Audits können selbst oder durch externe Dienstleister abgewickelt werden. Sie sollten mindestens einmal pro Jahr durchgeführt werden. In Unternehmen mit einem hohen Risikoprofil oder einer komplexen IT-Infrastruktur können Audits auch häufiger erforderlich sein. 

Warum Sicherheitsaudits regelmässig durchführen? 

Sicherheitsaudits decken potenzielle Schwachstellen in Ihrer IT-Infrastruktur auf – idealerweise bevor Angreifer sie ausnutzen können.  

Der Zweck eines Audits ist es also, den eigenen aktuellen Sicherheitsstand zu überprüfen. Weil sich die Cyberkriminalität aber ständig weiterentwickelt, ist es wichtig, diese Prüfung regelmässig zu wiederholen. Nur so wissen Sie, ob Ihr IT-Infrastruktur noch genügend geschützt ist.  

Auf Basis der Audit-Ergebnisse können Sie proaktiv Massnahmen definieren und umsetzen. Das hilft, Ihre Angriffsfläche zu reduzieren und mögliche Schäden zu minimieren. 

Diese Schritte umfasst ein Sicherheitsaudit 

Datenerfassung und Risiken identifizieren 

Der erste Schritt besteht darin, relevante Informationen über das Unternehmen und seine IT-Infrastruktur zu sammeln. Legen Sie dabei den Umfang des Audits fest, um zu bestimmen, welche Systeme, Netzwerke und Anwendungen geprüft werden sollen.  

Dazu können einerseits Computer, Server, Software oder Datenbanken Ihres Unternehmens gehören. Andererseits sollte auch die Vergabe von Zugriffsrechten und die Hardware oder Software, die Sie derzeit zur Abwehr von Angriffen einsetzen, überprüft werden. 

Anschliessend analysieren Sie oder ein beauftragter IT-Dienstleister die aktuellen Bedrohungen und Risiken, denen das Unternehmen ausgesetzt ist. Berücksichtigen Sie dabei auch mögliche Auswirkungen von Sicherheitsverletzungen auf das Unternehmen. 

Aktuelle Sicherheitsmassnahmen prüfen 

Die vorhandenen Sicherheitsrichtlinien und -prozesse des Unternehmens werden geprüft, um festzustellen, ob sie der aktuellen Praxis und den Industriestandards entsprechen. Tun sie es nicht, bestehen Sicherheitslücken und Schwachstellen in der IT-Infrastruktur. Solche potentiellen Schwachstellen können in Software, Netzwerken, Firewalls und anderen Sicherheitsmassnahmen vorkommen. 

In einigen Fällen empfiehlt es sich auch Penetrationstests durchzuführen, bei denen gezielt versucht wird, in das Netzwerk einzudringen, um die Wirksamkeit der Sicherheitsmassnahmen zu testen. 

Prüfen Sie weiter die Zugriffsberechtigungen für Mitarbeitende und externer Dienstleister, um sicherzustellen, dass nur autorisierte Personen auf sensible Daten und Systeme zugreifen können. 

Handlungsempfehlungen ableiten 

Fassen Sie oder Ihr IT-Dienstleister am Ende eines jeden Audits die Ergebnisse der Untersuchung in einem Bericht zusammen. Leiten Sie daraus klare Empfehlungen ab, wie Sie die Cybersicherheit Ihres KMU verbessern können. 

Kurz zusammengefasst: Sie sollten für die beim Audit festgestellten Probleme geeignete und umsetzbare Lösungen finden. Möglicherweise können Ihre internen Fachleute diese formulierten Massnahmen umsetzen, aber eventuell benötigen Sie auch eine externe Sicht. 

Überprüfen Sie nach der Umsetzung der Massnahmen, ob die neuen Sicherheitsmassnahmen effektiv sind und den aktuellen Bedrohungen standhalten.