+49 241 149 46 0 information@plesnik.de

IT-Security Audit Planung

Prof. Fachkräfte zertifiziert nach ISO-27001 unterstüzen Sie bei der Planung & Durchführung von Informationssicherheitsaudits (ISO / VDA).

Mehr erfahren

 Warum müssen Informationssicherheitsaudits durchgeführt werden?

Ein Informationssicherheitsaudit wird meist durchgeführt, weil ein externer Partner dies einfordert, um die Sicherheit der eigenen Daten, die in anderen Unternehmen verarbeitet werden, zu gewährleisten. Als Beispiel ist hier die Automobilindustrie zu nennen, die einen solchen Audit bspw. von Zulieferern einzelner Teile fordert, um etwa Entwicklungsdaten von noch nicht veröffentlichten Modellen zu schützen. Diese Unternehmen stellen externe Partner dann vor die Wahl:

Entweder ihr lasst euch nach den Anforderungen des VDA/BSI/ISO-27000 auditieren, oder das Geschäftsverhältnis wird eingestellt.

Aufgrund der Tatsache, dass damit meist erhebliche Umsatzeinbußen einhergehen, die die Kosten für einen solchen Informationssicherheitsaudit deutlich übertreffen, wird für gewöhnlich die Option gewählt, den geforderten Audit durchzuführen oder durchführen zu lassen. Ein weiterer Grund, weswegen Informationssicherheitsaudits durchgeführt werden, ist das IT-Sicherheitsgesetz von 2015 und den darauf aufbauenden Regelungen für Kritische Infrastrukturen (KRITIS).

Demnach sind Organisationen und Unternehmen mit wichtiger Bedeutung für das staatliche Gemeinwesen (Transport/Verkehr, Versorgung, Gesundheit, und einige weitere Bereiche), die einen festgelegten Einzugsbereich haben, dazu verpflichtet, Informationssicherheitsstandards einzuhalten und sich dementsprechend zertifizieren lassen. Andererseits gibt es auch Unternehmen, die einen solchen Audit durchführen, um das enthaltende Zertifikat werbewirksam als eine Art Imagefaktor einzusetzen.

Kostenloser IT-Sicherheits Check

Mit dem IT-Sicherheits-Check überprüfen und schließen Sie in wenigen Minuten kritische IT-Sicherheitslecks in Ihrem Unternehmen.

Wie läuft ein Informationssicherheitsaudit ab?

Als erstes muss geprüft werden, welche Regelungen und Maßnahmen bereits im Unternehmen bestehen und es muss festgelegt werden, was genau geprüft (auditiert) wird. Dies kann entweder das gesamte Unternehmen umfassen, oder nur Teilbereiche, wie Abteilungen oder Standorte. Man sagt hier muss der „Scope“ (engl. für „Anwendungsbereich“) festgelegt werden.

Scope definieren

Als erstes muss geprüft werden, welche Regelungen und Maßnahmen bereits im Unternehmen bestehen und es muss festgelegt werden, was genau geprüft (auditiert) wird. Dies kann entweder das gesamte Unternehmen umfassen, oder nur Teilbereiche, wie Abteilungen oder Standorte. Man sagt, es muss der „Scope“ (engl. für „Anwendungsbereich“) festgelegt werden.

Selbstaudit

Im zweiten Schritt erfolgt dann ein sogenannter Selbstaudit. Man bekommt einen Fragebogen zugesendet, der ausgefüllt und mit entsprechenden Nachweisen versehen werden muss. Hierbei wird für gewöhnlich ein Telefonat mit dem jeweiligen Auditor geführt, in dem man die einzelnen Punkte des Fragebogens durchgeht und erklärt.

Nachbesserung

Sollten die Angaben dem Auditor noch nicht ausreichen, erhält man anschließend die Möglichkeit das Ganze in nachgebesserter Form noch einmal vorzustellen. Hierbei wird meist ähnlich vorgegangen wie im zweiten Schritt, indem man dem Auditor telefonisch erklärt, wie geforderte Sicherheiten umgesetzt werden.

