IT-Security Audits auf Basis von IT-Grundschutz

IT-Security Audits
EISA = Enterprise- and Information Security Analysis
Direkt zum Seiteninhalt

Hauptmenü:

061 302 3031
IT-Security Audits auf Basis von IT-Grundschutz
Einführung, Methode, Vorteile, Ergebnisse, Projektablauf, Bestellvorgang

 

Nachstehend wird beschrieben, wie man auf wirtschaftliche Weise die Sicherheit der informationstechnischen Infrastruktur eines Unternehmens oder einer Institution auf Basis von IT-Grundschutz überprüfen kann.
Diese Information richtet sich an Sicherheitsverantwortliche, IT-Leiter, Geschäftsführer oder Verwaltungsrat von privaten Firmen und Institutionen. Zu den zufriedenen Anwendern zählen KMU's aller Branchen, Kommunen, Stadtwerke, Spitäler, Wasserwerke und Gasversorger.
Ganzheitliche Sicht in den IT-Security Audits

 

Organisatorische, technische und physische Sicherheitsaspekte können schwerpunktmässig bei der Bewertung der aktuellen Sicherheitslage berücksichtigt werden. Technische Sicherheit oder physische Sicherheit ergibt nur in Kombination mit organisatorischer Sicherheit einen Sinn. Menschliche Verhaltensweisen sind der kritische Faktor.
Durch die modulare Struktur der IT-Sicherheitsaudits wird Redundanz bei der Datenaufnahme weitgehend vermieden. Ein Einzelaudit zu einem Prüfbereich ist ebenso möglich, wie ein aus vielen Prüfbereichen bestehendes, unternehmensübergreifendes Audit.
Die Server sind performant ausgelegt, aber der Serverraum im Keller läuft mit Wasser voll, als das Rückstauventil zur Kanalisation bei einem Starkregen unter den Wassermassen versagt - Totalschaden war bei einem Kunden die Folge.

 

Die Festplatten der Notebooks sind als Schutz gegen Diebstahl generell verschlüsselt, aber der Geschäftsführer verliert auf einer Geschäftsreise seinen USB-Stick mit wichtigen Geschäftsinformationen zu einer neuen Produktentwicklung - Einer der Mitbewerber war der Erste auf dem Markt.

 

Es ist schwer an alles gleichzeitig denken zu müssen. Mit einem IT-Security Audit behält man die Übersicht.

Prüfung der organisatorischen IT-Sicherheit

 

Es geht um die Sicherheitspolitik, die Sicherheitsprozesse und die Sicherheitsorganisation des Unternehmens bzw. der Institution. Organisatorische IT-Sicherheit wird dort benötigt, wo Menschen in den Prozess eingreifen und den Prozessverlauf beeinflussen können.
Abgeleitet aus der Sicherheitspolitik des Unternehmens: IT-Sicherheitsleitbild und IT-Sicherheitkonzeption, Regelungen, Weisungen, Dokumentation
Einige grundlegende Fragestellungen:

 

  • Ist die IT-Sicherheitskonzeption mit den IT-Sicherheitsrichtlinien und Regelungen auf dem aktuellen Stand?
  • Entspricht die IT-Sicherheitskonzeption den gesetzlichen Anforderungen und den Anforderungen aus dem IT-Sicherheitsstandard?
  • Sind die für das gewünschte / benötigte Sicherheitsniveau erforderlichen IT-Sicherheitsmassnahmen vorhanden und auch umgesetzt worden?
Prüfung der technischen IT-Sicherheit

 

Unter technischer IT-Sicherheit wird die Sicherheit bei den IT-Systemen und –Anwendungen, den Kommunikationseinrichtungen und den Sicherheitssystemen (z.B. Firewalls) verstanden.
Server sind besonders schützenswerte IT-Systeme. Firewalls trennen sichere Bereiche von weniger sicheren Bereichen des Netzwerkes. Die Komunikation innen und nach aussen bedarf besonderer Schutzmassnahmen.
Quellen: pixabay.com und Eigene
Bei der Prüfung der technischen IT-Sicherheit können die IT-Systeme ggf. unter Zuhilfenahme von Tools analysiert werden. Ergänzend dazu werden die Systemverantwortlichen oder Mitarbeitenden an den Systemen zu bestimmten sicherheitskritischen Sachverhalten befragt.
Prüfung der physischen IT-Sicherheit (physische Infrastruktur)

 

