Auditierung physische Zugangssicherung
In diesem Modul prüfen wir sowohl die Zugriffsmöglichkeiten auf Daten und Systeme externer wie auch interner Personen, die sich auf physikalischen Zugriff beziehen. Dabei werden unter anderem folgende Fragen beantwortet:
- Kann eine Person unbefugt Zutritt zum Firmengelände bekommen?
Energieversorgung, Verkabelung, Aufbau Serverräume/Rechenzentrum
In diesem Modul wird der Aspekt der Redundanz sowie der Sicherheitstechnik betrachtet, z.B. Notfallpläne, Daten Backup und Stromversorgung. Dabei werden unter anderem folgende Fragen beantwortet:
- Existieren Notfälle und sind die Verantwortlichkeiten geregelt?
- Existiert eine Backup und Recovery Strategie?
- Wie werden die Daten gesichert?
- Wo werden die Datensicherungen aufbewahrt?
- Wie sind die Systeme und Anwendungen gegen Stromausfall gesichert?
Server- und Speicherlösungstests
Hierbei werden die Server und Speicherlösungen auf offensichtliche Fehler bei der Vergabe von Benutzerrechten aufgezeigt. Die Betriebssysteme werden auf Verwundbarkeit, Patchlevel etc. geprüft. Dabei werden unter anderem, folgende Fragen beantwortet:
- Gibt es eine Rechtestruktur?
- Wie sind die Benutzerrechte bei neuen Mitarbeitern, Praktikanten und ausscheidenden Mitarbeitern sowie Mitarbeitern, welche die Abteilungen wechseln geregelt?
- Wie ist sichergestellt, dass die aktuellen Patches aufgespielt sind
Passwortsicherheits-Auditierung
Hier wird überprüft, in wie weit die Komplexität der Kennwörter ausreicht, gängige Attacken abzuwehren (Brute-Force und Dictionary-Angriffe). Außerdem wird geprüft, ob Kennwortrichtlinien passend zu den Unternehmensrichtlinien eingeführt sind. Dabei findet auch eine Auditierung beispielhafter Arbeitsstationen statt.
Organisatorische Tests
Prüfung vorhandener Sicherheitsdokumentationen, Arbeitsanweisungen und Policies auf Schlüssigkeit, Vollständigkeit und Vereinbarkeit mit Datenschutzbestimmungen. Dabei werden unter anderem folgende Fragen beantwortet:
- Ist eine Datenschutzorganisation im Unternehmen vorhanden?
- Existiert eine Security Policy?
- Ist ein Sicherheitskonzept vorhanden?
- Sind Sicherheitsmaßnahmen formuliert und werden sie überwacht?
