Security Consulting

Eine starke Cyber-Resilienz ist unverzichtbar, um den steigenden regulatorischen Anforderungen und den vielfältigen Herausforderungen durch die Digitalisierung, dem Einsatz von KI, IoT/OT und Cloud gerecht zu werden. Dazu bedarf es umfassender Kompetenz und langjähriger Erfahrung – sei es im Bereich Cyber Security Strategie, Governance, Risk & Compliance, Architektur und Design, Security Assessments oder bei der Förderung einer sicherheitsbewussten Unternehmenskultur. Unser modular aufgebautes Dienstleistungsangebot und die erstklassigen Kompetenzen unserer Spezialisten decken alle Facetten einer umfassenden Cybersicherheit ab und stärken Ihre Cyber-Resilienz nachhaltig.

Sie wollen sicher sein, dass Ihre Cybersicherheit auf einem festen und langfristig verlässlichen Fundament aufbaut und sich auch an künftige Anforderungen schnell und einfach anpassen lässt? Unsere Expert*innen unterstützen Sie bei der Formulierung einer langfristigen Sicherheitsstrategie oder beim Aufbau eines flexiblen Frameworks für das strukturierte Management und die gezielte Minimierung sämtlicher ICT-Risiken. Ein Cyber Security Framework (Information Security Management System, Datenschutz Management System) hilft Ihnen nicht nur Ihre internen Risiken besser zu beherrschen. Auch die Umsetzung von Compliance und Risk Management-Anforderungen wird durch das strukturierte Rahmenwerk massiv vereinfacht.

Unsere ISMS/DSMS Services umfassen:

• Aufbau und Weiterentwicklung eines Information Security Management System (ISMS) nach ISO 27001
• CISO-as-a-Service / Security Officer Services / Unterstützung des CISOs
• DPC-as-a-Service / Data Protection Coordinator / Unterstützung des DPOs
• Erarbeitung einer nachhaltigen Security-Strategie
• Unterstützung bei der (Re-)Zertifizierung nach ISO 27001
• Prüfung Ihrer Organisation oder Ihres ISMS nach ISO 27001
• Erarbeitung von Sicherheit Politik, Leitlinien / Policy, Richtlinien / Procedures & Guidelines
• Definition der Sicherheitsorganisation, von Funktionen und deren Aufgabenbeschreibungen
• ISMS und IKT-Sicherheitsmanagement-Tool

Sie wollen sicher sein, dass Ihre Cybersicherheit auf einem festen und langfristig verlässlichen Fundament aufbaut und sich auch an künftige Anforderungen schnell und einfach anpassen lässt? Unsere Expert*innen unterstützen Sie bei der Formulierung einer langfristigen Sicherheitsstrategie oder beim Aufbau eines flexiblen Frameworks für das strukturierte Management und die gezielte Minimierung sämtlicher ICT-Risiken. Ein Cyber Security Framework nach NIST hilft Ihnen nicht nur Ihre internen Risiken besser zu beherrschen. Auch die Umsetzung von Compliance und Risk Management-Anforderungen wird durch das strukturierte Rahmenwerk massiv vereinfacht.

Wir beraten und unterstützen Sie zu folgenden Themen:

• CISO-as-a-Service / Security Officer Services / Unterstützung des CISOs
• Erarbeitung einer nachhaltigen Security-Strategie
• Risikoanalysen nach ISO 27005
• NIST CSF Gap-Analyse
• Erarbeitung von Sicherheit Politik, Leitlinien / Policy, Richtlinien / Procedures & Guidelines
• Definition der Sicherheitsorganisation, von Funktionen und deren Aufgabenbeschreibungen

Unternehmen und Verwaltungen agieren in einem komplexen und dynamischen Umfeld. Regulatorischer Druck, Wettbewerbsveränderungen, Cyberkriminalität sowie Komplexität der Infrastruktur nehmen laufend zu. Das Management von Anforderungen und Maßnahmen wie auch die Einhaltung der Compliance wird zunehmend zur großen Herausforderung. Unser IKT-Tool unterstützt Bedarfsträger und Informatiksicherheitsbeauftragte, die Sicherheitsanforderungen des IKT-Grundschutzes des Bundes zu erfassen, Risiken zu beurteilen und Maßnahmen innerhalb der Organisation umzusetzen und regelmäßig zu überprüfen resp. zu aktualisieren.

