Information & Comunications Technology, ICT
ICT-Security Beratung, IT-Engineering, Audits
Direkt zum Seiteninhalt
IT-Security Audits // Möglichkeiten und Verfahren
IT-Sicherheit prüfen, bewerten, verbessern
Die Sicherheitsverantwortlichen, der Verwaltungsrat oder die Geschäftsführung sind bei ihren Entscheidungen auf präzise Informationen zur aktuellen Risikolage angewiesen und erhalten praktische Handlungsempfehlungen zur Bewältigung der Risikovorsorge.
Es sind organisatorische, physische und technische IT-Sicherheitsaspekte zu überprüfen, entweder einzeln oder in Kombination. Durch eine durchdachte Notfallvorsorge ist man auf Krisen besser vorbereitet.

Bildquelle: PixaBay
Was ist zu tun?
  • Modellierung komplexer Anforderungen an das IT-Security Audit.
  • Untersuchung abgegrenzter IT-Sicherheitsbereiche mit unterschiedlichen IT-Schutzstufen.
  • Überprüfung der gelebten organisatorischen, physischen und technischen IT-Sicherheit.
  • Technische IT-Systemchecks wie z.B. die Konfigurationen von Servern.
  • IT-Security Penetrationstests bei den Netzzugängen.

Herausforderungen
Bei der Aufgabenerfüllung in den Geschäftsprozessen kommen Informations- und Kommunikationstechniken (ICT) zum Einsatz. Dadurch entstehen Risiken, die durch IT-Sicherheitsmassnahmen abgesichert werden müssen.
Die IT-Infrastruktur unterliegt ständigen Veränderungen, z. B. wegen geänderter Anforderungen oder aufgrund technologischem Wandel. Die ergriffenen Massnahmen sollten daher regelmässig durch turnusmässige IT-Sicherheitsaudits überprüft werden (z. B. alle 2 Jahre), damit mögliche neue Schwachstellen rechtzeitig entdeckt und behoben werden können.
Die Sicherheit kann auf vielfältige Art bedroht sein. Man sollte vermeiden, den Fokus der Bemühungen zu sehr auf die Systeme zu legen (Technische Sicherheit). Im Rahmen einer ganzheitlichen Betrachtungsweise sind auch organisatorische und physische Sicherheitsaspekte von Belang.
Unsere Leistungen
Systemnahe IT-Security Audits werden auch als „Systemchecks“ bezeichnet. Hierbei werden meist technische Sachverhalte, z.B. die Konfiguration, offene Ports, Verletzbarkeiten bei Servern, Benutzerberechtigungen usw. überprüft und bewertet.
Für bestimmte IT-Systeme werden spezielle IT-Systemchecks angeboten (SAP, Lotus Notes, Datenbanken, spezielle Applikationen). Will man z.B. die Schwachstellen bei Netzwerkübergängen überprüfen, bieten sich sogenannte Penetrationstests an.
Organisatorische IT-Security Audits dienen der Überprüfung der organisatorischen IT-Sicherheit. Überprüft wird, ob die vorhandenen IT-Sicherheitsrichtlinien und IT-Sicherheitskonzepte ausreichend durch wirksame Massnahmen abgedeckt sind sowie die entsprechende IT-Sicherheitsorganisation vorhanden und einsatzbereit ist.
Mit physischen IT-Security Audits werden Sicherheitsaspekte in der IT-Infratruktur bei Technikräumen, Gebäuden mit ICT und Perimeter (Betriebsgelände) überprüft. Ein Serverraum im Untergeschoss kann überschwemmt werden, wenn keine Rückstauventile für die Dachentwässerung vorgesehen sind, die im Keller in den Kanal mündet.
Bestandteile eines IT-Security Audits
Ein typisches IT-Security Audit besteht aus einer Kombination von mindestens einem Prüfmodul (Teilaudits) aus unserem Prüfmodulkatalog. Die Prüfmodule können auf Wunsch mit technischen Systemprüfungen kombiniert werden. Auch Gebäudeschutz (ohne baustatische Sicherheit) und Perimeter kann man einbeziehen. Die Teilaudits sind einheitlich aufgebaut und liefern untereinander vergleichbare Ergebnisse.
Sinnvolle Erweiterungen sind ein Init-Workshop und eine Abschlusspräsentation. Im Init-Workshop kann das Auditprojekt einem grösseren Kreis von Interessierten erklärt werden, z. B. Mitgliedern des Verwaltungsrates, die als Gäste teilnehmen. In einem Priorisierungs-Workshop werden kurz- bis mittelfristig umzusetzende Massnahmen festgelegt. Sie erhalten eine auswertbare Datenbank mit allen Handlungsempfehlungen aus den Audit (priorisiert und noch nicht priorisiert).
In 5 Stufen zu mehr Entscheidungsqualität
Der Audit scope (Prüfungsumfang) ist eine Zusammenstellung von Prüfmodulen aus einem Katalog.
Zurück zum Seiteninhalt