Sicherheitsaudits

Maßgeschneiderte Sicherheitsaudits helfen, etwaige Sicherheitsabweichungen im Unternehmen zu erkennen und die Lücken zu schließen. Je nach Bedarf richtet sich das Audit auf Applikationen, Prozesse, Systeme oder die gesamte Sicherheitsorganisation.  Dazu gehören in viele Fällen auch Penetrationstest.

Risikobasierte Audits richten den Fokus auf konkrete Bedrohungsszenarien wie zum Beispiel Industriespionage, Verlust oder Manipulation von Kundendaten und helfen, etwaige Risiken und Schwachstellen zu beseitigen oder zumindest zu minimieren. 

• Compliance Audits prüfen die Einhaltung von Standards und Gesetzen in der gesamten Organisation – zum Beispiel ISO/IEC 27001, IDW PS 330, OWASP Best Practices, der Payment Card Industry Data Security Standard (PCI-DSS), MaRisk oder das Bundesdatenschutzgesetz, aber ggfs. auch die Einhaltung vertraglicher Anforderungen.
• Risikobasierte Audits analysieren Risiken und Schwachstellen und identifizieren drohende Produktions- oder Serviceausfälle, Verlust von Kundendaten oder Industriespionage - Risiken, die nicht nur erhebliche monetäre Belastungen nach sich ziehen können, sondern auch nachhaltige Reputationsschäden.
• Technische Audits sind System-nahe Prüfungen, wie z.B. Penetrationstests, Security-Sourcecode Reviews, Systemaudits, Firewallaudits etc. 

Audits bestehen aus einer Analyse der Dokumente zur IT-Sicherheitsstrategie, IT-Sicherheitsrichtlinien und Policies, Verfahrensanweisungen, Systemdokumentationen sowie sicherheitsrelevante Verträge, Interviews mit Sicherheitsbeauftragten und ausgewählten Mitarbeitern, Vor-Ort-Begutachtung der Systeme, der Umsetzung von Richtlinien und Vorgaben sowie der physischen Sicherheit und des Rechenzentrums sowie ggfs. Social Engineering. Am Ende steht ein Management-konformer Bericht.