Cyberattacken zählen zu den größten Bedrohungen für Unternehmen und Institutionen aller Art. Trotzdem sind viele Organisationen unzureichend auf solche Vorfälle vorbereitet. Wir bieten einen professionellen Workshop an, in dem Sie mit Hilfe unserer bewährten Vorlagen und erprobten Prozessen einen vollständigen Incident-Response-Plan entwickeln. Die Entwicklung dieser Vorlagen basiert sowohl auf den umfangreichen Erfahrungen unseres CSIRT und Consultants. Dadurch wird gewährleistet, dass der individuelle Notfallplan nicht nur praxiserprobt, sondern auch effektiv ist.

Mit unseren Table-Top Exercises (TTX) überprüfen wir – auf der Basis von formulierten Szenarien – gemeinsam mit Ihnen und Ihrem Team die bestehenden Cyber Security & Recovery-Prozesse. Diese Szenarien befassen sich mit der strategischen Krisenorganisation und/oder mit der IT-operationellen Ebene. Der Schwerpunkt liegt auf dem Aufbau von organisatorischen und operativen Kompetenzen (Krisenorganisation, Kommunikation, Meldepflichten bei Cyber- und Datenschutzvorfällen, Wiederherstellung, etc.) durch die Szenario-basierte Simulation von Krisensituationen.

• Table-Top Exercises / Simulation für den Krisenstab
• Table-Top Exercises / Simulation für die technische IT-Notfall Organisation
• Management Workshop zur Bearbeitung des Sicherheitsvorfalls und der Wiederherstellung der Handlungsfähigkeit

Ob erfolgreiche Cyber- oder Ransomware-Angriffe, pandemiebedingte Ausfälle, Lieferkettenprobleme oder andere (Natur-)Katastrophen – Business Continuity Management (BCM) ist elementar BCM stellt sicher, dass kritische Geschäftsprozesse und Schlüsselfunktionen auch in Notsituationen verfügbar bleiben oder rechtzeitig wieder verfügbar sind – und Sie wieder handlungsfähig werden, ohne dass ein existenzbedrohender Schaden entsteht. Unsere erfahrenen Expert*innen unterstützen Sie der Erarbeitung einer geeigneten BC-Strategie, beim Aufbau und Umsetzung eines Business Continuity Management Systems nach ISO 22301, bei der Vorbereitung, Durchführung und Auswertung von Business Impact- Analysen (BIA) sowie bei der Erarbeitung und Überprüfung von Notfall- und Geschäftsfortführungsplänen.

Wir bieten Unternehmen im Rahmen eines Outsourcings einen Security Officer Service. Unsere Expert*innen übernehmen dabei die Funktion des Chief Information Security Officers oder wir unterstützen Ihren CISO. Sie übernehmen Planungs-, Einführungs-, Koordinations- und Kontrollaufgaben für alle Informationssicherheitsmassnahmen und beraten Sie in allen Fragen des Datenschutzes und der Cyber Security. So erhalten Sie von uns professionelle Unterstützung auf strategischer, taktischer und operativer Ebene.

Unsere Datenschutz-Expert*innen unterstützen Ihren DPO bei der Analyse und der Definition einer angemessenen Datenschutzstrategie sowie bei der Implementierung entsprechender Massnahmen. Dadurch stellen Sie sicher, dass die gesetzlichen Anforderungen auch konsequent eingehalten werden. Setzen Sie daher auf die Zusammenarbeit mit unseren erfahrenen Datenschutz-Experten.

Die Anforderungen an die IT, Cloud & Security Governance wachsen immer schneller. In Zeiten von Informationsflut und Digitalisierung ist die richtige Verwaltung von Informationen und Daten unabdingbar, aber komplex. Oft fehlt es am ganzheitlichen Ansatz, um die Verfügbarkeit, Vertraulichkeit, Integrität und Nachvollziehbarkeit von Informationen und Daten zu gewährleisten. Com-Sys hilft Ihnen, die unterschiedlichen Anforderungen optimal umzusetzen und effizient zu betreiben.

