top of page

Sehr engagiert, hochprofessionell, immer teamorientiert, überdurchschnittlich erfolgreich und extrem schnell!

Josef Schriek, Wonder Automotive Europe

Mein TISAX® Audit verlief weitestgehend reibungslos und war auf Anhieb erfolgreich, wir können nun Informationssicherheit nachweisen und neue Automotive-Kunden gewinnen. Lücken in der Vorbereitung bzw. Prüfung wurden zeitnah und in hoher Qualität geliefert bzw. durch Vorlagen und Dokumente aus dem Smartkit sowie aus einem umfangreichen Pool geeigneter Vorlagen entsprechend modifiziert. Das Team um Klaus Höllerer, Klaus Kilvinger und Thomas Salvador kann ich nur empfehlen.

Dr. Samir Kadunic, MAASU GmbH

Ich hatte das Vergnügen, mit Opexa Advisory zusammenzuarbeiten; Thomas Salvador ist ein sehr scharfsinniger und angenehmer Arbeitskollege/Berater. Er versteht es, komplexe Probleme strukturiert und nachvollziehbar aufzuschlüsseln. Auch in politischen und persönlichen Fragen war er eine große Hilfe. 5 Sterne für herausragende Professionalität und Integrität.

Roman Dietrich, Bayerische Motoren Werke AG

Was unsere Kunden sagen

Notfälle können immer eintreten, eine vollkommene Sicherheit gibt es nicht. Aber sind Sie vorbereitet? Haben Sie einen "Plan B"?

In vielen anderen Lebensbereichen zählt die Vorbereitung und das "üben" von Notfällen zum ganz normalen Teil der Arbeit im Rahmen der Vorsorge. Bergsteiger üben das Fallen im sicheren Umfeld, prüfen die Knoten vor dem Aufstieg, die Feuerwehr übt die Abläufe und ob die Pumpen laufen, die Schläuche dicht sind und ob Wasser aus dem Hydrant kommt, in Unternehmen werden Brandschutzübungen gemacht. Generell sollte die Fortführung des Geschäftsbetriebes trotz widriger Umstände ein Thema der obersten Leitung sein! 

Denn die Beispiele sind vielfältig und es ist im Ernstfall egal, ob es Hacker auf die Funke Mediengruppe abgesehen hatten oder die Firmen Eberspächer und Marc O´Polo im Rahmen einer Ransomware-Attacke handlungsunfähig waren, oder ob eine Attacke ein Großunternehmen wie die Continental AG trifft. Immer wird die Frage gestellt, was vorbereitend hätte getan werden können, um den Vorfall zu verhindern, die Auswirkungen zu reduzieren oder was in der Zukunft anders sein muss.

Für den Ernstfall sollte jeder das für ihn erforderliche Wissen besitzen, was zu tun ist, um handlungsfähig zu sein. Die Erstellung von Notfallplänen sowie reale Notfallübungen sind unumgänglich, damit die Probleme angegangen werden können und der Schaden minimiert werden kann.

Notfallmanagement

​Häufige Fragen rund um InfoSec Beratung

Wir wollen unser Risiko reduzieren, aber wie?

​Kontaktieren Sie uns einfach, nach einem ersten Gespräch über Ihren Status können wir Ihnen eine erste Empfehlung für die nächsten Schritte oder auch wertvolle Hinweise für die anstehenden Entscheidungsprozesse geben.

Hat unser Unternehmen wirklich Risiken?

​Jedes Unternehmen hat heute Cyber-Sicherheitsrisiken, Kriminalität sucht nach leichten Zielen, unabhängig von der Größe. Wir analysieren Ihre Risiko-Exposition und besondere Situation und unterstützen Sie bei der Lösung in einem schrittweisen und maßgeschneiderten Ansatz gemäß unserem Mantra: Democratizing Information Security!

Bieten Sie noch weitere Dienstleistungen an?

​Wir sind in unseren Maßnahmen nicht eingeschränkt, zu viele Optionen aufzuzeigen kann den Interessenten allerdings schnell verwirren. Jede Maßnahme bedarf einer sorgfältigen Prüfung auf Effizienz und Effektivität im Vergleich zum Problem, Ihrem Risiko und Ihrem Budget. Sprechen sie uns an!

Welche Unternehmen unterstützen Sie?

Unsere Kunden sind hauptsächlich kleine und mittelständische Unternehmen, wir kennen die Bedürfnisse und Grenzen ihres Geschäftsmodells und passen uns ihren Bedürfnissen an. Wir sind ebenso branchenunabhängig wie die Informationssicherheit!

