit nachweisen und neue Automotive-Kunden gewinnen. Lücken in der Vorbereitung bzw. Prüfung wurden zeitnah und in hoher Qualität geliefert bzw. durch Vorlagen und Dokumente aus dem Smartkit sowie aus einem umfangreichen Pool geeigneter Vorlagen entsprechend modifiziert. Das Team um Klaus Höllerer, Klaus Kilvinger und Thomas Salvador kann ich nur empfehlen.
Dr. Samir Kadunic, MAASU GmbH
Ich hatte das Vergnügen, mit Opexa Advisory zusammenzuarbeiten; Thomas Salvador ist ein sehr scharfsinniger und angenehmer Arbeitskollege/Berater. Er versteht es, komplexe Probleme strukturiert und nachvollziehbar aufzuschlüsseln. Auch in politischen und persönlichen Fragen war er eine große Hilfe. 5 Sterne für herausragende Professionalität und Integrität.
Roman Dietrich, Bayerische Motoren Werke AG
Was unsere Kunden sagen
Häufige Fragen rund um InfoSec Beratung
Wir wollen unser Risiko reduzieren, aber wie?
Kontaktieren Sie uns einfach, nach einem ersten Gespräch über Ihren Status können wir Ihnen eine erste Empfehlung für die nächsten Schritte oder auch wertvolle Hinweise für die anstehenden Entscheidungsprozesse geben.
Hat unser Unternehmen wirklich Risiken?
Jedes Unternehmen hat heute Cyber-Sicherheitsrisiken, Kriminalität sucht nach leichten Zielen, unabhängig von der Größe. Wir analysieren Ihre Risiko-Exposition und besondere Situation und unterstützen Sie bei der Lösung in einem schrittweisen und maßgeschneiderten Ansatz gemäß unserem Mantra: Democratizing Information Security!
Bieten Sie noch weitere Dienstleistungen an?
Wir sind in unseren Maßnahmen nicht eingeschränkt, zu viele Optionen aufzuzeigen kann den Interessenten allerdings schnell verwirren. Jede Maßnahme bedarf einer sorgfältigen Prüfung auf Effizienz und Effektivität im Vergleich zum Problem, Ihrem Risiko und Ihrem Budget. Sprechen sie uns an!
Welche Unternehmen unterstützen Sie?
Unsere Kunden sind hauptsächlich kleine und mittelständische Unternehmen, wir kennen die Bedürfnisse und Grenzen ihres Geschäftsmodells und passen uns ihren Bedürfnissen an. Wir sind ebenso branchenunabhängig wie die Informationssicherheit!
Die individuelle Entwicklung einer aktuellen Dokumentation "from Scratch" oder Aktualisierung einer veralteten Dokumentation kann aufwendig werden.
Wir stellen Vorlagen, Muster, Formulare und Richtlinien auf Basis unserer standardkonformen Dokumentenbibliothek (über 130 verschiedene Dokumente) zur Verfügung und passen diese bei Bedarf normgerecht auf Ihre Situation an.
So sparen Sie sich spürbar Zeit und langwierige Diskussionen.
Dokumentenbibliothek
Industrie 4.0 Lösungen basieren auf dem Internet der Dinge (IoT), die dynamisch verbundenen Objekte steigern die Effizienz, Flexibilität und Autonomie der Systeme und können die Produktivität der Produktionsstraßen steigern.
Allerdings führt die breite und umfassende Vernetzung auch dazu, dass die Gefahren für Cyberangriffe steigen.
Mit einer systematischen Umsetzung der relevanten Normenreihen verbessern Sie die Informationssicherheit und weisen zudem Maßnahmen für Cybersecurity in Ihren Systemen nach.
Wir helfen Ihnen bei der systematischen Einführung der IEC62443 unter Berücksichtigung Ihres bestehenden ISMS nach ISO 27001.
Industrial Security
Wir denken und handeln aus Sicht eines potenziellen Angreifers und führen eine gesamtheitliche Überprüfung der extern erreichbaren Infrastruktur (Webserver, VPN-Gateways, Mailserver, Webanwendungen, usw.) auf Sicherheitslücken und mögliche Einfallstore durch. Zudem prüfen wir, ob sich möglicherweise entwendete Unternehmensdatensätze im Umlauf des Darknets befinden. Mithilfe unseres Scans können Sie Sicherheitslücken und Angriffspunkte erkennen und mit den richtigen Maßnahmen ganz einfach die Sicherheit der IT-Infrastruktur verbessern. Die Analyse führen wir von extern in einem gesteuerten Prozess durch und Sie erhalten von uns eine verständliche, klare und zielgerichtete Empfehlung zur Behebung von Schwachstellen.
