Security Audit

Sicherheitsaudit

Ablauf des Security Auditing / General Display. IT-Sicherheitsaudit-Tools können Bedrohungen in Echtzeit erkennen und beheben. Machen Sie sich jetzt bereit für Ihr nächstes Compliance- oder Security-Audit! Das Sicherheitsaudit ist ein regelmäßiges Überprüfungsverfahren für IT-Sicherheitsprozesse.

mw-überschrift" id=".C3.9Cbersicht">ÜbersichtÜbersicht[a class="mw-überschrift-visualeditor" href="/w/index. php?title=IT Security Audit&veaction=edit&section=1" title="Abschnitt editieren: Übersicht">Edit">Edit | | | Quellcode bearbeiten]>

Der Begriff IT-Sicherheits-Audit (aus dem Lateinischen: "he/shehe"; entsprechend: "he/she checks") wird in der Informationstechnologie (IT) für Massnahmen zur Risiko- und Verwundbarkeitsanalyse eines EDV-Systems oder Computerprogramms benutzt. Gemäß den englischen Begriffen Security Test und Security Scan werden in der deutschen Fachliteratur anstelle von Security Audit Ausdrücke wie Security Check oder Security Check benutzt.

In der Regel sind hier nur Teile eines kompletten Audit zu verstehen. Das Auditverfahren wird oft als Auditierung, während die prüfende Stelle als Prüferin oder Prüfer benannt wird. Daneben gibt es eine Vielzahl anderer international gültiger Sicherheitspolitiken. In der Regel werden die Prüfungen von unabhängigen Sachverständigen - auch Chief Audit Executives (CAE) genannt - in Abstimmung mit dem Management durchführt.

Diese sind für die laufende Abstimmung von Soll und Ist und die Pflege des Gesamtsystems gemäß der Sicherheitspolitik des Konzerns verantwortlich. Aus Sicherheitsgründen erfolgt die Implementierung der Massnahmen in der Regel nicht durch den Prüfer selbst, da er die Sicherheitslücke des Betriebes nach einer Prüfung zu gut kennt.

Der Abschlussprüfer hat sich durch den Abschluss eines Non-Disclosure Agreement (NDA) zur Vertraulichkeit zu verpflichten. Der Prüfer muss über ausreichende Netzwerkerfahrung verfügen und in der Lage sein, sich in die Position eines Angreifers zu begeben. Ein beliebtes, unauffälliges (passives) Verfahren für manuelle Prüfungen ist Google-Hacking. Auch wenn ein flüchtiger Einblick in die IT-Infrastruktur eines Unternehmen oft genügt, um eine grobe Schätzung der öffentlichen Stellenanzeigen vorzunehmen, ermöglichen komplexe Suchmaschinenanfragen bei Googles, Live Search, Yahoo Search und vergleichbaren Anbietern, geheime und heikle Informationen auszuspionieren.

Das Spektrum der Sicherheitsnuggets erstreckt sich von vertraulichen Daten wie Kreditkartennummer, Sozialversicherungsnummer und Passwort über gespeicherte Daten wie interne Revisionsberichte, Passwort-Hashes oder Logfiles (Nessus, Sniffer) bis hin zu unsicheren offenen Diensten wie OWA, VPN und RDP und der Enthüllung von zahlreichen Missbräuchen und Verwundbarkeiten der betroffenen Sites. Die Google -Hacking-Datenbank (GHDB) ist eine Zusammenstellung von bekannten Methoden und Anwendungen.

Rechnergestützte Prüfungstechniken (CAAT) können als Ersatz oder ergänzende Maßnahme zu manueller Prüfung verwendet werden. Derartige automatische Prüfungsmaßnahmen sind Teil der Prüfungsstandards des American Institute of Certified Public Accountants (AICPA) und für die Administration in den USA obligatorisch (siehe Sarbanes-Oxley Act).

