Schutzbedarf abschätzen und Technologien prüfen

Sicherheitsaudit im Unternehmen – Pflicht oder Kür?

Seite: 3/3

Firma zum Thema

Was ein Sicherheitsaudit leistet

Der Auditor ermittelt, welcher Schutzbedarfsklasse ein Unternehmen oder eine Behörde nach der IT-Grundschutz-Spezifikation des BSI angehört. Hieraus ergeben sich individuelle Gefährdungspotenziale, die sodann verlässlich quantifiziert und entsprechenden Schutzmaßnahmen gegenübergestellt werden können. Nach Abschluss der Prüfung bekommen die im Sinne des § 9a BDSG Verantwortlichen des Unternehmens eine Einschätzung, wie hoch der jeweilige Schutzbedarf ist.

Je nach Spezifikation der zu prüfenden Unternehmung – ob Logistik-Unternehmen, Kommune, Behörde, Bank, Arztpraxis oder Rechtsanwaltskanzlei, Industrieunternehmen oder ein Groß- oder Einzelhandelsunternehmen – ergibt sich eine nicht unerhebliche Divergenz im Hinblick auf den jeweiligen individuellen Schutzbedarf. Entsprechend der getroffenen Einstufung kann von dem Verantwortlichen aus der jeweiligen Schutzbedarfsklasse, von Schutzbedarfsklasse 1 „normal bis hoch“, bis zur Schutzbedarfsklasse 3 „sehr hoch“, abgeleitet werden, in welchen Bereichen potenzielle Beeinträchtigungen liegen.

Es lässt sich darüber hinaus ablesen, welche negativen Außenwirkungen wie Ausfallzeiten, Imageschäden, finanzielle Folgen oder juristische Konsequenzen in Betracht kommen und welche Kosten diese im Zweifelsfall verursachen können. Wenn beispielsweise eine verantwortliche Stelle, deren Unternehmung in der Schutzbedarfsklasse 1 eingestuft ist, Adressen von Mitarbeitern unerlaubt an einen Adressenhandel weitergibt, begründet dies bereits eine Regresspflicht nach dem Bundesdatenschutzgesetz.

Fazit

Die Informationssicherheit ist heutzutage Bestandteil einer Vielzahl von Anordnungen und Gesetzen. Zugleich hat sich das Verständnis, IT-Risikomanagement als kontinuierlichen Prozess zu begreifen, etabliert. Demzufolge soll ein Audit den Sicherheitsstatus in regelmäßigen Abständen überprüfen und dokumentieren.

Die Ergebnisse werden von Auditoren in einem Prüfbericht zusammengefasst. Zu jedem Fragen- und Prüfkomplex wird bescheinigt, ob die Voraussetzungen für die mit dem Prüfverfahren angestrebte Erteilung des Prüfzertifikates erfüllt wurden. Dieser oftmals aufwändige Prozess ermöglicht es, die gesetzlichen Anforderungen des BDSG § 9 auf die konkrete Situation in bestimmten Branchen, Behörden oder Berufsgruppen anzuwenden.

Der abschließende Bericht dient der jeweils auditierten Unternehmung auch gegenüber Wirtschaftsprüfern als Nachweis für die Gewährleistung der entsprechend geforderten Standards und gesetzeskonformer Umsetzung der IT-Sicherheitsrichtlinien.

(ID:37671000)