Jedes Unternehmen sollte ein Mindestmaß an Sicherheit genießen! Daher unterstützen wir unsere Kunden aller Größenordnungen und branchenübergreifend, prüfen deren Bedarfe und Themen anhand international bewährter Best Practices, sowie immer auf Grundlage von Normen & Standards.

Auf Basis dedizierter Analysen empfehlen wir passende Standard-Absicherungsmaßnahmen oder entwickeln maßgeschneiderte Lösungen zur erfolgreichen Risikominimierung.

Damit folgen wir unserer Mission: Democratizing Information Security.

InfoSec-Beratung

Bedarfsgerecht

Der Digital Operational Resilience Act (DORA) ist eine im EU-Gesetzgebungsprozess befindliche Verordnung zur Verbesserung der Cybersicherheit und der operativen Widerstandsfähigkeit des EU-Finanzdienstleistungssektors. Sobald das Gesetz in Kraft getreten ist, gelten die Regeln für traditionelle Unternehmen des Finanzsektors, FinTechs und IKT-Drittanbieter von Finanzinstituten.

Es gibt spezifische Anforderungen für Tests der Resilienz, aber auch für die IKT-Drittdienstleister, die im Einsatz sind, sei es bei Auslagerungen oder Software oder Dienstleistungen.

Da bei kritischen Dienstleistern auch deren Subunternehmer über mehrere Ebenen für das Informationsregister erfasst werden müssen, kommen Herausforderungen auf die Finanzbranche zu. Und das Thema "Test" wird deutlich intensiviert, hier muss nachgebessert werden.

Es gilt, sich rechtzeitig vorzubereiten, wir bringen Sie ins Ziel!

DORA - Consulting: Operational Resilience für die Finanzbranche

Wir denken und handeln aus Sicht eines potenziellen Angreifers und führen eine gesamtheitliche Überprüfung der extern erreichbaren Infrastruktur (Webserver, VPN-Gateways, Mailserver, Webanwendungen, usw.) auf Sicherheitslücken und mögliche Einfallstore durch. Zudem prüfen wir, ob sich möglicherweise entwendete Unternehmensdatensätze im Umlauf des Darknets befinden. Mithilfe unseres Scans können Sie Sicherheitslücken und Angriffspunkte erkennen und mit den richtigen Maßnahmen ganz einfach die Sicherheit der IT-Infrastruktur verbessern.

 

Die Analyse führen wir von extern in einem gesteuerten Prozess durch und Sie erhalten von uns eine verständliche, klare und zielgerichtete Empfehlung zur Behebung von Schwachstellen.

Insbesondere legen wir Wert auf die Berücksichtigung der Kundensituation, nicht überall ist ein tiefer und aufwendiger Penetrationstest nöitig, oft reicht auch im ersten Schritt ein automatisierter Schwachstellenscan, um einen Überblick zu bekommen und auf diese Information gestützt weiter Maßnahmen zu ergreifen.

Und je nach Branche nehmen wir Rücksicht auf deren Besonderheiten wie z. B. DORA im Finanzsektor. DORA schreibt heute eine häufigere Prüfung vor, auch Dienstleister im Finanzsektor sind betroffen. Das gilt es angemessen umzusetzen.

Kurz gesagt, bieten wir für jeden Anwendungsfall die richtige Tiefe der Prüfung und eine transparente Darstellung der Ergebnisse.

Einfacher geht es nicht! 

Penetrationstests

Industrie 4.0 Lösungen basieren auf dem Internet der Dinge (IoT), die dynamisch verbundenen Objekte steigern die Effizienz, Flexibilität und Autonomie der Systeme und können die Produktivität der Produktionsstraßen steigern.

Allerdings führt die breite und umfassende Vernetzung auch dazu, dass die Gefahren für Cyberangriffe steigen.

Allerdings haben wir in der Produktion oft die Sondersituation, daß vielfältige Systeme vorhanden sind, so u.a. auch sehr alte Maschinen mit Steuerungen auf Basis von Windows 2000 oder Windows 96, für die heute keine Aktualisierungen oder Sicherheitspatches mehr zu bekommen sind. Wie lösen wir das?

Mit einer systematischen Umsetzung der relevanten Normenreihen verbessern Sie die Informationssicherheit und weisen zudem Maßnahmen für Cybersecurity in Ihren Systemen nach.

 

Wir helfen Ihnen bei der systematischen Einführung der IEC62443 unter Berücksichtigung Ihres bestehenden ISMS nach ISO 27001.