Die systematische Erkennung und Bewertung aller Risiken sind unverzichtbare Voraussetzungen, um konsequent angemessene – das heisst auch wirtschaftlich vertretbare – Massnahmen treffen zu können. Ein systematisches Risk Management verbessert Ihr Sicherheitsniveau, reduziert Ihre Risiken und stellt die Einhaltung von Compliance-Anforderungen sicher.

Wir beraten und unterstützen Sie zu folgenden Themen:

• Durchführung einer Risiko-Analyse nach ISO 27005
• Implementierung eines systematischen Enterprise oder Operational Risk Management
• Festlegung des Schutzbedarfs durch systematische Risikoanalyse

Mit unserer langjährigen Erfahrung im Bereich Cyber Security verfügen wir über die Expertise, um Sie beim Aufbau oder der Optimierung Ihres Cyber Supply Chain Risk Managements (C-SCRM) zu unterstützen. Ein systematisches C-SCRM verbessert Ihr Sicherheitsniveau in Ihrer Lieferkette, reduziert eigene Cyberrisiken und stellt die Einhaltung von Compliance-Anforderungen sicher.

Wir beraten und unterstützen Sie zu folgenden Themen:

• Durchführung einmaliger oder regelmässiger Risiko-Analyse Ihrer Supply Chain
• Digital Footprint Risk Monitoring Service
• Umsetzung von geeigneten Sicherheitsmassnahmen
• Definition und Sicherstellung eines systematischen Cyber Supply Chain Risk Managements
• Unterstützung der Organisation durch ein C-SCRM Tool
• Aufbau eines angemessenen Incident Response Managements

Digitalisierung und Datenschutz lassen sich im ersten Moment nur schwer vereinen. Eine erfolgreiche Digitalisierung erfordert jedoch die Einbeziehung des Datenschutzes und ist somit ein strategisch wichtiges Thema – und zwar für jedes Unternehmen. Unsere Datenschutz-Expert*innen unterstützen Sie in allen Belangen rund um diese Themen – von Fragestellungen rund um die Datenschutzvorgaben, der Analyse, Strategiedefinition und Konzeption über die Sensibilisierung bis hin zur Umsetzung.

Unsere Datenschutz-Services umfassen:

• Gap-Analyse zur europäischen Datenschutzgrundverordnung (DGSVO)
• DSGVO/GDPR Web-Applikationsaudit im Internet und Webshops (Disclaimer. Cookies, Datenverarbeitung usw.)
• Datenschutz-Sensibilisierung der Mitarbeitenden
• Datenschutz Strategieentwicklung nach DSGVO
• Datenschutzfolgeabschätzung (DSFA)
• Zertifizierungsbegleitung
• DPC-as-a-Service zur Unterstützung des DPO
• Datenschutz-Management-System (Tool)
• Auditierung von externen Auftragsdatenverarbeitenden

Die Anforderungen an die Compliance wie IKS, EU GDPR, NIS2, CRA, DORA, FINMA, SWIFT, PCI DSS oder SIC verändern sich ständig und werden immer umfangreicher. Wir helfen Ihnen, die unterschiedlichen Anforderungen an die Compliance optimal umzusetzen und effizient zu betreiben. Wir beraten Sie in Bezug auf die geltenden Anforderungen. Dabei unterstützen wir Sie auch bei der Analyse und Implementierung von Sicherheitsmaßnahmen nach den entsprechenden Vorgaben. Somit wird laufend sichergestellt, dass die gesetzlichen Anforderungen konsequent eingehalten und korrekt umgesetzt werden.

Wir beraten und unterstützen Sie zu folgenden Themen:

• CISO-as-a-Service / Security Officer Services / Unterstützung des CISOs
• DPC -as-a-Service / Data Protection Coordinator / Unterstützung des DPOs
• Durchführung einer GAP-Analyse hinsichtlich der geltenden Vorgaben
• Implementierung eines systematischen Compliance Management
• Unterstützung durch ein entsprechendes Information Security Management Tool (ISMS)

Sie wollen Ihre Cybersicherheit durch den Aufbau eines Information Security Management System (ISMS) nach ISO 27001 verbessern oder Ihr bestehendes ISMS optimieren? Unsere erfahrenen und zertifizierten Auditoren begleiten Sie auf dem Weg zur ISO 27001, ISO 27701, TISAX, IEC 62443, CMMC-Zertifizierung.