Unter physischer IT-Sicherheit wird die Sicherheit von Gebäuden und Räumen verstanden. Dazu gehören sowohl der Zutrittsschutz als auch der Eindringschutz. Die Prüfung und Bewertung mechanischer Sicherheitsmassnahmen, der Brandfrüherkennung oder -vermeidung und eventuelle Gegenmassnahmen sind Teil dieser Prüfung.
Videoüberwachung zeigt dem Sicherheitspersonal die aktuelle Lage vor Ort. Die Aufzeichnung die der späteren Analyse und der Beweissicherung. Das Gebäude ist in Sicherheitszonen eingeteilt. Zutritt zu einem Bereich nur mit ausreichenden Zutrittsrechten. Mittels Sensoren wird aktuelle Zustand an eine Zentrale gemeldet.
Quellen: www.istockphoto.com, www.pixabay.com
Bei der Prüfung der physischen IT-Sicherheit wird ein kombiniertes Verfahren aus Interviews und Vorortbesichtigungen verwendet. Bereichsverantwortliche werden zu sicherheitskritischen Sachverhalten in bestimmten Situationen befragt. Eine baustatische Prüfung bezüglich Bausicherheit findet nicht statt. Es geht primär um die Sicherheit der Daten und Informationen.
Ergebnis des IT-Security Audits ist der Sicherheitsstatus

 

Die wichtigste Kennzahl für die IT-Sicherheit ist der Sicherheitsstatus und zwar insgesamt für den untersuchten Auditbereich und speziell für jedes geprüfte primäre Sicherheitsanforderung (Vertraulichkeit, Integrität, ...).
Horizontale Balken: Sicherheitsstatus insgesamt und bei den fünf Sicherheitsanforderungen Vertraulichkeit, Integrität, Verfügbarkeit, Autrhentizität und Verbindlichkeit. Der Prozentwert reicht von 0% (Unsicher) bis 100% (Sicher). Der Gesamtwert ist kein Mittelwert. Bei der Bereichsangabe 49-52% waren geprüfte Sicherheitskriterien nur teilweise erfüllt.

 

Vertikale Balken: Zeigen die Häufigkeit an, in welcher geprüfte Themen entweder als Unsicher (Rot), Kritisch (Gelb), Unkritisch (Grün) oder Sicher (Blau) bewertet wurden. Mehrere Sicherheitskriterien sind zu Themen zusammengefasst.

 

Farben: Die Farben visualisieren das erreichte Sicherheitsniveau. Die Sicherheitsniveaus werden im Workshop zu Beginn des Audits festgelegt. Jedem Sicherheitsniveau wird ein Wertebereich für den Sicherheitsstatus fesgelegt. Für Unkritisch (Grün) wurde im Beispiel 75% - 90% festgelegt.
Der IT-Sicherheitsstatus ist ein Prozentwert und wird als farbiger Balken dargestellt (Ampelfarben). Für bestimmte Prozentwerte sind Sicherheitsstufen vereinbbart: Rot bedeutet "Unsicher". Die Risiken für Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Verbindlichkeit sind bewertet.
In vier Schritten zu mehr Sicherheit

 

Das Management besitzt ein Werkzeug zur Kontrolle und Steuerung, um die Risiken im IT-Bereich auf ein tragbares Mass zu begrenzen.
1. Ist-Aufnahme: Im Sicherheitsprofil wird u. a. der Schutzbedarf der Daten und Informationen und die Gewichtung der 5 Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Verbindlichkeit erfasst. Zum Prüfungsumfang gehören: Betroffene IT-Systeme, Applikationen, Abteilungen, Sicherheitskonzeption, usw. Technische Systemtests können das Bild abrunden.

 

2. Analyse: Sicherheitsbestimmende Faktoren sind die vorhandenen Massnahmen bei den Systemen, Prozessen und den eingesetzten Verfahren. Die vorhandene Dokumentation sollte hinreichend vollständig und aktuell sein.
Identify: Feststellung des Audit-Scopes - Assess: Ist-Aufnahme der Tatbestände, Sichtung der Doku, Aufnahme der Prozesse und Verfahren - Remediate: Bewertung der Defizite, Priorierung der Handlungsempfehlungen - Manage: Bericht und Präsentation, Massnahmenplan, Management-Entscheidung für Change / Leave.
3. Priorisierung:  Die gefundenen Defizite und Schwachpunkte müssen auf Basis der IT-Sicherheitspolitik des Unternehmens gewichtet werden. Danach kann man die für das Unternehmen besonders kritischen Schwachstellen identifizieren.

 

4. Entscheidungen: Zur Vorbereitung der Management-Entscheidungen bezüglich der weiteren Vorgehensweise nach dem Audit erstellen wir den Sicherheitsbericht mit allen gefundenen Tatsachen, Bewertungen und Schlussfolgerungen.
Haben Sie hierzu bereits erste Fragen? Planen Sie ein Projekt?

