search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

Wie führt man ein Cybersicherheitsaudit in Unternehmen durch? 5 Schritte zur Optimierung Ihrer Sicherheit

Von Maëlys De Santis

Am 30. April 2025

In Frankreich war 2023 jedes zweite Unternehmen Opfer eines Cyberangriffs (Quelle: data.gouv.fr), und dieser Trend setzt sich mit einem Anstieg um 11 Prozentpunkte im Jahr 2024 fort (Quelle: Docaposte Cybersecurity Barometer 2024).

Angesichts dieser anhaltenden Cyberbedrohung müssen Unternehmen Cybersicherheitsstrategien einführen, um sich vor dem Diebstahl vertraulicher Daten zu schützen, finanzielle Verluste zu vermeiden (eines von acht Unternehmen meldet finanzielle Verluste) und die Sicherheit der Daten zu erhöhen.Laut demselben Barometer belaufen sich die Kosten auf über 230.000 Euro) und die Integrität ihres Informationssystems (IS) und ihren Ruf schädigen.

Eine regelmäßige Überprüfung der Cybersicherheit ist unerlässlich, um die Wirksamkeit der Strategien zu bewerten und mögliche Schwachstellen zu identifizieren. Und das, obwohl 72% der Befragten der Meinung sind, dass sie genügend Anstrengungen unternehmen, um sich zu schützen. Diesmal ist es die Nationale Agentur für IS-Sicherheit, die uns dies mitteilt.

Dieses Audit ermöglicht es auch Unternehmen, die noch keine Vorkehrungen für die Cybersicherheit getroffen haben, die Schwächen ihres IS zu erkennen und zu beheben. Was ist also ein Sicherheitsaudit und wie wird es durchgeführt? Ein Überblick in diesem Artikel. 🤓

Was ist ein Cybersicherheitsaudit?

Definition und Bedeutung

Ein Cyber-Sicherheitsaudit ist ein systematischer, unabhängiger und dokumentierter Prozess, dessen Ziel es ist, dieWirksamkeit der Vorkehrungen, Regeln und Protokolle, die zur Gewährleistung der digitalen Sicherheit und Compliance eines Unternehmens eingesetzt werden.

🗓️ Jedes Cybersicherheitsaudit wird mindestens einmal pro Jahr von Experten durchgeführt und führt zu einem detaillierten Aktionsplan, um :

  1. die aufgedeckten Schwachstellen zu beheben,
  2. und Informationssysteme auf angemessene und verhältnismäßige Weise zu sichern.

Das Cybersicherheitsaudit ist von größter Bedeutung für Unternehmen, die täglich mit immer raffinierteren Cyberangriffen konfrontiert werden, die vor allem auf neue Technologien und KI zurückzuführen sind.

Warum ein Cybersicherheitsaudit durchführen? 10 Ziele

Die digitale Welt ist ein sich ständig veränderndes Umfeld. Unternehmen integrieren regelmäßig neue Technologien, die es den verschiedenen Akteuren ermöglichen, agiler zu sein und einfach auf die Informationen zuzugreifen, die sie sowohl lokal als auch mobil benötigen. Die Verbreitung von Telearbeit und Nomadentum trägt dazu bei, dass die physischen und virtuellen Verbindungspunkte zu den Unternehmensnetzwerken immer größer werden, wodurch sich auch die Anzahl der Einfallstore für Cyberkriminelle vervielfacht.

In diesem Zusammenhang dient das Cybersicherheitsaudit vor allem dazu, :

  1. Die Schwachstellen des IS als Ganzes zu identifizieren,

  2. Risiken antizipieren,

  3. Die Angemessenheit von Cybersicherheitsstrategien neu bewerten,

  4. Die Ausrüstung und Software für digitale Sicherheit verbessern,

  5. Die Einhaltung gesetzlicher Vorschriften durch die Systeme aktualisieren,

  6. Die Praktiken aktualisieren,

  7. Alle Mitarbeiter für Cyberrisiken sensibilisieren und bewährte Praktiken weitergeben,

  8. Konkrete Empfehlungen zu allen Aspekten der Cybersicherheit aussprechen,

  9. Optimierung der für die Cybersicherheit bereitgestellten Budgets und der eingesetzten Ressourcen,

  10. Reduzierung der finanziellen Kosten und der durch Cyberkriminalität verursachten Schäden (Datendiebstahl, Betriebsunterbrechung, Auswirkungen auf den Ruf des Unternehmens).

