In meinem letzten Blogeintrag (hier) habe ich berichtet, wo ich arbeite (bei KPMG AG WPG im Security Consulting) und wie die einzelnen Partnerbereiche aufgebaut sind. Nun möchte ich genauer erklären, was wir eigentlich tun. Mein Partnerbereich befasst sich im Wesentlichen mit Sicherheitsmodellen für IT-Infrastrukturen. Das bedeutet, dass wir ein sehr breites Spektrum an Dienstleistungen anbieten müssen.
Einige der Tätigkeiten, die mein Team häufig bearbeitet, möchte ich euch gerne vorstellen:
– Firewall- & IT-Infrastruktur Audit: Hier wird die IT-Infrastruktur bzw. der Aufbau der Firewalls des Mandanten in Gesprächen und anhand von Netzwerkplänen & Übersichten aufgenommen und analysiert. Ziel ist es, mögliche Schwächen im Aufbau der Infrastruktur zu erkennen und aus der Erfahrung heraus Empfehlungen geben zu können, wie eine Infrastruktur verbessert oder noch stärker abgesichert werden kann. Die Aufnahme und Bewertung der vorhandenen Strukturen benötigt (je nach Umfang) meist mehrere Tage und gehört zu den in meinen Augen anspruchsvollsten Tätigkeiten, da sehr viel Erfahrung und Wissen nötig ist, um die tatsächliche Ursache von Schwachstellen zu erkennen und deren Schwere abschätzen zu können. In einem abschließenden Bericht werden dem Mandanten Handlungsempfehlungen gegeben, durch welche die erkannten Schwachstellen beseitigt (oder zumindest deutlich abgeschwächt) werden können.
– Penetration Testing: Ein Penetrationstest (oder auch Schwachstellen-Scan) besteht aus einem automatisierten und einem manuellen Anteil. Im automatischen Teil klopfen Scripte aus einem entsprechenden Schwachstellen-Scanner (z.B. Nessus) eine Reihe bekannter Schwachstellen wie Standardpasswörter, einfaches Cross-Site-Scripting oder SQL-Injection ab. Tiefergehende Untersuchungen werden auf Basis der so erhaltenen Ergebnisse manuell durchgeführt.
– Code-Reviews: Anders als vielleicht zunächst vermutet, beinhaltet ein Code-Review nicht ausschließlich die Durchsicht und Analyse von Quellcode. Das Führen von Interviews mit Entwicklern und Prozessverantwortlichen sowie die Einsicht in Dokumentation und Entwicklungsrichtlinien sind wesentlicher Bestandteil dieser Projekte. Häufig sind akute Probleme mit dem Quellcode nicht auf die Entwickler zurückzuführen, sondern haben ihre Ursache in organisatorischen oder prozessualen Vorgaben des Unternehmens.
– PCI-DSS-Beratung: Jede Stelle, die Kreditkartendaten überträgt, verarbeitet oder speichert (wie beispielsweise Online-Shops), muss garantieren können, dass diese Daten bei ihnen sicher aufgehoben sind. Um dies überprüfen, wurde in den von den führenden Kreditkartenanbietern ein Standard ausgearbeitet (Payment Card Industry Data Security Standard). Dieser umfasst 12 Requirements, die betroffene Unternehmen erfüllen müssen. Diese Requirements bestehen aus vielen einzelnen Anforderungen und Prüfungshandlungen (https://de.pcisecuritystandards.org/minisite/en/pci-dss-v2-0.php). Um Mandanten bei der Umsetzung der geforderten Prüfpunkte zu unterstützen, bieten wir PCI-Beratungen an. Hier werden im Rahmen von Workshops zunächst die Flüsse von Kreditkartendaten in der vorhandenen Infrastruktur des Mandanten nachvollzogen und die konkreten Maßnahmen zur Umsetzung der Anforderungen diskutiert. Das Ergebnis einer solchen Beratung kann die Anpassung einzelner Infrastrukturelemente oder aber die Umstrukturierung gesamter IT-Bereiche sein.
Wer also „mit Menschen arbeiten“ möchte, ist in einem beratenden Umfeld sehr gut aufgehoben, da ein Großteil der Arbeit aus Gesprächen und Workshops mit Mandanten besteht.
Julia George