Einheitliches Sicherheitsniveau über unabhängige IT-Organisationen hinweg
CMS Law ist eine internationale Anwaltskanzlei mit mehr als 20 weltweit verteilten Sozietäten. Mithilfe von übergreifenden Cybersicherheitsstandards hat sich CMS Law auf ein einheitlich hohes Sicherheitsniveau verpflichtet. HiSolutions überprüfte die Umsetzung der Sicherheitsmaßnahmen durch Penetrationstests und technische Audits in allen Mitgliedssozietäten und unterstützte die Verbesserung der Sicherheit durch Empfehlungen und Nachprüfungen.
Ziele
Ein Sicherheitsstandard, geprüft aus drei realen Angriffsperspektiven
Ziel des Projekts Global Technical Audit war ein umfassender vergleichender Überblick über das Sicherheitsniveau der weltweiten Sozietäten aus drei komplementären Blickwinkeln:
- Sicht externer Angreifender aus dem Internet
- Sicht eines Angreifenden, der bereits einen Rechner im internen Netz übernommen hat
- technische Compliance-Sicht: Verifikation der Umsetzung konkreter Sicherheitsanforderungen aus den Bereichen Asset Management, Identity and Access Management, Schwachstellenmanagement, Protokollierung, Back-up und Netzwerkarchitektur
Dabei standen technische Detailtiefe und Praxisnähe im Vordergrund. Risiken sollten spezifisch im Kontext der individuellen IT-Umgebung und der realen Geschäftspraxis der einzelnen Sozietäten bewertet werden. Bei Empfehlungen zur Verbesserung des Sicherheitsniveaus waren der konkret eingesetzte Technologie-Stack und der Kontext der Organisation zu berücksichtigen.
Herausforderungen
20 eigenständige Sozietäten, ein vergleichbarer Maßstab
Die zentrale Herausforderung lag im Spannungsfeld zwischen Einheitlichkeit und Eigenheit. Das Vorgehen musste über alle Sozietäten vergleichbar bleiben und zugleich die individuellen Merkmale jeder einzelnen Organisation berücksichtigen. Zu auditieren waren Organisationen unterschiedlicher Größe, vom IT-Eigenbetrieb bis zu umfassender Dienstleisterunterstützung über verschiedene Technologie-Stacks hinweg, von On-Premises bis zu Cloud-First.
Umsetzung
Vom gemeinsamen Prüfkatalog bis zur verifizierten Wirksamkeit
HiSolutions erarbeitete in Abstimmung mit der CMS CISO Group zu Projektbeginn die Prüfgrundlage. Diese beinhaltete konkrete Pentest-Szenarien, einen umfassenden Prüfkatalog für die technische Auditierung sowie abgestimmte Bewertungskriterien.
Sowohl die externen und internen Penetrationstests als auch alle Audits wurden vollständig remote und in englischer Sprache durchgeführt. Die Prüfteams verifizierten technische Anforderungen durch Einsichtnahme in Konfigurationen via Screensharing im Detail. Die Ergebnisse wurden für jede Sozietät in einem eigenen Bericht ausführlich dargelegt und mit den technischen Verantwortlichen im Detail erörtert. Die Projektteams von HiSolutions standen anschließend bei der Umsetzung der aus den Prüfungen resultierenden Empfehlungen für Rückfragen beratend zur Seite. Abschließend hat HiSolutions alle Verbesserungsmaßnahmen erneut auditiert und ihre Wirksamkeit verifiziert. Während des gesamten Projektverlaufs wurde die CMS CISO Group durch ein zentrales Projektmanagerteam aus erfahrenen Penetrationstestern über den Projektfortschritt auf dem Laufenden gehalten.
Ergebnis
Belastbare Compliance statt Selbstauskunft
CMS Law verfügt nach dem Audit über einen umfassenden Überblick über die Sicherheitslage in allen Mitgliedssozietäten auf der Basis von realen Angriffsszenarien. Compliance-Aussagen konnten durch unabhängige technische Audits hinterlegt werden. Die Mitgliedssozietäten konnten Awareness und Know-how erweitern und das eigene Sicherheitsniveau durch gezielte Maßnahmen weiter steigern.
Das sagt unser Partner
Wir danken dem Team von HiSolutions für die Professionalität, die Reaktionsschnelligkeit und die Qualität der Arbeit, die es während unserer gesamten Zusammenarbeit in den vergangenen Jahren unter Beweis gestellt hat, und hoffen, dass wir die Zusammenarbeit mit Ihrem Team fortsetzen können.
Über CMS law
CMS Law ist eine internationale Anwaltskanzlei mit mehr als 20 weltweit verteilten Sozietäten in über 50 Ländern. CMS arbeitet mit einem breit gefächerten Mandantenkreis, der von Großkonzernen über mittelständische Unternehmen bis zu Start-ups reicht. Die Kanzlei unterstützt diese dabei, die Herausforderungen und Chancen in ihren Märkten zu meistern.
Ihr Ansprechpartner
Lena Morgenroth
Ob IT-Risikomanagement, Sicherheitskonzepte oder Audits – ich unterstütze Sie bei der Umsetzung robuster Sicherheitsstrategien. Lassen Sie uns sprechen – Ihre Cyber-Resilienz beginnt mit Erfahrung.
Lena Morgenroth verfügt über langjährige Erfahrung in der Informationssicherheit mit Schwerpunkten in technischer Sicherheitskonzeption, Penetrationstests und technischen Audits. In komplexen Beratungsprojekten verbindet sie tiefes technisches Know-how mit fundierter Methodik nach BSI IT-Grundschutz, ISO 27001 und branchenspezifischen Anforderungen wie i-Kfz.
Ihre Expertise umfasst außerdem Risikoanalysen, Netzwerk- und Systemhärtung, forensische Analysen sowie die Leitung anspruchsvoller Multi-Stakeholder-Projekte.
Kontaktieren Sie uns via Formularanfrage