M185 - Sicherheitsmassnahmen für KMU IT
  • Intro
  • Administration
    • 🗓️Organisatorisches / Bewertung
    • Bewertung / Kompetenznachweis
  • TAG 1
    • 🏁Tagesziele
    • Einstieg IT-Security
      • 📝Aufgabe 1
      • 📝Aufgabe 2 - Vorfälle untersuchen
    • Sicherheitsstandards
      • ISO 27001 / 27002
      • Center for Internet Security (CIS)
      • NIST
      • OSSTMM
    • BSI Grundschutzkompendium
      • IT-Grundschutz
      • 📝Aufgabe 1 - Strukturanalyse
      • 📝Aufgabe 2 - Analyse / Modellierung durchführen
  • TAG 2
    • 🏁Tagesziele
    • Bedrohungen und Angriffsformen
      • Ransomware-Angriffe
      • Phishing
      • Supply Chain-Angriffe
      • Zero-Day-Exploits
      • DDos-Angriffe
      • Credential Stuffing
      • Social Engineering
    • 📝Aufgabe - HackTheBox einrichten
    • 📝Aufgabe - HackTheBox Tier 0 lösen
    • 📝Aufgabe - HackTheBox Tier 1
    • 📝Aufgabe - BSI - Gefährdungskatalog
  • TAG 3
    • 🏁Tagesziele
    • Angriffsarten auf Web-Applikationen
      • OWASP TOP 10
      • 📝Aufgabe - OWASP TOP 10
      • 📝Aufgabe - Angriffsarten
    • Mittel und Methoden
    • 📝Nachbearbeitung - HackTheBox Tier 1
    • 📝Aufgabe - HackTheBox Tier 2
  • TAG 4
    • 🏁Tagesziele
    • Sicherheitsmechanismen
      • 📝Atomkraftwerk absichern
    • Audit-Reports
    • 📝Erstellen Audit-Report
  • TAG 5
    • 🏁Tagesziele
    • Cyberattacke - was tun?
    • Meldestelle Schweiz
    • 📝Aufgabe - Checkliste
  • Laborumgebung
    • Hardware
    • HackTheBox Setup
    • Software
Powered by GitBook
On this page
  • Titel
  • Inhaltsverzeichnis
  • Zusammenfassung (Management Summary)
  • Einleitung
  • Auditmethode und Kriterien
  • Ergebnisse
  • Priorisierung
  • Empfehlungen und Massnahmen
  • Zeitplan und Verantwortlichkeiten
  • Schlussfolgerungen
  • Anhänge und Nachweise
  • Abschlussbemerkungen
  • Beispiel-Dokument von BSI
  1. TAG 4

Audit-Reports

Ein Auditreport zur Identifizierung von IT-Sicherheitsschwächen, Priorisierung und Zuordnung von Massnahmen sollte klar strukturiert und informativ sein. Bei Auditberichten gibt es viele unterschiedliche Formen und Umsetzungsvorgehensweise. Nachfolgend werden die wichtigsten Elemente beschrieben, die im Rahmen dieses ÜK als Grundlage gelten.

Titel

Geben Sie dem Bericht einen klaren, prägnanten Titel, der den Zweck des Berichts widerspiegelt, z. B. "IT-Sicherheitsauditbericht" gefolgt von der Organisation, Namen der Auditoren und dem Datum des Audits.

Inhaltsverzeichnis

Erstellen Sie ein Inhaltsverzeichnis, um dem Leser eine schnelle Übersicht über den Bericht zu ermöglichen.

Zusammenfassung (Management Summary)

Geben Sie eine kurze Zusammenfassung des Berichts, die die wichtigsten Erkenntnisse, Schlussfolgerungen und Handlungsempfehlungen hervorhebt. Diese Zusammenfassung sollte so formuliert sein, dass sie auch von Nicht-Technikern verstanden wird.

Einleitung

  • Erklären Sie den Zweck und den Umfang des Audits.

