Leistungsübersicht der carmasec

Unsere Themenfelder

Offensive Security

Cloud Security

Informationssicherheit, ISMS, Information Security Management

DevSecOps / Agile Security

Identity & Access Management (IAM)

Risikomanagement

Security Awareness

Datenschutz / DSGVO

Unsere Leistungsbereiche

Carsten Marmulla Vortrag auf dem ISD 2019 Querformat

Managementberatung IT-GRC

Wir beraten unsere Kunden im Mittelstand und in Großunternehmen in den Themenbereichen IT-Governance, IT-Risikomanagement und IT-Compliance (IT-GRC).

Jan Sudmeyer, Geschäftsführer der carmasec, erläutert Security Consultant Simon Decker einen Projektplan

Security-Projektmanagement

Wir unterstützen unsere Kunden im Mittelstand und in Großunternehmen bei der vollumfänglichen Steuerung von Security-Projekten und stehen auch als Interims-Manager zur Verfügung.

Timm Börgers, Geschäftsführer von carmasec

Technologieberatung IT-Security

Wir beraten und unterstützen unsere Kunden im Mittelstand und in Großunternehmen bei technologie-getriebenen Herausforderungen in den Bereichen Cyber- und IT-Sicherheit.

Das sagen unsere Kunden

„Als ISO 27001 zertifiziertes Unternehmen ist uns das effektive Management von Informationssicherheit sehr wichtig. Um auch dem Top-Management Hinweise über die Wirksamkeit unserer Tätigkeit geben zu können, haben wir mit Unterstützung von carmasec KPIs definiert.
Somit konnten wir einen höheren Grad an Transparenz und Akzeptanz schaffen.“

Gunnar Woelke (Head of Information Security and Data Privacy, DKV Mobility Services)

Offensive Security

Offensive Security Mit einem proaktiven und angriffssimulierten Ansatz überprüfen unsere Experten die konkrete Umsetzung von Sicherheitsmaßnahmen in Ihrem Unternehmen. Je nach Wunsch können Assessments von einer Recherche nach öffentlichen Informationen zur Modellierung eines Angriffsrisikos bis hin zur technischen Überprüfung der Sicherheit von IT-Systemen wie z.B. durch Penetrationstests reichen.

- Untersuchung auf für Angreifer lohnenswerte öffentliche Informationen im Rahmen eines OSINT-Assessments
- Modellierung von Bedrohungsszenarien aufgrund öffentlicher Informationen
- Durchführung von automatisierten Schwachstellenscans mit manueller Überprüfung der Ergebnisse
- Durchführung von technischen Überprüfungen in Form von Penetrationstests, z.B. auf Webapplikationen oder IT-Systeme

Weitere Informationen finden Sie auf unserer Themenseite

Cloud Security

Cloud Security Wir unterstützen Sie bei der Konzeption und Implementierung von Sicherheitsmaßnahmen für Ihre Cloud-Dienste, Cloud-Infrastrukturen und Daten in der Cloud. Zudem minimieren wir Ihre Risiken durch die Erstellung und Umsetzung einer individuellen Cloud-Sicherheitsstrategie, welche Ihre Compliance- und Datenschutz-Vorgaben berücksichtigt.

- Konzeption und Umsetzung einer Cloud Security Strategie
- Implementierung von Security-Toolsets in die Cloud-Umgebung
- Absicherung von Cloud-Architekturen und -Infrastrukturen (inkl. Docker, Kubernetes Cluster)
- Definition und Umsetzung von Shared Responsibility Modellen zur geteilten Verantwortung zwischen Kunde und Cloud-Dienstleister
- Durchführung von Cloud Security & Compliance Assessments
- Aufbau von Lösungen zum Cloud Security Posture Management (CSPM)

Weitere Informationen zu Cloud Security finden Sie auf unserer Themenseite

Informationssicherheit, ISMS, Information Security Management

Das Management von Informationssicherheit ist ein strategischer Ansatz, mit dem regulatorische Anforderungen innerhalb einer Organisation gesteuert werden. Wir unterstützen Sie beim Aufbau von Managementsystemen für Informationssicherheit (ISMS) sowie bei der Definition und Einführung von Prozessen, technischen und organisatorischen Maßnahmen (TOM).