Wir beraten und unterstützen Sie zu folgenden Themen:

• Aufbau und Einführung eines Management Systems nach ISO 27001, ISO 27701, TISAX, IEC 62443, CMMC
• (Re-)Zertifizierung nach ISO 27001, ISO 27701, TISAX, IEC 62443
• Weiterentwicklung Ihres ISMS nach ISO 27001
• Prüfen Ihres ISMS nach ISO 27001

Wir helfen Ihnen, eine angemessene Netzwerk- und Sicherheitsarchitektur aufzubauen. Auf Basis des ISO-27001-Standards identifizieren wir in einer GAP-Analyse die fehlenden Elemente und zeigen die damit verbundenen Risiken auf. Als Grundlage für die operative Umsetzung wird anschliessend ein Massnahmenplan ausgearbeitet und risikoorientiert priorisiert. Damit stellen wir sicher, dass Sie auch in Zukunft schnell auf neue Bedürfnisse reagieren und optimale IT-Sicherheitsmassnahmen ableiten können.

Wir beraten und unterstützen Sie zu folgenden Themen:

• Definition einer IT-Sicherheitsarchitektur nach internationalen Standards (ISO, NIST, BSI und ZTMM)
• Festlegung des Schutzbedarfs durch systematische Risikoanalyse
• Unterstützung bei der Aufrechterhaltung aller Geschäftsprozesse
• Integration der IT-Sicherheit als fester Bestandteil der IT-Architektur

Die Anforderungen an die Cloud Security Governance wachsen immer schneller. In Zeiten von Azure, AWS, GCP und vielen weiteren Cloud-Services ist die richtige Verwaltung von Informationen und Daten unabdingbar, aber komplex. Oft fehlt es am ganzheitlichen Ansatz, um die Verfügbarkeit, Vertraulichkeit, Integrität und Nachvollziehbarkeit von Informationen und Daten zu gewährleisten.

Unser Cloud-Governance Service stellt sicher, dass die Bereitstellung von Ressourcen, die Systemintegration, die Datensicherheit und andere Aspekte des Cloud-Computing ordnungsgemäß geplant, berücksichtigt und verwaltet werden. ICom-Sys hilft Ihnen, die unterschiedlichen Anforderungen optimal umzusetzen und effizient zu betreiben.

• Cloud Risk Assessment
• Definition und Sicherstellung eines systematischen Cyber Supply Chain Risk Managements
• Datenschutzfolgeabschätzung (DSFA)

Moderne Informations- und Kommunikationstechniken vernetzen die Industriewelt. Operational Technology (OT) sind für Cyberkriminelle höchst interessant. Denn die zunehmende Automatisierung der Industrieprozesse erfordert eine Vernetzung der OT- und IT-Technologien und verändert somit die Bedrohungs- und Risikolandschaft. Auch Ihre OT-Infrastrukturen sind geschäftskritisch. Mit unserem Services erkennen Sie potenzielle Schwachstellen in Ihrer IoT-, OT, Industrie 4.0, resp. Smart-Infrastructure frühzeitig und können sinnvolle Schutzmaßnahmen einleiten.
Unsere erfahrenen OT-Spezialist*innen helfen Ihnen, die Schlüsselkomponenten zu verifizieren, die Architektur nach dem Defence-in-Depth-Ansatz aufzubauen, die Sicherheit nach IEC 62443 umzusetzen, ein geeignetes Supplier-Risk-Management zu etablieren und so maßgeblich zur Minderung der Sicherheitsrisiken beizutragen.

Unsere OT Security Services im Überblick:

• Asset-Erkennung – Sichtbarkeit der Betriebstechnik
• Evaluierung der Bedrohungslandschaft
• Bewertung des Schutzkonzepts
• Ganzheitliche Beurteilung der Anlagensicherheit «Defense-in-Depth»

Mit dem SAP Security Service erhalten Sie einen umfassenden Überblick über die Sicherheit Ihrer SAP-Systeme. Unsere erfahrenen SAP-Sicherheitsexpert*innen unterstützen Sie von der Konzeption über die Definition von Prozessen bis hin zur Umsetzung von Maßnahmen und der Überprüfung Ihrer SAP-Systeme.

