+49 (0)241 14 94 66 0 beratung@itsecurity-ist-pflicht.de

IT-Security
Audit
Planung

Zertifizierte IT-Sicherheitsbeauftragte planen und begleiten Ihren IT-Security / Informationssicherheits Audit.

Strategiegespräch vereinbaren!

IT-Security / Informationssicherheits Audit Planung

Warum brauchen wir
IT-Security Audits?

Ein Informationssicherheitsaudit wird meist durchgeführt, weil ein externer Partner dies einfordert, um die Sicherheit der eigenen Daten, die in anderen Unternehmen verarbeitet werden, zu gewährleisten. Als Beispiel ist hier die Automobilindustrie zu nennen, die einen solchen Audit bspw. von Zulieferern einzelner Teile fordert, um etwa Entwicklungsdaten von noch nicht veröffentlichten Modellen zu schützen.

Diese Unternehmen stellen externe Partner dann vor die Wahl:

Entweder ihr lasst euch nach den Anforderungen des VDA/BSI/ISO-27000 auditieren, oder das Geschäftsverhältnis wird eingestellt.

Aufgrund der Tatsache, dass damit meist erhebliche Umsatzeinbußen einhergehen, die die Kosten für einen solchen Informationssicherheitsaudit deutlich übertreffen, wird für gewöhnlich die Option gewählt, den geforderten Audit durchzuführen oder durchführen zu lassen. Ein weiterer Grund, weswegen Informationssicherheitsaudits durchgeführt werden, ist das IT-Sicherheitsgesetz von 2015 und den darauf aufbauenden Regelungen für Kritische Infrastrukturen (KRITIS).
Demnach sind Organisationen und Unternehmen mit wichtiger Bedeutung für das staatliche Gemeinwesen (Transport/Verkehr, Versorgung, Gesundheit, und einige weitere Bereiche), die einen festgelegten Einzugsbereich haben, dazu verpflichtet, Informationssicherheitsstandards einzuhalten und sich dementsprechend zertifizieren lassen. Andererseits gibt es auch Unternehmen, die einen solchen Audit durchführen, um das enthaltende Zertifikat werbewirksam als eine Art Imagefaktor einzusetzen.
Strategiegespräch vereinbaren!

Regeln für einen IT-Security Audit

Vor einem IT-Security / Informationssicherheits Audit muss fest stehen, wonach geprüft wird. Die geläufigsten Vorgaben sind in der ISO 27000-Reihe, sowie den Regelungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) festgehalten. In der ISO 27000-Reihe sind umfassende Anforderungen an Systeme/Maßnahmen definiert, die jedoch recht allgemein gefasst sind, wohingegen das BSI diese auszugsweise stark konkretisiert. Darüber hinaus gibt es allerdings noch einige Normen mehr, die etwa vom Verband der Automobilindustrie (VDA) oder im Bezug zum Brand- und Gefahrenschutz von VdS (Vertrauen durch Sicherheit) erarbeitet worden sind. Diese orientieren sich zumeist an den Vorgaben der ISO 27000-Reihe, nehmen Auszüge hieraus, konkretisieren diese jedoch in bestimmten Punkten.

Forderung nach ISO 27002

Speziell in der ISO 27002 ist eine Anforderung gesetzt, die besagt, dass ein Windows-Rechner mit einem Passwort gesichert sein muss. Welche Form dieses Passwort haben muss, wird hier nicht näher spezifiziert.

Forderung des BSI

Nach den Vorgaben des BSI muss ein Windows-Rechner mit einem Passwort gesichert werden, das aus mindestens acht Stellen, sowie einer Ziffer und einem Sonderzeichen besteht.

Strategiegespräch vereinbaren!

Wie läuft ein IT-Security Audit ab?

Als erstes muss geprüft werden, welche Regelungen und Maßnahmen bereits im Unternehmen bestehen und es muss festgelegt werden, was genau geprüft (auditiert) wird. Dies kann entweder das gesamte Unternehmen umfassen, oder nur Teilbereiche, wie Abteilungen oder Standorte. Man sagt hier muss der „Scope“ (engl. für „Anwendungsbereich“) festgelegt werden.

1. Scope definieren

Als erstes muss geprüft werden, welche Regelungen und Maßnahmen bereits im Unternehmen bestehen und es muss festgelegt werden, was genau geprüft (auditiert) wird. Dies kann entweder das gesamte Unternehmen umfassen, oder nur Teilbereiche, wie Abteilungen oder Standorte. Man sagt, es muss der „Scope“ (engl. für „Anwendungsbereich“) festgelegt werden.

2. Selbstaudit

Im zweiten Schritt erfolgt dann ein sogenannter Selbstaudit. Man bekommt einen Fragebogen zugesendet, der ausgefüllt und mit entsprechenden Nachweisen versehen werden muss. Hierbei wird für gewöhnlich ein Telefonat mit dem jeweiligen Auditor geführt, in dem man die einzelnen Punkte des Fragebogens durchgeht und erklärt.

3. Nachbesserung

Sollten die Angaben dem Auditor noch nicht ausreichen, erhält man anschließend die Möglichkeit das Ganze in nachgebesserter Form noch einmal vorzustellen. Hierbei wird meist ähnlich vorgegangen wie im zweiten Schritt, indem man dem Auditor telefonisch erklärt, wie geforderte Sicherheiten umgesetzt werden.

4. Vor-Ort-Audit

Sollten die Angaben auch nach einer Nachbesserung noch nicht den Anforderungen genügen, oder wenn sensible Daten (wie Entwicklungsdaten) verarbeitet werden, erfolgt zuletzt ein Vor-Ort-Audit. Das bedeutet, dass ein Auditor ins Unternehmen kommt und sich alles anschaut und bewertet. Dies ist für das zu prüfende Unternehmen natürlich um einiges teurer, als der „Selbstaudit“, da man Reise- und Aufwandskosten tragen muss.

Obwohl es „Selbstaudit“ heißt, ist es kaum möglich diesen Fragebogen selbstständig korrekt auszufüllen, da für einen Laien nicht ersichtlich ist, was mit den einzelnen Punkten gemeint ist und wie die Anforderungen definiert sind.