- Identifikation von relevanten Anforderungen an die Informationssicherheit der Organisation, z.B. aufgrund regulatorischer, branchen- oder kundenspezifischer Rahmenbedingungen (KRITIS, VAIT, BAIT, TISAX, u.a.)
- Durchführung von Schutzbedarfsfeststellung und Informationssicherheitsrisikoanalysen
- Aufbau, Optimierung und Anpassung von Managementsystemen für die Informationssicherheit (ISMS)
- Anwendung und Kombination von erprobten Methoden und Standards (ISO 27001, BSI IT-Grundschutz, VdS 10000, u.a.)
- Dokumentation von Informationssicherheitsleitlinie und -richtlinien
- Erstellung von IT-Sicherheitskonzepten zur Dokumentation von IT-Risiken und Definition von geeigneten, angemessenen und wirksamen Maßnahmen (technisch und organisatorisch)
- Durchführung von Informationssicherheitsaudits zur Überprüfung der Wirksamkeit und Angemessenheit der im Managementsystem definierten Maßnahmen; Unterstützung bei der Vorbereitung auf (Re-)Zertifizierungs- und Überwachungsaudits
- Definition von angemessenen und geeigneten Kennzahlen und KPIs zur Wirksamkeitsprüfung Ihres Informationssicherheitsmanagements
- Unterstützung beim Auf- und Ausbau Ihrer Informationssicherheitsorganisation

Kontaktieren Sie uns bei Fragen zu Informationssicherheit, ISMS und Information Security Management

DevSecOps / Agile Security

Agile Security / DecSecOps Wir unterstützen Sie bei der Definition von IT-Sicherheitsanforderungen, dem Aufbau von DevSecOps-Teams sowie der Konzeption und dem Aufbau von sicheren CI/CD Pipelines. Wir stellen die Berücksichtigung von Security-Anforderungen im Rahmen von agilen IT-Projekten und Softwareentwicklungen sicher.

- Aufbau von integrativen DevSecOps-Teams innerhalb der Kundenorganisation
- Konzeption und Aufbau von sicheren CI-/CD-Pipelines, Auswahl und Integration von geeigneten Security-Toolsets in der Pipeline
- Umsetzung von “Shift Left”-Ansätzen im agilen Softwareentwicklungsprozess zur frühzeitigen Berücksichtigung
- Implementierung von Maßnahmen zur statischen und dynamischen Sicherheitsüberprüfung von Applikationen (SAST, DAST)
- Konzeption und Durchführung von Workshops zum Themenbereich “Secure Coding”
- Konzeption und Dokumentation von Secure Coding Guidelines
- Dokumentation von (Evil) User Stories zur Berücksichtigung von Security- und Compliance-Anforderungen
- Etablierung von Prozessen zum Secure Software Development Lifecycle (SSDLC)

Kontaktieren Sie uns bei Fragen zu DevSecOps / Agile Security

Identity & Access Management (IAM)

Identity & Access Management Wir unterstützen Sie anbieterunabhängig bei der Auswahl und Einführung geeigneter (technischer) Access Security Lösungen.
Im Bereich Identity Management definieren und etablieren wir Prozesse zur Steuerung digitaler Identitäten und stellen die Einhaltung von Compliance Anforderungen sicher.

- Erstellung und Umsetzung von Rollen- und Berechtigungskonzepten
- Aufbau von Prozessen und technischen Systemen zum Management von (digitalen) Identitäten
- Implementierung von Authentifizierungsmechanismen (z.B. Multi-Faktor-Authentifizierung)
- Konzeption und Implementierung eines Protokollierungsmechanismus für Zugangs- und Zugriffsmanagement
- Erstellung und Umsetzung von systemübergreifenden Single-Sign-On-Mechanismen
- Aufbau von Prozessen und technischen Systemen zum Zugriffsmanagement
- Erstellung und Umsetzung von Konzepten zum Schutz von digitalen Identitäten
- Auswahl von geeigneten IAM-Systemen für die Kundenorganisation
- Aufbau von modernen IAM-Ansätzen (z.B. passwordless)
- Auditierung des bestehenden Identity & Access-Managements

Kontaktieren Sie uns bei Fragen zu Identity & Access Management (IAM)

Risikomanagement

Wir unterstützen Sie bei der Etablierung von Prozessen und Strukturen für Ihr Risikomanagement. Wir analysieren Risiken, die im Kontext Ihrer Organisation beim Einsatz von Informationstechnologie entstehen können. Zudem definieren wir Maßnahmen im Rahmen eines Risikobehandlungsplans, um Ihr individuell definiertes Risikoakzeptanzniveau zu erreichen.

