IT-Audit. Ein schon sehr trockenes Thema. Und ein komplexes noch dazu. Viele Unternehmen haben IT-Verträge mit Dienstleistern, bei denen Infrastruktur und Service ausgelagert ist. Audits sind in diesen Verträgen oft aufgeführt. Manche Unternehmen versuchen das selbst zu stemmen. Die Realität: Wenn es ausgelagert wurde, geht das oft unter. Intern denken viele, dass man doch sowieso alles up to date hält. Und die Folgen können katastrophal werden. Warum ist das so wichtig? Und was wird oft gefunden? Hier ein Überblick.
Warum sind IT-Audits wichtig?
Viele finanzielle Daten werden heutzutage in automatisierten Systemen verarbeitet und verwaltet. Konstruktionsdaten, Produktionsdaten und Kundendaten, außerdem Mitarbeiterdaten, Bankdaten, Einkaufskonditionen, Verträge und so weiter. Alle diese Daten müssen zu jeder Zeit geschützt sein. Kein Unternehmer möchte, dass diese Daten auf der Straße landen.
Ein Zweiter Punkt ist die Datenintegrität. Geschützte Daten dürfen während der Verarbeitung oder Übertragung nicht durch unautorisierte Personen entfernt oder verändert werden können. Wichtig ist dabei, dass jede Art von Modifikation erkannt wird und die betroffenen Prozesse trotzdem ungehindert ablaufen können. Ein IT-Audit stellt fest, ob der nötige Schutz dafür eingerichtet ist.
Aber auch für die Erstellung von aussagekräftigen Managementberichten sind Kenntnisse in der IT und in Automatisierungsprozessen immer wichtiger. So erhalten Sie einen Einblick und Sicherheit über die Art und Weise, wie die IT-Systeme eingerichtet und organisiert sind. Ferner helfen Ihnen diese Informationen dabei, Prognosen zu erstellen und Entscheidungen zu treffen. Für die Sicherheit, Kontinuität und den Ruf Ihres Unternehmens ist die IT damit entscheidend.
Kurz: Es gibt Sicherheit. Sicherheit, dass nichts nach außen gelangt. Dass die Prozesse gut laufen und aufeinander eingestellt sind. Und dass die Maßnahmen, die nötig werden, frühzeitig erkannt und gelöst werden. Natürlich bevor größere Probleme auftreten.
Wie geht man bei einem IT-Audit vor?
Bei einem IT-Audit wird der IST-Zustand der ganzen IT aufgenommen und analysiert und ausgewertet:
- Sie erstellen eine eine Bestandsaufnahme der gesamten IT-Landschaft mit einer genauen Dokumentation.
- In den einzelnen Bereichen, sowie in den Schnittstellen, machen Sie Schwachstellen und Sicherheitsrisiken fürs Unternehmen ausfindig.
- Im Anschluss erfolgt eine detaillierte Auswertung: Bewertung von potenziellen Gefahren, Empfehlungen für die Optimierung der IT-Systeme, mögliche Einsparungsoptionen und Schließung von Sicherheitslücken, sofern notwendig.
Was wird geprüft / Was wird bei einem IT-Audit gefunden?
Datenbanken
Datenbanken (Instanzen, Versionen, Größe, Sicherungskonzept)
Windows Active Directory: aktive Domains, Domain Level, Gruppen & Rollen, Kennwortänderungen auf Mitarbeiterebene
Kundenspezifische Applikationen: CRM, Rechnungslegung, Datenbanken, Sicherungen
Datenablage: Konzept, Laufwerke bzw. Server Zugriffsberechtigungen. Lokale, benutzerspezifische Daten
Backup / Datensicherung (Konzept, Prüfung Sicherungsinhalt & -intervalle, Speicherort)
Hardware
Serversysteme,
Anzahl und Spezifikation der Geräte (Drucker, PC Systeme…)
Userberechtigungen
Mailserver
Konzept, Hosting, aktive Mailkonten, Mailverteiler, Mailarchivierung
Antispam Konfiguration und Effektivität
Netzwerk
IT-Netzwerk (alle Netzwerkkomponenten)
Netzwerkaufbau (physisches Netzwerk, WLAN, VPN-Verbindungen)
Firewall (Konfiguration, System-Updates, aktive Firewall-Regeln und VPN-Anbindungen)
Internetzugang (Geschwindigkeit, Preismodell)
Übersicht der verwendeten IP-Adressen
Serversysteme (Hardware und Software)
Sicherheit
Zutrittssystem (Status und Sicherung z. B des Serverraumes und der IT-Systeme)
Notstromversorgung (Funktion und Konfiguration)
Software
Serversysteme
Betriebssysteme, Office Software, Security Software, sonstige Software und Status der Lizenzen
Es wird wirklich jeder Bereich des Unternehmens aufgenommen und analysiert. Aber nicht nur als ein abgekoppeltes Element, sondern auch im Zusammenspiel mit Folgeapplikationen / -systemen. So erkennen wir Risiken und Schwächen. Manchmal schon bevor sie Probleme machen und es teuer wird.
Am Ende eines solchen Audits sollen Sie Klarheit über alle nötigen Sofortmaßnahmen (nach Priorität gelistet) haben. Und zusätzlich sollten Entscheidungsträgern präventive Maßnahmen vorgeschlagen werden.
IT-Audit: Kurzum
Ein IT-Audit stellt sicher, dass die eingesetzten Systeme und Technologien richtig funktionieren. Das ist aufwendig und sollte gründlich gemacht werden. Deshalb wird oft ein Dienstleister dafür beauftragt. So kann mit einem neutralen Auge bewertet werden. Allerdings hat ein IT-Audit noch einen weiteren Zweck: Es prüft, dass die eingesetzte Software und die IT-Systeme mit den Businesszielen des Unternehmens übereinstimmen. Deshalb setzen wir bei IT-Audits auf Zusammenarbeit mit Ihnen. Nur so kann das Ergebnis auch zufriedenstellen. Noch Fragen? Melden Sie sich doch einfach unverbindlich bei uns!
Über die Wichtigkeit eines IT-Audits lässt sich nicht streiten. Es stellt nicht nur die Sicherheit und Datenintegrität sicher, sondern fördert auch eine bessere Entscheidungsfindung und zukunftssichere Prozesse. Wenn es um Auslagerung geht, scheinen IT-Berater eine brillante Rolle zu spielen. Externe Fachleute wie Datenschutzbeauftragte können den Druck von internen Teams nehmen und dafür sorgen, dass alle Vorschriften eingehalten werden. Ein interessanter Aspekt ist, dass eine solche Beratung auch die Fähigkeit hat, neue Strategien einzuführen, die das Unternehmen vielleicht noch nicht in Betracht gezogen hat. Könnten Sie mehr darüber erzählen, wie IT-Berater diese neuen Ideen und Strategien einbringen?
Vielen Dank für Ihr Feedback und Ihren Kommentar. Wir teilen die Überzeugung, dass die Perspektive einer externen Person hilfreich sein kann, um letztendlich ein besseres Ergebnis zu erzielen. In einem zukünftigen Beitrag werden wir uns explizit auf den Wert externer IT-Beratung konzentrieren.