Security & Privacy

Sicherheit von IT Systemen ist für RISE seit langer Zeit eine wesentliche Disziplin zur Umsetzung von Ende-zu-Ende sicheren Lösungen. Vom Risikomanagement zum sicheren Design und Architektur, sicheren Betrieb bis hin zu Entwicklung, Penetrationstests und Zertifizierungen bietet RISE umfangreiche Expertise. RISE Experten unterstützen bei Planung, Umsetzung, Betrieb bis hin zum Akutfall (Incident Response und Forensik).

Wesentlicher Erfolgsfaktor

Seit vielen Jahren ist die Sicherheit ein essenzieller Faktor für die Akzeptanz und den Erfolg von Systemen und benötigt daher im breiten Umfeld moderner IT-Technologien besondere Aufmerksamkeit. Viele Aufgaben des täglichen Lebens, werden heute über IT-Systeme, mobile Anwendungen und Internet abgewickelt und verarbeiten teilweise hochsensible Daten. Ein Defizit an Sicherheit ist somit ein nicht zu unterschätzender Risikofaktor, wie die regelmäßige Berichterstattung über Angriffe und Data-Breaches zeigt.

Frau telefoniert mit Smartphone

Sicherheit als Prozess

Bei RISE hat Sicherheit einen zentrale Rolle bei der Umsetzung von Lösungen. Dabei bietet RISE ein umfangreiches Ende-zu-Ende Spektrum in diesem Umfeld ab und einschlägige Expertinnen und Experten sind bereits beim Start von Projekten involviert. Bereits im Rahmen der Konzepterstellung wird explizit auf Sicherheit geachtet, die Architektur sorgfältig geplant und potentielle Risiken sowie Gegenmaßnahmen identifiziert beziehungsweise erarbeitet. Eine essenzielle Haltung von RISE ist es, Sicherheit als Prozess zu sehen. Daher können die Grundlagen für eine umfangreiche Betrachtung dieses Themas und sichere Umsetzung von Projekten bereits sehr früh festgelegt werden.

Brille vor Screen

Ein umfangreiches Portfolio von Anfang bis Ende

Im gesamten Umsetzungsprozess, bis hin zum laufenden Betrieb, bietet RISE ein umfangreiches Sicherheits-Portfolio. Dabei kommen standardisierte Prozesse und Werkzeuge zum Einsatz, die durch zahlreiche Umsetzungsprojekte für hochsichere TI-Lösungen optimiert wurden. Dazu zählen Komponenten/Bibliotheken, Lösungen für Sicherheit im laufenden Betrieb, Werkzeuge für Tests von Sicherheitsaspekten im Rahmen der Testautomatisierung sowie Penetrationstests. RISE Lösungen werden in geprüften Umgebungen unter Berücksichtigung hoher Standards umgesetzt. Viele davon werden unabhängig begutachtet und von externe Stellen kontrolliert. Die umfangreiche Expertise von RISE bringt auch für Ihre Vorhaben den erforderlichen Sicherheitsvorsprung!

Tastatur und Screens

Security von RISE

RISE bietet hoch qualifizierte Sicherheitsexperten mit ausgezeichneter praktischer Erfahrungen und Kenntnissen auf dem Gebiet der IT-Sicherheit, Kryptographie, Public Key Infrastructures (PKI) inkl. Zertifikatsvalidierung/OCSP/CRL, Softwareentwicklung & Programmierung, der Durchführung von Penetrationstests, Sicherheitstests von Enterprise-Netzwerken sowie Breach-Response, forensischen Analysen und allgemein den Betrieb sicherheitskritischer Infrastrukturen.

  • Sicherheitstests und Härtungen von eGOV Lösungen
  • Konzeption von Sicherheitshandbüchern
  • Konzeption und Entwicklung im Bereich Qualitätsmanagement, Testumgebungen und Testwerkzeuge
  • Betrieb von sicherheitskritischen Systemen
  • Entwicklung von Sicherheitslösungen, u.a. Umsetzung Honeynet Lösung für unterschiedliche Applikationen, Aufbau und Betrieb von SIEM-Lösungen und SOC-Dienstleistungen für große ISO27001 zertifizierte IT-Umgebungen
Ausgewählte Detailthemen

RISE besitzt ein breites Portfolio an unterschiedlichen Projekten und Schwerpunkten im Bereich Security & Privacy. Nachfolgend ein kleiner Auszug und Einblick in die Expertise von RISE im Bereich Sicherheit und Datenschutz.

RISE als Qualifizierte Stelle (QuaSte) zur Sicherheitsüberprüfung kritischer Infrastruktur

RISE wurde im Kontext des österreichischen Netz- und Informationssystemsicherheitsgesetz (NISG) durch das Bundesministerium für Inneres (BMI) als Qualifizierte Stelle (QuaSte) akkreditiert.

