Audit

Als Audit (von lat. "Anhörung") werden Untersuchungsverfahren bezeichnet, die dazu dienen, Systeme und Prozessabläufe hinsichtlich der Erfüllung von Anforderungen und Richtlinien zu bewerten. Die Audits werden von speziell hierfür geschulten Auditoren durchgeführt.

Je nach Bereich wird bei einem Audit der Ist-Zustand analysiert oder aber ein Vergleich der ursprünglichen Zielsetzung mit den tatsächlich erreichten Zielen ermittelt. Oft soll ein Audit auch dazu dienen, allgemeine Probleme aufzuspüren, damit sie beseitigt werden können oder einen Verbesserungsbedarf aufzuzeigen.

Die Bedürfnisse des Kunden werden aufgenommen und beeinflussen den Prüfplan umfassend. Gegenstand eines Audits können Konzepte, Verfahren, Systeme, Infrastruktur, Prozesse und Organisationsstrukturen sein.

Auditgegenstand

Ein Audit ist eine systematische und messbare Untersuchung, mit welcher Wirkung welche Sicherheitsmassnahmen innerhalb einer Organisation, eines Systems, eines Prozesses oder eines Projektes umgesetzt werden und ob dies angemessen erscheint.

Die Swiss Infosec AG führt ihre Arbeit mittels persönlicher Befragungen (Interviews), Begehungen, Schwachstellenuntersuchungen, Untersuchungen der Einstellungen des Betriebssystems und der Applikationen sowie mittels Netzanalysen und teilweise unter Rückgriff auf historische Daten aus.

Bei den Auditoren der Swiss Infosec AG handelt es sich um ausgewiesene Spezialisten mit grosser Erfahrung (ISO 27001 Lead Auditoren, Lizenzierte ISO 27001 Grundschutzauditoren).


Folgende Themenbereiche können u.a. auditiert werden:

  • Informationssicherheit, insbesondere ISO 27001/27002 oder BSI-Grundschutz-Readiness
  • Technische Sicherheit (Applikationen, Systeme, Plattformen, Netzkomponenten, SCADA-Systeme)
  • Datenschutz
  • Physische Sicherheit
  • Krisenmanagement / Business Continuity-Massnahmen
  • Arbeitssicherheit


Nach dem Auditgegenstand unterscheiden wir folgende Formen:

  • Compliance-Audit (Überprüfung der Übereinstimmung mit einem Regelwerk, Fragenkatalog)
  • Systemaudit (betrachtet das Managementsystem)
  • Technisches Audit (betrachtet technische Systeme)
  • Prozessaudit (betrachtet einzelne Prozesse)
  • Produktaudit (betrachtet das Produkt anhand der Kundenerwartungen)
  • Projektaudit (betrachtet den Fortschritt eines Projektes)

Prinzipien eines Audits

Die Auditierung stützt sich auf eine Reihe von Prinzipien. Diese machen das Audit zu einem wirksamen und zuverlässigen Werkzeug. Die Einhaltung der Audit-Prinzipien ist eine Voraussetzung für nachvollziehbare und wiederholbare Audit-Ergebnisse, die gleichartig und aussagekräftig sind.

Die folgenden Prinzipien werden durch die Auditoren der Swiss Infosec AG erfüllt:


Ethisches Verhalten
  
Die Grundlage des Berufsbildes eines Auditors ist die Vertrautheit mit der Informationssicherheitstechnik. Da im Umfeld der IT-Sicherheit oft kritische Geschäftsprozesse und Daten zu finden sind, sind die Vertraulichkeit der Informationen und der diskrete Umgang mit den Auskünften und Ergebnissen der Audit-Prüfung eine wichtige Arbeitsgrundlage.

Sachliche Darstellung
 
Ein Auditor hat die Pflicht, seinem Auftraggeber wahrheitsgemäss und genau über die Untersuchungsergebnisse zu berichten. Dazu gehört die wahrheitsgemässe und nachvollziehbare Darstellung des Sachverhalts in den Audit-Feststellungen, Audit-Schlussfolgerungen und dem Auditbericht. Die Prüfungsergebnisse des Audits müssen wiederholbar sein (bei unverändertem Sachstand).

