Wie viel kostet ein IT-Security-Audit?

Dies hängt vom Umfang und von den individuellen Anforderungen ab. Je nach Grösse der IT-Infrastruktur variieren die Kosten stark. Der günstigste Stundensatz beträgt ca. CHF 120 pro Stunde. Weitere Informationen zu den Preisen finden Sie auf unserer Kostenseite .

Ist ein IT-Audit notwendig?

Es gibt mehrere Sektoren und Bereiche, in denen regelmässige IT-Security-Audits rechtlich vorgeschrieben ist. Was für Ihr Unternehmen gilt, klären Sie am besten in einer IT-Security-Beratung durch einen Experten.

Welche Bereiche deckt ein IT-Security-Assessment ab?

Dies hängt ganz von Ihren individuellen Anforderungen ab. Ein Assessment ist im Gegensatz zu einem Audit nicht an Standards geknüpft und kann so sehr flexibel gestaltet werden.

IT-Security-Audit und IT-Security-Assessment für KMU

Was unterscheidet ein Security-Audit von einem Security-Assessment?

Innerhalb der IT-Security unterscheidet man zwischen Security-Audit und Security-Assessment. Security-Assessments werden vorwiegend für interne Zwecke oder zur Vorbereitung eines Audits verwendet. Audits hingegen sind zum Beispiel in der Finanzbranche gesetzlich vorgeschrieben, um zu überprüfen, ob die Unternehmen bestimmte Sicherheitsstandards erfüllen.

Security-Audit
Bei einem Security-Audit wird die IT-Umgebung auf Schwachstellen in Netzwerk, System, Software und Hardware geprüft. Security-Audits dienen der Überprüfung von ISO-Normen und stellen einen IT-Grundschutz sicher. In gewissen Branchen müssen Security-Audits regelmässig durchgeführt werden (z. B. Banken).

Security-Assessment
Bei einem Security-Assessment wird unabhängig von ISO-Normen nach Lücken und Schwachstellen in der IT gesucht. Security-Assessments sind freiwillig und dienen allein der Verbesserung der IT-Sicherheit in Ihrem Unternehmen. Sie können auch nur spezifische Komponenten der IT überprüfen lassen.

Wie läuft ein IT-Security-Audit ab, wie ein Security-Assessment?

Ein IT-Sicherheit-Audit folgt meist einem festgelegten Prüfverfahren, zum Beispiel anhand einer Security-Audit-Checkliste. Ein Security-Assessment hingegen kann flexibler, spezifischer oder auch umfangreicher gestaltet werden. Eine Beratung durch einen Experten (IT-Auditor) ist sehr zu empfehlen, damit Sie die richtige Dienstleistung für Ihre spezielle Situation erhalten.

Diese Schritte gehören zum Ablauf eines Security-Audits und eines Security-Assessments:

Ablauf Security-Audit

Bestandsanalyse und Interviews mit Mitarbeitenden
Penetrationstest (die Sicherheit der IT wird mittels gezielter Attacken überprüft)
Report (Vorschläge zur Optimierung)
Evtl. Nachaudit
Evtl. Zertifizierung nach ISO 27001

Ablauf Security-Assessment

Bestandsanalyse und Interviews mit Mitarbeitenden
Vulnerability Scan (Schwachstellen werden aufgezeigt)
Report (Vorschläge zur Optimierung)
Erstellung eines Massnahmenplans
Implementierung der Empfehlungen

Beim Security-Assessment können einzelne Schritte übergangen werden oder auch neue Komponenten, zum Beispiel eine Risikoanalyse, hinzukommen. Eine Checkliste hilft, den Überblick zu behalten, nicht zuletzt auch in Sachen Kosten.

Was umfasst eine Security-Audit-Checkliste?

Wie Ihr Unternehmen im Bereich der IT-Sicherheit aufgestellt ist oder über welche IT-Standards es verfügt, lässt sich ganz einfach und schnell anhand einer Security-Audit-Checkliste herausfinden. Gehen Sie diese IT-Audit-Checkliste für Ihr Unternehmen und Ihre Mitarbeitenden durch:

Besitzen Sie den Überblick über alle schützenswerten Systeme in Ihrem Unternehmen?
Wurden für alle IT-Sicherheitsmassnahmen verantwortliche Mitarbeitende festgelegt?
Verfügt Ihr KMU über eine Backup-Strategie?
Bestehen interne Sicherheitsrichtlinien für den Umgang mit IT-Ressourcen?
Wie werden vertrauliche Informationen und Datenträger wie USB-Sticks aufbewahrt?
Wird die Einhaltung der Sicherheitsvorgaben kontrolliert?
Gibt es IT-Sicherheitsbeauftragte?
Sind Ihre Mitarbeitenden ausreichend geschult im Umgang mit den Systemen?
Was wird getan, um ein hohes Level im IT-Security-Audit zu erreichen respektive zu halten?

Autor: Peter Stöferle