6 ] Sie beinhalten systemseitig erstellte Auditberichte und die Nutzung von Überwachungssoftware, die Veränderungen an Daten oder Parametern auf einem Rechner meldet. 7 ]Freie Programme in diesem Gebiet sind die Audit- und Reportingsoftware TIGER[8] und Open Source Tripwire[9] sowie die Monitoringsoftware Nagios. Im Open Source Security Testing Methodology Manual (OSSTMM) des Instituts für Sicherheit und Offene Methoden (ISECOM) werden fünf Arten von Sicherheitsinteraktionen unterschieden, die Kanäle[10] genannt werden: Security-Experten haben die Gelegenheit, ihr Wissen gegenüber potentiellen Anwendern durch akkreditierte Zertifikate zu untermauern.

Dazu gehören unter anderem die Zertifikate des International Information Systems Security Certification Consortium, CISA und CISM von ISACA, OSSTMM Professioneller Sicherheitstester (OPST) und OSSTMM Professioneller Sicherheitsanalytiker (OPSA) von ISECOM, eine der vielen ITIL- oder LPI-Zertifizierungen, sowie die von APO-IT oder im Bereich der IT-Sicherheit bekannten Unternehmen wie z. B. Clariant und Sisco.

Die Prüfungen folgen im Grunde dem gleichen Schema wie bei bösartigen Angriffen. Eine Prüfung gliedert sich also in mehrere Stufen. In einem ersten Arbeitsschritt kann ein Footprint für den Prüfer nützlich sein, um eine annähernde Netzwerk-Topologie zu erstellen. Ein weiterer Abschnitt eines Audit kann ein Penetration Test (PenTest) sein, der auf den Ergebnissen der Schwachstellen-Analyse basiert.

In der Regel erfolgt dies durch Sozial-Engineering, z.B. indem der Prüfer allen Benutzern ein "wichtiges Sicherheitsupdate" per E-Mail zusendet oder selbst aushändigt. Anonym: Maximale Sicherheit. Sicherheitsgeheimnisse und Lösungen für Linux. MacGraw-Hill / Osborne, Emeryville, Kalifornien 2003, ISBN 0-07-222564-5 (Google-Vorschau; Buchseite - 712 Seiten). Netzwerksicherheitsgeheimnisse & Lösungen.

MacGraw-Hill / Osborne, Emeryville, Kalifornien 2005, ISBN 0-07-226081-5 (Google-Vorschau - 692 Seiten). Das ist Johnny Long, Ed Skoudis: Googles Hacking für Penetrationstester. Syngress, 2005, ISBN 1-931836-36-1 (Google-Vorschau - 448 Seiten). Sascha Romanosky, Gene Kim, Bridget Kravchenko: Verwalten und Überprüfen von IT-Schwachstellen. Ein: In: Institut für Interne Revision (Hrsg.): Globaler Leitfaden für Technologie-Audits.

Stuart McClure, Joel Scambray: Hacking Exposed Windows: Windows Security Secrets and Solutions. 2007, ISBN 0-07-149426-X (Google-Vorschau; Buch-Website - 451 Seiten). Oesterreichische Computergesellschaft (OCG), Wien 2007, ISBN 978-3-85403-226-7 (Online-Version[Zugriff am 17. Oktober 2008]). Highspringen ? FOKUS Competence Center Public IT: Der ÖFIT Trendsonar der ITSicherheit - Schwachstellen-Analyse.

BSI ( "Ed."): IT Sicherheitshandbuch - Anleitung für die sichere Verwendung der Informationen. Federaldruckerei, Bonn März 1992 (Online-Version[download September 2008] 1.0). Jump up Neben der kostenlosen Wikto Web Service Tool (Erinnerung an das Original vom 15. September 2008 im Internetarchiv) Info: Der Archiv-Link wurde automatisiert verwendet und noch nicht überprüft.

