IT-Sicherheitsanalysen & Penetrationstests

Ein Audit der IT-Sicherheit auf der Grundlage von anerkannten Standards wie dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder den ISO-Standards 17799 bzw. 27001 im Unternehmen ist äußerst hilfreich, um die richtigen Schwerpunkte zu setzen.

Eine IT-Sicherheitsanalyse dokumentiert das derzeitige IT-Sicherheitsniveau (Ist-Zustand), gibt Handlungsempfehlungen zur Verbesserung der IT-Sicherheit sowie eine unabhängige und verständliche Entscheidungsgrundlage dafür wie die Prioritäten richtig gesetzt werden können.

Die Dokumentation des bereits erreichten Sicherheitsniveaus dient als Nachweis dafür, dass die Geschäftsführung ihren persönlichen Verpflichtungen zur IT-Sicherheit nachgekommen ist, da diese primär die alleinige Verantwortung für die Umsetzung eines adäquaten Risikomanagements im Unternehmen und damit auch für die IT-Sicherheit trägt.

Grundsätzlich zählt jedoch nicht nur die Sicherheit von einzelnen Komponenten zu den Voraussetzungen für den Schutz von Daten, sondern auch die umfassende Kenntnis der vorhandenen IT-Infrastruktur. Eine detaillierte Schwachstellenanalyse aller Komponenten, welche am Geschäftsprozess beteiligt sind, ist daher eine unabdingbare Voraussetzung, um sinnvolle Maßnahmen gegen interne und externe Angriffe zu ergreifen.

Zu den Zielen von IT-Sicherheitsanalysen gehören:

- Identifikation der Schwachstellen eines IT-Verbundes
- Bewertung des Risikopotenzials
- Maßnahmenempfehlung zur Behebung der identifizierten Schwachstellen bzw. Reduzierung des Risikopotenzials

Zum Umfang von IT-Sicherheitsanalysen zählen:

- IT-Struktur- und Systemanalysen
- IT-Schutzbedarfsanalysen
- Gefahrenanalysen und Risikobewertungen
- Erstellen von IT-Security-Konzepten und Betriebsmodellen
- Penetrationstests, um eventuelle Sicherheitslücken aufzudecken

Primär werden dabei nachfolgende Bereiche untersucht und dokumentiert:

- Organisatorische Maßnahmen, Richtlinien und Verantwortlichkeiten
- Berechtigungsvergabe
- Datenschutz
- Datensicherung
- Virenschutz
- eMail und Internetnutzung
- Einrichtung und Betrieb der Firewallsysteme
- Anbindung von Außenstellen, Heimarbeitsplätzen und mobilen Mitarbeitern
- Sichere Konfiguration von Servern und PCs
- Notfallvorsorge

Zur Erhebung der notwendigen Informationen werden Gespräche mit den Verantwortlichen durchgeführt sowie vorhandene Dokumente und Richtlinien ausgewertet und überprüft.

Die Informationen werden bewertet und mit einem definierten Soll-Zustand abgeglichen. Im Ergebnis werden Empfehlungen und Anregungen ausgesprochen, wo zusätzliche Maßnahmen zur Erhöhung des IT-Sicherheitsniveaus erforderlich sind. Hierbei sollte jedoch grundsätzlich die Umsetzung eines wirtschaftlichen und der individuellen Risikosituation angemessenen Schutzes im Vordergrund stehen.

Es folgt die Planung und Umsetzung von geeigneten Sicherheitsmaßnahmen, wobei jedoch nicht vergessen werden darf auch die Anwender für IT-Sicherheitsthemen ausreichend zu sensibilisieren, um Gefahren zu erkennen und diesen richtig zu begegnen, da nur das Zusammenspiel aller Maßnahmen einen ausreichenden Schutz auch gegen neuartige Angriffe gewährleistet.

Solche IT-Sicherheits-Checks erlauben es, kurzfristig ein gutes Gesamtbild des Ist-Zustands zu ermitteln. Bei einer mittleren Unternehmensgröße reichen i.d.R. ca. 12 Personentage für eine umfassende Analyse und Bewertung der Ergebnisse aus. Kleine und einfache IT-Umgebungen lassen sich sogar in wesentlich kürzerer Zeit analysieren und bewerten.