Security Audit – Sicherheitsprüfung für Unternehmen

Ein Security Audit ist eine systematische, unabhängige Bewertung der IT-Sicherheit eines Unternehmens. Es prüft, ob die vorhandenen Sicherheitsmaßnahmen angemessen, wirksam und konform mit relevanten Standards und Vorschriften sind. Im Gegensatz zu einem Penetrationstest, der gezielt technische Schwachstellen ausnutzt, betrachtet ein Security Audit die Sicherheit ganzheitlich — einschließlich Richtlinien, Prozesse, technischer Maßnahmen und menschlicher Faktoren.

Die DATUREX GmbH führt als externer Informationssicherheitsbeauftragter professionelle Security Audits nach ISO 27001, BSI IT-Grundschutz und branchenspezifischen Standards durch. Ob kleine und mittlere Unternehmen in Sachsen oder bundesweit agierende Organisationen — ein Security Audit schafft Transparenz über den tatsächlichen Sicherheitszustand und liefert konkrete Handlungsempfehlungen.

Was ist ein Security Audit?

Ein Security Audit ist eine methodische Überprüfung der Informationssicherheit mit dem Ziel, den Ist-Zustand zu bewerten, Abweichungen von Soll-Vorgaben zu identifizieren und konkrete Verbesserungsmaßnahmen abzuleiten. Dabei werden sowohl technische als auch organisatorische Aspekte berücksichtigt — von der Firewall-Konfiguration bis zur Sensibilisierung der Mitarbeiter.

Ein professionelles Security Audit geht über eine bloße Checklisten-Abarbeitung hinaus. Es bewertet die Wirksamkeit von Sicherheitsmaßnahmen im operativen Kontext, identifiziert systemische Schwächen und liefert der Geschäftsführung eine fundierte Entscheidungsgrundlage für Investitionen in die IT-Sicherheit. Der Mehrwert liegt nicht nur in der Aufdeckung von Schwachstellen, sondern auch in der Bestätigung funktionierender Kontrollen und der Priorisierung von Verbesserungsmaßnahmen nach Risikolevel.

Arten von Security Audits

• Internes Audit – Durchgeführt durch die eigene Organisation (z.B. interne Revision oder ISB). Regelmäßig als Teil des ISMS. Ermöglicht eine kontinuierliche Verbesserung ohne externe Abhängigkeit und fördert das interne Sicherheitsbewusstsein
• Externes Audit – Durchgeführt durch unabhängige Dritte wie die DATUREX GmbH. Höhere Objektivität und Glaubwürdigkeit. Besonders wertvoll für die Identifikation blinder Flecken, die betriebsblinde interne Prüfer übersehen
• Zertifizierungsaudit – Formale Prüfung durch akkreditierte Zertifizierungsstelle (z.B. für ISO 27001). Zweistufig: Stage 1 (Dokumentenprüfung und Bereitschaftsbewertung) und Stage 2 (Vor-Ort-Audit mit Wirksamkeitsprüfung)
• Compliance-Audit – Prüfung der Einhaltung spezifischer Vorschriften (DSGVO, NIS2, PCI DSS). Kann durch Aufsichtsbehörden, Wirtschaftsprüfer oder im Auftrag von Geschäftspartnern durchgeführt werden
• Technisches Audit – Fokus auf IT-Systeme, Konfigurationen und Netzwerksicherheit. Umfasst Konfigurationsreviews, Firewall-Regelprüfung, Systemhärtung und Prüfung der Netzwerkarchitektur
• Organisatorisches Audit – Fokus auf Richtlinien, Prozesse, Schulungen und Verantwortlichkeiten. Prüft die Wirksamkeit des Managementsystems und die Umsetzung im Arbeitsalltag

Security Audit vs. Penetrationstest vs. Vulnerability Scan

• Security Audit – Ganzheitliche Bewertung (Technik + Organisation + Compliance). Breiteste Abdeckung. Bewertet die Angemessenheit und Wirksamkeit des gesamten Sicherheitsprogramms
• Penetrationstest – Gezielte technische Angriffssimulation. Findet ausnutzbare Schwachstellen und demonstriert reale Angriffspfade. Besonders wertvoll für die Validierung technischer Maßnahmen
• Vulnerability Scan – Automatisierte Prüfung auf bekannte technische Schwachstellen. Hohe Frequenz möglich, aber begrenzte Tiefe und hohe Rate an False Positives

Ein vollständiges Sicherheitsprogramm nutzt alle drei Methoden ergänzend. Das Security Audit liefert den strategischen Rahmen und bewertet das Gesamtbild, der Penetrationstest validiert die technische Resilienz unter realistischen Bedingungen, und der Vulnerability Scan sorgt für eine kontinuierliche automatisierte Überwachung zwischen den manuellen Prüfungen.

Was wird bei einem Security Audit geprüft?

1. Governance und Management

• Existiert eine Informationssicherheitsstrategie und wird sie von der Geschäftsführung aktiv unterstützt?
• Gibt es einen Informationssicherheitsbeauftragten mit klaren Befugnissen und ausreichenden Ressourcen?
• Sind Rollen und Verantwortlichkeiten definiert, kommuniziert und den Mitarbeitern bekannt?
• Wird ein ISMS betrieben und kontinuierlich nach dem PDCA-Zyklus verbessert?
• Wie ist die Sicherheitsorganisation in die Unternehmensstruktur eingebettet und wie berichtet sie an die Geschäftsführung?

2. Risikomanagement

• Werden IT-Risiken systematisch identifiziert, bewertet und behandelt?
• Gibt es ein aktuelles Risikoinventar mit definierten Risikoeignern und Behandlungsplänen?
• Werden Restrisiken dokumentiert und von der Geschäftsführung formal akzeptiert?
• Erfolgt eine regelmäßige Neubewertung angesichts veränderter Bedrohungslagen und neuer Geschäftsprozesse?

3. Zugangs- und Zugriffskontrolle

• Werden Passwortrichtlinien eingehalten und technisch erzwungen?
• Ist Multi-Faktor-Authentifizierung für kritische Systeme und Remote-Zugriffe implementiert?
• Wird das Privileged Access Management angemessen umgesetzt und überwacht?
• Werden Berechtigungen regelmäßig überprüft und gibt es ein funktionierendes Identity and Access Management?

4. Netzwerksicherheit

• Ist das Netzwerk segmentiert (Trennung von Büro-, Server- und Gastnetzwerk)?
• Sind Firewalls korrekt konfiguriert und werden Regelwerke regelmäßig überprüft und bereinigt?
• Werden SIEM-Systeme für zentrales Monitoring und Anomalie-Erkennung eingesetzt?
• Ist der Remote-Zugang (VPN/ZTNA) sicher konfiguriert und werden Verbindungen protokolliert?

5. Endpoint- und Datensicherheit

• Sind alle Endgeräte mit aktueller Endpoint Detection and Response (EDR) ausgestattet?
• Werden Daten in Ruhe und in Transit verschlüsselt, einschließlich mobiler Geräte?
• Existiert ein Vulnerability Management-Prozess mit definierten SLAs für die Behebung?
• Werden Backups nach der 3-2-1-Regel erstellt, regelmäßig getestet und vor Ransomware geschützt?

6. Business Continuity und Incident Response

• Gibt es einen Business Continuity Plan und wird er regelmäßig aktualisiert?
• Existiert ein Incident Response Plan und wird er mindestens jährlich geübt?
• Gibt es einen Disaster Recovery Plan mit definierten RTO/RPO und getesteten Wiederherstellungsverfahren?

7. Awareness und Schulung

• Werden regelmäßige Security Awareness Trainings für alle Mitarbeiter durchgeführt?
• Gibt es eine Clean Desk Policy und wird deren Einhaltung überprüft?
• Werden neue Mitarbeiter systematisch in Sicherheitsrichtlinien eingewiesen?
• Werden Phishing-Simulationen durchgeführt, um die Wirksamkeit der Schulungen messbar zu machen?

8. Compliance

• Werden DSGVO-Anforderungen eingehalten und können diese nachgewiesen werden?
• Sind NIS2-Anforderungen umgesetzt, falls das Unternehmen in den Anwendungsbereich fällt?
• Gibt es aktuelle Verträge mit Dienstleistern, insbesondere Auftragsverarbeitungsverträge?
• Werden branchenspezifische Vorgaben berücksichtigt (TISAX, PCI DSS, KRITIS-Verordnung)?

