IT-Sicherheitsaudit

Zuverlässiger Schutz vor Schäden und Bedrohungen, durch technische 
Sicherheitsprüfungen und regelmässigen Audits.

IT-Sicherheitsaudit mit Anspruch

Im Fokus eines IT-Sicherheitsaudits steht die Ermittlung von Sicherheitsmängeln jeglicher Art. Die reine Sicherheitsüberprüfung ist im Rahmen einer solchen Vorgehensweise zuzüglich der Dokumentation aller vorgefundenen Mängel beschränkt. Im Gegensatz dazu wird unter einem IT-Sicherheitsaudit die Einbettung der Überprüfung in die firmeninterne Systemsicherheitsleitlinie (Security Policy) verstanden. Voraussetzung für ein Audit ist somit Existenz und schriftliche Fixierung einer Systemsicherheitsleitlinie sowie – daraus abgeleitet – firmeninterne IT-Sicherheitsrichtlinien. Beides ist in vielen Firmen nicht vorhanden, sodass zumeist lediglich die weniger effektiven IT-Sicherheitsüberprüfungen durchgeführt werden können.

IT-Sicherheitsaudits werden durchgeführt, um ein bestehendes IT-Sicherheitsniveau festzustellen und dies gegebenenfalls erhöhen zu können. Dabei wird das IT-Sicherheitsniveau einer Organisation im zeitlichen Verlauf dargestellt. Wurde in der Organisation bisher wenig in die IT-Sicherheit investiert, befindet sich das aktuelle Sicherheitsniveau unterhalb des angestrebten IT-Sicherheitsniveaus. Solange keine zusätzlichen IT-Schutzmassnahmen durchgeführt werden, sinkt das Sicherheitsniveau aus mehreren Gründen ständig ab:

  • Die vorhandenen IT-Systeme werden ständig komplexer und damit unsicherer.
  • Aus Unwissenheit oder Bequemlichkeit werden immer mehr Komponenten der IT-Systeme unsicher konfiguriert.
  • Das Wissen, die Möglichkeiten und die Professionalität potenzieller Angreifer wachsen stetig.
  • Die Sensibilisierung / Awareness der Nutzer und Administratoren sinkt als Folge der Gewöhnung.

IT-Audit Konfigurator

Kalkulieren Sie Ihren Audit-Umfang & erhalten Sie ein Angebot

ISO 27001
TISAX
IKT / IT-Grundschutz
Erst-Audit (Initial)
Re-Zertifizierung
Anzahl betroffener Mitarbeiter 50 Mitarbeiter
Gewünschter Durchführungsort
Remote
Hybrid
Vor Ort
Name / Kontaktperson
Firma
E-Mail Adresse
Zusätzliche Infos (Standorte, Besonderheiten)

Mit Sicherheit von Netsafe AG

Wir unterstützen Sie in der Netzwerksicherheit und Cyberabwehr. 
Unser Team aus zertifizierten Fachleuten bietet Ihnen umfassende Dienstleistungen wie Penetrationstests, Audits und Revisionen, um Schwachstellen in Ihrer IT-Infrastruktur zu identifizieren und zu beheben. Wir bieten massgeschneiderte Schulungen an, um Ihr Personal in den neuesten Sicherheitstechniken zu schulen, und stellen sicher, dass Ihre Systeme immer den aktuellsten Sicherheitsstandards entsprechen. Vertrauen Sie auf unsere Expertise, um Ihr Unternehmen gegen Cyberbedrohungen zu schützen. Kontaktieren Sie uns für eine individuelle Sicherheitslösung.



Unsere Sicherheitslösungen

Security Check

Neue Technologien und Sicherheitskonzepte.

Background Check

Sicherheitskonzepte oder Optmierung der Prozesse.

IT Audit

Sicherheitskonzepte oder Optmierung der Prozesse.

Sicherheitskonzept

Sicherheitskonzepte oder Optimierung der Prozesse.

Penetrationstest

Detaillierte Analyse der Ausgangssituation.

Datenwiederherstellung

Unterstützung bei der Umsetzung für neue Wegen.

Datenschutz

Unterstützung bei der Umsetzung für neue Wegen.

Risikomanagement

Unterstützung bei der Umsetzung für neue Wegen.

Warum sollte ein Unternehmen ein IT-Sicherheitsaudit beauftragen?