Welche Empfehlungen gibt die ANSSI für Audits?

Die Nationale Agentur für die Sicherheit von Informationssystemen (ANSSI), eine Referenz im Bereich der Cybersicherheit, empfiehlt Ihnen, Audits durchzuführen.re für Cybersicherheit und Cyberverteidigung, empfiehlt, regelmäßig umfassende Cybersicherheitsaudits durchzuführen. Zu diesem Zweck hat sie einen Anforderungskatalog für Anbieter von Audits der Sicherheit von Informationssystemen veröffentlicht.

Laut ANSSI muss das Cybersicherheitsaudit :

  • den Grad der Konformität des IS in Bezug auf die Sicherheit messen (bewährte Praktiken, Referenzen, Normen usw.),

  • das Sicherheitsniveau des IS auf der Grundlage verschiedener Audits (organisatorisch und physisch, Architektur, Konfiguration und Quellcode, Penetrationstests) bewerten,

  • die Nichtkonformität des IS und die Schwachstellen durch die Einführung geeigneter Sicherheitsmaßnahmen beheben.

Welche Arten von Cybersicherheitsprüfungen sollten in Betracht gezogen werden?

Gemäß den Empfehlungen der ANSSI deckt ein Cybersicherheitsaudit das gesamte Informationssystem eines Unternehmens ab.

Technisches Audit: Analyse von Systemen und Netzwerken.

Das technische Cybersicherheitsaudit umfasst eine gründliche Analyse :

  • Der Netzwerkarchitektur (Baumstruktur, Verkabelung, drahtlose Verbindungen, Zusammenschaltungsgeräte, Firewall),

  • Die Betriebssysteme, die auf den Servern und Benutzerrechnern (stationär und mobil) installiert sind,

  • Anwendungen und Datenbanken.

Strategische Prüfung: Bewertung der Sicherheitsrichtlinien

Die Bewertung der Sicherheitsrichtlinien betrifft die Gesamtarchitektur des Informationssystems eines Unternehmens, die Organisation der Teams, die Ebenen der Fachkenntnisse, die Prozesse, das Risikomanagement und die Art und Weise, wie Risiken antizipiert werden. Ja, all das. 😮‍💨

Bei der Prüfung gehen die Beteiligten :

  • analysieren die Dokumentation zu den Sicherheitsrichtlinien,

  • führen Interviews mit den Verantwortlichen,

  • bewerten die Organisation und die eingesetzten technischen Vorkehrungen,

  • stellen Vergleiche mit Sicherheitsstandards und Normen an.

Penetrationstests: Ermittlung von Schwachstellen

In diesem Schritt des Cybersicherheitsaudits geht es darum, Schwachstellen zu identifizieren, die ausgenutzt werden können. Diese Tests laufen in mehreren Phasen ab:

  • Sammeln von zugänglichen Informationen, um die mögliche Angriffsfläche zu modellieren,

  • Analyse der Verbindungsports, der über das Internet zugänglichen Dienste, der Cloud-Dienste, der Websites, der E-Mail-Server und der Zugangspunkte wie VPNs (virtuelle private Netzwerke) und DMZs (isolierte Subnetze).Die Studie untersucht auch die Netzwerkarchitektur, um mögliche Zugangspunkte im lokalen Netzwerk, vernetzte Objekte oder in privaten Clouds gehostete Dienste zu identifizieren,

  • Simulation realer Angriffe, die auf die identifizierten Schwachstellen abzielen, z. B. durch Code-Injektion, Session Hijacking, Cross-Site-Scripting (XSS, Einspeisung von Inhalten in eine Webseite) usw.