- Durchführung von IT-Risikoanalysen zur Identifikation von IT-bezogenen Unternehmensrisiken
- Bewertung von Digitalisierungs- und Technologierisiken
- Aufbau eines dokumentierten IT-Risikomanagements innerhalb der Organisation und Integration in bestehende Strukturen zum Unternehmensrisikomanagement
- Definition von Risikobehandlungsstrategien
- Aufbau von IT-Risikoregistern
- Reduzierung von Haftungsrisiken
- Exkulpation der Unternehmensführung für IT-Risiken
- Bewertung von Möglichkeiten zur Verlagerung von IT-Risiken (z.B. Cyberversicherungen)

Kontaktieren Sie uns bei Fragen zu Risikomanagement

Security Awareness

Icon Security Awareness Wir sensibilisieren Ihre Mitarbeitenden für den selbständigen und verantwortungsbewussten Umgang mit Cyberbedrohungen. Durch individualisierte Awareness Kampagnen bereiten wir Ihr Team auf den richtigen Umgang mit Cyberattacken vor. Mit Hilfe unserer Schulungen erfüllen Sie Compliance-Anforderungen z.B. im Kontext einer ISO-Zertifizierung.

- Planung und Durchführung von Sensibilisierungsmaßnahmen für Mitarbeiter:innen
- Planung und Durchführung von Angriffssimulationen (z.B. Phishing, Social Engineering)
- Konzeption und Aufbau von Learning-Managementsystemen für Informations- und IT-Sicherheit
- Schulung von Mitarbeiter:innen in den Themenbereichen Informationssicherheit und Datenschutz
- Konzeption und Durchführung von regelmäßigen “Code of Conduct”-Prüfungen

Weitere Informationen zu Security Awareness finden Sie auf unserer Themenseite

Datenschutz / DSGVO

Wir beraten Sie beim organisationsinternen Management von personenbezogenen Daten und schulen Ihre Mitarbeitet:innen in Bezug auf die Anforderungen aus der DSGVO.
Wir unterstützen Sie sowohl bei der rechtskonformen Implementierung der Vorschriften als auch beim Vorgehen im Fall einer Datenpanne oder der Verletzung einer Datenschutzpflicht.

- Analyse von Abweichungen zu regulatorischen Anforderungen an den Umgang mit personenbezogenen Daten (DSGVO, BDSG, LDSG, TTDSG, PDSG, u.a.)
- Durchführung von Datenschutzfolgeabschätzungen (DSFA)
- Erstellung von Datenschutzkonzepten (inkl. Pseudonymisierung/Anonymisierung sowie Verschlüsselung von personenbezogenen Daten), Rollen- und Berechtigungskonzepten für den Zugriff auf personenbezogene Daten
- Aufbau von Prozessen zum datenschutzkonformen Umgang mit personenbezogenen Daten (inkl. Auskunfts- und Löschprozessen)
- Aufbau von Managementsystemen für den Datenschutz (DSMS)
- Definition und Steuerung von technischen und organisatorischen Maßnahmen (TOM) nach dem aktuellen Stand der Technik
- Stellung eines externen Datenschutzbeauftragten
- Durchführung von Datenschutzschulungen zur Sensibilisierung von Mitarbeitern
- Durchführung von Datenschutzaudits zur Prüfung der Wirksamkeit des Schutzes von personenbezogenen Daten innerhalb der Kundenorganisation

Weitere Informationen zu Datenschutz und zur DSGVO finden Sie auf unserer Themenseite

Sie haben Fragen?
Kontaktieren Sie Ihren persönlichen Ansprechpartner.

Carsten Marmulla

0049 201 426 385 905 Y29udGFjdEBjYXJtYXNlYy5jb20=

Unsere Leistungen im Überblick

Unsere Themenfelder

Offensive Security

Cloud Security

Informationssicherheit, ISMS, Information Security Management

DevSecOps / Agile Security

Identity & Access Management (IAM)

Risikomanagement

Security Awareness

Datenschutz / DSGVO

Unsere Leistungsbereiche

Managementberatung IT-GRC

Security-Projektmanagement

Technologieberatung IT-Security

Das sagen unsere Kunden

Offensive Security

Cloud Security

Informationssicherheit, ISMS, Information Security Management

DevSecOps / Agile Security

Identity & Access Management (IAM)

Risikomanagement

Security Awareness

Datenschutz / DSGVO

Sie haben Fragen?Kontaktieren Sie Ihren persönlichen Ansprechpartner.

Carsten Marmulla

Sie haben Fragen?
Kontaktieren Sie Ihren persönlichen Ansprechpartner.