IT-Security-Audit

Alles, was Sie über IT-Security-Audits wissen müssen

Sie suchen einen IT-Experten, eine IT-Expertin für ein Security-Audit? Ob Sie Ihre bestehende IT-Infrastruktur analysieren, nach Lücken und Schwachstellen suchen oder die Einhaltung gesetzlich vorgeschriebener Sicherheitsstandards prüfen lassen möchten: Mit Gryps erhalten Sie kostenlos und unverbindlich Offerten von passenden IT-Security-Firmen. Füllen Sie dazu einfach unseren Fragebogen aus.

Hier erfahren Sie zudem mehr über den Ablauf eines IT-Security-Audits.

Was unterscheidet ein Security-Audit von einem Security-Assessment?

Innerhalb der IT-Security unterscheidet man zwischen Security-Audit und Security-Assessment. Security-Assessments werden vorwiegend für interne Zwecke oder zur Vorbereitung eines Audits verwendet. Audits hingegen sind zum Beispiel in der Finanzbranche gesetzlich vorgeschrieben, um zu überprüfen, ob die Unternehmen bestimmte Sicherheitsstandards erfüllen.

Security-Audit
Bei einem Security-Audit wird die IT-Umgebung auf Schwachstellen in Netzwerk, System, Software und Hardware geprüft. Security-Audits dienen der Überprüfung von ISO-Normen und stellen einen IT-Grundschutz sicher. In gewissen Branchen müssen Security-Audits regelmässig durchgeführt werden (z. B. Banken).

Security-Assessment
Bei einem Security-Assessment wird unabhängig von ISO-Normen nach Lücken und Schwachstellen in der IT gesucht. Security-Assessments sind freiwillig und dienen allein der Verbesserung der IT-Sicherheit in Ihrem Unternehmen. Sie können auch nur spezifische Komponenten der IT überprüfen lassen.

Wie läuft ein IT-Security-Audit ab, wie ein Security-Assessment?

Ein IT-Sicherheit-Audit folgt meist einem festgelegten Prüfverfahren, zum Beispiel anhand einer Security-Audit-Checkliste. Ein Security-Assessment hingegen kann flexibler, spezifischer oder auch umfangreicher gestaltet werden. Eine Beratung durch einen Experten (IT-Auditor) ist sehr zu empfehlen, damit Sie die richtige Dienstleistung für Ihre spezielle Situation erhalten.

Diese Schritte gehören zum Ablauf eines Security-Audits und eines Security-Assessments:

Ablauf Security-Audit

1. Bestandsanalyse und Interviews mit Mitarbeitenden
2. Penetrationstest (die Sicherheit der IT wird mittels gezielter Attacken überprüft)
3. Report (Vorschläge zur Optimierung)
4. Evtl. Nachaudit
5. Evtl. Zertifizierung nach ISO 27001

Ablauf Security-Assessment

1. Bestandsanalyse und Interviews mit Mitarbeitenden
2. Vulnerability Scan (Schwachstellen werden aufgezeigt)
3. Report (Vorschläge zur Optimierung)
4. Erstellung eines Massnahmenplans
5. Implementierung der Empfehlungen

Beim Security-Assessment können einzelne Schritte übergangen werden oder auch neue Komponenten, zum Beispiel eine Risikoanalyse, hinzukommen. Eine Checkliste hilft, den Überblick zu behalten, nicht zuletzt auch in Sachen Kosten.

Was umfasst eine Security-Audit-Checkliste?

Wie Ihr Unternehmen im Bereich der IT-Sicherheit aufgestellt ist oder über welche IT-Standards es verfügt, lässt sich ganz einfach und schnell anhand einer Security-Audit-Checkliste herausfinden. Gehen Sie diese IT-Audit-Checkliste für Ihr Unternehmen und Ihre Mitarbeitenden durch:

• Besitzen Sie den Überblick über alle schützenswerten Systeme in Ihrem Unternehmen?
• Wurden für alle IT-Sicherheitsmassnahmen verantwortliche Mitarbeitende festgelegt?
• Verfügt Ihr KMU über eine Backup-Strategie?
• Bestehen interne Sicherheitsrichtlinien für den Umgang mit IT-Ressourcen?
• Wie werden vertrauliche Informationen und Datenträger wie USB-Sticks aufbewahrt?
• Wird die Einhaltung der Sicherheitsvorgaben kontrolliert?
• Gibt es IT-Sicherheitsbeauftragte?
• Sind Ihre Mitarbeitenden ausreichend geschult im Umgang mit den Systemen?
• Was wird getan, um ein hohes Level im IT-Security-Audit zu erreichen respektive zu halten?