Compliance-Audit: Gewährleistung der Einhaltung gesetzlicher Standards.

Ziel dieses Audits ist es, Nichtkonformitäten zu ermitteln und Abweichungen zwischen den im Unternehmen üblichen Praktiken und den Anforderungen an die Sicherheit und den Datenschutz festzustellen. Auch dieses Audit besteht aus mehreren Schritten :

  • Sammlung von Informationen und Analyse der Verfahren,

  • Bewertung der Qualität und Effizienz der internen Kontrollen,

  • Aufzeigen von Abweichungen gegenüber den Vorschriften und Risiken,

  • Bilanz und Empfehlungen.

📑 Die maßgeblichen Normen und Referenzen in diesem Bereich sind:

  • ISO/IEC 27001, die weltweit führende Norm für Managementsysteme für Informationssicherheit (ISMS) ,

  • Allgemeine Datenschutzverordnung (DSGVO), die einen Rahmen für die Datenverarbeitung auf europäischem Gebiet bildet,

  • NIS-2-Richtlinie (Sicherheit von Netzen und Informationssystemen), mit dem Ziel, das Niveau der Cybersicherheit in europäischen Unternehmen und Institutionen zu erhöhen...

5 Schritte, um die Sicherheit Ihres IS zu prüfen und zu stärken.

Schritt 1: Bereiten Sie Ihr Cybersicherheitsaudit vor.

In diesem ersten Schritt des Cybersicherheitsaudits geht es darum, die Ziele, den Umfang und die Durchführungsmodalitäten dieses Prozesses festzulegen.

Erstellen Sie eine klare Aufgabenstellung für das Audit.

Die Erstellung eines Pflichtenhefts ermöglicht Folgendes

  • die vorrangigen Ziele des Cybersicherheitsaudits klar darzulegen,
  • zu prüfen, ob die Datenverarbeitung mit der DSGVO konform ist,
  • die Verfahren zur Aktualisierung und Behebung von Schwachstellen zu bewerten...

In der Leistungsbeschreibung wird auch der Umfang des Audits festgelegt. Er kann sich auf das gesamte Informationssystem des Unternehmens beziehen oder nur auf bestimmte Bereiche wie Netzwerk- und Telekommunikationsinfrastrukturen, Systeme und Backups, Cloud-Instanzen, Sicherheitsrichtlinien.

Je nach Kontext kann das Lastenheft auch die Arten von Bedrohungen angeben, die besondere Aufmerksamkeit erfordern, wie z. B. Phishing, Software- und Systemschwachstellen, Endpunkte etc.

Das Lastenheft sollte auch einen spezifischen und funktionsfähigen Plan zur Sicherung und Aufrechterhaltung des Geschäftsbetriebs enthalten. Dieser Plan muss in der Lage sein, innerhalb kürzester Zeit den normalen Betrieb der von den Penetrationstests betroffenen Systeme wiederherzustellen.

Der detaillierte Auditplan in der Leistungsbeschreibung sollte auch den Zeitplan und die wichtigsten Schritte des Audits enthalten und den Teamleiter und die verschiedenen an der Prüfung beteiligten Personen benennen.

Wählen Sie den richtigen Anbieter für die Prüfung.

Die Auswahl des Anbieters sollte auf der Grundlage seiner Referenzen, seines nachgewiesenen Fachwissens und der Methoden, Techniken und Ausrüstungen erfolgen, die ihm für die Durchführung der Maßnahmen zur Verfügung stehen.

Orientieren Sie sich bei der Auswahl Ihres Dienstleisters an den von der ANSSI herausgegebenen Anforderungsrichtlinien.

Beziehen Sie die Betroffenen in den Prozess ein.