 

Werktags sind wir unter +41 (0) 61 302 30 31 erreichbar. Per E-Mail erreichen Sie uns jederzeit unter info@isecure.ch.

 

Die isecure GmbH ist ein von den Eigentümern geführtes schweizer Unternehmen mit Sitz in Therwil bei Basel. Wir arbeiten auf dem Gebiet von ICT-Engineering, Sicherheitsberatung und Schulung für Mitarbeitende und Kader. Informationen zu unserer Firma und unserem Dienstleistungsangebot finden Sie im Internet unter www.isecure.ch.
Ein IT-Sicherheitsaudit kann mehrere Einzelprüfungen (Auditbereiche) umfassen. Im nebenstehenden Beispiel wurde die organisatorische IT-Sicherheit (Regelungen) und die Physische IT-Sicherheit (Perimeter, Gebäude, Räume) geprüft.

 

Die Prüfungen erfolgen nach einem einheitlichen Verfahren und sind daher untereinander vergleichbar. Die Teilergebnisse mit dem Sicherheitsstatus werden in vergleichenden Übersichten einander gegenübergestellt.
Organisatorische IT-Sicherheit
IT-Grundschutz
Der festgestellte IT-Sicherheitsstatus bei IT-Grundschutz ist 67-75% Dies ist ein gerade eben noch unkritischer Zustand.
Notfallvorsorge
Der festgestellte IT-Sicherheitsstatus bei Notfallvorsorge ist 60-70%. Dies ist ein kritischer Zustand.
Weisungen, Vorgaben
Der festgestellte IT-Sicherheitsstatus bei IT-Grundschutz ist 55-68%. Dies ist ein kritischer Zustand.
Sie erkennen leicht, wo die Stärken und Schwächen bei der IT-Sicherheit liegen und können zukünftig Ihre begrenzten Mittel (Personal, Budget) auf die tatsächlichen Schwachpunkte konzentrieren. Bei sich dynamisch verändernden Rahmenbedingungen behalten Sie die Kontrolle über Ihre Sicherheit.

 

Anhand der detailiert ausgearbeiteten Analyse dokumentieren wir den Erfolg Ihrer Bemühungen um IT-Sicherheit und Sie begründen gegenüber den Entscheidern den Bedarf für Ihr Budget.
Physische IT-Sicherheit
Technikräume
Der festgestellte IT-Sicherheitsstatus bei den Technikräumen ist 45-53. Der Zustand ist kritisch, beinahe schon unsicher.
Büroräume
Der festgestellte IT-Sicherheitsstatus bei den Büroräumen ist 34%. Dies ist ein sehr unsicherer Zustand.
Möglichkeiten und Vorteile der IT-Security Audits

 

Für zahlreiche Branchen und Unternehmensgrössen anwendbar

 

In der Vollversion für Firmen und Institutionen ab 20 Mitarbeitenden sinnvoll. Die IT sollte ein eigenständiger Verantwortungsbereich sein (mindestens ein Mitarbeitender beschäftigt sich ausschliesslich mit IT und / oder IT-Sicherheit). Beispiele: Autozulieferer, Stadtwerke mit Strom und Gas, kleiner Buchverlag, Versicherung, Logistik, Handel, Kabelnetzbetreiber, Stadtverwaltung und Verkehrsbetriebe einer Stadt, Bank, Bildungsinstitut, Spital, …
Einbeziehung Ihrer Vertragspartner

 

Sie haben einen Outsourcing-Partner im Bereich Netzwerkbetrieb. Was der Partner für die Umsetzung der vertraglichen Absprachen im Bereich Sicherheit unternimmt, wissen Sie nicht genau - Beziehen Sie Ihre Outsourcing-Partner in das Audit ein und veranlassen Sie eine Überprüfung der Netzwerksicherheit. Sie können auch mit Ihren Lieferanten ein Audit vereinbaren, um die komplexen Vorgänge beim Datenaustausch besser abzusichern.
Auditbaukasten aus kombinierbaren Prüfmodulen

 

Ein Prüfmodul besteht aus Checklisten und Leitfäden sowie andere Arbeitsunterlagen. Die Checklisten sind aufeinander abgestimmt. Jede Checkliste kann unabhängig von den anderen Checklisten ausgefüllt werden. Die Checklisten können von IT-Mitarbeitenden auch in Eigenregie beantwortet werden.
Viele Auswertungsmöglichkeiten für unterschiedliche Zielgruppen

 

Ein Ergebnisbericht besteht aus mehreren Sicherheitsstatusübersichten, Listen zu Schwachstellen mit Risikobewertung, und Massnahmenempfehlungen in Form von PDF-Dokumenten. Wie ist die Sicherheit im Serverbereich? Wie ist die Sicherheit beim Gebäudeschutz? Wie ist die Sicherheit in meiner Fachabteilung? Wie ist die Sicherheit an meinem Standort? Alle Ergebnisse werden in Form von Balkendiagrammen visualisiert. In einer Zusammenfassung für das Management erklären wir die wichtigsten Ergebnisse und Zusammenhänge. Alle Dokumente (meist mehrere Dutzend) werden mit Hilfe einer Webseite zusammengeführt. Sie können mit Hilfe der Hyperlinks über eine Navigationsstruktur zu Detailinformationen per Mausklick navigieren.
Audit zum Festpreis

 

Wir vereinbaren meist einen Festpreis mit Ihnen. Die nachträgliche Hinzunahme von 2 oder 3 Prüfmodulen führt deshalb nicht unbedingt zu höheren Kosten auf Ihrer Seite. Weitere Standorte führen jedoch naturgemäss zu Mehraufwand. Berücksichtigen Sie einen höheren Aufwand wegen den erforderlichen Abstimmprozessen, wenn mehrere Fachabteilungen geprüft werden sollen oder an Entscheidungen zum Audit mitwirken müssen. Bei der Angeboterstellung ist es daher wichtig, vorher Ihren genauen Bedarf zu ermitteln. Wir beraten Sie gerne.
Ein IT-Security Audit aufsetzen

 

Das Audit wird als gemeinsames Projekt durchgeführt. Der Auftraggeber und die isecure GmbH stellen jeweils einen Projektleiter. Weitere Mitarbeitende des Auftraggebers können bei Bedarf bestimmte Aufgaben übernehmen oder liefern Informationen zu bestimmten Sachverhalten.
P1 - Festlegungen
  • Kick Off Meeting
  • ISO 27001 oder IT-Grundschutz
  • Vorgehensweisen
  • Geschäftsprozesse
  • Prüforte (Standorte)
  • Auditbereiche
  • Notwendige Prüfmodule
  • Sicherheitsprofil
  • Ansprechpartner
  • Termine
P1 - Festlegungen und vorbereitende Schritte

 

Im Kick Off Meeting vermitteln die Projektleiter den Teilnehmern am Projekt den Zweck des Projektes. Teilnehmer können die Leiter der betroffenen Fachabteilungen oder Mitglieder der Geschäftsleitung sein. Die Beteiligten vereinbaren, dass sie einander zuarbeiten und verteilen erste Aufgaben. Bei einem kleinen überschaubaren Projekt kann das Kick Off Meeting entfallen. Dann findet nur eine Erstbesprechung zwischen den Projektleitern statt.

 

Im zweiten Teil besprechen die Projektleiter den Prüfungsumfang. Zur Einschätzung der Sicherheitsanforderungen des Kunden werden ggf. wichtige Geschäftsprozesse diskutiert.

 

Ergebnis der Einschätzung ist das sogenannte „Sicherheitsprofil“. Es enthält Angaben zum Schutzbedarf der Daten und Informationen und zum benötigten Sicherheitsniveau bei den Massnahmen. Das Sicherheitsprofil ist die Grundlage der Sicherheitsbewertung in Phase P3.
P2 - Ist-Aufnahme
  • Geschäftsprozesse
  • Sicherheitsziele
  • Schutzbedarf
  • Benötigtes Sicherheitsniveau
  • Checklisten
  • Interviews / Reviews
  • Technische Stichproben
  • Dokumentensicht
  • Vorortbegehungen / Besichtigung
  • Systemchecks / Pentrationstests
P2 - Ist-Aufnahme der Daten und Informationen

 

Die Daten des IT-Sicherheitsaudits werden mit Hilfe von Checklisten erfasst. Die  Checklisten können im Interview durch den Auditeur oder von  sachverständigen Mitarbeitenden des Kunden in Eigenregie ausgefüllt  werden. Ergänzend zu den Checklisten werden weitere Erfassungslisten  bearbeitet - teils nur durch unsere Fachspezialisten.

 

Bei der Überprüfung von IT-Systemen  werden z.B. techn. Stichproben gemacht, bei physischer Sicherheit  (Gebäudeschutz, Perimeter) kann eine Ortsbegehung erfolgen.
Im Unterschied zu den technischen Stichproben benötigen die Systemchecks eventuell spezielles Know How. Die Prüfungsergebnisse sind eigenständige Berichte der meist externen Fachspezialisten. Ein Beispiel wäre die Überprüfung der Firewallkonfiguration.
P3 - Auswertung
  • Vollständigkeit
  • Widerspruchsfreiheit
  • Plausibilität
  • Aktualität der Daten
  • Soll-Ist Vergleich
  • Risikoanalyse
  • Schwachstellenanalyse
  • Kritische Schwachstellen
  • Massnahmenempfehlungen
  • IT-Sicherheitsbericht
  • Präsentation der Ergebnisse
P3 - Auswertung der Daten und Informationen

 

Die Sicherheitsanalyse erfolgt durch unsere IT-Sicherheitsberater. Die IT-Sicherheit wird auf Basis einer Risikoanalyse bewertet. Risiken entstehen, wenn erforderliche Massnahmen nicht vorhanden oder unvollständig umgesetzt sind. Auch der menschliche Faktor wird berücksichtigt. Überall wo Menschen in Prozesse eingreifen können, sollten organisatorische Regelungen vorhanden sein, deren Einhaltung sichergestellt werden muss.

 

Alle bekannten Fakten werden berücksichtigt und mit Hilfe eines datenbankgestützten Regelwerkes systematisch untersucht. Das Regelwerk basiert auf IT-Grundschutz in Kombination mit anderen Standards. Es garantiert Vollständigkeit und Widerspruchsfreiheit.

 

Auch wenn ein Tool unterstützend eingesetzt wird, kann die Bewertung nicht automatisiert ablaufen -  der Berater ist die letzendliche Instanz, welcher für das Ergebnis am Schluss geradestehen muss. Der Berater behält die Verantwortung und ist Ihr Wegbegleiter bei der Vorbereitung, Durchführung und danach, wenn Sie möchten.
P4 - Priorisierung
  • Kontrolle / Review
  • Dringlichkeit der Massnahmen
  • Umsetzbarkeit
  • Geplantes Vorgehen
  • Zeithorizont der Konkretisierung
    (Kurzfristig, mittelfrist, langfristig)
  • Massnahmenverantwortlicher
  • Kostenabschätzung für dringende
    Massnahmen
  • Massnahmenplan als
    Entscheidungsvorlage für das
    Management
  • Präsentation
    Zugabe nach dem Workshop:
  • Microsoft Access Datenbank mit Tool
    zur Pflege der Entscheidungen bzgl.
    der Massnahmen
P4 - Priorisierung der Massnahmenempfehlungen

 

Als Ergebnis von Phase P3 - Auswertung haben Sie Massnahmenempfehlungen erhalten. Diese sind noch nicht priorisiert. Wenn mehr als tausend Prüfpunkte untersucht wurden, gibt es meist mehrere hundert Massnahmenempfehlungen.

 

Zur Priorisierung dieser Empfehlungen bieten wir einen zusätzlich zu beauftragenden Workshop an. Am Ende des Workshops besitzen Sie eine auswertbare Microsoft Access Datenbank mit allen Massnahmenempfehlungen aus dem IT-Sicherheitsaudit. Der Datenbank ist ein Tool beigefügt, mit dem Sie die Datenbank bearbeiten und auswerten können.

 

Die dringlichsten Massnahmen werden im Workshop gemeinsam diskutiert. Erste Entscheidungen zur weiteren Vorgehensweise werden in der Datenbank hinterlegt. Eine Priorität wird festgelegt. Massnahmen die Sie für weniger relevant halten, können zurückgestellt werden. Alle Entscheidungen werden dokumentiert.

 

Massnahmen mit hoher Priorität setzen Sie kurzfristig oder mittelfristig um, - z.B. innerhalb der nächsten 2 bis 3 Jahre. Bei der anschliessenden Umsetzung der Massnahmen stehen wir Ihnen auf Wunsch weiterhin zur Seite. Wir beraten Sie gerne.
Ein IT-Security Audit beauftragen

 

Haben Sie noch Fragen? Rufen Sie uns bitte an oder schreiben Sie uns einfach ein E-Mail.
Ihr Vertragspartner ist die
isecure GmbH, Therwil (BL), CH

 


 

Telefon:    061 302 3031

 

 

Ablauf des Bestellprozesses

 

Auf Wunsch erstellen wir Ihnen ein möglichst passgenaues schriftliches Angebot.

 

Bei der weiteren Ausgestaltung der Inhalte und Leistungen stimmen wir uns gegenseitig ab.

 

Wenn wir Ihre Bestellung annehmen, entsteht ein für beide Seiten verpflichtender Vertrag.
Zurück zum Seiteninhalt | Zurück zum Hauptmenü