Die Identifikation und Ausnutzung dieser Schwachstellen durch Kriminelle können finanzielle Risiken und wirtschaftliche Schäden des Unternehmens hervorrufen. IT-Schwachstellenanalysen zielen eben genau darauf ab, diese Fehler systematisch zu finden, um Bedrohungen und mögliche Angriffsszenarien zu unterbinden oder zu minimieren, bevor diese Themen durch Kriminelle aufgedeckt und ausgenutzt werden.

In den meisten Fällen beginnt das IT-Sicherheitsaudit im Rahmen eines Qualitätsmanagements, um die genannten Probleme aufzuzeigen und auszuwerten. Es ist wichtig, ein umfangreiches Qualitätsmanagement, z.B. nach einer entwickelten Software, anzusetzen, um die gängigsten Fehler zu verhindern und eine Grundsicherung der Umgebung und der Software zu gewährleisten, die später in Unternehmen betrieben werden. 


Dazu zählen auch die externen Abhängigkeiten, wie zum Beispiel die IT-Infrastruktur und IT-Umgebung (Betriebssystem), auf welcher die Anwendung betrieben wird, um potenzielle Einwirkungen zu analysieren, bewerten und auszuwerten. Diese sind ebenfalls Bestandteil einer Risiko- & Schwachstellenanalyse. IT-Sicherheitsaudits zählen zudem auch zum Bereich der Informations- und Netzwerksicherheit, die damit zusammenhängend unbedingt erforderlich ist.

IT-Sicherheitsaudit, Normen und Richtlinien für die Schweiz

International ist die IT-Sicherheitsprüfung im ISO-Standard ISO/IEC 27001 definiert. Dazu gehört in der Regel eine internationale Sicherheitsrichtlinie im Zusammenhang mit der Planung, Dokumentation und kontinuierlichen Weiterentwicklung des Informationssicherheit-Managementsystems (ISMS) des Unternehmens. Weitere nationale Standards basieren auf dem IT-Sicherheitshandbuch des BSI mit folgenden Unterscheidungen anhand der Abbildung.

Warum sinkt das Sicherheitsniveau ständig?

  • Die vorhandenen IT-Systeme werden ständig komplexer und damit unsicherer.

  • Aus Unwissenheit oder Bequemlichkeit werden immer mehr Komponenten der IT-Systeme unsicher konfiguriert.

  • Das Wissen, die Möglichkeiten und die Professionalität potenzieller Angreifer wachsen stetig.

  • Die Sensibilisierung / Awareness der Nutzer und Administratoren sinkt als Folge der Gewöhnung.

Arten von IT-Sicherheitsüberprüfungen

Es gibt unterschiedliche Möglichkeiten, ein IT-Sicherheitsaudit durchzuführen. Im Allgemeinen wird es nach Rahmenbedingungen, Methodik und Anforderungen durchgeführt.

Einige der gängigen Verfahren sind:

  • Black Box Audit: Hier kennt der Prüfer nur die öffentlich verfügbaren Informationen über die zu prüfende Organisation.
  • White Box Audit: Bei dieser Art der Sicherheitsüberprüfung erhält der Prüfer detaillierte Informationen (z. B. Quellcode, Mitarbeiterzugriff usw.) zu der Organisation, die geprüft werden soll.
  • Gray Box Audit: Hier erhält der Prüfer zunächst einige Informationen zum Prüfungsprozess. Diese Informationen können auch von den Prüfern selbst gesammelt werden, werden jedoch zur Zeitersparnis bereitgestellt.

Methodikbasiert

  • Penetrationstests: Der Prüfer versucht, in die Infrastruktur der Organisation einzudringen.
  • Compliance-Audits: Es werden nur bestimmte Parameter überprüft, um festzustellen, ob die Organisation die Sicherheitsstandards einhält.
  • Risikobewertungen: Eine Analyse kritischer Ressourcen, die im Falle einer Sicherheitsverletzung bedroht sein können.
  • Sicherheitslücken-Tests: Notwendige Scans werden durchgeführt, um mögliche Sicherheitsrisiken zu ermitteln. Viele Fehlalarme können vorhanden sein.
  • Due Diligence-Fragebögen: Wird für eine Analyse vorhandener Sicherheitsstandards in der Organisation verwendet. BSI-Standard, ISO-Standards oder der IKT-Minimalstandard.