IT-Security Audits für Unternehmen und Institutionen

IT-Security Audits
EISA = Enterprise- and Information Security Analysis
Direkt zum Seiteninhalt

Hauptmenü:

IT-Security Audits

 

Nachstehend wird beschrieben, wie auf wirtschaftliche Weise die Sicherheit der informationstechnischen Infrastruktur eines Unternehmens oder einer Institution auf Basis von IT-Grundschutz überprüft und bewertet werden kann.
Diese Information richtet sich an Sicherheitsverantwortliche, IT-Leiter, Geschäftsführer oder Verwaltungsrat von privaten Firmen und Institutionen. Zu den zufriedenen Anwendern zählen KMU's aller Branchen, Kommunen, Stadtwerke, Spitäler, Wasserwerke und Gasversorger.
Ganzheitliche Sicht bei IT-Security Audits

 

Organisatorische, technische und physische Sicherheitsaspekte können schwerpunktmässig bei der Bewertung der aktuellen Sicherheitslage berücksichtigt werden. Technische Sicherheit oder physische Sicherheit ergibt nur in Kombination mit organisatorischer Sicherheit einen Sinn. Menschliche Verhaltensweisen sind der kritische Faktor.
Bei ganzheitlicher Sicht werden in IT-Security Audits sowohl technische und physische Sicherheitsaspekte und physische Aspekte als auch organisatorische Aspekte berücksichtigt.
Die Server sind performant ausgelegt, aber der Serverraum im Keller läuft mit Wasser voll, als das Rückstauventil zur Kanalisation bei einem Starkregen unter den Wassermassen versagt - Totalschaden war bei einem Kunden die Folge.

 

Die Festplatten der Notebooks sind als Schutz gegen Diebstahl generell verschlüsselt, aber der Geschäftsführer verliert auf einer Geschäftsreise seinen USB-Stick mit wichtigen Geschäftsinformationen zu einer neuen Produktentwicklung - Einer der Mitbewerber war der Erste auf dem Markt.

 

Es ist schwer an alles gleichzeitig denken zu müssen. Mit einem IT-Security Audit behält man die Übersicht.

Audit der organisatorischen IT-Sicherheit

 

Es geht um die Sicherheitspolitik, die Sicherheitsprozesse und die Sicherheitsorganisation des Unternehmens bzw. der Institution. Organisatorische IT-Sicherheit wird dort benötigt, wo Menschen in den Prozess eingreifen und den Prozessverlauf beeinflussen können.
Die Geschäftleitung gibt ein Leitbild für die IT-Sicherheit vor. Alle Konzeptionen, Richtlinien, Regelungen und Anweisungen orientieren sich daran. Die organisatorische IT-Sicherheit sollte ein Abbild der Sicherheitspolitik des Unternehmens sein.
Einige grundlegende Fragestellungen:

 

  • Ist die IT-Sicherheitskonzeption mit den IT-Sicherheitsrichtlinien und Regelungen auf dem aktuellen Stand?
  • Entspricht die IT-Sicherheitskonzeption den gesetzlichen Anforderungen und den Anforderungen aus dem IT-Sicherheitsstandard?
  • Sind die für das gewünschte / benötigte Sicherheitsniveau erforderlichen IT-Sicherheitsmassnahmen vorhanden und auch umgesetzt worden?
Audit der technischen IT-Sicherheit

 

Unter technischer IT-Sicherheit wird die Sicherheit bei den IT-Systemen und –Anwendungen, den Kommunikationseinrichtungen und den Sicherheitssystemen (z.B. Firewalls) verstanden.
Server sind besonders schützenswerte IT-Systeme. Firewalls trennen sichere Bereiche von weniger sicheren Bereichen des Netzwerkes. Die Komunikation innen und nach aussen bedarf besonderer Schutzmassnahmen.
Quellen: pixabay.com und Eigene
Bei der Prüfung der technischen IT-Sicherheit können die IT-Systeme ggf. unter Zuhilfenahme von Tools analysiert werden. Ergänzend dazu werden die Systemverantwortlichen oder Mitarbeitenden an den Systemen zu bestimmten sicherheitskritischen Sachverhalten befragt.
Audit der physischen IT-Sicherheit (physische Infrastruktur)

 

