• Dr.-Ing. Markus a Campo Sachverständiger
  • Dr.-Ing. Markus a Campo Sachverständiger

    Sachverstand

Qualifizierter und erfahrener Sach­verständiger



Sachverstand

Sicherheit durch Sachverstand

Seit 2006 bin ich von der IHK Aachen öffentlich bestellter und vereidigter Sachverständiger mit dem Bestellungstenor "Systeme und Anwendungen der Informationsverarbeitung, insbesondere im Bereich IT-Sicherheit".

Meine Schwerpunkte:

  • Sicherheit von Webshops und Web-Applikationen
  • Sicherheit von Smartphones
  • Missbrauch von IT-Systemen
  • Kriminalität im Zusammenhang mit IT-Systemen und dem Internet
  • EC- und Kreditkarten, Online-Banking
  • Incident-Response und forensische Analyse von Computern und Smartphones
  • Audits und Prüfungen nach ISO 27001 und BSI-Grundschutz
  • Unterstützung bei der Einführung der ISO 27001
  • Wertgutachten
  • Workshops und Schulungen

Mit meinem Wissen und meiner Erfahrung unterstütze ich Sie gerne zum Nutzen der Sicherheit in Ihrem Netzwerk.

Zeichen für Sachverstand

Zeichen für Sachverstand

Ich unterstütze Sie!


  • Bei der täglichen Flut von neuen Sicherheitslücken und Angriffs­programmen ist die Aufrechterhaltung der Informations­sicherheit ein Fulltime-Job. Die meisten Administratoren und Netzwerk­spezialisten müssen diese Arbeit jedoch nebenbei machen. Da ist es gut, wenn eine Unter­stützung durch externe Spezialisten möglich ist.

    Sachverstand & Sicherheit

    Das Sachverständigenbüro bietet Ihnen:


    • Gutachten und andere Sachverständigenleistungen
    • Vorbereitung auf eine Zertifizierung nach BSI-Grundschutz oder ISO 27001
    • Audit nach ISO 27001
    • ISMS nach ISO 27001
    • Beratung zum IT-Sicherheitsgesetz
    • Erstellung oder Review von Sicherheitskonzepten
    • Sicherheitsanalyse Ihrer Infrastruktur
    • Audit von Web-Anwendungen
    • Penetrationstests
    • Incident-Response und forensische Analyse von Computern und Smartphones
    • Schulungen und Moderation von internen Workshops
  • Aufgaben als Sachverständiger


    Fachliche Schwerpunkte als Sachverständiger

    • IT-Sicherheit
    • Zahlungssysteme (Kreditkarten, Debitkarten, Online-Banking, Internet)
    • Computer- und Internetkriminalität
    • forensische Analysen von Computern und Smartphones
    • Prüfung von Echtheit und Unversehrtheit digitaler Bilder von Überwachungsgeräten (z. B. Traffipax)
    • IT-fachliche Bewertung von Gerichtsurteilen und polizeilichen Ermittlungen in Berufungsverfahren

    Gründe, einen Sachverständigen in Anspruch zu nehmen

    • Unterstützung in gerichtlichen Auseinandersetzungen
    • Vorbereitung von gerichtlichen Auseinandersetzungen
    • Mitarbeit in selbstständigen Beweisverfahren
    • drohender Verlust an Reputation durch falsche Darstellung in den Medien
    • Wertermittlung von Software oder Geschäftsideen
    • Dokumentation von Prozessen und Sachständen zur Absicherung der eigenen Vorgehensweise
    • Entkräftung des Vorwurfs des Organisationsverschuldens
  • Zertifizierung nach BSI-Grundschutz oder ISO 27001


    Mit fortschreitender Vernetzung von Firmen und Behörden sowie einer strengen Beachtung von Compliance-Vorgaben werden Zertifizierungen der Informationssicherheit immer wichtiger. Ich unterstütze Sie bei den Vorbereitungen, damit Sie sich auf die wesentlichen Aspekte der Zertifizierung konzentrieren können.

