IT-Sicherheitsaudit - Prof. Dr. Norbert Pohlmann

Im Fokus eines IT-Sicherheitsaudits steht die Ermittlung von Sicherheitsmängeln jeglicher Art. Die reine Sicherheitsüberprüfung ist im Rahmen einer solchen Vorgehensweise zuzüglich der Dokumentation aller vorgefundenen Mängel beschränkt. Im Gegensatz dazu wird unter einem IT-Sicherheitsaudit die Einbettung der Überprüfung in die firmeninterne Systemsicherheitsleitlinie (Security Policy) verstanden. Voraussetzung für ein Audit ist somit Existenz und schriftliche Fixierung einer Systemsicherheitsleitlinie sowie – daraus abgeleitet – firmeninterne IT-Sicherheitsrichtlinien. Beides ist in vielen Firmen nicht vorhanden, so dass zumeist lediglich die weniger effektiven IT-Sicherheitsüberprüfungen durchgeführt werden können.
IT-Sicherheitsaudits werden durchgeführt, um ein bestehendes IT-Sicherheitsniveau festzustellen und dies gegebenenfalls erhöhen zu können. Dabei wird das IT-Sicherheitsniveau einer Organisation im zeitlichen Verlauf dargestellt. Wurde in der Organisation bisher wenig in die IT-Sicherheit investiert, befindet sich das aktuelle Sicherheitsniveau unterhalb des angestrebten IT-Sicherheitsniveaus (Zeitpunkt 1). Solange keine zusätzlichen IT-Schutzmaßnahmen durchgeführt werden, sinkt das Sicherheitsniveau aus mehreren Gründen ständig ab (Zeitpunkt 1 bis Zeitpunkt 2):

• Die vorhandenen IT-Systeme werden ständig komplexer und damit unsicherer.
• Aus Unwissenheit oder Bequemlichkeit werden immer mehr Komponenten der IT-Systeme unsicher konfiguriert.
• Das Wissen, die Möglichkeiten und die Professionalität potenzieller Angreifer wachsen stetig.
• Die Sensibilisierung / Awareness der Nutzer und Administratoren sinkt als Folge der Gewöhnung.

Zum Zeitpunkt 2 wird im Unternehmen eine höhere IT-Sicherheit eingeführt: Beispielsweise werden eine Sicherheitsleitlinie sowie ein Sicherheitskonzept entworfen und implementiert. Dadurch steigt das IT-Sicherheitsniveau beträchtlich. Das angestrebte Sicherheitsniveau ist durch diese Maßnahmen jedoch noch nicht erreicht und das tatsächliche IT-Sicherheitsniveau beginnt – bedingt durch die oben angeführten Gründe – wieder abzusinken. Daher kann zum Zeitpunkt 3 ein IT-Sicherheitsaudit durchgeführt werden, das die Anforderungen an die IT-Sicherheit mit der Realität in der Organisation vergleicht und bewertet. Das Aufdecken von Sicherheitslücken sowie die daraus resultierenden Empfehlung bezüglich angemessener IT-Sicherheitsmaßnahmen, erhöht das IT-Sicherheitsniveau erheblich, sobald alle Maßnahmen umgesetzt worden sind. Allerdings werden die Schutzmaßnahmen bei der ersten Implementation nicht immer fehlerfrei konfiguriert. Zudem greifen mittel- und langfristige Sicherheitsmaßnahmen nicht sofort. Von daher liegt das aktuelle IT-Sicherheitsniveau noch unterhalb des angestrebten Niveaus.
Ein weiteres IT-Sicherheitsaudit zum Zeitpunkt 4 ermöglicht es, die noch vorhandenen Sicherheitslücken und Konfigurationsfehler aufzudecken und hierfür geeignete IT-Schutzmaßnahmen vorzuschlagen. Deren Implementation hebt das IT-Sicherheitsniveau in den angestrebten Bereich. Da jedoch – wie oben beschrieben – das IT-Sicherheitsniveau ständig abnimmt, empfiehlt sich turnusmäßig ein IT-Sicherheitsaudit durchzuführen, um neue Sicherheitslücken zu entdecken und die Schutzmaßnahmen daraufhin anzupassen.
Da das Ziel eines IT-Sicherheitsaudits nicht ausschließlich auf die Entdeckung von Schwachstellen und Sicherheitslücken fokussiert, ist dieses nicht nur auf die Aufdeckung von technologischen Problemen wie die Überprüfung der Aktualität von Betriebssystemen und Applikationen beschränkt, sondern bezieht ebenso Überprüfungen mit ein, die organisatorische oder administrative Mängel offenbaren können.

Weitere Informationen zum Begriff “IT-Sicherheitsaudit”:

Informationen über das Lehrbuch: „Lehrbuch Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)