Das für die Durchführung des Cybersicherheitsaudits mobilisierte Team sollte externe und interne Prüfer vereinen, um sowohl :

  • Hohes technisches Fachwissen und die Objektivität externer Beteiligter,

  • Eine genaue Kenntnis des Informationssystems, das sie entwickelt haben und täglich betreiben.

Schritt 2: Durchführung des Cybersicherheitsaudits

Sammeln Sie die Daten

Die Anfangsphase des Sicherheitsaudits besteht darin, alle Dokumente zu sammeln, die im Rahmen dieses Vorgangs verwertet werden können:

  • Unterlagen zur Sicherheitspolitik des Unternehmens,
  • Pläne für die Geschäftskontinuität (Reaktion auf Angriffe, Eskalationen...),
  • Netzwerkdiagramm (visuelle Darstellung des Netzwerks und der Elemente, aus denen es besteht),
  • genaue Bestandsaufnahme der IT-Assets.

Wenn es sich nicht um das erste Cybersicherheitsaudit handelt, sollten auch frühere Auditberichte und die darin dokumentierten Ereignisse beigefügt werden.

Führen Sie Penetrationstests durch: White Box vs. Black Box.

Es gibt zwei Methoden, um Penetrationstests im Rahmen eines Cybersicherheitsaudits durchzuführen:

  • Der White-Box-Intrusionstest oder White-Box-Pentest,

  • Der Black Box Penetrationstest oder Black Box Pentest.

👉 Im Rahmen eines White-Box-Intrusionstests werden alle Informationen transparent an den Testleiter weitergegeben, insbesondere die Architekturdokumente, die Administratorzugänge zu den Servern, die Konfigurationen und der Quellcode, die Privilegien, die mit den Profilen legitimer IS-Benutzer verbunden sind, die als potenzielle Angreifer ausgewählt wurden.

👉 Bei einem Blackbox-Intrusionstest haben die Prüfer keine Informationen über das geprüfte Informationssystem, außer IP-Adressen, URLs oder Domainnamen.Bei einem Black-Box-Intrusionstest wird ein Angriff simuliert, der dem eines völlig Außenstehenden ähnelt, wohingegenein White-Box-Intrusionstest Schwachstellen aufdeckt, die bei einem herkömmlichen Intrusionstest möglicherweise nicht sichtbar sind.

Schritt 3: Analyse der Prüfungsergebnisse

Interpretieren Sie die Ergebnisse, um Schwachstellen zu identifizieren.

Im Anschluss an das Cybersicherheitsaudit sollten die Auditoren eine allgemeine Bewertung der Compliance und Sicherheit abgeben. Dabei sollten Sie jede identifizierte Schwachstelle kontextualisieren (Testverfahren, Ergebnisse).

Bewerten Sie die Kritikalität der identifizierten Schwachstellen.

Der Bericht über das Cybersicherheitsaudit sollte für jede Nichtkonformität und Schwachstelle einen Schweregrad vorschlagen, der auf einer zuvor festgelegten Skala beruht. Für jedes identifizierte Problem werden Empfehlungen erstellt, die eine oder mehrere verhältnismäßige und dem Risikoniveau angepasste Lösungen umfassen.

Schritt 4: Erstellen Sie einen Aktionsplan nach der Prüfung.

Priorisieren Sie die zu ergreifenden Maßnahmen entsprechend den Risiken.

Anhand des Berichts, der nach dem Cybersicherheitsaudit vorgelegt wird, können die internen Teams den weiteren Ablauf der Maßnahmen planen. In einem genauen Zeitplan wird eine Priorisierung nach Kritikalitätsgrad vorgenommen und es werden detaillierte Angaben zu den zu mobilisierenden Mitteln und den durchzuführenden Maßnahmen zur Behebung der Anomalien gemacht.

Führen Sie eine verstärkte Cybersicherheitspolitik ein.