Vor-Ort-Audit

Sollten die Angaben auch nach einer Nachbesserung noch nicht den Anforderungen genügen, oder wenn sensible Daten (wie Entwicklungsdaten) verarbeitet werden, erfolgt zuletzt ein Vor-Ort-Audit. Das bedeutet, dass ein Auditor ins Unternehmen kommt und sich alles anschaut und bewertet. Dies ist für das zu prüfende Unternehmen natürlich um einiges teurer, als der „Selbstaudit“, da man Reise- und Aufwandskosten tragen muss.

Obwohl es „Selbstaudit“ heißt, ist es kaum möglich diesen Fragebogen selbstständig korrekt auszufüllen, da für einen Laien nicht ersichtlich ist, was mit den einzelnen Punkten gemeint ist und wie die Anforderungen definiert sind.

Informationsicherheit am Beispiel Ihrer Passwörter

Außerdem muss fest stehen, wonach geprüft wird. Die geläufigsten Vorgaben sind in der ISO 27000-Reihe, sowie den Regelungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) festgehalten. In der ISO 27000-Reihe sind umfassende Anforderungen an Systeme/Maßnahmen definiert, die jedoch recht allgemein gefasst sind, wohingegen das BSI diese auszugsweise stark konkretisiert. Darüber hinaus gibt es allerdings noch einige Normen mehr, die etwa vom Verband der Automobilindustrie (VDA) oder im Bezug zum Brand- und Gefahrenschutz von VdS (Vertrauen durch Sicherheit) erarbeitet worden sind. Diese orientieren sich zumeist an den Vorgaben der ISO 27000-Reihe, nehmen Auszüge hieraus, konkretisieren diese jedoch in bestimmten Punkten.

ISO Logo

Forderung nach ISO 27002

Speziell in der ISO 27002 ist eine Anforderung gesetzt, die besagt, dass ein Windows-Rechner mit einem Passwort gesichert sein muss. Welche Form dieses Passwort haben muss, wird hier nicht näher spezifiziert.

Forderung des BSI

Nach den Vorgaben des BSI muss ein Windows-Rechner mit einem Passwort gesichert werden, das aus mindestens acht Stellen, sowie einer Ziffer und einem Sonderzeichen besteht.

Gratisberatung zu Ihrem Informationssicherheitsaudit

Wir sind für Sie da unter 0241/149460

Schreiben Sie uns...

Business IT-Alignment unvergleichbar besser qualifiziert!

Business Transformation Manager

Als Master of Business Transformation Management unterstützen wir sie rechtzeitig zu identifizieren, welche Veränderungen (Transformationsprozesse) in Ihrem Unternehmen notwendig werden.

Business Transformation Management ist die Antwort der Vordenker, auf das Nachsehen des Change Managements.

Datenschutzfachkräfte

Als zertifizierte Datenschutzfachkräfte analysieren und optimieren wir Ihre Arbeitsprozesse, so dass die IT-Strukturen Ihres Unternehmens alle Vorgaben der EU Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes erfüllen.

Datenschutz ist mehr als ein notwendiges Pflichtthema. Er schützt die Menschen vor der eigenen Leichtsinnigkeit.

Information-Security Officer

Als TÜV geprüfte Information-Security Officer planen und begleiten wir die Umsetzung von Sicherheitsrichtlinien und unterstützen bei der Vorbereitung von IT-Sicherheitsaudits nach offiziellen Normen, wie z.B. ISO-27001, VDA, usw.

Informationssicherheit ist das wahrscheinlich essenziellste Pflichtthema für jedes Unternehmen.

Marketing, Webdesign & SEO

Anders als Werbe- und Internetagenturen ermitteln wir die Wachstumziele Ihres Unternehmens. Wir führen online und offline Kommunikationswege in einer Marketing Strategie zusammen.

Online-Marketing Analysen sind der effizienteste Weg alles über Ihre potentiellen Neukunden zu erfahren.