Security Audits

Umfassend geprüft

Regelmäßige Security Audits sind ein wesentlicher Teil des deutschen IT-Grundschutzes. International sind die Management-Standards für IT-Sicherheitsaudits in der Norm ISO/IEC 27001 der ISO festgelegt.

Vorgespräch

Am Beginn eines Audits steht ein Vorgespräch, in dem der Kunde seine Erwartungen detailliert darlegt und magellan netzwerke die konkreten Arbeitsabläufe erläutert und insbesondere über die Risiken von Penetrationstest aufklärt, sofern diese im Audit enthalten sein sollen. Ebenfalls wird hier der Umfang und Inhalt der Prüfprotokolle festgehalten und die Haftungsmodalitäten sowie die Vertraulichkeitserklärung fixiert.

Inhalte des Audits

Je nach zu untersuchenden Bereichen (Firewall, DMZ, IDS/IPS, Server, Switches etc.) werden mehrere Audit-Module festgelegt, in denen jeweils die Informationsgewinnung und Bewertung durchgeführt wird.

Ein Modul ist immer der Bereich "Organisationsstruktur und Administration" mit u.a. folgenden Punkten:

  • Physische Sicherheit

  • Personelle Sicherheit (wenn gewünscht)

  • Informationstechnische Sicherheit (Hardware, Software,Kommunikation)

  • Prüfung auf Single Point of Failures

  • Abgleich der definierten Security Policy mit vorgebenen Richtlinien (nach vom Kunden gewünschten Standards)

  • Bewertung des Notfall- und Eskalationskonzepts

  • Nutzung der vorhanden Authentifizierungssysteme und Prüfung auf Bequemlichkeitszugänge

  • Prüfung auf ein konsequentes Relaykonzept für interne Services in der DMZ


Auswertung und Dokumentation

Am Ende des Audits steht die Auswertung und Dokumentation mit folgenden Schwerpunkten:

  • Geheimhaltungserklärung

  • Beschreibung des Audits (Projektbeschreibung und Teststruktur)

  • Executive SummaryTests und Ergebnisse für jedes durchgeführte Testmodul

    • Bewertung des Sicherheitsniveaus
    • Insgesamt identifizierte Sicherheitsmängel nach Risikofaktoren

    • Zusammenfassung der Risiken und des Handlungsbedarfs

    • Zusammenfassende Kurzbeschreibung aller identifizierten Sicherheitslücken

  • Tests und Ergebnisse für jedes durchgeführte Testmodul

  • Testbeschreibung

    • Getestete Dienste/Applikationen

    • Testergebnisse Risikoklassifizierung

    • Empfohlene Maßnahmen

    • Logfiles
  • Abschließende Empfehlungen

Erweiterungen des Audits können insbesondere durch aktive Eindringungsversuche (onsite oder offsite) und Schwachstellenscanner angeboten werden, müssen aber nicht Bestandteil des Audits sein.