Angemessene Sorgfalt
 
Ein Auditor muss beim Auditieren mit Sorgfalt vorgehen. Sein Urteilsvermögen ist eine unerlässliche Voraussetzung für sachgerechte und fundierte Audits.

Unabhängigkeit und Objektivität
 
Die Grundlage für die Unparteilichkeit des Audits wird im Auditbericht bestätigt, nämlich dass die Ergebnisse des Auditberichts auf eigenen Prüfungen beruhen, weisungsfrei und unabhängig durchgeführt wurden.

Nachweise
 
Die rationale Grundlage, um in einem systematischen Auditprozess zu zuverlässigen und nachvollziehbaren Audit-Schlussfolgerungen zu kommen, ist die eindeutige und folgerichtige Dokumentation der Ergebnisse. Die Auditnachweise müssen verifizierbar sein. Hierbei können die Ergebnisse auf Stichproben der verfügbaren Informationen beruhen, da ein Audit während eines begrenzten Zeitraumes und mit begrenzten Ressourcen vorgenommen wird. Die Auswahl der Stichproben muss relevant und in einem sinnvollen Umfang vorgenommen werden.

Ziele eines Audits

  • Analyse des Schutzbedarfes und Analyse der real umgesetzten Sicherheitsmassnahmen und das Aufzeigen des entsprechenden Handlungsbedarfes
  • Schwachstellen in der IT-Infrastruktur erkennen und deren Risiken einzuschätzen
  • Die IT-Sicherheit des IT-Netzes, der Server, der Clients, der technischen Dokumentation und der verschiedenen technischen Konzeptionen
  • Physische Sicherheit Rechenzentrum: Zutrittsschutz, Überprüfung der Sicherheit im Bereich des Gebäudeschutzes, wichtiger Räume mit IT-Infrastruktur, der Haustechnik, des Brandschutzes, des Intrusionsschutzes.
  • Organisatorische Aspekte der Sicherheit: Überprüfung der Sicherheitsorganisation, der bestehenden Sicherheitsregeln, des Sicherheitsmanagements
  • Vorschläge zur Verminderung der Schwachstellen zu erhalten
  • Einhaltprüfung basierend auf ISO-Standard 27002

Ihr Nutzen eines Audits

  • Schwachstellen erkennen
  • Mit den Schwachstellen verbundene Risiken erkennen
  • Massnahmen identifizieren zur gezielten Eliminierung bzw. Senkung der Risiken
  • Standortbestimmung
  • Planungsinstrument im Hinblick auf Kosten und Implementierung der vorgeschlagenen Massnahmen
  • Notfallvorbereitung
  • Umfassende Dokumentation
  • Sensibilisierung der Interviewpartner und Auftraggeber

Untersuchungsgegenstand eines Audits

Folgende Bereiche können bspw. in einem Audit abgedeckt und untersucht werden:

 

Organisation

 

 

 

 
  • Inhalt, Umfang und Umsetzungsgrad sicherheitsrelevanter Vorgabedokumente
  • Prozesse
  • Inhalt, Umfang, Aktualität von Inventaren, Plänen, Konzepten
  • Krisenmanagement, Business Continuity Management, Disaster Recovery
  • Identity Management
  • Datensicherung
  • Notfallvorsorge
  • Alarmierungs-, Interventionskonzepte und -mittel
  • Katastrophen Plan / Disaster Recovery (Alarmplan und Notfallorganisation, interne/externe Ausweichmöglichkeiten, Wiederanlaufpläne, Dokumentationen, etc.)
  • Transparenz der Verfügbarkeitsanforderungen und deren Realisierung
  • Untersuchung der Datensicherungsprozesse, Lagerungsorte, Zyklen, Dokumentation, Systemverträglichkeit
  • Systemverwaltung
  • Netzwerkbetrieb
  • Problem Management
  • Security Incident Management usw.
Mensch
 
  • Akzeptanz und der Kenntnisstand ausgewählter Mitarbeitender
  • Sensibilisierungs- und Ausbildungsmassnahmen
  • Personalauswahl und der Personaleinsatz
Recht
 
  • Interne Standards und Weisungen, Acceptable Use Policies
  • Datenschutz, Urheberrecht
Technik
 