Wir beraten und unterstützen Sie zu folgenden Themen:

• SAP Security Assessments
• SAP-Sicherheitskonzepte
• Beseitigung von Revisionsmängeln
• Analyse der SAP-Systemzugriffe
• Begleitung bei SAP-Berechtigungsprojekte

Zur Bewältigung der sich ständig verändernden Bedrohungslandschaft gehört die permanente Schwachstellenüberprüfung und Optimierung der eigenen Infrastruktur zum Pflichtprogramm jedes Unternehmens. Wir unterstützen Sie beim Vulnerability Management – von der Konzeption über die Umsetzung bis hin zum standardisierten Managed Service aus unserem ISO/IEC 27001-zertifizierten Cyber Defence Center (CDC) in Baar an.
Mit unseren vielfältigen Vulnerability Management Services unterstützen Sie unsere Expert*innen genau dort, wo Sie es benötigen.

Vulnerability-Management-Konzept für ein effizientes und effektives Vulnerability Management.

24/7 external Vulnerability-Management-as-a-Service (eVUMA)
Mit dem external Vulnerability Management Service sehen Sie Ihr Unternehmen aus Sicht der Angreifer. Dazu scannen unsere Security-Expert*innen Ihre Perimeter-Infrastruktur täglich aus unserem Cyber Defence Center. Sobald eine kritische Schwachstelle auftaucht, die gegenüber dem Internet exponiert ist, kümmern wir uns für Sie um die Risikoeinschätzung der Schwachstelle und kontaktieren Sie proaktiv. Bei Bedarf stehen unsere Expert*innen Ihnen anschliessend beratend zur Verfügung, sodass Sie die Schwachstelle rasch und effektiv beheben können.

Durch die Nutzung von Cloud-Diensten und persönlichen Geräten (BYOD) können Benutzer von überall auf Daten zugreifen. Die Zugriffsverwaltung (Privileged Access Management PAM und Idenity & Access Management IAM) hat sich dadurch von einem Perimeter-basierten zu einem Identitäts-zentrischen Ansatz verlagert. Dadurch ist Identity Governance & Administration eine Schlüsselfunktion und Voraussetzung für strategische Sicherheitsziele wie:

• Privileged Access Management
• Identity & Access Management
• Zero Trust security model
• Need-to-Know Prinzip
• (Data Protection &) Security by Design
• (Data Protection &) Security by Default

Mit unserer 360° Sicht und unseren Business to Identity Services unterstützen wir Ihre Bestrebungen von der Planung, dem Betrieb bis zur Compliance. Unser Vorgehensmodell ermöglicht eine wirkungsvolle und nachhaltige Umsetzung der Identity Governance & Administration. Erfolgsfaktoren sind ein hoher Automatisierungsgrad und Integrationslevel. Wir begleiten Sie auf dem Weg zu tragfähigen PAM & IAM Lösungen, die rechtlich, technisch und organisatorisch überzeugen.

Basierend auf den existierenden Richtlinien und Ihren spezifischen Bedürfnissen erarbeiten wir ein detailliertes Security Awareness-Konzept, resp. Programm. Dieses umfasst die wichtigsten Kernbotschaften, einen zweckmässigen Massnahmenkatalog und einen zielorientierten Kommunikationsplan. Eine erfolgreiche Umsetzung garantieren praxiserprobte Schulungselemente, modernste Technologien und bewährte Methoden gleichermaßen.

Mitarbeitende sind immer komplexer werdenden Phishing- und Ransomware-Angriffen ausgesetzt. Security Awareness Trainings sind daher umso wichtiger. Awareness ist aber keine einmalige Massnahme. Unser Awareness-as-a-Service hilft Ihnen dabei, Gefahren durch Social Engineering, Phishing und Ransomware-Angriffen mithilfe von Security Awareness Trainings und gezielten Simulationen zu bewältigen und so das Sicherheitssensibilisierung der Mitarbeitenden nachhaltig zu steigern.

