IT-Sicherheits-Check
Ein wichtiger Aspekt der IT-Sicherheit ist die regelmäßige Prüfung der getroffenen Sicherheitsmaßnahmen. Schließlich sind Informationen Unternehmenswerte, die geschützt werden müssen. Hierbei kann es sich um Unternehmensinterne Daten oder Daten Ihrer Kunden handeln. Häufig wird vergessen, dass genau diese schützenswerten Daten von Ihren Mitarbeitern auf Server, Laptops, Smartphones, etc. gespeichert und über interne und öffentliche Netze versendet werden. Somit hat mittlerweile das Thema IT-Sicherheit auch immer mit Informationssicherheit zu tun.
Warum sollten Sie einen externen IT-Sicherheits-Check machen?
Ziel des IT-Sicherheits-Checks ist es zum einen, die korrekte Umsetzung und Aufrechterhaltung der Sicherheitsmaßnahmen zu prüfen und zum anderen sicherzustellen, dass geänderte Anforderungen frühzeitig in das vorhandene Informationssicherheits-Managementsystem (kurz ISMS) eingegliedert werden und die Informationssicherheit somit jederzeit auf einem aktuellen und angemessenen Stand ist.
Wie gehen wir bei einem IT-Sicherheits-Check vor?
Wir erörtern und bewerten gemeinsam mit Ihnen in einem Workshop sämtliche sicherheitsrelevante Informationen rund um Ihr Unternehmen bezüglich der IT-Sicherheit. Der Umfang des IT-Sicherheits-Checks und dessen Prüftiefe werden mit Ihnen abgestimmt. Im Anschluss daran findet bei Ihnen vor Ort die Prüfung statt, in dem wir die getroffenen Sicherheitsmaßnahmen aufnehmen und analysieren. Die Ergebnisse werden von uns ausgewertet und dokumentiert. Zu festgestellten Risiken werden wir Ihnen angemessene Vorschläge zur Verbesserung unterbreiten. Auf Wunsch werden Ihnen die Ergebnisse und Verbesserungsvorschläge in einer Abschlusspräsentation vorgestellt.
Wir richten uns bei der Durchführung unseres IT-Sicherheits-Checks nach nationalen (z.B. IT-Grundschutz) und international anerkannten Standards zur Informationssicherheit (z.B. ISO 27001). Sollte Ihr Unternehmen eigene Unternehmensstandards für IT-Sicherheit aufgestellt haben, so werden diese in unserer Prüfung selbstverständlich berücksichtigt.
Welche Analysemöglichkeiten gibt es bei unserem IT-Sicherheits-Check?
Folgende Analysen können wir hier für Sie durchführen:
Analyse der Gebäudesicherheit
Bei der Analyse der Gebäudesicherheit werden allgemeine Sicherungsmaßnahmen z.B. gegen Brand, Einbruch und Sachbeschädigung berücksichtigt. Geprüft werden die Sicherheitsmaßnahmen des Gebäudes und der IT-relevanten Räume. Dazu gehören z.B.: Serverraum, Büros der Administratoren und Geschäftsführung.
Analyse der Netzwerksicherheit
Bei der Analyse der Netzwerksicherheit wird u.a. die Gestaltung des Firmennetzwerkes, die Anbindung an das Internet inkl. Firewall und die VPN-Verbindungen berücksichtigt. Die Prüfung umfasst dabei z.B. die Firewallregeln oder die Fernwartungszugänge. Einzelne Aspekte betreffen dabei auch die Sicherheit der eingesetzten Netzwerkkomponenten (z.B. Router).
Analyse der Server- und Clientsicherheit
Bei der Analyse der Server- und Clientsicherheit wird die Sicherheit der eingesetzten Systeme analysiert; dabei werden u.a. Virenschutz, Software-Updates, Backup, Notfallplanung und die allgemeinen Administrationsverfahren sowie die vorhandene Dokumentation thematisiert. Zu den betrachteten Systemen gehören sowohl Anwendungsserver als auch Infrastruktursysteme wie z.B. Domaincontroller.
Analyse der Anwendungssicherheit
In jedem Unternehmen finden sich kritische Anwendungen, für die der ordnungsgemäße Betrieb sichergestellt werden muss. Bei der Analyse der Anwendungssicherheit werden diese besonders kritischen Anwendungen berücksichtigt. Unter diese Anwendungen fallen z.B. die Personaldaten-Verarbeitung, die Kundendaten-Verarbeitung, die Finanzbuchhaltung (FiBu), das Warenwirtschaftssystem und die Warenlagersteuerung
Analyse der beauftragten Dienstleister
Die meisten Unternehmen nutzen im IT-Bereich Dienstleister. Deren Dienstleistung kann sich von der externen Unterstützung der Administratoren, über die Fernwartung einzelner Komponenten bis zu einem Outsourcing der Server erstrecken. Bei der Analyse der beauftragten Dienstleister wird geprüft, ob die Verantwortungen vertraglich ausreichend geregelt sind, die Überwachung der Auftragnehmer angemessen ist und den gesetzlichen Anforderungen, beispielsweise des Bundesdatenschutzgesetzes (BDSG), entsprochen wird.
Analyse der organisatorischen Maßnahmen
Die organisatorische Ausrichtung der IT-Sicherheit im Unternehmen und die Einbindung der Mitarbeiter z.B. durch Regelungen zur Nutzung des Internets stellen sicher, dass die IT-Sicherheit im gesamten Unternehmen angemessen umgesetzt wird. Bei der Analyse der organisatorischen Maßnahmen werden die bestehenden Regelungen begutachtet und dahingehend bewertet, ob Sie ausreichend und angemessen sind. Die Analyse beinhaltet z.B. das Changemanagement, die Security Policy / IT-Sicherheitsleitlinie, die Mitarbeiterschulung und die Kennwortrichtlinie.
Durchführung eines Penetrationstests
Zur Ergänzung der Analyse können wir Penetrationstests durchführen, um Angriffe gegen interne oder über das Internet erreichbare Systeme zu simulieren. Diese Tests umfassen sowohl Webapplikationsüberprüfungen als auch auf die jeweilige Plattform zugeschnittene Angriffe.
Warum sollten Sie für diese Aufgabe DSN security auswählen?
Unsere IT-Experten sind beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als Auditoren für ISO 27001 auf der Basis von IT-Grundschutz anerkannt und bei der datenschutz cert GmbH als ISO 27001-Auditor lizensiert. Dies stellt sicher, dass wir uns bei der Bewertung Ihrer IT-Sicherheit an den gängigen Standards orientieren. Des Weiteren verfügen wir über jahrelange Erfahrungen in diesem Bereich.
Wir unterstützen Sie gern im Förderprogramm „go-digital“.
Mehr Informationen dazu finden Sie hier: