Security Audit
Eine systematische Überprüfung der IT-Sicherheitsmaßnahmen eines Unternehmens anhand definierter Standards oder Checklisten.
Ein Security Audit ist eine strukturierte Prüfung der Informationssicherheit eines Unternehmens. Dabei werden Sicherheitsrichtlinien, -konfigurationen, -prozesse und -kontrollen anhand eines definierten Standards (z. B. ISO 27001, BSI IT-Grundschutz) oder einer Checkliste bewertet.
Was ist der Unterschied zum Penetrationstest?
Ein Penetrationstest versucht aktiv, Systeme zu kompromittieren. Ein Security Audit bewertet den Sicherheitsrahmen — Richtlinien, Prozesse, Konfigurationen — ohne zwangsläufig aktive Angriffe durchzuführen. Beide Verfahren ergänzen sich und sollten regelmäßig kombiniert werden.
Security Audits sind besonders wertvoll vor der Einführung neuer Systeme, nach Sicherheitsvorfällen, zur Vorbereitung auf Zertifizierungen oder wenn sich regulatorische Anforderungen ändern. Externe Auditoren bringen eine unvoreingenommene Perspektive, die interne Teams oft nicht haben können.