Suchen

Schutzbedarf abschätzen und Technologien prüfen Sicherheitsaudit im Unternehmen – Pflicht oder Kür?

| Autor / Redakteur: Tarno Stöver, Gateprotect / Stephan Augsten

Das Security-Management sollte nicht nur die Frage beantworten können, „ob“ die IT-Infrastruktur sicher ist, sondern „wie“ sicher sie ist. Sicherheitsaudits können dabei helfen, potenzielle Wissens- und Sicherheitslücken aufzudecken und zu schließen.

Firmen zum Thema

Für einen umfassenden Security Audit ist einiges an Vorarbeit nötig.
Für einen umfassenden Security Audit ist einiges an Vorarbeit nötig.
(Bild: Gateprotect / Archiv )

Niemand wird ernsthaft bestreiten, dass die Anforderungen an Risiko- und Schwachstellenanalysen in der IT seit Jahren stetig gewachsen sind. Dieser Trend wird sich angesichts Infrastrukturanforderungen, Gesetzen und Verordnungen, schwindenden Ressourcen und zu erwartenden Schäden auch in Zukunft weiter fortsetzen.

Zu den technischen Anforderungen an die Infrastruktur der Informationssicherheit sind weitere wichtige Fragestellungen hinzugekommen. Diese ergeben sich aus den gesetzlichen Datenschutzgrundlagen, Verordnungen und Verwaltungsvorschriften nebst internen Richtlinien (Policies).

Darüber hinaus existieren gesetzliche Regularien, die nur für einzelne Branchen oder Berufsgruppen wie beispielsweise Ärzte, Juristen und etliche weitere freie Berufe gelten. Den verschiedenen Sicherheitsanforderungen stehen jedoch oftmals Befürchtungen vor hohen Kosten und der Bindung von ohnehin knappen personellen Ressourcen gegenüber.

Informationssicherheit im Regelkreis

Gern wird in diesem Zusammenhang das komplexe Zusammenspiel der einzelnen Komponenten in der Informationssicherheit außer Acht gelassen. Aufgrund der rechtlichen Vorgaben und der faktischen Erfordernisse an verlässliche Informationssicherheit besteht ein Abhängigkeitsgeflecht aus rein technischen und technisch-organisatorischen Maßnahmen.

Diese beschränken sich nicht ausschließlich auf die Informationstechnologie und die hieraus resultierenden Prozesse und Verfahren, mit denen die Sicherheitsanforderungen umgesetzt werden. Im Idealfall münden die Schritte in einem System wie dem PDCA-Zyklus („Plan, Do, Check, Act“, auch Deming-Kreis).

Das Prinzip der Durchführung, Überwachung, Überprüfung und Instandhaltung findet auch bei der Umsetzung von DIN- und ISO-Normen Anwendung. Der Prozess bewegt sich in einem kontinuierlichen Zyklus mit dem Ziel, durch ständige Verbesserung qualitätsbestimmender Faktoren zu einem optimalen Ergebnis zu gelangen.

Ein externes Audit besetzt dabei eine wichtige Schnittstelle, weil es die unabhängige Sicht eines auswärtigen Auditors einbringt. Ohne Prüfung durch einen fachkundigen Außenstehenden würden Schwachstellen und Risiken – nicht zuletzt wegen einer möglichen „Betriebsblindheit“ – möglicherweise verborgen bleiben. Das aber würde bedeuten, dass ein Unternehmen über den tatsächlichen Zustand seiner IT-Landschaft und eventueller Sicherheitslücken beziehungsweise –risiken im Unklaren bliebe.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 37671000)