Industrial Security 

Die KI-Verordnung wurde im Amtsblatt der EU veröffentlich, ist somit jetzt bindend und damit tickt die Uhr! Aber was muss man konkret tun?

Es gibt laut Verordnung 4 Kategorien von KI, die entweder verboten, zugelassen, mit informationspflichten zugelassen sind oder die man als Hochrisiko-Anwendung genehmigen lassen muss. Diese Kategorien muss man also zunächst bestimmen, Risiken ermitteln, bewerten und zuordnen, um die je nach Kategorie nötigen Schritte zu unternehmen und ggf. Bussgelder zu umgehen.

Es ist noch etwas Zeit, die Umsetzung kann gestaffelt erfolgen. Bis 2. Februar muss jedoch geklärt sein, welche Art KI im Einsatz ist, denn dann sind manche KI-Anwendungen verboten!

 

Insgesamt warten einige Aufgaben auf die Unternehmen, denn die Verordnung verlangt Risikomanagement, Qualitätsmanagement und weitere Aktivitäten von Entwicklern sowie Anwendern und wirkt auch in der Lieferkette. Dafür haben wir eine Lösung!

Unser Ansatz bezieht sich auf integrierte Managementsysteme. Denn durch die Integration der Anforderungen der KI-Verordnung 2024/1689 und der ISO 42001 in ein Integriertes Managementsystem wird sichergestellt, dass Unternehmen nicht nur die gesetzlichen Vorgaben erfüllen, sondern auch ihre internen Prozesse optimieren und ihre Wettbewerbsfähigkeit stärken. Dies führt zu einer höheren Effizienz, besseren Einhaltung von Vorschriften und einer Kultur der kontinuierlichen Verbesserung. Die KI-Verordnung ist ja auch zur Förderung von Innovation geschaffen worden, dies kann am Markt positiv dargestellt werden!

 

Wir führen die Fäden zusammen, helfen Ihnen und begleiten Sie bei der Umsetzung von bedarfsgerechten, zielorientierten und wirtschaftlichen Maßnahmen.

KI - Verordnung der EU ist bindend: Was ist zu beachten?

Gerade für kleine und Kleinstunternehmen (KKU) unter 50 Mitarbeitern sind die nötigen Maßnahmen zur Informationssicherheit aufwendig, vor allem wenn anspruchsvolle Standards wie ISO/IEC 27001 oder TISAX® angewendet werden sollen. Gerade bei solchen relativ kleinen Unternehmen unterbleiben Maßnahmen zur Verbesserung der Sicherheit jedoch aus verschiedenen Gründen (z. B. Kosten, Zeit, Kapazitäten) leider oft!

Opexa bietet für die Zielgruppe KKU eine Kombination von verschiedenen Leistungen an, um schnell, wirtschaftlich und pragmatisch zu helfen. Durch die Anwendung der vereinfachten DIN SPEC 27076:2023-05 zur Standortbestimmung kann gerade für diese Unternehmen eine schnelle, kostengünstige und einfache Diagnose erfolgen!

Zudem wird ein Schwachstellenscan durchgeführt. Auf dessen Basis sowie auf Basis der Diagnose gem. DIN SPEC resultieren Empfehlungen. Zudem wird eine Awareness-Maßnahme integriert. In der Folge kann schrittweise und priorisiert eine verbesserte Absicherung realisiert werden. 

Wir bieten die o.g. Maßnahmen zum Festpreis an! 

Sicherheit für kleine Unternehmen fördern!

Das Hinweisgeberschutzgesetz ist da! Es dient dem Schutz von Personen, die Missstände anprangern und ggf. geheime Sachverhalte publizieren, um Schaden von Unternehmen oder der Gesellschaft abzuwenden. So können z. B. Verstöße gegen Strafvorschriften oder Verstöße, die mit einem Bußgeld bedroht sind oder Sachverhalte gemeldet werden, wenn der Schutz von Leben, Leib oder Gesundheit oder der Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane betroffen sind.


Es gilt für alle Unternehmen ab 50 Mitarbeitern, jedoch gestuft. So müssen Organisationen mit in der Regel mindestens 250 Beschäftigten die Vorgaben nach dem HinSchG spätestens zum 2. Juli 2023 umsetzen. Die Unternehmen mit 50-249 Mitarbeitern haben noch etwas länger Zeit bis 17.12.2023. Vorsicht: Bußgelder z. b. bei Vorfällen mit Veröffentlichung von Personenbezogenen Daten drohen den größeren Unternehmen bereits ab 2. Juli!

