Trust Center
Sicherheitsprogramm
Ganzheitliches Informationssicherheits-Managementsystem (ISMS) mit strukturierten Defense-Layern, kontinuierlichem Monitoring und geregelten Prozessen zur Aufrechterhaltung des Sicherheitsniveaus.
Management-Zusammenfassung
- Das Sicherheitsprogramm folgt dem Defense-in-Depth-Prinzip mit mehrschichtigen praeventiven, detektiven und reaktiven Komponenten.
- SIEM/EDR-Monitoring gewaehrleistet kontinuierliche Überwachung und Echtzeit-Alarmierung sicherheitsrelevanter Ereignisse.
- Schwachstellenmanagement mit woechentlichen Scans und priorisierter Remediation nach Risikoklassifizierung.
- Systemhaertung nach CIS-Benchmarks mit regelmaessiger Konformitaetsprüfung für alle Produktivsysteme.
- Sicherheitskennzahlen (KPIs) für Patch-Quote, MTTD, MTTR und Awareness-Quote steuern die Wirksamkeit des Programms.
- Jährliches SETA-Programm mit rollenspezifischen Schulungen und Phishing-Simulationen zur Sensibilisierung aller Mitarbeitenden.
Cyber Defense
- Perimeter-Schutz: Next-Generation Firewalls, Web Application Firewalls, DDoS-Mitigation und Intrusion Prevention.
- Netzwerksegmentierung: Mikrosegmentierung, Zero-Trust-Architektur und interne Firewall-Zonen.
- Endpoint Protection: EDR, Application Whitelisting und Device Hardening.
- Identity & Access: Multi-Faktor-Authentifizierung, Privileged Access Management und rollenbasierte Zugriffskontrolle.
- Data Protection: Verschlüsselung at-rest und in-transit, DLP und Datenklassifizierung.
SIEM / EDR Monitoring & Schwachstellenmanagement
- Zentrale Log-Aggregation und Normalisierung aller Systeme, Applikationen und Netzwerkkomponenten.
- Regelbasierte und verhaltensbasierte Korrelation für Anomalie- und Angriffsmustererkennung.
- Automatisierte Alarmierung mit definierten Schwellwerten und Eskalationsregeln.
- Forensische Analyse-Fähigkeiten für Root-Cause-Analysen und Beweissicherung.
- Woechentliche Schwachstellenscans, monatliche Applikationsscans, kritisches Patch-Ziel ≤ 14 Tage.
Awareness, Penetration Testing & Supplier Security
- Jährliche Pflichtschulung für alle Mitarbeitenden mit Phishing-Simulationen und Wissenschecks.
- OWASP-basiertes Secure-Coding-Training für Entwickler und spezifische Schulungen für Fuehrungskraefte.
- Jährliche externe Penetrationstests (Infrastruktur und Applikation), Red Teaming alle 2 Jahre.
- Lieferantenklassifizierung nach Kritikalität mit Due-Diligence-Prüfung vor Vertragsschluss.
- Vertragliche Sicherheitsanforderungen inkl. Auditrechten und Incident-Notification-Pflichten.
- Laufende Überwachung durch regelmaessige Re-Assessments und Service-Review-Meetings.
ISO 27001 Verbindung
ISO/IEC 27001:2022 stellt die Kontrollanker für das Sicherheitsprogramm bereit.
- A.5.1 Richtlinien für Informationssicherheit
- A.5.7 Bedrohungen und Schwachstellen
- A.8.8 Management von Schwachstellen
- A.8.15 Protokollierung und Aufzeichnung
- A.8.20 Netzwerksicherheit
- A.8.24 Einsatz von Kryptographie
ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.
Reifegrad
-
1 Initial
Ad-hoc-Ansätze, keine formalen Prozesse
-
2 Defined
Formale Prozesse definiert, aber nicht durchgängig umgesetzt
-
3 Implemented
Prozesse vollständig umgesetzt und dokumentiert
-
4 Monitored
Prozesse werden überwacht und gemessen
-
5 Optimized
Kontinuierliche Verbesserung und Anpassung
ISO 27001 Verbindung
Der Sicherheitsprogramm-Ansatz adressiert direkte Anforderungen aus DORA und MaRisk.
- DORA Art. 8 – IKT-Risikomanagement und Schutzmaßnahmen
- DORA Art. 10 – IKT-Vorfallerkennung und -meldung
- DORA Art. 12 – IKT-Resilienztestprogramm
- MaRisk AT 7.2 – Technisch-organisatorische Ausstattung
- MaRisk BT 2.2 – IKT-Risikosteuerung
ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.