Ein großer Teil der mittelständischen Unternehmen hatte in der Vergangenheit bereits mit Sicherheitslücken in der eigenen IT Systemen zu kämpfen. Besonders häufig sind Firmen von Virenangriffen, Ausfällen der digitalen Infrastruktur und Datendiebstahl betroffen. Schon aufgrund gesetzlicher Bestimmungen zur Datensicherheit ist die intensive und fundierte Auseinandersetzung mit der internen IT-Sicherheit wichtig. Ein holistisches Konzept berücksichtigt sowohl die Hardware als auch Software-Komponenten und Mitarbeiter. Neben essenziellen Tools und Schulungen können vor allem IT-Sicherheitsaudits präventiv wirken, da diese dem Unternehmen den Status Quo vor Augen führen und auf Schwachstellen hinweisen. Pentests spielen in diesem Zusammenhang häufig eine zentrale Rolle.
Der IT-Sicherheitsaudit als Bestandsaufnahme
Die Digitalisierung ist kein Privileg großer Tech-Konzerne mehr, sondern längst im Alltag des Mittelstands angekommen. Durch die Automatisierung und Virtualisierung vieler Prozesse lässt sich viel Zeit und Geld sparen, weshalb selbst kleine Firmen das Potenzial vorhandener technischer Mittel gerne ausschöpfen. Mit immer wichtiger und komplexer werdenden IT-Systemen steigt auch die Abhängigkeit von der digitalen Infrastruktur. Kommt es aufgrund von Sicherheitslücken zu Ausfällen oder Angriffen, kann es daher richtig teuer werden. Zudem verlangt auch der Gesetzgeber zunehmend ausgefeiltere Sicherheitskonzepte, um die Daten der Kunden zu schützen. Auch wenn es bereits zahlreiche Leitfäden und Informationen zum Beispiel zum Schutz vor Ransomware gibt, wird in vielen Unternehmen die IT-Sicherheit noch nicht ausreichend berücksichtigt.
Ein IT-Sicherheitsaudit nimmt die gesamte IT unter die Lupe und unterzieht sie einer Bewertung. Neben den technischen Ressourcen fließen auch interne Richtlinien und das Verhalten der Mitarbeiter in das Urteil ein.
Vorteile des Audits
Die meisten Cyberattacken nutzen bekannte Lücken in IT-Systemen aus. Häufig entstehen diese aus Nachlässigkeit, z.B. aufgrund fehlender Updates oder falschen Konfigurationen, doch auch konzeptionelle Fehler können zum Problem werden. Ein Sicherheitsaudit evaluiert bestehende Maßnahmen und hilft diese zu optimieren. Folgende Vorteile bringt ein Audit mit sich:
- Gewichtung bestehender Strukturen: Das Verfahren hilft bei der Auswertung und Standardisierung von Sicherheitsprozessen.
- Prävention: Cyberangriffe haben es oft auf bekannte und häufige Sicherheitslücken abgesehen. Mögliche Angriffspunkte lassen sich erkennen und schließen.
- Möglichkeit zur Zertifizierung: Ein Audit ermöglicht die Zertifizierung nach bestehenden Sicherheitsstandards wie der ISO-Norm für Informationstechnologie (27001).
- Schafft Bewusstsein: Es wird auf Verbesserungspotenzial für Sicherheitsschulungen aufmerksam gemacht. Zuständige erhalten außerdem ein wissensbasiertes Fundament für Entscheidungen im Ernstfall.
„Schatten-IT“ als Risikofaktor
Neben den bereits genannten Vorteilen ist ein Sicherheitsaudit auch optimal, um sogenannte „Schatten-IT“ aufzudecken. Unter diesem Schlagwort fasst man alle IT-Komponenten (Hardware & Software) zusammen, die nicht Teil der offiziellen IT-Ressourcen eines Unternehmens sind. Dazu gehören Apps, Cloud-Dienste, Tools und auch mobile Endgeräte. Das große Problem ist, dass diese Schatten-IT im Sicherheitskonzept keine Berücksichtigung findet, da die zuständigen Abteilungen und Personen gar nicht von ihr wissen. Häufig kommt es durch das unvorsichtige Handeln von Mitarbeitern zu diesem „unsichtbaren“ Risikofaktoren. Nicht jede App muss dabei tatsächlich die Sicherheit bedrohen, es genügt aber oft schon, wenn bestimmte Schnittstellen eingerichtet werden, die Hackern die Tür öffnen. Ein gutes Beispiel sind Kurznachrichten- und Chat-Programme, über die Trojaner, Viren und andere Schadprogramme ins Unternehmensnetzwerk gelangen können. Ein umfangreiches und professionelles IT-Sicherheitsaudit berücksichtigt daher immer auch die Schatten-IT.