    Meine Leistungen:

    • Kontrolle der Wirksamkeit des ISMS (Informationssicherheit-Managementsystems)
    • Anpassung der ISO- oder BSI-Vorgaben an Ihre Infrastruktur
    • Bewertung von schon geleisteten Vorarbeiten
    • Kontrolle der Umsetzung von Maßnahmen zur Informationssicherheit
    • Risikoanalysen
    • Kontrolle von Notfallplänen
  • AUDIT nach ISO 27001


    Zertifizierter ISO 27001 Lead Auditor

    Ich bin von der international anerkannten Organisation PECB als ISO 27001 Lead Auditor zertifiziert worden. Damit kann ich alleine oder zusammen mit anderen Auditoren vollständige Audits nach ISO 27001 durchführen. Ein solches Audit besteht aus Interviews, Begehungen, dem Studium von Dokumenten und anderen Prüfungen.

    Meine Leistungen:

    • Zertifizierungen nach ISO 27001 in Zusammenarbeit mit anerkannten Zertifizierungs-Instanzen
    • Vorbereitung von Zertifizierungen unter echten Audit-Bedingungen
    • Beratung im Vorfeld von Zertifizierungen: Anforderungen, Vorgehensweisen, Formalia, Kosten
    • Unterstützung bei Zertifizierungen durch andere Auditoren
  • ISMS nach ISO 27001


    Zertifizierter ISO 27001 Lead Implementer

    Ich bin von der international anerkannten Organisation PECB als ISO 27001 Lead Implementer zertifiziert worden. Damit kann ich Firmen beraten und unterstützen, die ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einführen wollen.

    Meine Leistungen:

    • Gap-Analyse: Wo steht Ihre Firma? Was fehlt noch an Dokumenten und Maßnahmen?
    • Planung der Einführung eines ISMS
    • Erstellung von maßgeschneiderten Referenzdokumenten nach ISO 27001
    • Vorbereitung auf das erste Audit bzw. die Zertifizierung
  • IT-Sicherheitsgesetz


    Vorbereitung auf die Umsetzung

    Das IT-Sicherheitsgesetz betrifft in erster Linie die Betreiber kritischer Infrastrukturen. Allerdings müssen diese Betreiber ihr Verhältnis zu Lieferanten und Dienstleistern konform zum Gesetz ausrichten. Indirekt sind also noch viele andere Firmen betroffen, oft Mittelständler, für die die kommenden Anforderungen neu und ungewohnt sind.

    Meine Leistungen:

    • Analyse der Anforderungen, die sich direkt oder indirekt aus dem IT-Sicherheitsgesetz ergeben
    • Workshops zur Bestimmung des Reifegrades bei der Informationssicherheit im Hinblick auf das IT-Sicherheitsgesetz
    • Beratung bei der Auswahl von Maßnahmen
    • Unterstützung bei der Dokumentation gegenüber den Kunden und bei Zertifizierungen
  • Erstellung oder Review von Sicherheitskonzepten


    Sicherheitskonzepte müssen von Zeit zu Zeit angepasst, ergänzt oder auf Konsistenz und Angemessenheit überprüft werden. Sonst besteht die Gefahr, dass nicht alle Eventualitäten abgedeckt werden und Sicherheitslücken entstehen.

    Das gilt insbesondere bei:

    • Einführung neuer Technologien
    • Änderung von Unternehmenszielen oder Geschäftsbereichen
    • Fusionen oder Abspaltung von Firmenteilen
    • Kooperationen mit Partnern unter Einbeziehung von B2B-Lösungen

    Profitieren Sie von meiner Erfahrung in vielen unterschiedlichen Firmen und Behörden und lassen Sie Ihr Sicherheitskonzept von einem Fachmann erstellen oder kontrollieren. Damit können Sie sicher sein, dass allgemein anerkannte Best Practices auch in Ihrem Konzept berücksichtigt werden.

  • Sicherheitsanalyse Ihrer Infrastruktur


    Im hektischen Tagesgeschäft bleibt für die Kontrolle der Sicherheit kaum Zeit. Profitieren Sie von meiner Erfahrung, organisatorische, personelle und technische Sicherheitslücken zu finden und einen Weg aufzuzeigen, diese zu schließen.

    • Die Untersuchungen können umfassen: Interviews, Begehungen, Reviews von Dokumenten, Security-Scans und Penetrationstests.
    • Durch eine enge Anlehnung an die BSI-Grundschutzkataloge bzw. ISO 27001 ist die Vollständigkeit der Untersuchung gewährleistet.
    • Die Vorbereitung der Analyse wird durch in der Praxis bewährte Checklisten unterstützt und ist dadurch effizient und kostengünstig.
  • Audit von Web-Anwendungen


    Web-Anwendungen wie Shops oder Portale stehen oft im Zentrum von Hacker-Angriffen. Neben einem Penetrationstest ist es deshalb sinnvoll, den Programmcode und die Logik der Anwendung kritisch zu hinterfragen. Dabei werden Schwachstellen gefunden, die bei einem Penetrationstest nicht gefunden wurden oder nicht sichtbar waren und die sich erst in der Zukunft zu einem Problem entwickeln können.

