Prof. Dr. Norbert Pohlmann Home Logo Mobile
Logo-Glossar
slider

IT-Sicherheitsaudit - Prof. Dr. Norbert Pohlmann

IT-Sicherheitsaudit

IT-Sicherheitsaudit mit Auditor und Checkliste

Was ist eine IT-Sicherheitsaudit?


Im Fokus eines IT-Sicherheitsaudits steht die Ermittlung von Sicherheitsmängeln jeglicher Art. Die reine Sicherheitsüberprüfung ist im Rahmen einer solchen Vorgehensweise zuzüglich der Dokumentation aller vorgefundenen Mängel beschränkt. Im Gegensatz dazu wird unter einem IT-Sicherheitsaudit die Einbettung der Überprüfung in die firmeninterne Systemsicherheitsleitlinie (Security Policy) verstanden. Voraussetzung für ein Audit ist somit Existenz und schriftliche Fixierung einer Systemsicherheitsleitlinie sowie – daraus abgeleitet – firmeninterne IT-Sicherheitsrichtlinien. Beides ist in vielen Firmen nicht vorhanden, so dass zumeist lediglich die weniger effektiven IT-Sicherheitsüberprüfungen durchgeführt werden können.
IT-Sicherheitsaudits werden durchgeführt, um ein bestehendes IT-Sicherheitsniveau festzustellen und dies gegebenenfalls erhöhen zu können. Dabei wird das IT-Sicherheitsniveau einer Organisation im zeitlichen Verlauf dargestellt. Wurde in der Organisation bisher wenig in die IT-Sicherheit investiert, befindet sich das aktuelle Sicherheitsniveau unterhalb des angestrebten IT-Sicherheitsniveaus (Zeitpunkt 1). Solange keine zusätzlichen IT-Schutzmaßnahmen durchgeführt werden, sinkt das Sicherheitsniveau aus mehreren Gründen ständig ab (Zeitpunkt 1 bis Zeitpunkt 2):

  • Die vorhandenen IT-Systeme werden ständig komplexer und damit unsicherer.
  • Aus Unwissenheit oder Bequemlichkeit werden immer mehr Komponenten der IT-Systeme unsicher konfiguriert.
  • Das Wissen, die Möglichkeiten und die Professionalität potenzieller Angreifer wachsen stetig.
  • Die Sensibilisierung / Awareness der Nutzer und Administratoren sinkt als Folge der Gewöhnung.
IT-Sicherheitsaudit mit der Darstellung des IT-Sicherheitsniveau über die Zeit
Abbildung: IT-Sicherheitsaudit mit der Darstellung des IT-Sicherheitsniveau über die Zeit – © Copyright-Vermerk

Zum Zeitpunkt 2 wird im Unternehmen eine höhere Cyber-Sicherheit eingeführt: Beispielsweise werden eine Sicherheitsleitlinie sowie ein Sicherheitskonzept entworfen und implementiert. Dadurch steigt das IT-Sicherheitsniveau beträchtlich. Das angestrebte Sicherheitsniveau ist durch diese Maßnahmen jedoch noch nicht erreicht und das tatsächliche IT-Sicherheitsniveau beginnt – bedingt durch die oben angeführten Gründe – wieder abzusinken. Daher kann zum Zeitpunkt 3 ein IT-Sicherheitsaudit durchgeführt werden, das die Anforderungen an die IT-Sicherheit mit der Realität in der Organisation vergleicht und bewertet. Das Aufdecken von Sicherheitslücken sowie die daraus resultierenden Empfehlung bezüglich angemessener IT-Sicherheitsmaßnahmen, erhöht das IT-Sicherheitsniveau erheblich, sobald alle Sicherheitsmaßnahmen umgesetzt worden sind. Allerdings werden die Schutzmaßnahmen bei der ersten Implementation nicht immer fehlerfrei konfiguriert. Zudem greifen mittel- und langfristige Sicherheitsmaßnahmen nicht sofort. Von daher liegt das aktuelle IT-Sicherheitsniveau noch unterhalb des angestrebten Niveaus.
Ein weiteres IT-Sicherheitsaudit zum Zeitpunkt 4 ermöglicht es, die noch vorhandenen Sicherheitslücken und Konfigurationsfehler aufzudecken und hierfür geeignete IT-Schutzmaßnahmen vorzuschlagen. Deren Implementation hebt das IT-Sicherheitsniveau in den angestrebten Bereich. Da jedoch – wie oben beschrieben – das IT-Sicherheitsniveau ständig abnimmt, empfiehlt sich turnusmäßig ein IT-Sicherheitsaudit durchzuführen, um neue Sicherheitslücken zu entdecken und die Schutzmaßnahmen daraufhin anzupassen.
Da das Ziel eines IT-Sicherheitsaudits nicht ausschließlich auf die Entdeckung von Schwachstellen und Sicherheitslücken fokussiert, ist dieses nicht nur auf die Aufdeckung von technologischen Problemen wie die Überprüfung der Aktualität von Betriebssystemen und Applikationen beschränkt, sondern bezieht ebenso Überprüfungen mit ein, die organisatorische oder administrative Mängel offenbaren können.

IT-Sicherheitsaudit mit Auditor und Checkliste
Abbildung: IT-Sicherheitsaudit – © Copyright-Vermerk




Weitere Informationen zum Begriff “IT-Sicherheitsaudit”:

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Zurück zur Übersicht




Summary
IT-Sicherheitsaudit
Article Name
IT-Sicherheitsaudit
Description
IT-Sicherheitsaudits werden durchgeführt, um ein bestehendes IT-Sicherheitsniveau festzustellen und dies gegebenenfalls erhöhen zu können. Dabei kann das IT-Sicherheitsniveau einer Organisation im zeitlichen Verlauf dargestellt werden, um Veränderungen sichtbar zu machen.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
IT-Sicherheitsaudit mit Auditor und Checkliste
IT-Sicherheitsaudit Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten