IT-Sicherheitsaudit - Prof. Dr. Norbert Pohlmann
IT-Sicherheitsaudit |
|
![]() |
Im Fokus eines IT-Sicherheitsaudits steht die Ermittlung von Sicherheitsmängeln jeglicher Art. Die reine Sicherheitsüberprüfung ist im Rahmen einer solchen Vorgehensweise zuzüglich der Dokumentation aller vorgefundenen Mängel beschränkt. Im Gegensatz dazu wird unter einem IT-Sicherheitsaudit die Einbettung der Überprüfung in die firmeninterne Systemsicherheitsleitlinie (Security Policy) verstanden. Voraussetzung für ein Audit ist somit Existenz und schriftliche Fixierung einer Systemsicherheitsleitlinie sowie – daraus abgeleitet – firmeninterne IT-Sicherheitsrichtlinien. Beides ist in vielen Firmen nicht vorhanden, so dass zumeist lediglich die weniger effektiven IT-Sicherheitsüberprüfungen durchgeführt werden können.
![]() Zum Zeitpunkt 2 wird im Unternehmen eine höhere IT-Sicherheit eingeführt: Beispielsweise werden eine Sicherheitsleitlinie sowie ein Sicherheitskonzept entworfen und implementiert. Dadurch steigt das IT-Sicherheitsniveau beträchtlich. Das angestrebte Sicherheitsniveau ist durch diese Maßnahmen jedoch noch nicht erreicht und das tatsächliche IT-Sicherheitsniveau beginnt – bedingt durch die oben angeführten Gründe – wieder abzusinken. Daher kann zum Zeitpunkt 3 ein IT-Sicherheitsaudit durchgeführt werden, das die Anforderungen an die IT-Sicherheit mit der Realität in der Organisation vergleicht und bewertet. Das Aufdecken von Sicherheitslücken sowie die daraus resultierenden Empfehlung bezüglich angemessener IT-Sicherheitsmaßnahmen, erhöht das IT-Sicherheitsniveau erheblich, sobald alle Maßnahmen umgesetzt worden sind. Allerdings werden die Schutzmaßnahmen bei der ersten Implementation nicht immer fehlerfrei konfiguriert. Zudem greifen mittel- und langfristige Sicherheitsmaßnahmen nicht sofort. Von daher liegt das aktuelle IT-Sicherheitsniveau noch unterhalb des angestrebten Niveaus.
|
![]() |