Ziele: Ein Sicherheitsstandard, geprüft aus drei realen Angriffsperspektiven

Ziel des Projekts Global Technical Audit war ein umfassender vergleichender Überblick über das Sicherheitsniveau der weltweiten Sozietäten aus drei komplementären Blickwinkeln:

• Sicht externer Angreifender aus dem Internet
• Sicht eines Angreifenden, der bereits einen Rechner im internen Netz übernommen hat
• technische Compliance-Sicht: Verifikation der Umsetzung konkreter Sicherheitsanforderungen aus den Bereichen Asset Management, Identity and Access Management, Schwachstellenmanagement, Protokollierung, Back-up und Netzwerkarchitektur

Dabei standen technische Detailtiefe und Praxisnähe im Vordergrund. Risiken sollten spezifisch im Kontext der individuellen IT-Umgebung und der realen Geschäftspraxis der einzelnen Sozietäten bewertet werden. Bei Empfehlungen zur Verbesserung des Sicherheitsniveaus waren der konkret eingesetzte Technologie-Stack und der Kontext der Organisation zu berücksichtigen.

Herausforderungen: 20 eigenständige Sozietäten, ein vergleichbarer Maßstab

Die zentrale Herausforderung lag im Spannungsfeld zwischen Einheitlichkeit und Eigenheit. Das Vorgehen musste über alle Sozietäten vergleichbar bleiben und zugleich die individuellen Merkmale jeder einzelnen Organisation berücksichtigen. Zu auditieren waren Organisationen unterschiedlicher Größe, vom IT-Eigenbetrieb bis zu umfassender Dienstleisterunterstützung über verschiedene Technologie-Stacks hinweg, von On-Premises bis zu Cloud-First.

Umsetzung: Vom gemeinsamen Prüfkatalog bis zur verifizierten Wirksamkeit

HiSolutions erarbeitete in Abstimmung mit der CMS CISO Group zu Projektbeginn die Prüfgrundlage. Diese beinhaltete konkrete Pentest-Szenarien, einen umfassenden Prüfkatalog für die technische Auditierung sowie abgestimmte Bewertungskriterien.

Sowohl die externen und internen Penetrationstests als auch alle Audits wurden vollständig remote und in englischer Sprache durchgeführt. Die Prüfteams verifizierten technische Anforderungen durch Einsichtnahme in Konfigurationen via Screensharing im Detail. Die Ergebnisse wurden für jede Sozietät in einem eigenen Bericht ausführlich dargelegt und mit den technischen Verantwortlichen im Detail erörtert. Die Projektteams von HiSolutions standen anschließend bei der Umsetzung der aus den Prüfungen resultierenden Empfehlungen für Rückfragen beratend zur Seite. Abschließend hat HiSolutions alle Verbesserungsmaßnahmen erneut auditiert und ihre Wirksamkeit verifiziert. Während des gesamten Projektverlaufs wurde die CMS CISO Group durch ein zentrales Projektmanagerteam aus erfahrenen Penetrationstestern über den Projektfortschritt auf dem Laufenden gehalten.

Ergebnis: Belastbare Compliance statt Selbstauskunft

CMS Law verfügt nach dem Audit über einen umfassenden Überblick über die Sicherheitslage in allen Mitgliedssozietäten auf der Basis von realen Angriffsszenarien. Compliance-Aussagen konnten durch unabhängige technische Audits hinterlegt werden. Die Mitgliedssozietäten konnten Awareness und Know-how erweitern und das eigene Sicherheitsniveau durch gezielte Maßnahmen weiter steigern.

Das sagt unser Partner

"Wir danken dem Team von HiSolutions für die Professionalität, die Reaktionsschnelligkeit und die Qualität der Arbeit, die es während unserer gesamten Zusammenarbeit in den vergangenen Jahren unter Beweis gestellt hat, und hoffen, dass wir die Zusammenarbeit mit Ihrem Team fortsetzen können."

Über CMS law

CMS Law ist eine internationale Anwaltskanzlei mit mehr als 20 weltweit verteilten Sozietäten in über 50 Ländern. CMS arbeitet mit einem breit gefächerten Mandantenkreis, der von Großkonzernen über mittelständische Unternehmen bis zu Start-ups reicht. Die Kanzlei unterstützt diese dabei, die Herausforderungen und Chancen in ihren Märkten zu meistern.