Die aus dem Cybersicherheitsaudit hervorgehenden Empfehlungen tragen dazu bei, die Sicherheits- und Compliance-Politik des Unternehmens weiterzuentwickeln. Die IT-Abteilung kann sie dann in eine verstärkte Strategie integrieren, die die Entwicklung von Cyberangriffen, die Schwachstellen des IS und die zu implementierenden Lösungen berücksichtigt. Das Cybersicherheitsaudit liefert den Unternehmen alle Elemente, um eine belastbare Cybersicherheitspolitik zu etablieren. ✅

Planen Sie Sensibilisierungssitzungen für die Mitarbeiter.

Parallel zu den Maßnahmen der IT-Teams ist es wichtig, Sensibilisierungssitzungen für die Mitarbeiter zu planen. Sie bieten die Gelegenheit, die Ergebnisse des Cybersicherheitsaudits zu überprüfen und die Teams für die potenziellen Schäden zu sensibilisieren, die dem Unternehmen drohen, wenn Sicherheits- und Compliance-Maßnahmen nicht umgesetzt werden.

Es ist auch eine Gelegenheit, die bewährten Verfahren zu aktualisieren, die Sie anwenden sollten, um nicht das gesamte IS zu gefährden!

Schritt 5: Überwachen Sie die Cybersicherheit und verbessern Sie sie kontinuierlich.

Aktualisieren Sie die Protokolle zur Sicherheit und zur Reaktion auf Vorfälle.

Über die im Aktionsplan nach dem Cybersecurity-Audit festgelegten prioritären Maßnahmen hinaus sollten die für die IT-Sicherheit und den Datenschutz zuständigen Teams die Cybersecurity-Richtlinien des Unternehmens überarbeiten. Dabei geht es darum, unterschiedliche Praktiken und Prozesse zur Sicherung des Informationssystems in die bestehenden Strukturen zu integrieren (z. B. Zugriffskontrollen, Organisation der Datenverarbeitung, Sicherheitsrichtlinien, etc.Zugriffskontrollen, Netzwerkorganisation mit der Einrichtung von DMZs, Weiterentwicklung der auf den Endgeräten eingesetzten Lösungen).

Um die Überwachungs- und Warnverfahren zu optimieren und die Reaktionen auf systematischere, personalisierte und noch verstecktere Angriffe anzupassen, ist es notwendig, dass Sie die Verfahren, die im Falle eines Angriffs oder Eindringens zu befolgen sind, zu aktualisieren, je nach Angriff verschiedene Szenarien zu erstellen und die Rolle jedes Einzelnen festzulegen.

Bewerten Sie regelmäßig den Stand der Cybersicherheit.

Die IT-Teams stützen sich auf den Verlauf der Maßnahmen, die im Rahmen des Cybersicherheitsaudits durchgeführt wurden, um die Überwachung der Netzwerk- und Systemaktivitäten zu verstärken. Regelmäßige Schwachstellenscans, die systematische Installation von Patches und Sicherheitsupdates sind notwendig, um effektiv auf die sich verändernden Cyberbedrohungen zu reagieren.

Integrieren Sie die Cybersicherheit in die Unternehmenskultur.

Für die Cybersicherheit und den Schutz des Informationssystems sind alle im Unternehmen verantwortlich. Natürlich auf verschiedenen Ebenen, aber damit ein Cybersicherheitsdispositiv funktioniert und um zu wissen, wie man auf einen Angriff oder als Folge von einem unbeabsichtigten Fehler zu reagieren, müssen die Nutzer lernen, die richtigen Reflexe in ihren täglichen Gebrauch zu integrieren , und zwar durch regelmäßige Informationsveranstaltungen und die Sensibilisierung für bewährte Verfahren.

Jeder Beteiligte muss einbezogen und über die Folgen des Cybersicherheitsaudits informiert werden, damit er sich verantwortlich fühlt.

Welche Werkzeuge können den Auditprozess erleichtern?