Hierbei wurde der angewandte Testprozess, sowie die Methodologie der RISE Sicherheitsexperten hinsichtlich ihrer Anwendung auf Systeme und Applikationen als Teil kritischer Infrastruktur geprüft. Als akkreditierte „Qualifizierte Stelle“ ist es den Sicherheitsexperten der RISE möglich, mit ihren Erfahrungswerte im Umgang mit unterschiedlichen sicherheitskritischen Systemen – von gängigen Web-/Mobile-Applikationen zu Hochsicherheits-Projekten, Chipkarten, Hosts und Cloud Infrastrukturen - jederzeit auch Sie in Bezug auf die Stärkung der Sicherheit von kritischer Infrastruktur zu unterstützen!

Expertise des RISE Security Teams

Für RISE ist IT-Sicherheit eine Passion. Wir denken IT-Sicherheit ganzheitlich und liefern Corporate Security durch Corporate Experience. Unsere Branchenerfahrung in sicherheitskritischen Projekten ist der Nutzen für die IT-Sicherheit unserer Kunden. Unsere Referenzen von privaten Unternehmen bis hin zu großen öffentlichen Institutionen – auch mit sehr hohen Sicherheitsanforderungen - sprechen für sich.

Durch eine umfangreiche Palette von industriellen Zertifizierungen bleibt RISE ständig am aktuellen Stand in dem hochdynamischen Sicherheitsbereich. Unter anderem halten die Sicherheitsexperten von RISE folgende Zertifizierungen:

  • Certified Ethical Hacker (CEH)
  • Offensive Security Certified Professional (OSCP)
  • Offensive Security Web Expert (OSWE)
  • Offensive Security Experienced Penetration Tester (OSEP)
  • eLearnSecurity Certified Professional Penetration Tester (eCPPT)
  • eLearnSecurity Web Application Penetration Tester (eWPT)
  • eLearnSecurity Certified Penetration Tester eXtreme (eCPTX)

Zahlreiche Mitarbeiter von RISE kommen aus dem wissenschaftlichen Umfeld bzw. betreiben aktiv Research im Sicherheitsumfeld. RISE kann dabei auf zahlreiche Mitarbeitende mit erfolgreich durchgeführten Dissertationen im Sicherheitsumfeld zurückgreifen und RISE Mitarbeiter führen häufig Schulungen für Unternehmen oder im universitären Umfeld auf allen Ausbildungsstufen durch.

Verschiedene Sicherheitszertifikate

Aktivitäten des RISE Security Teams

RISE Mitarbeiter im Security-Bereich haben exzellente praktische Erfahrungen im Bereich Open-Source-Software und tragen aktiv in der Open-Source-Community bei. Auf diese entsprechenden Ressourcen kann im Laufe der einzelnen Leistungsabrufe zurückgegriffen werden, um Entwicklungen in den Communities bei der Auswahl der Testobjekte (Bibliotheken, Applikationen) abzustimmen.

  • Linux Kernel Entwicklung
  • Apache Software Foundation
  • Committer in diversen Open Source Projekten
  • RISE führt laufend Analysen (Black- und Whitebox) von OSS auf Schwachstellen durch und meldet diese den OSS-Projekten ein

RISE Mitarbeiter sind Teil der wissenschaftlichen (Security-)Community und nehmen an weltweit relevanten Forschungsvorhaben Teil. Ein Beispiel hierfür ist eine durch RISE Mitarbeiter gefundene international anerkannte Sicherheitsschwachstelle in TLS Protokoll: RISE hatte 2015 eine international aufsehenerregende Schwachstelle im TLS Protokoll (globales Protokoll im Internet) entdeckt (und geschlossen), die es Angreifern ermöglicht einen sogenannten Man-in-the-Middle Angriff durchzuführen, und dadurch bei gesicherte Internetseiten (z.B. Facebook, eBanking) private Daten mitzulesen und beliebig zu verändern. Facebook hatte die Entdeckung mit dem BugBounty-Award gewürdigt. RISE-Publikationen und Verfahren zu KCI Attacken gegen TLS sind abrufbar unter https://kcitls.org.

RISE Mitarbeiter nehmen als Teil der Community von IT-Security Capture-The-Flag (CTF) Contests über das „Defragmented Brains“ Team regelmäßig an weltweiten Sicherheits-Wettbewerben teil bzw. veranstalten für Kunden immer wieder selbst entsprechende Wettbewerbe als Training im Sicherheitsumfeld. In diesem Bereich ist das laufende Training ein wesentlicher Erfolgsfaktor um im Ernstfall entsprechend schnell reagieren zu können und ein breites und umfangreiches Spektrum an Sicherheits-Schwachstellen abdecken zu können.

Zwei miteinander sprechende Personen vor einem Tresen, eine Person hält ein Tablet

Sicherheit im Gesundheitswesen: Der Schlüssel zum Vertrauen

Die Sicherheit von Gesundheitsdaten ist nicht nur eine Verpflichtung, sondern der Kern vertrauensvoller medizinischer Versorgung. Ob ePA, eID oder Gesundheitsinfrastrukturen, wir verstehen den Schutz sensibler Daten auf allen Ebenen.

Gesundheitswesen