Logo der isecure GmbH, Therwil (CH)
Information & Comunications Technology, ICT
Security Consulting, Engineering, Audits
Direkt zum Seiteninhalt

Hauptmenü:

IT-Audits

ICT-Security Audits // Möglichkeiten und Verfahren

IT-Sicherheit prüfen, bewerten, verbessern

Die verwendeten Auditverfahren haben sich im praktischen Einsatz bewährt und wurden bei den Kunden erfolgreich angewendet. Die Sicherheitsverantwortlichen, der Verwaltungsrat oder die Geschäftsführung sind bei ihren Entscheidungen auf präzise Informationen zur aktuellen Risikolage angewiesen und erhalten praktische Handlungsempfehlungen zur Bewältigung der Risikovorsorge.
Die Kunden verlangen im Bereich IT-Security sehr oft nach der Überprüfung von physischen und organisatorische Aspekten, wie z.B. die Einhaltung von organisatorischen Regelungen, oder beim Gebäudeschutz ist der Zutrittsschutz zu sensiblen Bereichen zu begutachten. Durch eine durchdachte Notfallvorsorge ist man auf Krisen besser vorbereitet.

Bildquelle: PixaBay
Was ist also zu tun?
Auch komplexe Auditanforderungen müssen modellierbar sein. Einen Penetrationstest bei den Netzzugängen oder technische Systemschecks, wie z.B. die Konfigurationen von Servern gehören selbstverständlich auch zu einem Modellbaukasten für IT-Audits.
Es wird ein weitgehend standardisiertes Auditverfahren benötigt, welches vergleichbare Ergebnisse bei mehreren Einzelprüfungen und den Vergleich der Veränderungen über mehrere Perioden hinweg ermöglicht.
Herausforderungen
Bei der Aufgabenerfüllung in den Geschäftsprozessen kommen Informations- und Kommunikationstechniken (ICT) zum Einsatz. Dadurch entstehen Risiken, die durch IT-Sicherheitsmassnahmen abgesichert werden müssen.
Die IT-Infrastruktur unterliegt ständigen Veränderungen, z. B. wegen geänderter Anforderungen oder aufgrund technologischem Wandel. Die ergriffenen Massnahmen sollten daher regelmässig durch turnusmässige IT-Sicherheitsaudits überprüft werden (z. B. alle 2 Jahre), damit mögliche neue Schwachstellen rechtzeitig entdeckt und behoben werden können. Die Sicherheit kann auf vielfältige Art bedroht sein. Man sollte vermeiden, den Fokus der Bemühungen zu sehr auf die Systeme zu legen.
Beispiel: Sie haben bei Firewalls eine Sicherheit von 99% erreicht und viel Aufwand getrieben, die IT vor Hackern zu schützen.
Die Dachentwässung mündet im Untergeschoss in die Kanalisation. Mangels Wartung versagen die Rückstauventile bei einem Starkregen und der Serverraum im Untergeschoss wird geflutet. Die Server werden zerstört und es kommt mehrere Tage zum Totalausfall. Bei der Überprüfung der physischen Sicherheit wäre die Gefahr möglicherweise rechtzeitig erkannt worden.
Unsere Leistungen bei IT-Security Audits
Systemnahe IT-Security Audits werden auch als „Systemchecks“ bezeichnet. Hierbei werden meist technische Sachverhalte, z.B. die Konfiguration, offene Ports, Verletzbarkeiten bei Servern, Benutzerberechtigungen usw. überprüft und bewertet. Für bestimmte IT-Systeme werden spezielle IT-Systemchecks angeboten (SAP, Lotus Notes, Datenbanken, spezielle Applikationen).  
Will man z.B. die Schwachstellen bei Netzwerkübergängen überprüfen, bieten sich sogenannte Penetrationstests an.

Organisatorische IT-Security Audits dienen der Überprüfung der organisatorischen IT-Sicherheit. Überprüft wird, ob die vorhandenen IT-Sicherheitsrichtlinien und IT-Sicherheitskonzepte ausreichend durch wirksame Massnahmen abgedeckt sind sowie die entsprechende IT-Sicherheitsorganisation vorhanden und einsatzbereit ist.

Mit physischen Security Audits werden Sicherheitsaspekte in der IT-Infratruktur bei Technikräumen, Gebäuden mit ICT und Perimeter (Betriebsgelände) überprüft. Ein Serverraum im Untergeschoss kann überschwemmt werden, wenn keine Rückstauventile für die Dachentwässerung vorgesehen sind, die im Keller in den Kanal mündet.
Bestandteile eines IT-Security Audits
Ein typisches IT-Security Audit besteht aus einer Kombination von mindestens einem Prüfmodul (Teilaudits) aus unserem Prüfmodulkatalog. Die Prüfmodule können auf Wunsch mit technischen Systemprüfungen kombiniert werden. Auch Gebäudeschutz (ohne baustatische Sicherheit) und Perimeter kann man einbeziehen. Die Teilaudits sind einheitlich aufgebaut und liefern untereinander vergleichbare Ergebnisse.
Sinnvolle Erweiterungen sind ein Init-Workshop und eine Abschlusspräsentation. Im Init-Workshop kann das Auditprojekt einem grösseren Kreis von Interessierten erklärt werden, z. B. Mitgliedern des Verwaltungsrates, die als Gäste teilnehmen. In einem Priorisierungs-Workshop werden kurz- bis mittelfristig umzusetzende Massnahmen festgelegt. Sie erhalten eine auswertbare Datenbank mit allen Handlungsempfehlungen aus den Audit (priorisiert und noch nicht priorisiert).
In 5 Stufen zu mehr Entscheidungsqualität
Der Audit scope (Prüfungsumfang) ist eine Zusammenstellung von Prüfmodulen aus einem Katalog.
Für kleinere und mittlere Unternehmen oder Organisationen gibt es den ICT-Security Audit Basischeck. Der Kunde stellt sich den Basischeck aus bis zu 5 Prüfmodulen zusammen. Offerte und Leistungen sind standardisiert, daher eine günstige Alternative zum Vollaudit.

 

Speziell geeignet, wenn kurzfristig Aussagen zur IT-Sicherheit gebraucht werden. Der Basischeck kann innert eines Jahres zu einem Vollaudit erweitert werden, ohne das aufgenommene Daten erneut aufgenommen werden müssen.  Mehr erfahren ...
Zurück zum Seiteninhalt | Zurück zum Hauptmenü