Die IT-Sicherheit ist eine wesentliche Voraussetzung für die Umsetzung des Datenschutzes im Unternehmen. Wenn Sie wissen möchten, wie es um den Datenschutz in Ihrer Organisation steht, ist es auch wichtig, zu kontrollieren, ob die IT-Sicherheit Lücken aufweist. Entsprechende Audits und Prüfungen sind in regelmäßigen Abständen notwendig.

Prüfung der IT-Sicherheit

Bei der IT-Sicherheit kann man sich leider nie auf dem Erreichten ausruhen, da sich mit der schnellen Entwicklung der Technik immer neue Gefährdungen ergeben. Faktisch besteht ein ständiger Wettlauf zwischen den immer wieder veränderten Bedrohungen und der Verbesserung der Schutzmaßnahmen. Auch intern ist das Unternehmensnetzwerk in ständigem Wandel begriffen. Auch kleinere Veränderungen in der Struktur können neue Anforderungen an die IT-Sicherheit mit sich bringen.

Datensicherheit und Datenschutz werden durch ein möglichst abgeschlossenes System von technischen und organisatorischen Maßnahmen gewährleistet. Ob dieses System funktioniert und den aktuellen Gegebenheiten angemessen ist, kann aus unterschiedlichen Perspektiven untersucht werden.

Bei der Überprüfung der organisatorischen Maßnahmen kontrolliert ein Auditor das Vorhandensein eines schlüssigen Datenschutz- und Datensicherheitskonzeptes: Welche Regeln und Routinen bestehen im Unternehmen, wie sind diese dokumentiert, wie werden sie gelebt? Zunächst kann der Prüfer sich anhand der Dokumente ein Bild von der Struktur der ergriffenen Maßnahmen machen. Die Informationen werden ergänzt durch persönliche Gespräche mit Personen, die Schlüsselfunktionen für IT-Sicherheit und Datenschutz im Unternehmen erfüllen.

Schließlich kann bei einem Audit in den Unternehmensräumen kontrolliert werden, wie die Maßnahmen umgesetzt sind und gelebt werden. Dabei sieht sich der Auditor bei einer Begehung der relevanten Bereiche während des laufenden Geschäftsbetriebs die Umsetzung der wichtigsten Maßnahmen an und gewinnt durch die Befragung von Unternehmensangehörigen einen Eindruck von deren Kenntnisstand über die für sie wichtigen Informationen bezüglich Datenschutz und Datensicherheit.

Die Kontrolle der technischen Maßnahmen kann zunächst ebenfalls auf einer theoretischen Ebene beginnen. Anhand von Netzplänen, Listen, Protokollen und weiteren Dokumenten gewinnt ein Prüfer einen Überblick über das Grundkonzept der IT im Unternehmen und der technischen Schutzmaßnahmen. Die tatsächliche Effektivität der Maßnahmen lässt sich mithilfe von Testtools überprüfen.

Bei den bisher dargestellten Testverfahren wird einem Prüfer das IT-System mitsamt der technischen und organisatorischen Maßnahmen zu dessen Schutz erklärt und gezeigt. Er nimmt die unternehmensinterne Perspektive dabei ein. Es gibt aber auch sogenannte Blackbox-Tests, wo der Prüfer keine internen Auskünfte erhält, sondern das System allein anhand der Informationen überprüft, die er selbst gewinnen kann. Damit nimmt er die unternehmensexterne Perspektive ein.

Wenn aufgedeckt werden soll, wo gegebenenfalls Sicherheitsgefährdungen existieren, an die man nicht gedacht hat, bietet sich ein Penetrationstest an. Dabei wird vom kundigen Prüfer ein umfangreicher Angriff auf das Netzwerk ausgeführt. Auf verschiedensten Wegen versucht er, das Firmennetz zu attackieren. Die Methoden und Ergebnisse der Angriffe werden ausführlich dokumentiert und analysiert. Dies dient anschließend als Grundlage dafür, um die Schutzmaßnahmen zu optimieren und das Netzwerk abzusichern.

Bitte bewerten Sie diese Inhalte!
[1 Bewertung(en)/ratings]

Artikelbild: Symbolbild (c) Paul Hammond

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.