Die Examination ist die mittlere Stufe eines IT-Security Audits. Eine Examination dringt weiter ein als ein Assessment - ohne jedoch die Tiefe eines Penetration-Tests zu erreichen. Im Gegensatz zu einem Assessment ist bei einer Examination der Untersuchungsgegenstand klar festgelegt und dokumentiert. Im Allgemeinen wird nicht die gesamte IT-Infrastruktur eines Unternehmens einer Examination unterzogen, sondern die Prüfung beschränkt sich auf einen beispielsweise funktional ("Webhosting Infrastruktur"), räumlich ("IT-Infrastruktur am Standort X") oder technologisch ("Unix Datei- und Applikationsserver") abgegrenzten Teilbereich. Im Rahmen der Examination werden nun alle organisatorischen und technischen Komponenten des zu untersuchenden Bereiches unter die Lupe genommen.
Examination
Fragen
Fragen, die es hierbei im Bereich der organisatorischen Komponenten zu beantworten gilt, sind beispielsweise die folgenden:
- Sind die vorhandenen Policies sinnvoll, widerspruchsfrei und vollständig?
- Stehen die vorhandenen Prozesse in Einklang mit den Policies? Sind sie sinnvoll und praktikabel?
- Werden vorhandene Prozesse, beispielsweise zur Passwortverwaltung oder zur Speicherung klassifizierten Materials, eingehalten?
- Werden Inventare, Netzwerkpläne, etc. gepflegt?
Im Bereich der technischen Komponenten werden in der Regel alle vier Ebenen durchleuchtet. Beginnend mit der Absicherung des physischen Zugangs, über die Sicherheit des Netzwerks und der Härtung der Betriebssysteme, bis zur Konfiguration der beteiligten Anwendungen, werden zahlreiche Untersuchungen und Tests durchgeführt.
Ziel hierbei ist zum einen das Aufdecken von Schwachstellen, insbesondere das Finden der schwächsten Glieder der Kette - denn jede Sicherheitsarchitektur ist nur so stark wie ihre schwächste Komponente.
Die Methoden, die bei einem Audit zur Anwendung kommen, sind vielschichtig. Sie reichen vom Einsatz bewährter Werkzeuge wie "nmap", über "Nessus", biszur Anwendung von "social engineering" Methoden. Einige dieser Methoden können invasiv sein. In solchen Fällen wird der Einsatz jeweils vorher mit dem Kunden abgesprochen, um Unannehmlichkeiten für die Nutzer oder gar Schäden zu vermeiden.
Bei der Durchführung von Audits kann terreActive AG auf einen breiten und tiefen Erfahrungsschatz zurückgreifen: Spezialisten für die verschiedensten Systeme und Anwendungen sind ebenso vorhanden, wie massgeschneiderte, von der hauseigenen Entwicklungsabteilung exklusiv hergestellte Werkzeuge für zahlreiche Spezialaufgaben.
Das Ergebnis des Audits für den Kunden sieht folgendermassen aus:
- Eine Stärken / Schwächen -Analyse die aufzeigt, in welchen Bereichen die grössten Probleme liegen und an welchen Stellen bereits ein hinreichendes Mass an Sicherheit gewährleistet ist. Diese Analyse hilft dabei, die vorhandenen Mittel mit der grösstmöglichen Effizienz einzusetzen.
- Ein konkreter Massnahmenplan, der zentrale Schritte umfasst, die es in Angriff zu nehmen gilt. Hierbei wird konkret aufgezeigt, was zu tun ist, inklusive einer Fristenempfehlung und einer Abschätzung des nötigen Aufwands.