    Ein Audit von Web-Anwendungen deckt Sicherheitslücken in folgenden Bereichen auf:

    • Validierung von Eingabewerten
    • Validierung von Ausgabedaten, etwa wenn Module zum Zahlungsverkehr angesprochen werden
    • logischer Ablauf der Anwendung
    • Nutzung unsicherer Funktionen oder Funktionsaufrufe
    • Session-Handling
    • Verfahren zur Authentifizierung und/oder Verschlüsselung
    • Ankopplung von Datenbanken
    • Speicherung von Passwörtern und anderen sensiblen Daten

    Mit einem Audit wird eine Web-Anwendung "von innen her" untersucht. Ein solches Audit ist eine ideale Ergänzung zu einem Penetrationstest.

  • Penetrationstest


    Bei einem Penetrationstest werden über das Netzwerk Sicherheitslücken gesucht und gefunden. Die Arbeit des Penetrationstesters ähnelt in vielen Punkten einem Hacking-Angriff, geschieht allerdings unter kontrollierten Bedingungen.

    Ein Penetrationstest folgt in der Regel folgendem Ablaufplan:

    • Festlegung der Ziele und der eingesetzten Methoden, in Absprache mit dem Kunden
    • Analyse der Dienste und eingesetzten Systeme, in der Regel mit der Hilfe von Portscannern und Security-Scannern
    • Bestimmung von Programm- und Betriebssystemversionen
    • Rückschlüsse auf mögliche Schwachstellen
    • Tests der Schwachstellen mit Tools oder selbst geschriebenen Programmen

    Insbesondere bei Web-Applikationen sind Penetrationstests ein unverzichtbares Hilfsmittel zur Absicherung des Systems. Idealerweise sollte ein Penetrationstest mit abgeschalteten Sicherungsmechanismen wie etwa Web Application Firewalls erfolgen. Da ein Penetrationstest immer ein Test von außen ist, können auch nur die von außen zugreifbaren Sicherheitslücken gefunden werden. Bei komplexen Web-Anwendungen ist es deshalb sinnvoll, das System zusätzlich mit einem Code-Review auch von innen zu überprüfen.

  • Incident-Response und forensische Analyse


    Bei einem Sicherheitsvorfall muss schnell gehandelt werden. Dabei geht es nicht nur darum, Hintergründe aufzuklären und den Täter zu ermitteln. In produktiven Umgebungen kann eine Unterbrechung finanzielle Risiken bringen oder Reputation kosten.

    Meine Leistungen:

    • Sicherung von Beweisen in PCs, Servern und Smartphones
    • Sicherung von flüchtigen Daten (Speicher, Prozesse, offene Handles, Bibliotheken und Netzwerkverbindungen)
    • Sicherung nichtflüchtiger Daten wie etwa Festplatten
    • Analyse der Beweismittel manuell oder mit Forensik-Programmen
    • Schnelltest durch einen Vorher-/Nachher-Vergleich von Datensicherungen
    • Schreiben von gerichtskonformen Gutachten

    Damit können Sie im Fall der Fälle sicher sein, alles Notwendige getan zu haben.

  • Schulungen und Moderation von internen Workshops


    Bei meinen Schulungen arbeite ich mit großen Partnern zusammen. Sie übernehmen Organisation und technische Ausstattung.

    Die Themen:

    • Sicherheitslücken in Unternehmensnetzen finden und schließen
    • IT-Forensik
    • Hacking für Administratoren
    • Smartphone-Security
    • BSI-Grundschutz und ISO 27001

    Moderation von internen Workshops:

    In mittleren und größeren Unternehmen ist es sinnvoll, von Zeit zu Zeit den Stand der Informationssicherheit zu prüfen und Perspektiven für Verbesserungen zu erarbeiten. Das kann in Form von internen Workshops geschehen, bei denen Funktionsträger aus verschiedenen Abteilungen zusammentreffen und diskutieren.

