Managementberatung IT-GRC ::: carmasec ::: security. done. right.

Wir beraten Sie zum
Management Ihrer IT-Risiken

Wir bieten Ihnen mit Assessments und Pre-Audits wirksame Instrumente zur Identifizierung und Analyse von Risiken und Bedrohungen. Wir unterstützen Sie durch systematische Ansätze bei der Einhaltung der für Sie geltenden und sich ständig verändernden regulatorischen und branchenspezifischen Anforderungen.

Gemeinsam mit Ihnen definieren wir geeignete technische und organisatorische Maßnahmen, die sich aus den ermittelten Anforderungen ableiten, und überprüfen deren Wirksamkeit regelmäßig. Dadurch verbessern Sie das Management von Risiken der Informationssicherheit und können Ihre Compliance-Vorgaben erfüllen.

Einsatzgebiete

Prozesse & Richtlinien

Wie bilden Sie regulatorische Anforderungen aus DSGVO, TISAX, BAIT/VAIT, PCI-DSS oder dem IT-SiG/KRITISV strukturiert und systematisch in Ihren unternehmensinternen Prozessen und Richtlinien ab?

Kostenfreie Erstberatung

Strategie für Cyber- & Informationssicherheit

Wie entwickeln Sie eine Strategie zur professionellen Steuerung Ihrer Informationssicherheit und Ihrer IT-Risiken gemäß einschlägiger Standards wie ISO 27001, BSI IT-Grundschutz, VdS 10000 oder ISIS12?

Kostenfreie Erstberatung

KPI für Ihr ISMS

Wie können Sie mit Hilfe von ISMS KPI und Kennzahlen Ihrem Management Risiken verständlicher kommunizieren und Investitionen in Informationssicherheit und Risikomanagement besser begründen?

Weitere Informationen

Unsere Vorgehensweise

1. Identifikation und Analyse von Unternehmenswerten mit Schutzbedarf

Wir identifizieren und bewerten Ihre geschäftskritischen Unternehmenswerte und definieren gemeinsam Ihren individuellen Schutzbedarf.

2. Strukturierte Bedrohungs- und Risikoanalyse

Wir ermitteln mittels methodisch strukturierter Analysen die Bedrohungen, Schwachstellen und daraus resultierenden Risiken für Ihre Organisation und definieren gemeinsam Strategien zur Risikobehandlung.

3. Technische und organisatorische Maßnahmen

Wir empfehlen Ihnen für Ihre Organisation angemessene technische und organisatorische Maßnahmen (TOMs). Zudem steuern wir die Umsetzung und prüfen regelmäßig die Wirksamkeit der Maßnahmen.

Häufig gestellte Fragen und Antworten

Bedrohungen und Schwachstellen werden mittels strukturierter Risikoanalysen auf Basis erprobter Methodenstandards identifiziert. Im Rahmen einer Analyse der für Ihr Unternehmen geltenden regulatorischen Anforderungen bildet der mögliche Schaden bei Nicht-Einhaltung die Basis für die Risikoeinschätzung. Daraus resultierende organisationsindividuelle Risiken werden erfasst und bewertet. Eine Risikomatrix liefert die Übersicht über die Kritikalität aller ermittelten Risiken.
Die Vielzahl von regulatorischen Anforderungen und branchenspezifischen Rahmenbedingungen erfordert aktuelle Kenntnisse und fachliche Qualifikationen. Für die Interpretation und Auslegung dieser Regeln im jeweiligen organisationsspezifischen Kontext ist viel Praxiserfahrung erforderlich.

Wir liefern Ihnen einen Überblick über die für Sie relevanten regulatorischen Vorgaben und unterstützen Sie bei einer reibungslosen und angemessenen Umsetzung.
Organisationen unterliegen je nach Anwendungsfällen oder Branchen spezifischen Anforderungen:
- Bei der Verarbeitung von personenbezogenen Daten müssen die Europäische Datenschutzgrundverordnung (EU-DSGVO) sowie die nationalen Datenschutzgesetze berücksichtigt werden.
- Bei der Verarbeitung von Kreditkartendaten müssen die internationalen IT-Sicherheitsanforderungen gemäß PCI-DSS umgesetzt werden.
- Banken und Versicherungen müssen die Anforderungen der Bundesanstalt für Finanzdienstleistungen (BaFin) in Form der Mindestanforderungen an das Risikomanagement (MaRisk) sowie die bank- bzw. versicherungsaufsichtlichen Anforderungen an die IT (BAIT/VAIT) umsetzen.
- Energieversorgungsunternehmen mit eigenem Netzbetrieb müssen gemäß §11a Energiewirtschaftsgesetz (EnWG) ein Managementsystem für Informationssicherheit betreiben.
- Organisationen im Bereich der kritischen Infrastrukturen müssen Anforderungen aus dem IT-Sicherheitsgesetz (IT-SiG) und der KRITIS-Verordnung (KRITISV) umsetzen.
- Unternehmen in der Automobilbranche und deren Zulieferer müssen sich mit Anforderungen im Rahmen einer TISAX-Zertfizierung auseinandersetzen.
- Krankenhäuser, Labore und Arztpraxen müssen Anforderungen an die Informations- und IT-Sicherheit gemäß §75b/§75c SGB V umsetzen.
Eine Nicht-Einhaltung der Vorgaben kann unter anderem zur Haftung der Unternehmensführung (mit Wirkung auf das Privatvermögen), zum Vorwurf des unlauteren Wettbewerbs, zu Buß- oder Strafgeldern, zum Ausschluss von Ausschreibungen, zum Lizenzentzug, zu Einschränkungen in Lieferketten oder zu kompletten Liefersperren führen.
Die Bewertung ist von vielen Faktoren abhängig. Neben Strafzahlungen und unmittelbar entstehenden finanziellen Schäden sowie Kosten zur Aufarbeitung der Compliance-Verstöße können die Reputation und bestehende Geschäftsbeziehungen gefährdet werden.

Gleichwohl kann eine unternehmensindividuelle Risikobewertung (etwa eine Datenschutz-Folgeabschätzung) sowie Kosten- und Nutzenanalyse bezüglich der Umsetzung / Nicht-Umsetzung zu einer bewussten Entscheidung der Non-Konformität führen.

Ein systematisches Risikomanagement unterstützt Führungskräfte bei der

Enthaftung im Rahmen von Sicherheitsvorfällen und schafft einen vertrauensvollen Umgang mit Geschäftspartnern.

Carsten Marmulla, Senior Trusted Advisor

Profilbild mit Unterzeile von Carsten Marmulla, Managing Partner & Senior Trusted Advisor

Unser Angebot: Unverbindliche Erstberatung!

Schildern Sie uns Ihre aktuellen Herausforderungen und wir liefern Ihnen Lösungsansätze, die wir anschließend auch gerne gemeinsam mit Ihnen umsetzen!

Icon Tel +49 (0)201 426 385 905