Wie funktioniert ein Security Audit?

Im Rahmen eines Security Audits wird das Niveau der IT-Sicherheit in Ihrem Unternehmen überprüft. Dies übernehmen externe Dienstleister, die sich auf IT-Sicherheitsaudits spezialisiert haben. Im Rahmen des Audits werden alle Bereiche betrachtet. Dies beginnt bei der Hardware, führt über die Software-Lösungen und bezieht auch die Mitarbeitenden mit ein. 

Bei den Inhalten und dem Ablauf orientiert sich ein Security Audit an klaren Vorgaben. Eine der massgeblichen Standards für ein IT-Sicherheitsaudit ist ISO 27001. Diese Norm legt den Auditprozess für Informationssicherheit-Managementsysteme fest. 

Während eines solchen Audits wird eine Reihe von Tests durchgeführt. Dabei geht es darum, alle vorhandenen digitalen Systeme auf die Sicherheit zu prüfen und etwaige Schwachstellen zu finden. Ebenfalls prüfen die Auditoren, ob Sie geltende Standards einhalten. 

Für die Durchführung eines IT-Sicherheitsaudits ist mindestens ein Auditor vor Ort bei Ihnen tätig. Er hat die folgenden Aufgaben: 

• Dokumentationsprüfung 
• Begehung der Räumlichkeiten 
• Penetrationstest und ähnliche Tests der IT 
• Interviews mit Mitarbeitenden 

Bei einer Erstzertifizierung wird zunächst das System für das Informationssicherheits-Management überprüft. Dabei erfolgt eine Kontrolle der Dokumentationen. So wird festgestellt, ob die Security Policies vollständig sind und ob eine Risikoanalyse vorhanden ist. Dabei wird auch darauf eingegangen, ob das IT-Sicherheitskonzept zu Ihrem Unternehmen und der Branche passt. 

Anschliessend erfolgt eine Kontrolle der eingesetzten Systeme. Hier legen die Auditoren Wert auf die Aktualität der Software. Sind alle verfügbaren Updates installiert und gibt es eine Strategie, wie Aktualisierungen schnellstmöglich eingepflegt werden? 

Ein weiterer Blick gilt der Rechteverwaltung und den Passwörtern. Sind die Passwörter sicher und gibt es Regeln, die dafür sorgen, dass sie die aktuellen Sicherheitsstandards erfüllen? Kommt bereits eine Multi-Faktor-Authentifizierung zum Einsatz, besonders bei den kritischen Systemen? 

Ein zentraler Bestandteil eines IT-Sicherheitsaudits sind die aktiven Tests. Sie ähneln oftmals dem Vorgehen von Hackern. So versuchen die Auditoren, gezielt in das Netzwerk oder bestimmte Systeme einzudringen. Dies deckt Schwachstellen in der IT-Sicherheit auf. 

Eine weitere potenzielle Schwachstelle sind Ihre Mitarbeitenden. Im Rahmen des Audits erfolgen Interviews und auch aktive Tests, um das Verhalten sowie den Wissensstand der Mitarbeitenden zu prüfen. Dazu gehören Social Engineering und Phishing, um zu sehen, ob es hier Schwachstellen gibt. 

‍

Ein IT-Sicherheitsaudit durchläuft mehrere Phasen. So beginnt das Audit nicht direkt mit Prüfungen. Vielmehr sind Planung und Bestandsaufnahme feste Bestandteile des IT-Sicherheitsaudits. Jede einzelne Phase ist wichtig, um das maximale Potenzial aus dem Audit zu holen. In diesen vier Phasen läuft ein Security Audit ab: 

1. Absprache des Ablaufs mit dem Auditor 

2. Durchführung der einzelnen Tests 

3. Analyse und Auswertung der Ergebnisse 

4. Reporting und Rücksprache 

Es ist wichtig, dass der Dienstleister, der das Security Audit durchführt, einen vollständigen Überblick über das Netzwerk hat. Nur so ist eine vollständige Kontrolle und Bewertung der IT-Sicherheit möglich. 

Ebenso wichtig ist die Kommunikation zwischen dem Dienstleister und Ihnen. Bereits im sogenannten Voraudit kommt es darauf an, den Ablauf genau zu koordinieren. So erhalten Sie einen klaren Überblick darüber, was im eigentlichen Audit geprüft wird. Gleichzeitig bekommen wir einen Überblick darüber, welche IT-Systeme in Ihrem Bereich im Einsatz sind. 

Nur so ist es möglich, ein vollständiges Audit durchzuführen und simultan dazu wichtige Erkenntnisse zu gewinnen. 

‍

Ein IT-Sicherheitsaudit hat das Ziel, Schwachstellen in der IT-Security zu finden. Durch die Suche nach Schwachpunkten ist es möglich, sie gezielt zu beheben. Dazu gehört zum Beispiel die planmässige Einführung eines Systems für die Endpoint Protection oder die Multi-Faktor-Authentifizierung. 

Ein solches Audit ist zudem keine einmalige Aktion. Vielmehr sollte sie Teil der IT-Sicherheitsstrategie sein und regelmässig durchgeführt werden. Auf diese Weise trägt der Audit zum Grundschutz in der IT bei und ermöglicht eine gezielte Verbesserung des Sicherheitsniveaus. 

Ein professionelles IT-Sicherheitsaudit wird von erfahrenen IT-Dienstleistern organisiert. Der Wissensstand des Dienstleisters ist ein wesentlicher Faktor für ein erfolgreiches Audit. Nur so liefert das Audit wertvolle Erkenntnisse und deckt tatsächlich alle potenziellen Gefahrenquellen ab. 

Suchen Sie nach einem erfahrenen IT-Sicherheitsunternehmen, das einen Security Audit bei Ihnen durchführt? Wir von Authentix übernehmen solche Audits für unsere Kunden. Haben Sie noch Fragen zum Thema? Dann nehmen Sie jetzt Kontakt mit uns auf – wir beantworten Ihr Anliegen fachkundig und unverbindlich.