Einfacher geht es nicht!
Penetrationstests
Wir vergleichen den Status Quo und die Anforderungen auf Basis der ISO27001- oder TISAX® Standards und geben Ihnen so einen wertvollen Überblick, wo Sie als Unternehmen stehen.
Die Analyse zeigt Ihnen gezielt auf, welche Bereiche Ihres Informationssicherheitsmanagementsystems bereits normkonform sind und wo die Kritikalität so bedenklich ist, dass konkreter Handlungsbedarf besteht. Zudem geben wir Ihnen unsere Einschätzung für die zu erwartenden Aufwende und die Dauer der Umsetzung.
Was brauchen Sie mehr?
InfoSec GAP-Analyse
Oft gibt es Versicherungsfragen im Lebenzyklus eines Vertrages. Dabei sollte gut bedacht werden, was vor dem Abschluss einer Cyber-Versicherung nötig ist. Weiter ist im Verlauf zu klären, was bei Erneuerungen oder Erweiterungen zu beachten ist. Und im Schadensfall sollte die Kommunikation mit dem Versicherer ggf. mit großer Sorgfalt geplant werden. Wir verkaufen keine Versicherungen und sind daher neutral
Wir führen vor Abschluss einer Versicherung eine Analyse der Risikoerwartung und -situation der zu versichernden Werte, die Klärung der benötigten Leistungskomponenten und deren Relevanz durch und führen eine angemessene Marktrecherche durch. Auf dieser Basis wählen wir im Rahmen einer Vorselektion Versicherungsangebote aus und definieren eine Entscheidungstabelle für das Management. Damit unterstützen wir maßgeblich das Risikomanagement und reduzieren Unsicherheiten bei der Bewertung.
Und im Schadensfall begleiten wir den Mandanten bei der Bewältigung, aber auch mit juristischem Beistand durch Fachanwälte aus unserem Netzwerk.
Die Durchführung von Analysen und Beratungen im Zuge der o. g. Aktivitäten erfolgt auf Basis der Normen ISO/IEC 27001, DIN SPEC 27076 und TISAX. Damit helfen wir der Geschäftsführung, Maßnahmen auf Basis anerkannter Normen zu treffen, nachzuweisen und Fragen der D&O Versicherungen zu beantworten oder persönliche Haftungsrisiken für die Geschäftsleitung abzuwenden.
Gerne führen wir mit Ihnen ein kostenloses und unverbindliches Erstgespräch!
Cyber Insurance Diagnostic
Sie planen den Einsatz von Cloud-Lösungen?
Wir prüfen Ihre Sicherheitslage bezüglich Cloud-Angeboten und beraten bei der Auswahl bzw. Umsetzungsstrategie im Hinblick auf Informationssicherheit. Dabei ziehen wir Best Practices ebenso heran wie anerkannte Standards.
Neben Fragen zur Organisation (Wer steuert den Service aus bzw. wie organisiere ich das intern? Backupstrategien?) spielen Vertragsprüfungen eine wichtige Rolle, auch der Datenschutz darf nicht leiden.
Darüber hinaus betrachten wir gesamtheitlich relevante Fragen zum Weg "zurück" aus der Cloud, denn ihre Strategie kann sich ändern, Rechtsfragen oder Krisen können schnell zum Umdenken zwingen.
Cloud-Readiness-Diagnose
Unser professioneller Referent spricht auf Ihren internen oder kundenorientierten Veranstaltungen, Sie geben damit ein klares Signal nach innen und außen zum Stellenwert der Informationssicherheit!
Denn unsere Experten haben spannende und lehrreiche Themen im Gepäck, bringen Praxisbeispiele und langjährige Erfahrung aus zahlreichen Projekten, nationalen und internationalen Kongressen, Fachveranstaltungen und Seminaren ein.
Die lebendige Darstellung stellt eine interessante Option für Ihr Unternehmen dar, den Mitarbeitern die - ansonsten oft trockene Materie - transparent und persönlich zu vermitteln und das Risikobewusstsein zur Informationssicherheit noch stärker zu verankern.
Redner für Ihre Veranstaltung
Die „Human Firewall“ ist entscheidend, um ein angemessenes Maß an Informationssicherheit zu erreichen. Die Mitarbeiter zu informieren und somit spürbar zu sensibilisieren, ist daher sehr empfehlenswert.
Ihr Vorteil: Alle Sensibilisierungsmaßnahmen in dem Bereich haben ein gutes Preis-Leistungs-Verhältnis im Vergleich zur organisatorischen oder technischen Maßnahmen!
