Wissen
Sicherheitsaudit, IT-Audit, Penetrationstest: was ist was?
Die wichtigsten Begriffe der IT-Prüfung, verständlich eingeordnet.
Rund um die Prüfung von Unternehmens-IT kursieren viele Begriffe. Diese Seite ordnet die wichtigsten ein und zeigt, wann welche Prüfung sinnvoll ist.
Was ist ein Sicherheitsaudit?
Ein Sicherheitsaudit ist eine strukturierte Prüfung der IT eines Unternehmens durch eine unabhängige Stelle. Geprüft wird gegen einen definierten Katalog: vom Netzwerk über Server, Backups und Benutzerkonten bis zu den technischen Maßnahmen der DSGVO. Am Ende steht ein schriftlicher Befund, der den Ist-Zustand dokumentiert und die gefundenen Risiken nach Dringlichkeit ordnet. Bei vetosec heißt dieses Audit IT-Check und umfasst mehr als 100 Prüfpunkte in acht Bereichen.
Sicherheitsaudit, IT-Audit, IT-Check: drei Namen, eine Prüfung
In der Praxis werden die drei Begriffe weitgehend gleichbedeutend verwendet. Sicherheitsaudit betont den Prüfcharakter, IT-Audit die Systematik, IT-Check die verständliche und kompakte Form. Bei vetosec bezeichnen alle drei dieselbe Leistung. Die Schwesterseiten itcheck.info und itaudit.at beleuchten sie aus dem Blickwinkel des jeweiligen Begriffs.
Abgrenzung zu verwandten Prüfungen
Penetrationstest
Ein Penetrationstest versucht gezielt, in Systeme einzudringen, und beantwortet die Frage, ob ein bestimmter Angriff gelingt. Ein Audit beantwortet die breitere Frage, wo ein Betrieb insgesamt steht. Sinnvoll ist ein Penetrationstest meist als Vertiefung nach einem Audit, wenn die Grundlagen geordnet sind.
Schwachstellenscan
Ein Scan sucht automatisiert nach bekannten technischen Lücken. Er liefert Rohdaten, während ein Audit auch Organisation, Backups, Konten und Abläufe bewertet und die Ergebnisse priorisiert.
Zertifizierung nach ISO 27001
Eine Zertifizierung bestätigt ein umfassendes Managementsystem für Informationssicherheit und richtet sich an größere Organisationen mit entsprechendem Aufwand. Ein Audit wie der IT-Check ist der deutlich schlankere Einstieg und häufig die Vorstufe, wenn später eine Zertifizierung oder eine Gap-Analyse für NIS2 oder DORA ansteht.
Wann ein Sicherheitsaudit sinnvoll ist
- Ihre Versicherung oder ein Auftraggeber verlangt einen Nachweis über den Stand der IT-Sicherheit.
- Sie arbeiten mit sensiblen Daten, etwa im Gesundheitsbereich, in einer Kanzlei oder in der Planung.
- Die IT ist über Jahre gewachsen und es fehlt der Überblick, was tatsächlich in Betrieb ist.
- Sie wünschen eine unabhängige Zweitmeinung zur Arbeit Ihres IT-Betreuers.
- Als Zulieferer werden Sie im Zuge von NIS2 nach Ihrer Sicherheitslage gefragt.
Weiterführende Quellen
- onlinesicherheit.gv.at: das IT-Sicherheitsportal der österreichischen Bundesverwaltung
- it-safe.at: die IT-Sicherheitsinitiative der WKO für kleine und mittlere Betriebe
- dsb.gv.at: die österreichische Datenschutzbehörde zu den Pflichten aus der DSGVO
- nis.gv.at: offizielle Informationen zur Netz- und Informationssystemsicherheit in Österreich
Sie möchten wissen, wo Ihr Betrieb steht? Der IT-Check von vetosec beantwortet genau das, mit Befund, Maßnahmenplan und persönlicher Präsentation. Nehmen Sie Kontakt auf oder buchen Sie direkt ein kostenloses Erstgespräch.