  • Geben Sie an, wer das Audit durchgeführt hat und welche Methode verwendet wurde (in unserem Fall BSI Grundschutz).

  • Stellen Sie den Kontext dar, einschliesslich der Bedeutung von IT-Sicherheit und der Gründe für das Audit (z. B. gesetzliche Anforderungen, vorherige Sicherheitsvorfälle).

Auditmethode und Kriterien

  • Beschreiben Sie die Methodik, die während des Audits angewendet wurde. Dies könnte Penetrationstests, Schwachstellenanalysen, Überprüfung von Sicherheitsrichtlinien, Interviews und andere Methoden umfassen.

  • Klären Sie die Kriterien, anhand derer die Sicherheitsmassnahmen bewertet wurden, wie z. B. Branchenstandards, interne Richtlinien oder regulatorische Anforderungen.

Ergebnisse

  • BSI Baustein abbilden in Tabellenform. Mit Baustein, Bezogen auf Zielobjekt, Auditiert am, Auditor, Befragt wurde, Nummer, Anforderung, Bewertung der Anforderung, Priorisierung.

  • Listen Sie die identifizierten Sicherheitsschwächen auf. Strukturieren Sie die Liste so, dass sie leicht verständlich ist, z. B. nach Schweregrad oder betroffenen Systemen.

  • Für jede Schwachstelle sollten Sie folgende Informationen bereitstellen: Name, Schweregrad (z. B. niedrig, mittel, hoch), betroffene Systeme oder Bereiche, Beschreibung der Schwachstelle und Beweise (wie Screenshots oder Protokollausschnitte).

  • Falls möglich, geben Sie an, wie die Schwachstelle ausgenutzt werden könnte oder welche Auswirkungen sie haben könnte.

Priorisierung

  • Priorisieren Sie die identifizierten Schwachstellen basierend auf ihrem Schweregrad und ihrem potenziellen Einfluss auf die Organisation. Dies kann in Hoch, Mittel und Niedrig unterteilt werden.

  • Begründen Sie die Priorisierung, indem Sie die potenziellen Risiken und Auswirkungen auf die Geschäftsprozesse erläutern.

Empfehlungen und Massnahmen

  • Für jede identifizierte Schwachstelle sollten klare Handlungsempfehlungen und Massnahmen zur Behebung oder Minderung der Risiken aufgeführt werden.

  • Diese Empfehlungen sollten spezifisch, messbar, erreichbar, relevant und zeitgebunden sein (SMART-Kriterien).

Zeitplan und Verantwortlichkeiten

  • Erstellen Sie einen Zeitplan für die Umsetzung der empfohlenen Massnahmen.

  • Weisen Sie Verantwortlichkeiten zu, indem Sie angeben, wer für die Umsetzung jeder Massnahme verantwortlich ist.

Schlussfolgerungen

  • Fassen Sie die wichtigsten Ergebnisse und Empfehlungen zusammen.

  • Betonen Sie die Bedeutung der Sicherheitsverbesserungen für die Organisation.

Anhänge und Nachweise

  • Fügen Sie Anhänge hinzu, die detaillierte Informationen zu den Schwachstellen, Beweisen und anderen relevanten Dokumenten enthalten.

  • Dies kann Testergebnisse, Protokolle, Screenshots und zusätzliche Informationen zur Methodik oder zu verwendeten Tools umfassen.

Abschlussbemerkungen

  • Schliessen Sie den Bericht mit Dankesworten an die Beteiligten und Kontaktdaten für Rückfragen ab.

Es ist wichtig, dass der Bericht klar und verständlich ist, da er nicht nur von technischen Experten, sondern auch von Entscheidungsträgern und Führungskräften gelesen wird. Die Empfehlungen sollten realistisch und umsetzbar sein, und es ist hilfreich, eine klare Roadmap für die Sicherheitsverbesserungen bereitzustellen.

Beispiel-Dokument von BSI

PreviousAtomkraftwerk absichernNextErstellen Audit-Report

Last updated 1 year ago