Überprüfen Sie den Verweis entsprechend der Gebrauchsanweisung und entfernen Sie dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.sensepost. com, WHCC Web Hack Control Center (Memento des Original vom 17. November 2008 im Internetarchiv) Info: Der Archiv-Link wurde automatisiert und noch nicht überprüft. Überprüfen Sie den Verweis entsprechend der Anweisungen und entfernen Sie dann diesen Hinweis.@1@2Template:Webachiv/IABot/ussysadmin.

de und rgods Google-Scanner beinhaltet den kommerziellen Web Vulnerability Scanner von Akunetix und SiteDigger (Erinnerung an das Original vom September 2008 im Internetarchiv) Info: Der Archiv-Link wurde automatisiert verwendet und noch nicht überprüft. Überprüfen Sie den Verweis entsprechend der Gebrauchsanweisung und entfernen Sie dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.foundstone. AICPA: Federal Information Security Management Act@1@2Template:Dead Link/infotech.aicpa. org (Seite nicht mehr verfügbar, Suche in Webarchiven) Info: Der Verweis wurde als fehlerhaft gekennzeichnet.

Überprüfen Sie den Verweis entsprechend der Anweisungen und entfernen Sie diesen Verweis. AICPA: Sarbanes-Oxley Software: Ten Questions to Ask, Sept. 2003; Zugriff am 24. Sept. 2008. High Jumping Nachdem Tripwire, Inc. im Jahr 2000 die GPL-Version eingestellt hatte, folgten Open Source Tripwire und AIDE (Advanced intrusion Detection Environment).

Hochsprung ? Brian Hatch, James Lee, George Kurtz: Hacking Linux Exposed: Sicherheitsgeheimnisse und Lösungen für Linux. Eine Vorschau bei Google; Webseite des Buches. Peter Herzog : OSSTMMM - Open Source Security Testing Methodik Handbuch. 3, ISECOM, New York, Standing High ? Austrian Federal Chancellery, Information Security Office (ed.): Austrian Information Security Manual. in der Online-Version [downloads: 11. Oktober 2008]).

Eine beliebte SSL VPN-Lösung ist OpenVPN. Für ein besseres Verstehen s. Johannes Franken: OpenSSH Teil 3: Piercing Firewall; Zugriff am 24. August 2008. Springe zum Anfang AICPA: Security Solutions@1@2Template:Toter Link/infotech.aicpa. org (Seite nicht mehr erreichbar, Suche in Webarchiven) Info: Der Verweis wurde als fehlerhaft gekennzeichnet. Überprüfen Sie den Verweis entsprechend der Anweisungen und entfernen Sie diesen Verweis.

Jumping up ? Werkzeuge zur Durchführung von DoS-Angriffen findet man im Beitrag Strategies to Protect Against Distributed Denial of Service (DDoS) Angriffe. Hochsprung ? Stuart McClure, Joel Scambray, George Kurtz: Hacking Exposed: Netzwerksicherheitsgeheimnisse & Lösungen. MacGraw-Hill Professional, Emeryville, Kalifornien 2005, ISBN 0-07-226081-5 (Google-Vorschau - 692 Seiten).

Hochsprung Eine online basierte Variante zu smap ist der c't network check. Hochsprung Johannes Franken: Vorlesung über Netzwerk. Linux -Magazin: Von Port zu Port, May 2008. Jumping up HowtoForge: Security Testing Your Apache Configuration mit Nikto, November 2006. Jumping up Siehe dazu die Häufig gestellten Fragen zur Security auf der Webseite des Chaos Computer Club: Häufig gestellte Fragen - Security (Memento vom 19. September 2006).

Springen auf Eine Überblick finden Sie unter http://securitydistro. de ( "Seite nicht mehr verfügbar", Suche im Webarchiv) Info: Der Verweis wurde als fehlerhaft gekennzeichnet. Überprüfen Sie den Verweis entsprechend der Anweisungen und entfernen Sie diesen Verweis. Highspringen ? vgl. Eine Reihe von Netzwerkverwaltungsanwendungen (Linux)@1@2Vorlage:Toter Link/blupenguin. de ( "Seite nicht mehr verfügbar", Suche im Webarchiv) Info: Der Verweis wurde als fehlerhaft gekennzeichnet.

Überprüfen Sie den Verweis entsprechend der Anweisungen und entfernen Sie diesen Verweis.