Für Unternehmen am sichersten sind wiederkehrende Untersuchungen der IT-Sicherheit. Ob monatlich, vierteljährlich oder auch jährlich ist es sinnvoll, Penetrationstests im Zuge des Managed IT-Services zu integrieren. Für IT-Dienstleister, die sich auf eine ganzheitliche Betreuung eingestellt haben, ist das bereits gängige Praxis.
Verschiedene Herangehensweisen
Bei der Durchführung eines Audits gehen Sicherheitsabteilungen oder entsprechende Dienstleister teils verschiedene Wege. Der „Werkzeugkoffer“ ist groß, doch grundsätzlich lassen sich die einzelnen Prozessschritte einem ansatzbasierten oder methodenbasierten Audit zuordnen.
Ansatzbasierter Audit
Bei einem ansatzbasierten Audit stehen die Informationen im Fokus. Üblich ist die Kategorisierung in White-, Grey- und Black-Box. Für einen White-Box-Audit werden dem Prüfer umfassende Informationen zum Unternehmensnetzwerk zur Verfügung gestellt, darunter fallen auch Sicherheitsfreigaben und Quellcodes. Ein Grey-Box-Audit hingegen umfasst nur beschränkte Vorab-Informationen für den Prozess. Für den Black-Box-Audit nimmt der Prüfer eine komplette Außenperspektive ein. Er hat nur Zugriff auf öffentlich einsehbare Informationen.
Methodenbasierter Audit
Methodenbasierte Audits stellen eine ökonomische Audit-Variante dar, bei der mit größtmöglicher Effizienz gearbeitet wird. Daher dreht sich hierbei alles um IT-Ressourcen und die Infrastruktur des Netzwerks. Besonders oft nutzen Prüfer beispielsweise Penetrationstests (Pentests). Dabei geht er wie ein Hacker vor und versucht die Organisation zu infiltrieren. Alternativen dazu sind Testverfahren, die sich auf bestimmte Parameter beschränken (Compliance-Audit) oder Analysen auf Basis vorgegebener Sicherheitsstandards (Due-Diligence-Fragebögen, Risikoanalysen).
Pentests simulieren das Verhalten von Hackern
Bei Audits steht die Effizienz vor allem aus Kundensicht oft im Vordergrund. Der Pentest stellt daher für viele die beste Methode dar, um die Integrität von IT-Systemen zu testen, da der Prüfer die Rolle eines Hackers einnimmt. Der Perspektivwechsel ist deshalb so bedeutend, weil viele Sicherheitslücken bei einer konzeptuellen Betrachtung gar nicht ins Auge fallen. Es gibt manuelle und automatisierte Pentests, sowie Testverfahren, die unterschiedliche Aspekte priorisieren. Besonders beliebt ist der Infrastruktur-Pentest. Im Zuge dieses probiert der Prüfer den Zugang in das Unternehmensnetzwerk über den Server oder WLAN-Netz zu erhalten. So wird sofort klar, ob VPN-Tools und Firewalls einen potenziellen Angreifer abwehren können. Eine Alternative ist der Pentest mittels Webanwendungen.
Unterschiede zur Schwachstellenanalyse
Nicht zu verwechseln ist der Pentest mit einer Schwachstellenanalyse. Letztere setzt nämlich auf eine grundverschiedene Vorgehensweise. Im Laufe der Analyse erstellt der Prüfer eine Liste mit Schwachstellen und möglichen Lösungsvorschlägen. Es handelt sich daher um einen ansatzbasierten Prozess, der auch in Kombination mit einem Pentest durchgeführt werden kann. So kann es das Ziel eines Pentests sein, Daten zu extrahieren. Gelingt dies, erfasst die Schwachstellenanalyse das Ergebnis und weist direkt auf mögliches Verbesserungspotenzial hin. Das Unternehmen hat dann im Anschluss einen konkreten Ansatzpunkt.