  • Physische Sicherheit
  • Netzwerksicherheit
  • Systemsicherheit (Server, Messaging-Systeme, Datenbanken, Clients, mobile Systeme, usw.)
  • Applikationssicherheit
  • Alle Einstellungen und Konfigurationen der Server werden im Detail analysiert. Ein Report zeigt Schwachstellen und notwendige Massnahmen auf.
  • Protokollierung: Kontrolle von Systemzugriffen: In diesem Bereich wird die Güte, die Auswertung und die Tiefe der Protokollierung von Systemzugriffen untersucht. Ebenso bildet hier die Einhaltung datenschutzrechtlicher Anforderungen ein Prüfelement. Daneben werden allfällige Eskalationsanweisungen bei aufgedeckten Security Violations überprüft.
  • Der Firewall-Test zeigt von innen und aussen, ob die Firewall richtig konfiguriert wurde, ob sie immun gegen DoS oder ähnliche Angriffe ist und überprüft die Reaktionen auf Angriffe. Dies ist besonders bei gemanagten Firewall-Systemen von grosser Bedeutung.
  • Im Rahmen des Penetration Tests wird versucht, über verschiedene Wege in eine Firma einzudringen - sei dies nun rein technisch durch die Firewall, via Email, durch RAS- oder Wireless-Zugänge oder Schwachstellen in den von aussen erreichbaren Diensten.
Tool-
unterstützes Audit/
Compliance Prüfung ISO 27002
 

Die Organisation und Abläufe im Sicherheitsbereich werden einer Prüfung unterzogen. Messgrösse bildet hierbei der Standard ISO 27002. Der Standard ISO 27002 stellt heute den Best Practice-Ansatz im Bereich der Informationssicherheit dar, vergleichbar mit ISO 9000 ff. im Bereich des Quality Managements. Die Anforderungen dieses Standards werden bedarfsgerecht auf die Gegebenheiten des Kunden herunter gebrochen.

Beim Compliance Check setzt die Swiss Infosec AG nach Absprache mit dem Kunden (ohne Kostenfolge) gegebenenfalls das Tool ISMS Tool Box ein. Das Tool erlaubt u.a. eine automatisierte, grafische Auswertung, des weiteren ermöglicht das Tool dem Kunden, den Compliance Check selbstständig zu wiederholen, die Klassifizierung der Schutzobjekte zu dokumentieren, u.v.a.m.

Weitere Informationen zur ISMS Tool Box

Aufbau Auditbericht

Der Auditbericht enthält alle Prüfergebnisse der Auditoren der Swiss Infosec AG. Anhand des Audit-Berichts kann der Kunde Mängel und Verbesserungsmöglichkeiten im Untersuchungsbereich erkennen. Der Auditbericht kann bspw. wie folgt strukturiert sein:


 


0 Management Summary
1 Allgemeines
1.2 Audit Grundlage
1.3 Audit Gegenstand
1.6 Auditvorgehen
------ Geführte Interviews
------ Durchgeführte Begehungen
------ Überprüfte Systeme
------ Überprüfte Applikationen
1.7 Verteiler
1.8 Abgegebene Unterlagen
2. Dokumentenanalyse
3. Interviews
4. Begehungen
5. Technische Überprüfungen
6. Ergebnisse
6.1 Szenarien, Auswirkungen, Wahrscheinlichkeit, Schutzbedarf
6.2 Risiken: Gefährdungen und Schwachstellen
6.3 Massnahmen: Gewichtet, priorisiert, mit geschätztem Aufwand/Kosten
7. Zusammenfassung
Diverse Anhänge

Auditphasen

 
  • Kick-off
  • Dokumentenanalyse
  • Vorbereitung des Audits/Prüfplan/Checklisten
  • Begehungen/Befragungen/Interviews
  • Technische Überprüfungen Netzwerk-Design-Schwachstellenanalyse
  • Penetration Test
  • Vulnerability Scan
  • Firewall-Konzept
  • Messaging-Systeme
  • Gateways: Logging, Überwachung, Alarmierung
  • Erarbeitung des Berichtes
  • Review/Abstimmung des Auditberichtes
  • Präsentation
  • Nachbesprechung

Unterstützung durch Fachspezialisten

Gerne unterstützen wir Sie − kompetent, erfahren und praxisorientiert
Interessiert für ein unverbindliches Gespräch? Senden Sie uns ein E-Mail oder kontaktieren Sie uns direkt unter ++41 41 984 12 12