Aber was fordert das Gesetz, was müssen Unternehmen umsetzen? Was ist bei der Einrichtung und beim Betrieb interner Meldekanäle zu beachten? Was müssen die Mitarbeiter wissen? Wie kann ein Meldekanal für die Informationssicherheit genutzt werden? Wie kann der Service extern erbracht werden? Welche Kosten fallen an? 

Viele Fragen, die es zu klären gilt. Wir helfen ihnen weiter!

Whistleblowing Services 

Die Gesundheitsbranche hat – nicht nur dank Corona und Engpässen bei Arzneimitteln und Pflegepersonal – einige Hausaufgaben zu machen. Im Bereich der „Medizinischen Versorgung“ gilt es, den Wandel der Digitalisierung zu gestalten, einerseits zum Zwecke der besseren Nutzung von Daten für die Forschung und Optimierung der Verwaltung oder schlicht für ein straffes Kostenmanagement. 

Die vielfältige und historische gewachsene Systemlandschaft und das organisatorische Umfeld in den Krankenhäusern stellt - verbunden mit dem Kostendruck im Gesundheitswesen - eine Herausforderung in der Umsetzung eines Sicherheitsstandards dar, um Datenschutz, Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu sichern.  

Der nach dieser Maßgabe von Fachleuten der Branche auf Basis verschiedener Standards (z. B. ISO/IEC 27001) erarbeitete Branchenspezifische Sicherheitsstandard (B3S) für die medizinische Versorgung schafft Abhilfe. Wir helfen Ihnen, die Vielzahl von Anforderungen effizient und schnell umzusetzen. 

B3S im Sektor Gesundheit 

Die Vernetzung von Fahrzeugen im Rahmen der Nutzung von vielfachen aktiven oder neuen Diensten (Navigation, Over-the-Air-Updates, Remote-Diagnose, online "on Demand" hinzubuchbare Funktionen des Fahrzeugs usw.) schreitet voran, Automobilhersteller und deren Zulieferer müssen ihre Fahrzeuge in Zukunft auf Basis der anspruchsvollen Norm ISO/SAE 21434 (Road Vehicle – Cybersecurity Engineering) zulassen.

OEM's und Lieferanten stehen gleichermaßen vor einer Herausforderung, denn die Anforderungen sind umfangreich, sowohl intern als auch im Kontext mit nationalen und internationalen Zulassungsregularien.

 

Daher gilt es, diesen Standard so gut und schnell wie möglich einzuführen.

 

Wir helfen Ihnen dabei!

ISO/SAE 21434 – Standard für Automotive Cyber Security

Es kann ausreichend sein, einmal jährlich mit einem aufwendigen und einmaligen Pentest den Status Quo unter Bezug auf ein konkretes Ziel und eine definierte Umgebung zu erheben. Aber was ist zu tun, wenn der nächste "Patchday" wieder neue Optionen für Eindringlinge beschert? Wiederholt man dann den Pentest?

Hier setzen wir an und bieten Ihnen kontinuierlichen und direkten Zugang zu einer weltweiten Community von erfahrenen Sicherheitsexperten und vertrauenswürdigen "Friendly" Hackern. Mit unserer Schwarmintelligenz entdecken wir vorhandene Sicherheitslücken, bevor es Cyberkriminelle tun.

Im Rahmen von organisierten Analysen durch eine Vielzahl von Experten - die alle ihre eigenen Wege und Tools haben - werden die definierten Ziele laufend in vielfältiger Art und Weise auf Schwachstellen überprüft, dauerhaft, professionell und umfassend. Über den Scope, die Dauer und Intensität entscheiden Sie! Unser Bug-Bounty-Programm gewährleistet die sichere und professionelle Abwicklung sowie eine wirtschaftliche Umsetzung.

Die Vielfalt der möglichen Analysen werden Sie überraschen!

Bug Bounty Programm

Oft gibt es Versicherungsfragen im Lebenzyklus eines Vertrages. Dabei sollte gut bedacht werden, was vor dem Abschluss einer Cyber-Versicherung nötig ist. Weiter ist im Verlauf zu klären, was bei Erneuerungen oder Erweiterungen zu beachten ist. Und im Schadensfall sollte die Kommunikation mit dem Versicherer ggf. mit großer Sorgfalt geplant werden. Wir verkaufen keine Versicherungen und sind daher neutral

 

Wir führen vor Abschluss einer Versicherung eine Analyse der Risikoerwartung und -situation der zu versichernden Werte, die Klärung der benötigten Leistungskomponenten und deren Relevanz durch und führen eine angemessene Marktrecherche durch. Auf dieser Basis wählen wir im Rahmen einer Vorselektion Versicherungsangebote aus und definieren eine Entscheidungstabelle für das Management. Damit unterstützen wir maßgeblich das Risikomanagement und reduzieren Unsicherheiten bei der Bewertung.

