Home , IT-Security , Audits

IT-Security Audits, Einführung

Informations- und Kommunikationssicherheit prüfen, bewerten, verbessern

Die Sicherheitsverantwortlichen, der Verwaltungsrat oder die Geschäftsführung sind bei ihren Entscheidungen auf präzise Informationen zur aktuellen Risikolage angewiesen und erhalten praktische Handlungsempfehlungen zur Bewältigung der Risikovorsorge. Es sind meist organisatorische, physische und technische IT-Sicherheitsaspekte zu berücksichtigen. Auch die Notfallvorsorge sollte nicht vergessen werden, damit Krisen gar nicht erst entstehen.

Ein Mann steht vor einer Tafel und erläutert anhand einer Skizze einen Sachverhalt.

Bildquelle: pixabay.com

Was kann man tun?

  • Modellierung komplexer Anforderungen an das IT-Security Audit.
  • Untersuchung abgegrenzter IT-Sicherheitsbereiche mit unterschiedlichen IT-Schutzstufen.
  • Überprüfung der organisatorischen, physischen und technischen IT-Sicherheit.
  • Technische IT-Systemchecks wie z. B. die Konfigurationen von Servern.
  • IT-Security Penetrationstests bei den Netzzugängen.
Herausforderungen

Bei der Aufgabenerfüllung in den Geschäftsprozessen kommen Informations- und Kommunikationstechniken (IKT, ICT) zum Einsatz. Dadurch entstehen Risiken, die durch IT-Sicherheitsmassnahmen abgesichert werden müssen.

Die IT-Infrastruktur unterliegt ständigen Veränderungen, z. B. wegen geänderter Anforderungen oder aufgrund technologischem Wandel. Die ergriffenen Massnahmen sollten daher regelmässig durch turnusmässige IT-Sicherheitsaudits überprüft werden (z. B. alle 2 Jahre), damit mögliche neue Schwachstellen rechtzeitig entdeckt und behoben werden können.

Die ITK-Sicherheit kann auf vielfältige Art bedroht sein. Man sollte vermeiden, den Fokus der Bemühungen zu sehr auf die Systeme zu legen (Technische ITK-Sicherheit). Im Rahmen einer ganzheitlichen Betrachtungsweise sind auch organisatorische und physische Sicherheitsaspekte von Belang.

Unsere Leistungen

Systemnahe IT-Security Audits werden auch als „IT-Systemchecks“ bezeichnet. Hierbei werden meist technische Sachverhalte, z. B. die Konfiguration, offene Ports, Verletzbarkeiten bei Servern, Benutzerberechtigungen usw. überprüft und bewertet.

Für bestimmte IT-Systeme werden spezielle Prüfmodule angeboten (SAP, Lotus Notes, Datenbanken, spezielle Applikationen). 

Will man z. B. die Schwachstellen bei Netzwerkübergängen überprüfen, bieten sich sogenannte Penetrationstests an.

Die Abbildung zeigt Prüfmodule für organisatorische und technische IT-Sicherheit. Bei org. IT-Sicherheit zum Beispiel 'WEisungen, Vorgaben, Verhaltensweisen' oder 'Notfallvorsorge'. Bei techn. IT-Sicherheit zum Beispiel 'Firewalls'.

Bildquelle: iSecure GmbH, Therwil, Schweiz

Organisatorische IT-Security Audits dienen der Überprüfung der organisatorischen IT-Sicherheit. Überprüft wird, ob die vorhandenen IT-Sicherheitsrichtlinien und IT-Sicherheitskonzepte ausreichend durch wirksame Massnahmen abgedeckt sind sowie die entsprechende IT-Sicherheitsorganisation vorhanden und einsatzbereit ist.

Mit physischen IT-Security Audits werden Sicherheitsaspekte in der IT-Infratruktur bei Technikräumen, Gebäuden mit ICT und Perimeter (Betriebsgelände) überprüft. Ein Serverraum im Untergeschoss kann überschwemmt werden, wenn keine Rückstauventile für die Dachentwässerung vorgesehen sind, die im Keller in den Kanal mündet.

Bestandteile eines IT-Security Audits

Wir benutzen ein Baukastensystem. Grundlage sind Prüfmodule, die aufgrund der Anforderungen zu einem konkreten IT-Security Audit zusammengestellt werden. Mindestens ist ein Prüfmodul erforderlich. Die Prüfmodule sind checklistenbasiert und können auf Wunsch mit technischen Systemprüfungen kombiniert werden. 

Kleine Projekte werden im Rahmen einer Besprechung zwischen Kundenprojektleiter(in) und IT-Sicherheitsberater initiiert. In einem Init-Workshop kann das Auditprojekt einem grösseren Kreis von Interessierten erklärt werden, z. B. Mitgliedern des Verwaltungsrates, die zeitweise als Gäste teilnehmen.

Von Kundenseite wird meist die technische IT-Sicherheit hoch gewichtet. Idealerweise ist aber ein ganzheitlicher Prüfansatz sinnvoll. Die organisatorische IT-Sicherheit ist in Form von IT-Grundschutz-Massnahmen sicherzustellen. Gebäudeschutz, Zugangsschutz und Perimeter können einbezogen werden (ohne Baustatik). 

Die Teilaudits sind einheitlich aufgebaut und liefern untereinander vergleichbare Ergebnisse. In einem Priorisierungs-Workshop werden kurz- bis mittelfristig umzusetzende Massnahmen festgelegt. Sie erhalten Handlungsempfehlungen aus den Audit (priorisiert und noch nicht priorisiert). Die Berichte können mit einem Webbrowser angesehen werden.

Anfrage, Erstberatung, Termin vereinbaren

Haben Sie eine Frage zum Thema "IT-Sicherheitsaudits" oder möchten Sie ein IT-Projekt starten und benötigen Sie Unterstützung?

Sprechen Sie gleich mit einem kompetenten Berater:

Telefon: +41 (0) 61 302 3031 (Vorwahl Schweiz)

Schreiben Sie uns eine E-Mail: info@isecure.ch

Teilen Sie uns bitte mit, wie und wann wir Sie erreichen können.

Für Ihre Anfrage gelten unsere Datenschutzrichtlinien.

Die Erstberatung ist kostenlos!

Bildquelle: Yan Kruko auf pexels.com