Das IT Sicherheits Auditing beschreibt Maßnahmen zur Risiko- und Schwachstellenanalyse eines IT-Systems bzw. einer IT-Infrastruktur und stellt damit einen wesentlichen Beitrag zum IT-Grundschutz eines Unternehmens oder einer Organisation dar.

IT Sicherheitsaudits sollten immer von einem externen Dienstleister und nicht vom eigenen Personal durchgeführt werden, da dieses – trotz möglicherweise erstklassiger Qualifikation - in vielen Bereichen betriebsblind ist. Zumal der Auditor in hohem Maße über die Fähigkeit verfügen muss, sich die Denkweisen verschiedenster potentieller Angreifer mit unterschiedlichen Motivationen zu Eigen machen zu können.

Den jeweiligen Sicherheitstests geht die Erstellung einer IT Infrastrukturanalyse voraus. In diesem Kontext werden die Mitarbeiter des Unternehmens befragt, Security Scans mittels Port- und Vulnerability Scannern durchgeführt, die Zugangskontrollen für Anwendungen und Betriebssysteme überprüft und eine Analyse des physikalischen Zugangs zum System durchgeführt. Des Weiteren kommen sogenannte Penetrationstest zum Einsatz, bei denen Angriff sowohl aus dem Intra- als auch aus dem Internet simuliert werden.

Hierauf aufbauend erfolgt die Bewertung des Schutzbedarfs sowie die Auswahl der Maßnahmen, die nach dieser IT Infrastrukturanalyse in Absprache mit der Geschäftsführung von unserem IT Sicherheits Auditor in einem Maßnahme Katalog festgehalten werden.

Gemäß dem anerkannten Audithandbuch Security Testing Methodology Manual  werden fünf Kategorien von Angriffsmöglichkeiten unterschieden:

• physikalische Interaktion
• Telekommunikation (analoge Kommunikation)
• Datennetzwerke (Paketkommunikation)
• drahtlose Interaktion
• menschliche Interaktion

Potentielle Schwachstellen können hierbei sein

• ungeschützte oder ungenügend gesicherte WLANs
• undifferenzierter, nicht limitierter VPN-Zugang
• sicherheitsrelevant fehlkonfigurierte DHCP-Server
• fehlendes Logging / Notifying / Alerting
• nicht durchgeführte Software-Sicherheitsupdates
• physikalischer Zugang zum Netzwerk
• falsch gesetzte Benutzerberechtigungen
  ('der Geschäftsführer benötigt aber Admin-Rechte')
• veraltete Schutzsoftware (Antivirus)
• nicht ausreichend sensibilisierte Mitarbeiter

Sollten Sie den Verdacht haben, Ihre IT-Infrastruktur ist sicherheitstechnisch nur ungenügend und/oder nicht optimal aufgestellt, stehen wir Ihnen gerne mit einem ersten Beratungsgespräch zur Verfügung. Denn angewandte IT-Sicherheit ist - wie sich im Falle Sony zeigte - heute nicht mehr vernachlässigbar sondern sollte in einem Unternehmen hohe Priorität genießen.