Die regelmässige Überprüfung von ICT-Systemen ist entscheidend, um Sicherheitslücken zu identifizieren und die Einhaltung von Richtlinien und Standards sicherzustellen. Audits bieten eine strukturierte Möglichkeit, Systeme zu analysieren, Schwachstellen aufzudecken und Verbesserungsmassnahmen abzuleiten. Dabei können unterschiedliche Vorgehensmodelle zur Anwendung kommen, die sich je nach Ziel, Umfang und Tiefe der Prüfung unterscheiden. Eine klare Planung und Auswahl des passenden Modells ist essenziell, um den gewünschten Erkenntnisgewinn zu erzielen und Ressourcen effizient einzusetzen.
Audits lassen sich in verschiedene Kategorien unterteilen, die sich in ihrem Umfang, der Prüftiefe und dem Wissensstand der Auditoren unterscheiden. Die Wahl des geeigneten Modells hängt von der Zielsetzung, der Verfügbarkeit interner Ressourcen und der Notwendigkeit externer Expertise ab.
| Vorgehensmodell | Beschreibung | Merkmale und Einsatzbereiche |
| Internes Audit | Durchführung durch Mitarbeiter des Unternehmens. | Geringere Kosten- Gutes Verständnis interner Abläufe |
| Externes Audit | Beauftragung externer Spezialisten zur unabhängigen Prüfung. | Objektivität- Zugang zu Fachwissen und Best Practices |
| Kombiniertes Audit | Zusammenarbeit von internen und externen Auditoren. | Synergien aus internem Wissen und externer Expertise |
| Systemaudit | Prüfung der technischen Systeme und Infrastrukturen. | Fokus auf Netzwerke, Server und Softwarekomponenten |
| Prozessaudit | Überprüfung der Einhaltung von Sicherheitsrichtlinien und Arbeitsabläufen. | Bewertung von Abläufen und organisatorischen Prozessen |
| Compliance-Audit | Sicherstellung der Einhaltung gesetzlicher und regulatorischer Anforderungen. | Prüfung der Konformität mit ISO 27001, GDPR, etc. |
| Risikobasiertes Audit | Fokussierung auf kritische Bereiche mit hohem Risikopotenzial. | Effiziente Ressourcennutzung- Priorisierung von Kernrisiken |
| White-Box-Audit | Audit mit vollständigem Zugang zu Systeminformationen und Quellcodes. | Tiefgehende Analyse- Erfordert hohe Vorkenntnisse |
| Black-Box-Audit | Prüfung ohne Vorkenntnisse über die Systeme (externe Perspektive). | Realitätsnahe Simulation von Angriffen |
| Grey-Box-Audit | Teilweise Kenntnis über Systeme, z.B. Nutzerzugänge. | Balance aus Effizienz und Realitätsnähe |
Die Auswahl des geeigneten Vorgehensmodells ist entscheidend für die Effektivität eines ICT-Audits.
| Kriterium | Empfohlene Vorgehensmodelle |
| Kostenbegrenzung | Internes Audit, risikobasiertes Audit |
| Objektivität und Expertise | Externes Audit, kombiniertes Audit |
| Tiefgehende Analyse | White-Box-Audit, Systemaudit |
| Realitätsnahe Simulation | Black-Box-Audit, Grey-Box-Audit |
| Compliance-Anforderungen | Compliance-Audit, Prozessaudit |
| Fokus auf kritische Bereiche | Risikobasiertes Audit, Systemaudit |
Je nach Ziel und Ressourcen können interne, externe oder kombinierte Ansätze verfolgt werden. Während risikobasierte und Compliance-Audits sicherstellen, dass regulatorische Anforderungen erfüllt werden, ermöglichen White- und Black-Box-Ansätze eine tiefgehende Analyse technischer Schwachstellen. Ein strukturierter Ansatz bei der Auditplanung gewährleistet, dass Unternehmen Sicherheitsrisiken frühzeitig erkennen und angemessen darauf reagieren können.