Audit-Etappen: Von der Bestandsaufnahme zur Detailanalyse

Audit-Etappen: Von der Bestandsaufnahme zur Detailanalyse

Artikel erschienen in IT Magazine 2021/06

Background des Security Auditors

Bisher galt das Augenmerk den verschiedenen Arten eines Audits. Nicht minder wichtig für ein erfolgreiches Projekt ist die Wahl des richtigen Prüfers. Vergibt ein Unternehmen einen Audit-Auftrag an einen externen Dienstleister, muss unbedingt auch die Erfahrung und der Background des Auditors als Kriterium berücksichtigt werden.

Ein Auditor (Penetrationstester), der selbst schon Sicherheitskomponenten in eine IT-Infrastruktur integriert und betrieben hat, hat eine praktische Vorstellung von den Fähigkeiten und Grenzen dieser Produkte. Ein Penetrationstester mit Erfahrung in der Konzeption und Entwicklung von komplexen Webapplikationen weiss um die Kompromisse, welche manchmal für die rechtzeitige Markteinführung erforderlich sind.

Ein Unternehmen, das eine Audit-Dienstleistung extern bezieht, sollte sich bereits im Vorfeld Gedanken über den gewünschten Gehalt des Ergebnisses machen und das mit dem Security Auditor besprechen.

- Soll das Ergebnis nur die gefundenen Schwachstellen, eingeteilt nach Kritikalität (gering bis kritisch) aufführen?

- Soll als Ergebnis ein priorisierter Massnahmenplan stehen, welcher die vorhandenen Möglichkeiten der Infrastruktur berücksichtigt?

- Oder soll eine Schwachstelle dahingehend untersucht werden, welche Mängel in Prozessen, Weisungen oder Richtlinien sie überhaupt erst verursacht hat?

Ob das Ergebnis im gewünschten Kontext aufbereitet werden kann, hängt von den Erfahrungen und vom Werdegang des Security Auditors ab.
ISMS
Information Security Management System. Während sich ein Qualitätsmanagementsystem auf die Erfüllung spezifischer Anforderungen für ein Produkt fokussiert, beschäftigt sich das ISMS mit den Prozessen zur Gewährleistung der geschäftsspezifischen Anforderungen an die Informationssicherheit. Das ISMS dient also der kontinuierlichen Verbesserung der Informationssicherheit im Unternehmen. ISO 27001 ist der bekannteste, aber nicht der einzige Standard für ein ISMS.

Braucht es ein Audit?

Grosse Unternehmen mit etabliertem ISMS (siehe Infobox) steuern ihr Risiko ja bereits mit einem umfassenden Sicherheitskonzept, ausgefeilten Prozessen und mehrschichtigen, ineinandergreifenden Massnahmen. Aber auch für sie erbringt ein technisches Audit als Übung einen wertvollen Dienst, da es Lücken und Mängel im Konzept aufdecken kann. Eine Schwachstelle kann dann verschiedene Ursachen haben:

- Die Möglichkeit wurde im Sicherheitskonzept gar nicht bedacht.

- Die vom Sicherheitskonzept abgeleitete Massnahme wurde nicht richtig umgesetzt.

- Die vorhandene Massnahme zeigt nicht die erwartete Wirkung.

- Das Problem ist schon bekannt und wird als unkritisch eingestuft.

Die Erkenntnisse aus dem Audit sind hier ebenfalls ein Antrieb für die Verbesserung der Informationssicherheit. Ein technisches Audit kann auch als Angriffssimulation verstanden werden und bietet so Gelegenheit, die Wirksamkeit der Detektionsmassnahmen und die Reaktion auf Alarme zu verifizieren. Verfügt das Unternehmen über ein SOC (Security Operations Center), so stellt sich die Frage, ob dort die Aktionen des Penetrationstesters bemerkt wurden. Im Worst Case – man hat nichts bemerkt – wird es höchste Zeit, auch das SOC einem Check zu unterziehen. Das Audit hat in diesem Fall, sozusagen als kostenlosen Zusatznutzen, noch weitere Schwachstellen aufgedeckt. Kein Zweifel also, es braucht ein Audit.

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
SPONSOREN & PARTNER