    Die Organisation und Durchführung solcher Workshops spart externe Hilfe, Zeit und Geld. Diese kann umfassen:

    • Festlegung von Themen in Abstimmung mit internen Funktionsträgern
    • Ausarbeitung von Handouts und Präsentationen
    • Moderation des Workshops
    • Dokumentation der Ergebnisse

    Profitieren Sie dabei von meiner Erfahrung in vielen unterschiedlichen Firmen und Behörden. In den Workshops werden allgemein anerkannte Best Practices berücksichtigt, von denen Sie profitieren können.

Profil und Werdegang von Dr.-Ing. Markus a Campo


  • Profil

    Beruflicher Werdegang


    Ausbildung zum Diplom-Ingenieur Elektrotechnik mit Schwerpunkt Technische Informatik an der RWTH Aachen, Promotion auf dem Gebiet der verteilten Rechner-Architekturen, anschließende Arbeit in der Industrie im Bereich Fertigungs-Automatisierung und Netzwerke.

    Seit 1.1.1997 ausschließlich Arbeit im Bereich IT-Sicherheit:

    • private und gerichtliche Gutachten
    • Konzeption, Beratung
    • Audits, Sicherheitsüberprüfungen und Zertifizierungen
    • Schulungen und Workshops
    • Autor von Büchern und Zeitschriftenbeiträgen

    Seit 2006 bin ich von der IHK Aachen öffentlich bestellter und vereidigter Sachverständiger mit dem Bestellungstenor "Systeme und Anwendungen der Informationsverarbeitung, insbesondere im Bereich IT-Sicherheit".

  • Meine Kompetenzen


    • Beratung und Gutachten im Bereich der Informationssicherheit
    • Audits, Prüfungen und Zertifizierungen nach den BSI-Grundschutzkatalogen sowie ISO 27001/27002
    • elektronische Zahlungssysteme (ec-Karte, Kreditkarten, GiroPay)
    • Security Checks, Audits, Reviews
    • Sicherheitsanalyse von Systemen, Netzwerken und Web-Anwendungen
    • Incident-Response und forensische Analyse von Computern und Smartphones
    • Härtung von Betriebssystemen und Applikationen (Windows, Linux, VMware, Citrix)
    • Konzeption und Durchführung von Penetrationstests
    • Einsatz von Kryptographie
    • Einsatz von Smartphones in Unternehmen (iPhone, BlackBerry, Symbian, Android, Windows Mobile/Phone)
    • Review des Regelwerks komplexer Firewall-Systeme
    • Schulungen und Workshops
  • Referenzprojekte


    Hier finden Sie einige interessante und wichtige Projekte aus der letzten Zeit. Eine vollständige Liste können Sie als PDF laden.

    Tätigkeiten als Gutachter

    • Sicherheit von deutschen Visa- und EC-Karten bei Abhebungen mit EMV-Chip im Ausland
    • Sicherheit des SmartTANPlus-Verfahrens
    • Ermittlung des Marktwerts einer Software aus dem Bereich der Energieversorgung
    • Bewertung des Marktwerts des Online-Geschäfts eines Unternehmens als Vorbereitung zum Börsengang
    • Bewertung von Leistungsmängeln einer Telefonanlage
    • Bewertung der Echtheit von Fotos eines Traffipax-Geschwindigkeitsüberwachungsgeräts mit einer Robot-Digitalkamera

    Tätigkeiten als Berater

    • Entwurf einer Sicherheitsarchitektur für den Zugriff auf Webservices aus dem Internet
    • Risikoanalyse eines digitalen Intensiv- und OP-Dokumentationssystems
    • Möglichkeiten der Umsetzung von Compliance-Vorgaben durch die ISO 27001
    • Umsetzung von Compliance-Vorgaben (Datenschutz/ISO 27001) in einer Abteilung für Software-Entwicklung
    • Concept-Review/Code-Review des Web-Portals einer Versicherung
    • Forensische Analyse eines Symbian-Mobiltelefons
    • Concept-Review einer Internet-Anbindung (Citrix)
    • Concept-Review einer virtualisierten IT-Infrastrukur (VMware)
  • Veröffentlichungen


    Hier finden Sie eine kleine Auswahl meiner Veröffentlichungen. Eine vollständige Liste können Sie als PDF laden.