Und im Schadensfall begleiten wir den Mandanten bei der Bewältigung, aber auch mit juristischem Beistand durch Fachanwälte aus unserem Netzwerk.

Die Durchführung von Analysen und Beratungen im Zuge der o. g. Aktivitäten erfolgt auf Basis der Normen ISO/IEC 27001, DIN SPEC 27076 und TISAX. Damit helfen wir der Geschäftsführung, Maßnahmen auf Basis anerkannter Normen zu treffen, nachzuweisen und Fragen der D&O Versicherungen zu beantworten oder persönliche Haftungsrisiken für die Geschäftsleitung abzuwenden.

Gerne führen wir mit Ihnen ein kostenloses und unverbindliches Erstgespräch!

Cyber Insurance Diagnostic

Sie planen den Einsatz von Cloud-Lösungen?

 

Wir prüfen Ihre Sicherheitslage bezüglich Cloud-Angeboten und beraten bei der Auswahl bzw. Umsetzungsstrategie im Hinblick auf Informationssicherheit. Dabei ziehen wir Best Practices (z. B. Verschlüsselung der Daten, Schlüsselmanagement) ebenso heran wie anerkannte Standards (z. B. NIST oder C5 Anforderungen des BSI).

Neben Fragen zur Organisation (Wer steuert den Service aus bzw. wie organisiere ich das intern? Mandantentrennung? Backupstrategien?) spielen Vertragsprüfungen eine wichtige Rolle, auch der Datenschutz darf nicht leiden.

Darüber hinaus betrachten wir gesamtheitlich relevante Fragen zum Weg "zurück" aus der Cloud, denn ihre Strategie kann sich ändern, Rechtsfragen oder Krisen können schnell zum Umdenken zwingen.

Cloud-Readiness-Diagnose

Die „Human Firewall“ ist entscheidend, um ein angemessenes Maß an Informationssicherheit zu erreichen. Die Mitarbeiter zu informieren und somit spürbar zu sensibilisieren, ist daher sehr empfehlenswert.

Ihr Vorteil: Alle Sensibilisierungsmaßnahmen in dem Bereich haben ein gutes Preis-Leistungs-Verhältnis im Vergleich zur organisatorischen oder technischen Maßnahmen!

Wir analysieren Ihre Situation und entwickeln für Sie das passende Konzept, wir setzen auf pragmatische Lösungen mit vertretbarem Aufwand. Sie haben die Wahl zwischen verschiedenen Maßnahmen, die zugeschnitten sind auf die Zielgruppen. Und in der Vorbereitung stehen Sie im direkten Kontakt mit unseren Experten, um auszuloten, welche der Motivationsmöglichkeiten in Ihrer Kultur am meisten Nutzen stiften.

 

Sensibilisierung der Mitarbeiter

Die individuelle Entwicklung einer aktuellen Dokumentation "from Scratch" oder Aktualisierung einer veralteten Dokumentation kann aufwendig werden.

Wir stellen Vorlagen, Muster, Formulare und Richtlinien auf Basis unserer standardkonformen Dokumentenbibliothek (über 130 verschiedene Dokumente) zur Verfügung und passen diese bei Bedarf normgerecht auf Ihre Situation an. 

 

So sparen Sie sich spürbar Zeit und langwierige Diskussionen.

Dokumentenbibliothek

​Unser Experte spricht auf Ihren internen Management-Event, vor Ihren Mitarbeitern oder kundenorientierten Veranstaltungen, Sie geben damit ein klares Signal nach innen und außen zum Stellenwert der Informationssicherheit!

Denn unsere Experten haben spannende und lehrreiche Themen im Gepäck, bringen Praxisbeispiele und langjährige Erfahrung aus zahlreichen Projekten, nationalen und internationalen Kongressen, Fachveranstaltungen und Seminaren ein.

​​

Die lebendige Darstellung stellt eine interessante Option für Ihr Unternehmen dar, den Mitarbeitern die - ansonsten oft trockene Materie  - transparent und persönlich zu vermitteln und das Risikobewusstsein zur Informationssicherheit noch stärker zu verankern.

Sprecher für Ihre Organisation

bottom of page