Auditing und Penetration Testing

Audits dienen der Verifikation einer Erwartungshaltung. Diese Erwartungshaltung sind in der Regel Security Standards (ISO 27001/2, BSI IT Grundschutz, PCI,  MARisk, SOX ...) oder eigene Vorgaben. Audits können, je nach gewähltem Schwerpunkt, sowohl technisch als auch prozess-orientiert sein. 

Eine Variante von Audits sind sogenannte "GAP Analysen" oder "Readiness Assessments". Diese dienen dazu, sich einen Überblick bzgl. des Reifegrads zu einem untersuchten Thema (Datenschutz, Security Standards ...) zu verschaffen, und daraus einen detailierten Projektplan für die Umsetzung zu erstellen.

Ebenso unter die Rubrik "Audit" fällt die IT Revision und die Jahresabschlussprüfung der Wirtschaftsprüfer. Diese wird in Deutschland üblichwerweise auf Basis von IDW PS 330 ("Abschlussprüfung bei Einsatz von Informationstechnologie") durchgeführt.


Penetration Tests sollen die Frage beantworten "Wie tief bzw. wie einfach kann ein Angreifer in meine Systeme eindringen?". Dies kann sowohl für interne als auch für externe Angreifer geprüft werden. Man unterteilt Penetration Tests in die Kategorien "Black Box" (kein Wissen über die Zielsysteme vorhanden) und "White Box" (Dokumentation zum Netzwerk, den Systemen und den Sicherheitsmaßnahmen liegt vor). Ebenso besteht die Option, die interne Administration bzw. das interne Security Team zu prüfen, indem man den Penetration Test ohne deren Wissen, mit entsprechend "leisen Methoden" durchführt. Was Penetration Tests aber niemals sein sollten ist der simple Durchlauf eines Vulnerability Scanners. Dies hat auch seine Berechtigung (Schwachstellen, Management, PCI-ASV Scans ...), aber nicht unter dem Begriff "Penetration Testing".


Dienstleistungen