    Bücher/Booklets

    • Sicherheit nach BSI-Grundschutz und ISO 27001, WEKA Kissing, 2016
    • Sicherer Einsatz von Linux-Systemen, WEKA Kissing, 2015
    • Notfallmanagement - Einführung, Tools, Zertifizierung, WEKA Kissing, 2015
    • Systeme zum Mobile Device Management, WEKA Kissing, 2014
    • Sicherer Einsatz von Windows 8 und Windows Server 2012, WEKA Kissing, 2014
    • Absichern von Citrix-Umgebungen, WEKA Kissing, 2013
    • Dateiablage und Archivierung, WEKA Kissing, 2013
    • Virtualisierung, WEKA Kissing, 2013
    • Absichern von B2B-Kommunikation unter Windows, WEKA Kissing 2012
    • CompTIA Security+ - Vorbereitung auf die Prüfung SYO-301, mitp-Verlag Frechen 2011

    Fortlaufende Publikationen

    • Praxissoftware Quick Check Security Audit (Autor und Herausgeber), WEKA Kissing, 2003-2017
    • Organisationshandbuch Netzwerksicherheit (Autor und Herausgeber), WEKA Kissing, 1998-2017
    • Medizintechnik und Informationstechnologie - Konzepte, Technologien, Anforderungen, TÜV Media Köln, 2012-2014
    • Datenbank Interne Revision, The AuditFactory Bietigheim-Bissingen 2013-2015
  • Kooperationen


    Kooperationen im Bereich von Projekten und Schulungen bestehen mit:

Aktuelles vom Sachverständigen



  • Praxissoftware Quick Check Security Audit

    Ausgabe April 2017
    15.4.2017

    Prüfungskataloge und Checklisten nach BSI-Vorgaben: iOS Enterprise, Fernwartung, mobile Datenträger, Informationssicherheit auf Auslandsreisen, Laptop
    Booklet: Informationssicherheit und Datenschutz

  • Organisationshandbuch Netzwerksicherheit

    Ausgabe März 2017
    15.3.2017

    EU-U.S. Privacy Shield, Exchange Server 2016, Absichern von Internet Explorer und Edge, Polizeiliche Kriminalstatistik mehr >>

  • Buchveröffentlichungen

    15.10.2016

    Deutscher Security-Markt: Auf der Suche nach den Rundum-sorglos-Diensten, Security Einfach Machen (Hrsg: Ferri Abolhassan), Springer Gabler Wiesbaden, 2016 mehr >>

    The German Security Market: Searching for the Complete Peace-Of-Mind Service, Cyber Security. Simply. Make it Happen (Hrsg: Ferri Abolhassan), Springer International, 2016 mehr >>

  • Lead Auditor ISO 27001 bei ConformityZert

    1.9.2016

    Ich bin als Lead Auditor ISO 27001 bei der ConformityZert tätig. In dieser Funktion auditiere ich Informationssicherheits-Managementsysteme (ISMS) als Vorbereitung für die Erteilung eines Zertifikats. mehr >>

  • Senior Advisor bei der Experton Group

    1.3.2015

    Ich bin als Senior Advisor bei der Experton Group tätig. Die Schwerpunkte seiner Arbeit liegen in der Informationssicherheit, speziell in der Analyse von IT-Architekturen und -Sicherheitskonzepten. mehr >>

  • Zertifizierter ISO 27001 Lead Implementer

    23.2.2015

    Ich bin von der international anerkannten Organisation PECB als ISO 27001 Lead Implementer zertifiziert worden. Damit kann ich Unternehmen und Behörden bei der Einführung der ISO 27001 unterstützen.

  • Zertifizierter ISO 27001 Lead Auditor

    14.1.2014

    Ich bin von der international anerkannten Organisation PECB als ISO 27001 Lead Auditor zertifiziert worden. Damit kann ich alleine oder zusammen mit anderen Auditoren vollwertige Audits nach ISO 27001 durchführen. Ein solches Audit besteht aus Interviews, Begehungen, dem Studium von Dokumenten und anderen Prüfungen.

Dr.-Ing. Markus a Campo Sachverständiger


Wollen Sie uns eine verschlüsselte Nachricht zukommen lassen oder unsere digitale Signatur prüfen, benutzen Sie bitte folgenden öffentlichen Schlüssel:
PGP-Schlüssel (gültig bis 27.2.2018)
PGP-Fingerprint: EB1C CB24 687A 22C9 9CBE 763B 6A37 8823 6D7E 6F3A



Försterstr. 25
52072 Aachen

Tel: 0241 158080
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!





Sachvertsändiger




Dr.-Ing. Markus a Campo Sachverständiger

Försterstr. 25
52072 Aachen

Telefon: 0241 158080 0241 158080