Unter physischer IT-Sicherheit wird die Sicherheit von Gebäuden und Räumen verstanden. Dazu gehören sowohl der Zutrittsschutz als auch der Eindringschutz. Die Prüfung und Bewertung mechanischer Sicherheitsmassnahmen, der Brandfrüherkennung oder -vermeidung und eventuelle Gegenmassnahmen sind Teil dieser Prüfung.
Videoüberwachung zeigt dem Sicherheitspersonal die aktuelle Lage vor Ort. Die Aufzeichnung die der späteren Analyse und der Beweissicherung. Das Gebäude ist in Sicherheitszonen eingeteilt. Zutritt zu einem Bereich nur mit ausreichenden Zutrittsrechten. Mittels Sensoren wird aktuelle Zustand an eine Zentrale gemeldet.
Quellen: www.istockphoto.com, www.pixabay.com
Bei der Prüfung der physischen IT-Sicherheit wird ein kombiniertes Verfahren aus Interviews und Vorortbesichtigungen verwendet. Bereichsverantwortliche werden zu sicherheitskritischen Sachverhalten in bestimmten Situationen befragt. Eine baustatische Prüfung bezüglich Bausicherheit findet nicht statt. Es geht primär um die Sicherheit der Daten und Informationen.
Ergebnis des IT-Security Audits ist der Sicherheitsstatus

 

Die wichtigste Kennzahl für die IT-Sicherheit ist der Sicherheitsstatus und zwar insgesamt für den untersuchten Auditbereich und speziell für jede geprüfte primäre Sicherheitsanforderung bzw. die Sicherheitsziele (Vertraulichkeit, Integrität, ...).
100% entspricht dem Sicherheitsniveau "Sicher" (Blauer Balken). Mit Hilfe von Ampelfarben kann das vorhandene Sicherheitsniveau visuell schnell erfasst werden. Ein IT-Sicherheitsstatus von 75-90% soll im gezeigten Beispiel dem Sicherheitsniveau "Unkritisch" entsprechen. Die Sicherheitsniveaus werden in einem Workshop festgelegt. Im Beispiel wurde viel für "Verfügbarkeit" getan, aber nur sehr wenig für "Vertraulichkeit", obwohl "Vertraulichkeit" dem Unternehmen ebenfalls wichtig war.
Das Ergebnis der Prüfung in einem Auditbereich besteht aus dem hier abgebildeten Gesamtergebnis und den Teilergebnissen bei den einzelnen Prüfthemen (hier nicht abgebildet). Ein Prüfthema befasst sich mit einem bestimmten Teilaspekt der Sicherheit (z.B. Vergabe von Administratorrechten). Das Gesamtergebnis und die Teilergebnisse enthalten Bewertungen bei den Sicherheitszielen (Vertraulichkeit, Integrität, ...).

 

Der Sicherheitsstatus reicht von 0% (Unsicher) bis 100% (Sicher). Der Gesamtwert ist ein gewichteter Mittelwert aus den Einzelbewertungen bei den Sicherheitszielen. Die Gewichtung wird in einem Workshop festgelegt.

 

Die Farben visualisieren das erreichte Sicherheitsniveau. Die Sicherheitsniveaus werden im Workshop zu Beginn des Audits festgelegt. Jedem Sicherheitsniveau wird ein Wertebereich für den Sicherheitsstatus fesgelegt. Für Unkritisch (Grün) wurde im Beispiel 70% - 90% festgelegt.
Kombinierte IT-Security Audits

 

Ein IT-Security Audit kann mehrere Einzelprüfungen umfassen (Auditbereiche). Da die Prüfungen nach einem einheitlichen Verfahren erfolgen, sind die Ergebnisse untereinander vergleichbar.
In IT-Security Audits wird das vorhandene Restrisiko in IT-Infrastrukturen bewertet und visualisiert. Man könnte die Ergebnisse von Teilprüfungen auch mit Hilfe eines Spinnennetz-Diagramms vergleichen. Bei zwei Teilprüfungen ist das Spinnennetz-Diagramm nicht anwendbar. Auch bei nur wenigen Teilprüfungen kann die Darstellung des IT-Sicherheitsstatus mit Hilfe von Balkendiagrammen oft die bessere Wahl sein.
In dem Bespielaudit wollte der Auftraggeber wissen, wie es um seine IT-Sicherheit aus organisatorischer und physischer Sicht bestellt ist. Aus dem Katalog wurden die Prüfbereiche IT-Grundschutz, Weisungen / Vorgaben, Notfallvorsorge, Serverräume, Technikräume und Büroräume ausgewählt.

