IT-Security Audit / Risk Assessment / Assessment / Examination / Penetration Test / BSI7799 / ISO17799

Wie wird bei terreActive AG ein IT-Security Audit durchgeführt?

Untersuchungsgegenstand
Zuerst wird der Umfang der Untersuchung von Organisation und Infrastruktur festgelegt.

Es werden die folgenden Themen betrachtet:

Organisation:

Policies
Prozesse
sonstige Dokumente (Inventare, Pläne, Konzepte etc.)

Technik:

physische Sicherheit
Netzwerksicherheit
Systemsicherheit
Applikationssicherheit

Sicht
Die IT einer Organisation stellt sich von innen und von aussen gesehen völlig unterschiedlich dar. Während beispielsweise bei der internen Sicht die Verfügbarkeit von File-Servern oder die Vertraulichkeit von Buchhaltungsdaten eine zentrale Rolle spielt, ist bei der Sicht von aussen etwa die Unangreifbarkeit des Webauftritts oder die Undurchdringlichkeit der Schnittstellen zwischen Internet und Intranet wesentlich.

Bei der Frage, welche Sicht das Audit berücksichtigen soll, ist zu bedenken, dass der weitaus grösste Schaden den Unternehmen durch "Insider" zugefügt wird.

Untersuchungstiefe
Die gewünschte Untersuchungstiefe bestimmt, mit welchen Werkzeugen und Methoden und bis zu welchem Punkt die Untersuchungen betrieben werden. Zwei Begriffe, die häufig in Zusammenhang mit IT-Security Audits zu hören sind, lauten "Black-Box-Testing" und "White-Box-Testing". Beim "Black-Box"-Ansatz hat der Auditor keinen Zugang zu internen Informationen des Kunden, befindet sich somit in der Rolle eines (internen oder externen) Crackers. Demgegenüber steht der "White-Box"-Ansatz, bei welchem im Rahmen des Audits der Auditor beispielsweise Gespräche mit (Sicherheits-)Verantwortlichen führt oder Zugang zu interner Dokumentation hat.

Die von uns verfolgte Methodik ist grundsätzlich das "White-Box-Testing". Ein "Black-Box-Audit" birgt stets die Gefahr eines falschen positiven Resultats und ist daher dem Kunden von geringerem Nutzen.
Der Aufwand bei einem IT-Security Audit bemisst sich grob nach der Formel "Breite * Tiefe". Wenn also das Untersuchungsobjekt nicht eingegrenzt ist, ist es für den Kunden oftmals vorteilhaft, mit einem breit angelegten Assessment zu beginnen. Aufbauend auf dessen Resultate kann sich daran eine intensivere Auseinandersetzung mit spezifizierten Bereichen der IT-Infrastruktur anschliessen, beispielsweise ein Audit des internen Netzwerks oder ein Penetration-Test des Internetauftritts.

Unser Angebot gliedert sich nach der vom Kunden gewünschten Untersuchungstiefe:

Assessment
Hier handelt es sich um eine in die Breite angelegte Untersuchung sämtlicher sicherheitsrelevanter IT-Komponenten, die einen Überblick darüber vermittelt, wo der Bedarf nach einer tieferen Untersuchung am grössten ist.

Examination
Ein ausgewählter Teilbereich Ihrer IT-Komponenten wird vertieft untersucht und dokumentiert. Die Untersuchung dringt tiefer ein als beim Assessment, aber weniger tief als beim Penetration-Test.

Penetration-Test
Das Untersuchungsobjekt ist bei dieser Form des Audits am stärksten eingegrenzt und erfährt die intensivste Auseinandersetzung, das heisst, die Untersuchung geht am meisten in die Tiefe.

2nd Opinion
Falls Sie eine unabhängige Zweitmeinung zum Thema IT-Sicherheit wünschen, offerieren wir zusätzlich ein Audit in Form einer 2nd Opinion.

Vulnerability Assessment
Wünschen Sie eine fortlaufende Einschätzung Ihrer aktuellen Verwundbarkeit? Wir beurteilen die momentane Verletzlichkeit Ihrer Systeme anhand bekannter Sicherheitslücken.

Factsheet IT Security Audit (485.4 kB)