Schutzbedarf abschätzen und Technologien prüfen

Sicherheitsaudit im Unternehmen – Pflicht oder Kür?

| Autor / Redakteur: Tarno Stöver, Gateprotect / Stephan Augsten

Für einen umfassenden Security Audit ist einiges an Vorarbeit nötig.
Für einen umfassenden Security Audit ist einiges an Vorarbeit nötig. (Bild: Gateprotect / Archiv)

Das Security-Management sollte nicht nur die Frage beantworten können, „ob“ die IT-Infrastruktur sicher ist, sondern „wie“ sicher sie ist. Sicherheitsaudits können dabei helfen, potenzielle Wissens- und Sicherheitslücken aufzudecken und zu schließen.

Niemand wird ernsthaft bestreiten, dass die Anforderungen an Risiko- und Schwachstellenanalysen in der IT seit Jahren stetig gewachsen sind. Dieser Trend wird sich angesichts Infrastrukturanforderungen, Gesetzen und Verordnungen, schwindenden Ressourcen und zu erwartenden Schäden auch in Zukunft weiter fortsetzen.

Zu den technischen Anforderungen an die Infrastruktur der Informationssicherheit sind weitere wichtige Fragestellungen hinzugekommen. Diese ergeben sich aus den gesetzlichen Datenschutzgrundlagen, Verordnungen und Verwaltungsvorschriften nebst internen Richtlinien (Policies).

Darüber hinaus existieren gesetzliche Regularien, die nur für einzelne Branchen oder Berufsgruppen wie beispielsweise Ärzte, Juristen und etliche weitere freie Berufe gelten. Den verschiedenen Sicherheitsanforderungen stehen jedoch oftmals Befürchtungen vor hohen Kosten und der Bindung von ohnehin knappen personellen Ressourcen gegenüber.

Informationssicherheit im Regelkreis

Gern wird in diesem Zusammenhang das komplexe Zusammenspiel der einzelnen Komponenten in der Informationssicherheit außer Acht gelassen. Aufgrund der rechtlichen Vorgaben und der faktischen Erfordernisse an verlässliche Informationssicherheit besteht ein Abhängigkeitsgeflecht aus rein technischen und technisch-organisatorischen Maßnahmen.

Diese beschränken sich nicht ausschließlich auf die Informationstechnologie und die hieraus resultierenden Prozesse und Verfahren, mit denen die Sicherheitsanforderungen umgesetzt werden. Im Idealfall münden die Schritte in einem System wie dem PDCA-Zyklus („Plan, Do, Check, Act“, auch Deming-Kreis).

Das Prinzip der Durchführung, Überwachung, Überprüfung und Instandhaltung findet auch bei der Umsetzung von DIN- und ISO-Normen Anwendung. Der Prozess bewegt sich in einem kontinuierlichen Zyklus mit dem Ziel, durch ständige Verbesserung qualitätsbestimmender Faktoren zu einem optimalen Ergebnis zu gelangen.

Ein externes Audit besetzt dabei eine wichtige Schnittstelle, weil es die unabhängige Sicht eines auswärtigen Auditors einbringt. Ohne Prüfung durch einen fachkundigen Außenstehenden würden Schwachstellen und Risiken – nicht zuletzt wegen einer möglichen „Betriebsblindheit“ – möglicherweise verborgen bleiben. Das aber würde bedeuten, dass ein Unternehmen über den tatsächlichen Zustand seiner IT-Landschaft und eventueller Sicherheitslücken beziehungsweise –risiken im Unklaren bliebe.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 37671000 / Risk Management)