Organisatorische Maßnahme
Sicherheitsaudit & Selbstbewertung
Arten von Überprüfungen
Selbstbewertung
Eigene Überprüfung anhand von Checklisten (BSI, ISO 27001, CIS Controls). Günstig, regelmäßig durchführbar, aber begrenzte Objektivität.
Externer Audit
Unabhängige Prüfung durch zertifizierte Auditoren. Höhere Objektivität, belastbare Ergebnisse für Kunden und Behörden, aber kostenintensiver.
Penetrationstest
Simulierter Angriff durch spezialisierte Tester. Deckt technische Schwachstellen auf, die rein organisatorische Audits nicht finden.
Frameworks für die Selbstbewertung
- BSI IT-Grundschutz-Kompendium – umfassender, kostenloser Rahmen für deutsche Unternehmen jeder Größe
- CIS Controls (Center for Internet Security) – priorisierte, praxisnahe Maßnahmensammlung in drei Implementierungsgruppen
- ISO/IEC 27001 Gap Analysis – Abgleich des eigenen Sicherheitsniveaus mit dem ISO-27001-Standard
- NIST Cybersecurity Framework – amerikanischer Standard, international weit verbreitet
- BSI Cyber-Sicherheitscheck – speziell für KMU konzipierter Schnellcheck des BSI
Was ein internes Audit umfassen sollte
- Überprüfung aller Benutzerkonten (aktive Konten ausgeschiedener Mitarbeiter?)
- Test der Backup-Wiederherstellung (funktioniert das Backup wirklich?)
- Überprüfung der Patch-Stände aller Systeme
- Kontrolle der Firewall-Regeln und offenen Netzwerkports
- Überprüfung physischer Sicherheitsmaßnahmen (Serverraum, Clean Desk)
- Test der Notfallpläne (Tischübung, Tabletop Exercise)
Empfohlene Frequenz
Kurzcheck
Patch-Stände, Backup-Logs, neue Benutzerkonten, auffällige Log-Einträge. Dauert ca. 1–2 Stunden.
Vollständiges Audit
Umfassende Selbstbewertung anhand eines Frameworks. Bei signifikanten Änderungen oder Vorfällen auch anlassbezogen.
Externer Pentest
Technischer Penetrationstest durch externe Spezialisten. Früher, wenn kritische Infrastruktur neu aufgebaut oder stark verändert wurde.