Wir analysieren Ihre Situation und entwickeln für Sie das passende Konzept, wir setzen auf pragmatische Lösungen mit vertretbarem Aufwand. Sie haben die Wahl zwischen verschiedenen Maßnahmen, u. a. im direkten Kontakt mit Experten online, um deren Motivationsmöglichkeiten zu nutzen.
Sensibilisierung der Mitarbeiter
Durch die zunehmenden Cyber-Bedrohungen ist es für Organisationen heute wichtig, zur Bekämpfung von Cyberincidents eine funktionierende und gut ausgestattete Sicherheitsorganisation zu haben, z. B. in Form eines CSIRT. Jedoch sollte dieses Team von der Größe, Ausstattung und seinen Fähigkeiten im angemessenen Verhältnis zur Größe des Unternehmen sowie zur Sicherheitslage der Organisation stehen, um die Balance zwischen Leistungsfähigkeit und Kosten zu halten.
Besonders wichtig für das CSIRT ist die Kenntnis seines eigenen Reifegrades, um die Verbesserung seiner Leistungsfähigkeit im Rahmen eines KVP zu steuern, was ja nicht unerheblichen Einfluss auf die Kosten hat.
Wir helfen Ihnen, den Reifegrad zu bestimmen und begleiten Sie bei der Umsetzung von bedarfsgerechten, zielorientierten und wirtschaftlichen Maßnahmen.
Cyber Security Incident Response Team Improvement
Die Vernetzung von Fahrzeugen im Rahmen der Nutzung von vielfachen aktiven oder neuen Diensten (Navigation, Over-the-Air-Updates, Remote-Diagnose, online "on Demand" hinzubuchbare Funktionen des Fahrzeugs usw.) schreitet voran, Automobilhersteller und deren Zulieferer müssen ihre Fahrzeuge in Zukunft auf Basis der anspruchsvollen Norm ISO/SAE 21434 (Road Vehicle – Cybersecurity Engineering) zulassen.
OEM's und Lieferanten stehen gleichermaßen vor einer Herausforderung, denn die Anforderungen sind umfangreich, sowohl intern als auch im Kontext mit nationalen und internationalen Zulassungsregularien.
Daher gilt es, diesen Standard so gut und schnell wie möglich einzuführen.
Wir helfen Ihnen dabei!
ISO/SAE 21434 – Standard für Automotive Cyber Security
Der Digital Operational Resilience Act (DORA) ist eine im EU-Gesetzgebungsprozess befindliche Verordnung zur Verbesserung der Cybersicherheit und der operativen Widerstandsfähigkeit des EU-Finanzdienstleistungssektors. Sobald das Gesetz in Kraft getreten ist, gelten die Regeln für traditionelle Unternehmen des Finanzsektors, FinTechs und IKT-Drittanbieter von Finanzinstituten.
Es gilt, sich rechtzeitig vorzubereiten, wir bringen Sie ins Ziel!
DORA - Consulting: Operational Resilience für die Finanzbranche
Notfälle können immer eintreten, eine vollkommene Sicherheit gibt es nicht. Aber sind Sie vorbereitet? Haben Sie einen "Plan B"?
In vielen anderen Lebensbereichen zählt die Vorbereitung und das "üben" von Notfällen zum ganz normalen Teil der Arbeit im Rahmen der Vorsorge. Bergsteiger üben das Fallen im sicheren Umfeld, prüfen die Knoten vor dem Aufstieg, die Feuerwehr übt die Abläufe und ob die Pumpen laufen, die Schläuche dicht sind und ob Wasser aus dem Hydrant kommt, in Unternehmen werden Brandschutzübungen gemacht. Generell sollte die Fortführung des Geschäftsbetriebes trotz widriger Umstände ein Thema der obersten Leitung sein!
Denn die Beispiele sind vielfältig und es ist im Ernstfall egal, ob es Hacker auf die Funke Mediengruppe abgesehen hatten oder die Firmen Eberspächer und Marc O´Polo im Rahmen einer Ransomware-Attacke handlungsunfähig waren, oder ob eine Attacke ein Großunternehmen wie die Continental AG trifft. Immer wird die Frage gestellt, was vorbereitend hätte getan werden können, um den Vorfall zu verhindern, die Auswirkungen zu reduzieren oder was in der Zukunft anders sein muss.
Für den Ernstfall sollte jeder das für ihn erforderliche Wissen besitzen, was zu tun ist, um handlungsfähig zu sein. Die Erstellung von Notfallplänen sowie reale Notfallübungen sind unumgänglich, damit die Probleme angegangen werden können und der Schaden minimiert werden kann.