Ablauf eines Security Audits

1. Scoping – Definition des Prüfumfangs, der Standards und der Ziele. Abstimmung mit der Geschäftsführung über Erwartungen, Zeitplan und organisatorische Einschränkungen
2. Dokumentenprüfung – Analyse vorhandener Richtlinien, Prozesse und Dokumentationen. Bewertung der Vollständigkeit, Aktualität und Konsistenz
3. Interviews – Gespräche mit IT-Leitung, ISB, Datenschutzbeauftragtem und Fachabteilungen. Abgleich dokumentierter Prozesse mit der gelebten Praxis im Arbeitsalltag
4. Technische Prüfung – Konfigurationsreviews, Netzwerkanalyse, Schwachstellenscan. Stichprobenartige Prüfung von Systemkonfigurationen und Härtungsmaßnahmen
5. Vor-Ort-Begehung – Physische Sicherheit, Zugangskontrolle, Clean Desk-Einhaltung. Prüfung von Serverräumen, Netzwerkschränken und Druckerbereichen
6. Bewertung und Analyse – Abgleich Ist-Zustand mit Soll-Anforderungen. Klassifizierung der Feststellungen nach Schweregrad (kritisch, hoch, mittel, niedrig)
7. Berichterstattung – Detaillierter Audit-Bericht mit Feststellungen und priorisierten Maßnahmen. Executive Summary für die Geschäftsführung mit den wichtigsten Risiken
8. Maßnahmenverfolgung – Nachverfolgung der Umsetzung identifizierter Maßnahmen. Re-Audit oder Follow-up zur Verifikation der Wirksamkeit umgesetzter Korrekturen

Häufige Audit-Feststellungen in der Praxis

Bei der Durchführung von Security Audits begegnen dem DATUREX-Team regelmäßig wiederkehrende Schwachstellen, die branchenübergreifend auftreten:

• Fehlende oder veraltete Richtlinien – Sicherheitsrichtlinien existieren nur auf dem Papier, wurden seit Jahren nicht aktualisiert oder sind den Mitarbeitern nicht bekannt
• Überprivilegierte Benutzerkonten – Mitarbeiter haben mehr Rechte als für ihre aktuelle Tätigkeit erforderlich, insbesondere nach Abteilungswechseln oder Beförderungen
• Unzureichendes Patch-Management – Kritische Sicherheitsupdates werden verzögert oder gar nicht eingespielt, besonders bei Drittsoftware, Netzwerkgeräten und IoT-Systemen
• Fehlende Backup-Tests – Backups werden zwar regelmäßig erstellt, aber nie auf Wiederherstellbarkeit getestet. Im Ernstfall stellt sich heraus, dass die Backups unbrauchbar sind
• Mangelnde Netzwerksegmentierung – Flache Netzwerke ohne Trennung zwischen Büro-, Server- und Gastnetzwerk ermöglichen laterale Bewegung von Angreifern
• Keine zentrale Protokollierung – Sicherheitsrelevante Ereignisse werden nicht zentral in einem SIEM-System erfasst oder ausgewertet
• Shadow IT – Nicht genehmigte Cloud-Dienste und KI-Tools, die der IT-Abteilung nicht bekannt sind und sensible Daten verarbeiten

Security Audit nach Standards

ISO 27001 Audit

Ein ISO 27001 Audit prüft die Konformität des ISMS mit den Anforderungen der Norm. Es umfasst die Prüfung aller 93 Controls aus Anhang A der aktuellen Fassung ISO 27001:2022 sowie der Managementsystem-Anforderungen der Klauseln 4 bis 10. Interne Audits sind ein Pflichtbestandteil und müssen in geplanten Abständen durchgeführt werden, um die fortlaufende Wirksamkeit und Angemessenheit des ISMS sicherzustellen.

BSI IT-Grundschutz Audit

Basiert auf dem BSI-Kompendium und prüft die Umsetzung der relevanten Bausteine. Besonders relevant für Behörden und KRITIS-Betreiber in Sachsen und ganz Deutschland. Die Strukturanalyse, Schutzbedarfsfeststellung und Modellierung bilden die Grundlage für den Soll-Ist-Vergleich. Das BSI unterscheidet zwischen Basis-Absicherung, Standard-Absicherung und Kern-Absicherung je nach Schutzbedarf der Organisation. Eine detaillierte Übersicht der Methodik bietet unser Leitfaden zum IT-Grundschutz.

TISAX Audit

Spezifisch für die Automobilbranche und deren Zulieferer. Prüft Informationssicherheit nach dem VDA ISA-Katalog mit besonderen Anforderungen an Prototypenschutz und Datenschutz. Durchgeführt von akkreditierten TISAX-Auditoren, wobei die Ergebnisse über die ENX-Plattform mit Geschäftspartnern geteilt werden können und drei Jahre gültig sind.

NIS2 Compliance Audit

Prüft die Umsetzung der NIS2-Anforderungen: Risikomanagement, Incident Response, Supply Chain Security und Meldepflichten. Die Geschäftsführung haftet bei NIS2 persönlich für die Einhaltung der Cybersicherheitspflichten. