IT-Sicherheitsaudit

Das Ziel des Sicherheitsaudits ist es, einen regelmäßigen Check der IT-Umgebung durchzuführen, um mögliche Schwachstellen und damit Einfallstore für Kriminelle aufzudecken. Dabei ist es wichtig, dass das Sicherheitsaudit von unabhängigen Personen durchgeführt werden sollte, die nicht im IT Betrieb tätig sind. Dies ermöglicht es, alle Auffälligkeiten zu erfassen und einen transparenten Einblick zu erhalten, ohne eine evtl. Beeinflussung durch Hintergrundwissen oder direkte Beseitigung der Auffälligkeit.

Jetzt könnte man denken, dass Sicherheitsaudits schlechte Arbeit der IT-Mitarbeiter aufdecken und ein Fingerzeig auf die IT stattfindet. So ist es jedoch nicht, denn es gibt im IT Betrieb immer Handlungskonflikte zwischen der Arbeitsfähigkeit der Mitarbeiter und der IT Sicherheit. Dieses Spannungsfeld ist akzeptabel und bringt oft schnelle und praktikable Lösungen, die man jedoch im Nachhinein und in Ruhe noch einmal genauer auf IT-Sicherheit betrachten sollte. Die Möglichkeit dazu bietet ein Sicherheitsaudit.

• Prüfung des Backups und dessen Konfiguration nach Backupkonzept.
• Kontrolle, ob ein Restore-Test durchgeführt wurde.
• Check des Change-Logbuchs und darin enthaltene Änderungen nach IT-Sicherheitsgesichtspunkten.
• Prüfung der Aktualität der Dokumentation.
• Kontrolle, ob lokale Administratoren auf Clients existieren.
• Prüfung, ob Antiviren- und Firewallpattern aktuell sind.
• Check, ob alle IT-Systeme im Patchmanagement enthalten und aktuelle Patches eingespielt sind.
• Kontrolle, ob die Uhrzeit auf allen IT-Systemen synchron ist.

Werden Auffälligkeiten beim Sicherheitsaudit gefunden, sollten diese als Tickets in den IT-Betrieb eingehen. Dadurch wird sichergestellt, dass bei einem der nächsten Sicherheitsaudits die Auffälligkeiten abgestellt sind.

Um den Aufwand der Sicherheitsaudits so gering wie möglich zu halten, ist es empfehlenswert, dass die Prüfaufgaben in häufige und seltene Checks klassifiziert werden. Bspw. vierteljährlich und jährlich. Die oben genannten Prüfaufgaben könnten wie folgt klassifiziert werden:

• Jährlich: Prüfung des Backups und dessen Konfiguration nach Backupkonzept.
• Jährlich: Prüfung der Aktualität der Dokumentation.
• Vierteljährlich: Kontrolle, ob ein Restore-Test durchgeführt wurde.
• Vierteljährlich: Check des Change-Logbuchs und darin enthaltene Änderungen nach IT-Sicherheitsgesichtspunkten.
• Vierteljährlich: Kontrolle, ob lokale Administratoren auf Clients existieren.
• Vierteljährlich: Prüfung, ob Antiviren- und Firewallpattern aktuell sind.
• Vierteljährlich: Check, ob alle IT-Systeme im Patchmanagement enthalten und aktuelle Patches eingespielt sind.
• Vierteljährlich: Kontrolle, ob die Uhrzeit auf allen IT-Systemen synchron ist.

Ein durch Dritte durchgeführtes Sicherheitsaudit unterstützt die IT-Abteilung bei der Erfüllung ihrer Pflichten und hilft Sicherheitsrisiken zu minimieren. Werden die Sicherheitsaudits regelmäßig durchgeführt, wird die Sicherheit der IT-Systeme im Verlauf der Zeit zunehmen.

• Script Blocker - Schutz vor Schadsoftware im Web
• So werden ihre Mitarbeiter zur Human Firewall
• Sicherheitsvorfall - so reagieren Sie richtig