Search Icon
Team Viewer Icon
Headset Icon

IT-Sicherheitsaudit

IT-Sicherheitsaudit mit Anspruch

Im Fokus eines IT-Sicherheitsaudits steht die Ermittlung von Sicherheitsmängeln jeglicher Art. Die reine Sicherheitsüberprüfung ist im Rahmen einer solchen Vorgehensweise zuzüglich der Dokumentation aller vorgefundenen Mängel beschränkt. Im Gegensatz dazu wird unter einem IT-Sicherheitsaudit die Einbettung der Überprüfung in die firmeninterne Systemsicherheitsleitlinie (Security Policy) verstanden. Voraussetzung für ein Audit ist somit Existenz und schriftliche Fixierung einer Systemsicherheitsleitlinie sowie – daraus abgeleitet – firmeninterne IT-Sicherheitsrichtlinien. Beides ist in vielen Firmen nicht vorhanden, sodass zumeist lediglich die weniger effektiven IT-Sicherheitsüberprüfungen durchgeführt werden können.

IT-Sicherheitsaudits werden durchgeführt, um ein bestehendes IT-Sicherheitsniveau festzustellen und dies gegebenenfalls erhöhen zu können. Dabei wird das IT-Sicherheitsniveau einer Organisation im zeitlichen Verlauf dargestellt. Wurde in der Organisation bisher wenig in die IT-Sicherheit investiert, befindet sich das aktuelle Sicherheitsniveau unterhalb des angestrebten IT-Sicherheitsniveaus. Solange keine zusätzlichen IT-Schutzmassnahmen durchgeführt werden, sinkt das Sicherheitsniveau aus mehreren Gründen ständig ab:

  • Die vorhandenen IT-Systeme werden ständig komplexer und damit unsicherer.
  • Aus Unwissenheit oder Bequemlichkeit werden immer mehr Komponenten der IT-Systeme unsicher konfiguriert.
  • Das Wissen, die Möglichkeiten und die Professionalität potenzieller Angreifer wachsen stetig.
  • Die Sensibilisierung / Awareness der Nutzer und Administratoren sinkt als Folge der Gewöhnung.

Nutzen

  • Erhöhung der Informationssicherheit und Minimierung von Risiken
  • Compliance mit gesetzlichen Vorgaben und Standards
  • Schutz vor Cyberangriffen und Datendiebstahl
  • Einsparung von Kosten: Durch die Optimierung der Sicherheitsmassnahmen können Kosten für Ausfälle, Datenverluste oder Reputationsschäden vermieden werden.
  • Verbesserung der Geschäftsprozesse
  • Steigerung des Vertrauens bei Kunden und Geschäftspartnern
  • Erhöhung der Wettbewerbsfähigkeit

Methodik

  • Erstgespräch zur Klärung der Aufgabenstellung, Zielsetzung und Erwartungen
  • Planung des Audits (Methoden, Zeitplan und Ressourcen)
  • Datenerhebung und -analyse (Interviews, Fragebögen, Dokumentenanalyse oder technische Tests)
  • Identifikation von Schwachstellen, Risiken und Handlungsbedarf
  • Bewertung der identifizierten Schwachstellen anhand von Risikokriterien, um Prioritäten für Massnahmenempfehlungen zu setzen
  • Erstellung eines Massnahmenplans, der konkrete Empfehlungen für technische und organisatorische Massnahmen enthält, um die Sicherheit zu erhöhen und Risiken zu minimieren
  • Präsentation der Ergebnisse und Empfehlungen an die Geschäftsleitung oder andere zuständige Personen
  • Nachbereitung, Feedback, Nachbetreuung bei Bedarf
IT-Sicherheitsaudit Normen und Richtlinien für die Schweiz


IT-Sicherheitsaudit Normen und Richtlinien für die Schweiz

International ist die IT-Sicherheitsprüfung im ISO-Standard ISO/IEC 27001 definiert. Dazu gehört in der Regel eine internationale Sicherheitsrichtlinie im Zusammenhang mit der Planung, Dokumentation und kontinuierlichen Weiterentwicklung des Informationssicherheits-Managementsystems (ISMS) des Unternehmens. Weitere nationale Standards basieren auf dem IT-Sicherheitshandbuch des BSI mit folgenden Unterscheidungen anhand der Abbildung:

Warum sollte ein Unternehmen ein IT-Sicherheitsaudit beauftragen?

Die Identifikation und Ausnutzung dieser Schwachstellen durch Kriminelle können finanzielle Risiken und wirtschaftliche Schäden des Unternehmens hervorrufen. IT-Schwachstellenanalysen zielen eben genau darauf ab, diese Fehler systematisch zu finden, um Bedrohungen und mögliche Angriffsszenarien zu unterbinden oder zu minimieren, bevor diese Themen durch Kriminelle aufgedeckt und ausgenutzt werden.

In den meisten Fällen beginnt das IT-Sicherheitsaudit im Rahmen eines Qualitätsmanagements, um die genannten Probleme aufzuzeigen und auszuwerten. Es ist wichtig, ein umfangreiches Qualitätsmanagement, z.B. nach einer entwickelten Software, anzusetzen, um die gängigsten Fehler zu verhindern und eine Grundsicherung der Umgebung und der Software zu gewährleisten, die später in Unternehmen betrieben werden.

Dazu zählen auch die externen Abhängigkeiten, wie zum Beispiel die IT-Infrastruktur und IT-Umgebung (Betriebssystem), auf welcher die Anwendung betrieben wird, um potenzielle Einwirkungen zu analysieren, bewerten und auszuwerten. Diese sind ebenfalls Bestandteil einer Risiko- & Schwachstellenanalyse. IT-Sicherheitsaudits zählen zudem auch zum Bereich der Informations- und Netzwerksicherheit, die damit zusammenhängend unbedingt erforderlich ist.

Arten von IT-Sicherheitsüberprüfungen

Es gibt unterschiedliche Möglichkeiten, ein IT-Sicherheitsaudit durchzuführen. Im Allgemeinen wird es nach Rahmenbedingungen, Methodik und Anforderungen durchgeführt.

Einige der gängigen Verfahren sind:

  • Black Box Audit: Hier kennt der Prüfer nur die öffentlich verfügbaren Informationen über die zu prüfende Organisation.
  • White Box Audit: Bei dieser Art der Sicherheitsüberprüfung erhält der Prüfer detaillierte Informationen (z. B. Quellcode, Mitarbeiterzugriff usw.) zu der Organisation, die geprüft werden soll.
  • Gray Box Audit: Hier erhält der Prüfer zunächst einige Informationen zum Prüfungsprozess. Diese Informationen können auch von den Prüfern selbst gesammelt werden, werden jedoch zur Zeitersparnis bereitgestellt.

Methodikbasiert

  • Penetrationstests: Der Prüfer versucht, in die Infrastruktur der Organisation einzudringen.
  • Compliance-Audits: Es werden nur bestimmte Parameter überprüft, um festzustellen, ob die Organisation die Sicherheitsstandards einhält.
  • Risikobewertungen: Eine Analyse kritischer Ressourcen, die im Falle einer Sicherheitsverletzung bedroht sein können.
  • Sicherheitslücken-Tests: Notwendige Scans werden durchgeführt, um mögliche Sicherheitsrisiken zu ermitteln. Viele Fehlalarme können vorhanden sein.
  • Due Diligence-Fragebögen: Wird für eine Analyse vorhandener Sicherheitsstandards in der Organisation verwendet. BSI-Standard, ISO-Standards oder der IKT-Minimalstandard.

Sie haben Fragen?

Bitte Javascript aktivieren!