Was ist ein IT-Audit und wie profitiert dein Unternehmen davon?

Erste Hilfe nach dem Cyberangriff - Titelbild

Ein IT-Audit ist ein wichtiges Tool um die Sicherheit und Funktionalität deiner IT-Systeme zu überprüfen.

Mit der Analyse der IT-Systeme machen unsere IT-Techniker etwaige Schwachstellen und Sicherheitsrisiken für dein Unternehmen ausfindig. Im Anschluss erfolgt eine Bewertung von potentiellen Gefahren. Mit der IT-Analyse erfolgt gleichzeitig eine Bestandsaufnahme deiner gesamten IT-Landschaft mit einer genauen Dokumentation. Das Audit umfasst auch Empfehlungen für die Optimierung der IT-Systeme und Schließung der Sicherheitslücken, sofern das notwendig ist.

Kurzum: ein positives IT-Audit lässt dich einfach besser schlafen.

Das IT-Audit im Überblick:

  • Detaillierte Prüfung & Dokumentation der gesamten IT-Systeme

  • Klarer Überblick über die IT-Sicherheit

  • Auflistung von Schwachstellen und des Handlungsbedarfs, nach Prioritäten gereiht

  • Vorschläge für Optimierung und Einsparung

  • Optional: Abgleich der technischen Umsetzungsmassnahmen laut DSGVO

Hier sind alle Details von den vier wichtigsten Bereichen des IT-Audits:

1. IT-Analyse als Dokumentation

In vielen Fällen gibt es eine über die Jahre eine gewachsene Struktur der IT-Systeme, für eine notwendige Dokumentation der Systeme fehlte meist die Zeit. Die gute Nachricht: eine technische IT-Analyse ist auch gleichzeitig eine Dokumentation des IST-Zustandes deiner IT-Systeme. Dabei werden üblicherweise folgende Bereiche analysiert und dokumentiert:

  • Server-Systeme: Hardware und Software

  • IT-Netzwerk: alle Netzwerk-Komponenten

  • Netzwerkaufbau: physisches Netzwerk, WLAN, VPN-Verbindungen

  • Datenablage: Datenablage-Konzept, Laufwerke bzw. Server Zugriffsberechtigungen. Lokale, benutzerspezifische Daten

  • Backup bzw. Datensicherung: Backup-Konzept, Prüfung Sicherungsinhalt & -intervalle sowie Speicherort

  • Übersicht der verwendeten IP-Adressen

  • Internetzugang: Geschwindigkeit, Preismodell

  • Firewall: Konfiguration, System-Updates, aktive Firewall-Regeln und VPN-Anbindungen

  • PC-Systeme, Drucker & andere Hardware: Anzahl und Spezifikation der Geräte, Userberechtigungen

  • Software und Status der Lizenzen: Betriebssysteme, Office Software, Security Software, sonstige Software

  • Windows Active Directory: aktive Domains, Domain Level, Gruppen & Rollen, Kennwortänderungen auf Mitarbeiterebene

  • Mailserver: Konzept, Hosting, aktive Mailkonten, Mailverteiler, Mailarchivierung

  • Datenbanken: Instanzen, Versionen, Größe, Sicherungskonzept

  • Kundenspezifische Applikationen: CRM, Rechnungslegung, Datenbanken, Sicherungen

  • Antispam-System: Konfiguration und Effektivität

  • Zutritt-System: Status und Sicherung des Serverraumes und der IT-Systeme

  • Notstromversorgung: Funktion und Konfiguration

2. Datenschutz: Vertraulichkeit und Integrität

Eines der Haupteinsatzzwecke für das IT-Audit ist, dass jeder nicht gewollte Zugang zu deinen Unternehmensdaten und IT-Systemen verhindert wird. Selbst bei kleinen Unternehmen, geht es nicht darum wie viele unterschiedliche Daten geschützt werden müssen, sondern wie sensibel die jeweiligen Daten sind: Konstruktionsdaten, Produktionsdaten, Kundendaten, Mitarbeiterdaten, Bankdaten, Einkaufskonditionen, Verträge usw. Alle diese Daten müssen zu jeder Zeit geschützt sein.

Der Schutz der Datenintegrität ist etwas anderes. Die Datenintegrität umfasst Maßnahmen damit geschützte Daten während der Verarbeitung oder Übertragung nicht durch unautorisierte Personen entfernt oder verändert werden können. Wichtig ist dabei, dass jede Art von Modifikation erkannt wird und die betroffenen Prozesse trotzdem ungehindert ablaufen können. Ein IT-Audit kann überprüfen, ob entsprechende Schutzmaßnahmen implementiert sind.

3. Zugang zu Geschäftsinformationen

Jedes Unternehmen – unabhängig von seiner Größe – benötigt rund um die Uhr und von jedem Device Zugang zu seinen Daten von den jeweiligen autorisierten Mitarbeitern. Nur so ist sichergestellt, dass wichtige Businessprozesse und Entscheidungen in Echtzeit getroffen werden können. Neben der Aufrechterhaltung des befugten Informationszuganges ist auch die rasche Wiederherstellung der Unternehmensdaten im Falle eines Desasters (Hackerangriff, Diebstahl, Brand, Wasserschaden) von essentieller Bedeutung.

Das IT-Audit überprüft den Status der Datensicherung, die Aktualität der Datensicherungsstrategie und die Wiederherstell