Definition Was ist ein IT-Audit?

Anbieter zum Thema

Impossible Cloud GmbH

Zadara Ltd.

XOPERO SOFTWARE S.A.

Von einem Informationstechnologie-Audit (IT-Audit) spricht man, wenn es zu einer expliziten Überprüfung und Bewertung der jeweils unternehmenseigenen IT-Systeme kommt. Hierbei handelt es sich um einen vergleichsweise neuen Auditbereich.

So richtig an Bedeutung gewonnen hat das IT-Audit erst mit dem Aufkommen von Cloud-Technologien. Zweck und Ziel eines solchen Audits sind immer die Überprüfung bzw. Kontrolle der Sicherheitsprozesse und -protokolle sowie der IT-Governance. Durchgeführt werden IT-Audits in der Regel von einem IT-Auditor als unvoreingenommenem Beobachter.

Er ermittelt die Ordnungsmäßigkeit und die wirksame Implementierung der IT-Kontrollen. Das stellt sicher, dass die Sicherheits- und Compliance-Richtlinien eingehalten werden und sich das Unternehmen weniger anfällig für Sicherheitsrisiken oder zum Beispiel auch Datenschutzverletzungen zeigt.

Die Audit-Ziele im Einzelnen:

• Schützen der kritischen Datenressourcen eines Unternehmens

• Gewährleisten der verschiedenen Sicherheitszertifizierungen

• Identifizieren von technischen und physischen Sicherheitslücken

• Garantieren von Sicherheitsmaßnahmen nach aktuellsten Standards

• Generieren von Notfallmaßnahmen bei Verstößen gegen die Cybersicherheit

• Formulieren von neuen bzw. aktualisierten Sicherheitsrichtlinien

Arten von IT-Sicherheitsüberprüfungen

Es gibt verschiedene Möglichkeiten, um ein IT-Audit bzw. IT-Sicherheitsaudit zu kategorisieren. Als relevanteste Varianten für den Ablauf gelten die ansatzbasierte und die methodikbasierte Sicherheitsüberprüfung. Diese Unterschiede weisen die beiden Ansätze auf:

1. Ansatzbasierte Audits

• White Box Audits: Der Prüfer erhält in diesem Fall vor der Sicherheitsüberprüfung detaillierte Informationen bezüglich der Organisation und den Strukturen. Hierbei handelt es sich zum Beispiel um Daten wie Quellcodes oder Zugriffsberechtigungen.

• Grey Box Audits: Hier werden quantitative Daten mit qualitativem Vorwissen kombiniert. Der Prüfer erhält dabei im Vorfeld einige Informationen zum Prüfungsprozess. Zwar kann er diese Informationen auch eigenständig sammeln, aber durch die Bereitstellung der Informationen seitens des jeweiligen Unternehmens wird eine Zeitersparnis generiert.

• Black Box Audits: Bei diesem Ansatz verfügt der Prüfer lediglich über die öffentlich zugänglichen Informationen über das zu prüfende Unternehmen. Auf detaillierte Daten und Insider-Informationen muss er dagegen komplett verzichten.

2. Methodikbasierte Audits

• Fragebögen zur Due Diligence: Wird für die Analyse und Beurteilung vorhandener Sicherheitsstandards in Unternehmen genutzt.

• Compliance-Prüfungen: Nur bestimmte Parameter stehen bei dieser Form der Kontrolle auf dem Prüfstand. Dabei soll festgestellt werden, ob die Unternehmen alle erforderlichen Sicherheitsstandards einhalten.

• Penetrationstests: Das Testszenario ähnelt einem gewollten Hacker-Angriff. Der Prüfer versucht, in die Organisation bzw. deren Infrastruktur einzudringen.

• Risikobeurteilungen: Hier geht es um die Identifikation kritischer Ressourcen, die durch eine eventuelle Sicherheitsverletzung bedroht sein könnten.

• Überprüfung auf Sicherheitslücken: Mithilfe von Scans sollen in diesem Fall mögliche Sicherheitsrisiken ermitteln werden. Eine hohe Anzahl an Fehlalarmen ist bei diesem Szenario jederzeit möglich.

(ID:49435997)