Ein wirkungsvoller Informationsschutz steht und fällt mit der aktiven Unterstützung aller Mitarbeitenden des Unternehmens – inklusive Management! In einem gezielten Workshop für Ihr Management wird den Teilnehmern die aktuelle Bedrohungslandschaft anhand von realen Beispielen und der damit einhergehende Business Impact verständlich und nachvollziehbar aufgezeigt. Es wird aber auch beleuchtet, welche Vorgaben von regulatorischer Seite bestehen und was dies konkret für Ihr Management bedeutet.

Ein erprobtes Mittel zur Mitarbeiter-Sensibilisierung und zur Gewinnung des Interesses der Mitarbeitenden ist es zu zeigen, wie Cyberkriminelle an vertrauliche Informationen kommen und wie sie ihre Opfer manipulieren. Diese Form der Informationsvermittlung hat sich sehr bewährt und verbindet gezielte Wissensvermittlung mit unterhaltsamen Kommunikationselementen.

Eine kontinuierliche Auseinandersetzung mit Themen der Informationssicherheit stellt sicher, dass Ihre Mitarbeitenden ein noch stärkeres Bewusstsein entwickeln und sich jederzeit intuitiv korrekt verhalten. Ihre Mitarbeitenden lernen die Risiken und korrekten Verhaltensweisen kennen, können sich mit den aufgezeigten Alltagssituationen innerhalb des eLearning-Tools klar identifizieren und die Gegebenheiten auf das eigene Umfeld applizieren. Unsere eLearning-Trainings stärken das Sicherheitsbewusstsein und unterstützen Ihre Mitarbeitenden dabei, wertvolle Informationen und Daten zu schützen.

Phishing-Angriffe gehören in der momentanen Bedrohungslandschaft zu den erfolgreichsten Angriffsarten, welche zu einer Kompromittierung eines Unternehmens führen können. Durch unsere Phishing-Simulation kann eine Momentaufnahme der Sensibilisierung der Mitarbeitenden in Bezug auf Phishing E-Mails erhoben werden. Weiter können nach dem Klick auf den Phishing-Link oder Anmeldung auf der gefälschten Webseite geeignete Schulungsinhalte vermittelt werden. Im Abschlussbericht der Phishing-Simulation werden mögliche organisatorische und technische Massnahmen ausgearbeitet.

Unsere physische Social Engineering Simulation überprüft, ob die von Ihnen gewählten physischen und organisatorischen Sicherheitsmassnahmen an den Firmenstandorten ausreichen, um den unautorisierten Zutritt in Büroräumlichkeiten zu verhindern. Des Weiteren wird überprüft, ob die vorgegebenen Richtlinien (z.B. «Clean Desk Policy», Besucher Badges, Sperren des Bildschirms) von den Mitarbeitenden umgesetzt werden. So können zum einen potenzielle Sicherheitslücken identifiziert werden und zum anderen wird die generelle Awareness der Mitarbeitenden sowie das Verhalten gegenüber unbekannten Personen überprüft.

• NIST Cyber Security Framework Assessment
• ISO/IEC 2700x Security Assessment
• Analyse hinsichtlich einer ISO 27001 Zertifizierung
• GAP Analyse ISO 27001, ISO 27701, TISAX, IEC 62443, CMMC
• IKT Minimalstandard
• Analyse zum DSGVO / EU GDPR
• Cyber Resilience Act (CRA) Gap-Assessment
• Network & Information Security 2 (NIS 2) Gap-Assessmemt
• FINMA Assessment
• SWIFT (Society for Worldwide Interbank Financial Telecommunication) Assessment
• GAP-Analyse hinsichtlich einer PCI DSS Zertifizierung
• DORA (Digital Operational Resilience Act) Readiness
• Zero Trust Readiness Assessment
• Microsoft Azure, AWS, GCP , Cloud Security Governance
• Microsoft 365 Security Assessment
• Microsoft CoPilot Readiness Assessment
• ISO/IEC 42001:2023 AI Gap-Analyse
• AI Gap-Assessment (CSA)
• Phishing Simulation
• Social Engineering Audit
• Penetration Testing
• Incident Response Readiness Assessment