Slideshow

Security Auditing

 

Vorgehensweise bei Security Auditing / Allgemeine Darstellung

Die zugehörige vollständige Infografik zum Auditing finden Sie hier.

Wenn wir hier über Security Auditing sprechen, meinen wir Maßnahmen zur Risiko- und Schwachstellenanalyse in Bezug auf allgemeine standartisierte Sicherheitsüberprüfungen im Rahmen der gesetzlichen Möglichkeiten. Regelmäßige IT-Sicherheitsaudits bilden einen unentbehrlichen Teil des deutschen IT-Grundschutzes. Die Security Audits dienen der Planung, Dokumentation und ständiger Weiterentwicklung der Informationssicherheit. Nach Bestandsaufnahme der IT-Systeme und Anlagen erfolgen Tests und Analysen, die mit der Geschäftsführung, dem Personalvertreter sowie dem Datenschutzbeauftragten besprochen werden. Wir erstellen dabei einen Maßnahmenkatalog, der die weiteren Schritte für die Soll und Ist-Wartung darstellt. Desweiteren vereinbaren Sie mit uns einen Geheimhaltungsvertrag über die entstehenden Informationen bei Ihnen.

Es kann sich kein Unternehmen heutzutage Sicherheitslücken oder sicherheistkritische Schwachstellen in der eigenen Infrastruktur erlauben. Jeder Systemausfall oder an die Öffentlichkeit gelangte interne vertrauliche Informationen bedeuten einen Ausfall sowie Wettbewerbsnachteil bis hin zu schweren finanziellen Risiken. Siehe unter anderem das Zusammenspiel der Wirkungskräfte "Bedrohungs- und Risikodefinition in Bezug auf mögliche Gegenmaßnahmen". Um die möglichen Gefahren zu minimieren gibt es Sicherheitskonzepte, die einerseits auf vorhandenem aufbauen, jedoch auch individuell auf Ihre Bedürfnisse angepasst werden können. Gefahren müssen frühzeitig erkannt werden, um Gegenmaßnahmen implementieren zu können. Viele Gesetzliche Regelungen oder Ihre interne Sicherheitspolitik fordern regelmäßige IT-Security Audits, um die Qualität der implementierten Sicherheitsmaßnahmen zu gewährleisten. Dabei kommen auch Best Praticen zum Einsatz. Es werden zwischen manuellem und technischem Security Audit unterschieden.

 

Grafische Darstellung Bedrohungspotential

 

Manuelle Maßnahmen:

Manuelle Maßnahmen können eine Analyse der Befragung von Mitarbeiter sein (Social Engineering).

Security Scans mittels Marktüblicher Tools, die auch der Gegnerseite zur Verfügung steht.

Die Überprüfung der Zugangskontrolle.

Die Analyse des physikalsichen Zugangs.

 

Technische Maßnahme Penetrationstest:

Diese Methode ist ein wesenttlicher Bestandteil eines Security Audits. Hier werden Angriffe von innen wie von außen (laut aktueller Studien erfolgen Angriffe von innen zu 70 Prozent und Angriffe von außen zu 30 Prozent) auf Ihre Infrastruktur dargestellt, bzw. simuliert. Der Vorgang eines Innentäters enstpricht dabei dem Ethical-Hacking oder dem White-Box Ansatz. Es werden aber auch Grey-Box und Black-Box Testverfahren angewandt, um größtmögliche Effizenz zu erreichen. Black-Box Verfahren entsprechen dabei meist den Angriffen einen Außentäters, wobei die Aggressivität gegenüber einem echten Cracker jedoch kaum erreicht werden kann. Soviel Ehrlichkeit muss an dieser Stelle bleiben.

Penetrationstests werden häufig auch als Sicherheits Audits (Security Ausdits) bezeichnet, was aber grundlegend falsch ist. Grundlegend falsch ist auch die Annahme, dass ein Penetratationstest eine längerfristige Sicherheit gewährt. Diese Leistungen, egal in welcher Qualität haben nichts mit realistischer Cracker Kunst / Angriffen gemeinsam. Penetrationstest zielen im allgemeinen auf die technischen Aspekte einer Simulation ab und werden auch als Sicherheitsprüfung bezeichnet. Im Rahmen eines Penetrationstesting wird nur geprüft, ob auf bestimmte Informationen Zugriff erlangt werden kann (dabei gilt die Überprüfung von Systemen in Hardware, Software und Prozesse zu gewährleisten), nicht um etwa im Falle von vernachlässigter Datensicherung festzustellen, ab die Daten auch wiederhergestellt werden können oder ob vertrauliche Informationen anderweitig gestohlen worden sind. Während Penetrationstests auf die technische Umgebung abzielen und eine Momentaufnahme des IT-Systems darstellen, dienen Security Audits der generellen Überprüfung der IT-Infrastruktur (Manuelle Maßnahme). Der Penetrationstest ist jedoch Bestandteil des Security Audits und runded das Portofolio ab. Bei der Durchführung von Security-Audits werden nicht nur die aktuellen technischen Einstellungen überprüft, sondern auch Ordnungsmäßigkeit, Effizienz, Effektivität usw. genauer dargestellt und in einem deatllierten Maßnahmenkatalog zur Verfügung gestellt. Dabei ist die Dokumentation eines der wichtigsten Kriterien im Ablauf eines Security Audits.

Für weitere Informationen stellen wir demnächst einen Whitepaper über Security Audit und Penetrationstest / Sicherheitstest bereit, da die Thematik sehr umfangreich und manchmal auch verwirrend sein kann.

 

zurück nach Auditing