Notfallmanagement
Gerade für kleine und Kleinstunternehmen (KKU) unter 50 Mitarbeitern sind die nötigen Maßnahmen zur Informationssicherheit aufwendig, vor allem wenn anspruchsvolle Standards wie ISO/IEC 27001 oder TISAX® angewendet werden sollen. Gerade bei solchen relativ kleinen Unternehmen unterbleiben Maßnahmen zur Verbesserung der Sicherheit jedoch aus verschiedenen Gründen (z. B. Kosten, Zeit, Kapazitäten) leider oft!
Opexa bietet für die Zielgruppe KKU eine Kombination von verschiedenen Leistungen an, um schnell, wirtschaftlich und pragmatisch zu helfen. Durch die Anwendung der vereinfachten DIN SPEC 27076:2023-05 zur Standortbestimmung kann gerade für diese Unternehmen eine schnelle, kostengünstige und einfache Diagnose erfolgen!
Zudem wird ein Schwachstellenscan durchgeführt. Auf dessen Basis sowie auf Basis der Diagnose gem. DIN SPEC resultieren Empfehlungen. Zudem wird eine Awareness-Maßnahme integriert. In der Folge kann schrittweise und priorisiert eine verbesserte Absicherung realisiert werden.
Wir bieten die o.g. Maßnahmen zum Festpreis an!
Sicherheit für kleine Unternehmen fördern!
Die Gesundheitsbranche hat – nicht nur dank Corona und Engpässen bei Arzneimitteln und Pflegepersonal – einige Hausaufgaben zu machen. Im Bereich der „Medizinischen Versorgung“ gilt es, den Wandel der Digitalisierung zu gestalten, einerseits zum Zwecke der besseren Nutzung von Daten für die Forschung und Optimierung der Verwaltung oder schlicht für ein straffes Kostenmanagement.
Die vielfältige und historische gewachsene Systemlandschaft und das organisatorische Umfeld in den Krankenhäusern stellt - verbunden mit dem Kostendruck im Gesundheitswesen - eine Herausforderung in der Umsetzung eines Sicherheitsstandards dar, um Datenschutz, Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu sichern.
Der nach dieser Maßgabe von Fachleuten der Branche auf Basis verschiedener Standards (z. B. ISO/IEC 27001) erarbeitete Branchenspezifische Sicherheitsstandard (B3S) für die medizinische Versorgung schafft Abhilfe. Wir helfen Ihnen, die Vielzahl von Anforderungen effizient und schnell umzusetzen.
B3S im Sektor Gesundheit
Das Hinweisgeberschutzgesetz ist da! Es dient dem Schutz von Personen, die Missstände anprangern und ggf. geheime Sachverhalte publizieren, um Schaden von Unternehmen oder der Gesellschaft abzuwenden. So können z. B. Verstöße gegen Strafvorschriften oder Verstöße, die mit einem Bußgeld bedroht sind oder Sachverhalte gemeldet werden, wenn der Schutz von Leben, Leib oder Gesundheit oder der Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane betroffen sind.
Es gilt für alle Unternehmen ab 50 Mitarbeitern, jedoch gestuft. So müssen Organisationen mit in der Regel mindestens 250 Beschäftigten die Vorgaben nach dem HinSchG spätestens zum 2. Juli 2023 umsetzen. Die Unternehmen mit 50-249 Mitarbeitern haben noch etwas länger Zeit bis 17.12.2023. Vorsicht: Bußgelder z. b. bei Vorfällen mit Veröffentlichung von Personenbezogenen Daten drohen den größeren Unternehmen bereits ab 2. Juli!
Aber was fordert das Gesetz, was müssen Unternehmen umsetzen? Was ist bei der Einrichtung und beim Betrieb interner Meldekanäle zu beachten? Was müssen die Mitarbeiter wissen? Wie kann ein Meldekanal für die Informationssicherheit genutzt werden? Wie kann der Service extern erbracht werden? Welche Kosten fallen an?
Viele Fragen, die es zu klären gilt. Wir helfen ihnen weiter!
Whistleblowing Services
Jedes Unternehmen sollte ein Mindestmaß an Sicherheit genießen! Daher unterstützen wir unsere Kunden aller Größenordnungen und branchenübergreifend, prüfen deren Bedarfe und Themen anhand international bewährter Best Practices, sowie immer auf Grundlage von Normen & Standards.
Auf Basis dedizierter Analysen empfehlen wir passende Standard-Absicherungsmaßnahmen oder entwickeln maßgeschneiderte Lösungen zur erfolgreichen Risikominimierung.
Damit folgen wir unserer Mission: Democratizing Information Security.