Die Experten, die für die Durchführung von Cybersicherheitsaudits in verschiedenen Bereichen der Informationssysteme zuständig sind, bedienen sich verschiedener Hilfsmittel:

  • Schwachstellenscanner, um Schwachstellen in Systemen, Anwendungen und Netzwerken aufzuspüren,

  • Tools für Penetrationstests, um Angriffe zu simulieren,

  • Tools zur Netzwerkanalyse und Überwachung des Datenverkehrs,

  • Tools für Compliance-Audits und Rechteanalysen,

  • Tools für die Berichterstattung über Cybersicherheitsaudits und die Erstellung von Berichten...

Welche häufigen Fehler sollte man bei einem Audit vermeiden?

Ein Cybersicherheitsaudit in einem Unternehmen setzt ein striktes Projektmanagement voraus, um zu verhindern, dass Fehler die angestrebten Ziele in Frage stellen. Die wichtigsten Fehler, die es zu vermeiden gilt, sind :

  • Die vorgelagerten Phasen des Audits schlecht vorbereiten,

  • Das Lastenheft nur annähernd verfassen,

  • Bei der Auswahl des Dienstleisters nicht gründlich genug sein,

  • Bei der Sammlung und Analyse der Daten nicht gründlich genug sein,

  • Keine genaue Planung der verschiedenen Phasen festlegen,

  • Interne Teams bei der Prüfung und der Berichterstattung über die Ergebnisse nicht einbeziehen,

  • Die Konformität des Informationssystems mit der Verarbeitung und Speicherung vertraulicher Daten vernachlässigen,

  • Einen ungenauen Bericht erstellen und unangemessene Korrekturmaßnahmen festlegen.

Investieren Sie in die Sicherheit für die Zukunft Ihres Unternehmens.

Cybersicherheit in Unternehmen ist angesichts der zunehmenden Cyberbedrohungen mit vielfältigen Folgen sowohl für die Finanzen als auch für den Ruf und den Fortbestand des Unternehmens unverzichtbar geworden. Um die Integrität Ihrer Informationssysteme und Ihrer Daten zu wahren, müssen Sie :

  • In modernste Hard- und Software für Cybersicherheit investieren, wie z. B. Patchmanagement-Software EDR (Endpoint Detection and Response), eine Firewall der nächsten Generation, Sonden zur Erkennung von Eindringlingen,

  • Bringen Sie Ihre IT-Assets regelmäßig auf den neuesten Stand,

  • Führen Sie regelmäßig Cybersicherheits- und Compliance-Audits durch,

  • Eine agile und belastbare Cybersicherheitsstrategie umsetzen,

  • Ihre gesamte Belegschaft einbeziehen und sie für bewährte Verfahren der Cybersicherheit sensibilisieren.

Investitionen in die IT-Sicherheit sind der beste Weg, um die IT-Assets Ihres Unternehmens, seinen Ruf und seine Wettbewerbsfähigkeit in zunehmend gefährdeten Umgebungen zu schützen.

Artikel übersetzt aus dem Französischen

Maëlys De Santis

Maëlys De Santis, Growth Managing Editor, Appvizer

Maëlys De Santis, Growth Managing Editor, startete 2017 bei Appvizer als Copywriter & Content Manager. Ihre Karriere bei Appvizer zeichnet sich durch ihre umfassende Expertise in den Bereichen Content-Strategie und -Marketing sowie SEO-Optimierung aus. Maëlys hat einen Masterabschluss in Interkultureller Kommunikation und Übersetzung von der ISIT und hat außerdem Sprachen und Englisch an der University of Surrey studiert. Sie hat ihr Fachwissen in Publikationen wie Le Point und Digital CMO weitergegeben. Sie trägt zur Organisation der weltweiten SaaS-Veranstaltung B2B Rocks bei, wo sie in den Jahren 2023 und 2024 an der Eröffnungskeynote teilgenommen hat.

Eine Anekdote über Maëlys? Sie hat eine (nicht ganz so) geheime Leidenschaft für ausgefallene Socken, Weihnachten, Backen und ihre Katze Gary. 🐈‍⬛