 

Sie erkennen leicht, wo die Stärken und Schwächen bei der IT-Sicherheit liegen und können zukünftig Ihre begrenzten Mittel (Personal, Budget) auf die tatsächlichen Schwachpunkte konzentrieren. Bei sich dynamisch verändernden Rahmenbedingungen behalten Sie die Kontrolle über Ihre Sicherheit.

 

Anhand der detailiert ausgearbeiteten Analyse dokumentieren wir den Erfolg Ihrer Bemühungen um IT-Sicherheit und Sie begründen gegenüber den Entscheidern den Bedarf für Ihr Budget.
Möglichkeiten und Vorteile der IT-Security Audits

 

Für zahlreiche Branchen und Unternehmensgrössen anwendbar

 

In der Vollversion für Firmen und Institutionen ab 20 Mitarbeitenden sinnvoll. Die IT sollte ein eigenständiger Verantwortungsbereich sein (mindestens ein Mitarbeitender beschäftigt sich ausschliesslich mit IT und / oder IT-Sicherheit). Beispiele: Autozulieferer, Stadtwerke mit Strom und Gas, kleiner Buchverlag, Versicherung, Logistik, Handel, Kabelnetzbetreiber, Stadtverwaltung und Verkehrsbetriebe einer Stadt, Bank, Bildungsinstitut, Spital, …
Einbeziehung Ihrer Vertragspartner

 

Sie haben einen Outsourcing-Partner im Bereich Netzwerkbetrieb. Was der Partner für die Umsetzung der vertraglichen Absprachen im Bereich Sicherheit unternimmt, wissen Sie nicht genau - Beziehen Sie Ihre Outsourcing-Partner in das Audit ein und veranlassen Sie eine Überprüfung der Netzwerksicherheit. Sie können auch mit Ihren Lieferanten ein Audit vereinbaren, um die komplexen Vorgänge beim Datenaustausch besser abzusichern.
Auditbaukasten aus kombinierbaren Prüfmodulen

 

Ein Prüfmodul besteht aus Checklisten und Leitfäden sowie andere Arbeitsunterlagen. Die Checklisten sind aufeinander abgestimmt. Jede Checkliste kann unabhängig von den anderen Checklisten ausgefüllt werden. Die Checklisten können von IT-Mitarbeitenden auch in Eigenregie beantwortet werden.
Viele Auswertungsmöglichkeiten für unterschiedliche Zielgruppen

 

Alle Ergebnisse werden in Form von Balkendiagrammen visualisiert. In einer Zusammenfassung für das Management erklären wir die wichtigsten Ergebnisse und Zusammenhänge. Alle Dokumente (meist mehrere Dutzend) werden mit Hilfe einer Webseite zusammengeführt. In wenigen Mausklicks gelangen Sie von allgemeinen Informationen zu Details.
Audit zum Festpreis

 

Wir vereinbaren meist einen Festpreis mit Ihnen. Berücksichtigen Sie einen höheren Aufwand wegen den erforderlichen Abstimmprozessen, wenn mehrere Fachabteilungen geprüft werden sollen oder an Entscheidungen zum Audit mitwirken müssen. Bei der Angeboterstellung ist es daher wichtig, vorher Ihren genauen Bedarf zu ermitteln. Wir beraten Sie gerne.
Ein IT-Security Audit beauftragen

 

Werktags sind wir unter +41 (0)61 302 3031 erreichbar. Per E-Mail erreichen Sie uns jederzeit unter info@isecure.ch.

 

Die isecure GmbH ist ein von den Eigentümern geführtes schweizer Unternehmen mit Sitz in Therwil bei Basel. Wir arbeiten auf dem Gebiet von ICT-Engineering, Sicherheitsberatung und Schulung für Mitarbeitende und Führungskräfte. Informationen zu unserer Firma finden Sie im Internet unter www.isecure.ch.
Ihr Vertragspartner ist die
isecure GmbH, Therwil (BL), CH

 


 

Telefon:    061 302 3031

 

 

Ablauf des Bestellprozesses

 

Auf Wunsch erstellen wir Ihnen ein möglichst passgenaues schriftliches Angebot.

 

Bei der weiteren Ausgestaltung der Inhalte und Leistungen stimmen wir uns gegenseitig ab.

 

Wenn wir Ihre Bestellung annehmen, entsteht ein für beide Seiten verpflichtender Vertrag.
Zurück zum Seiteninhalt | Zurück zum Hauptmenü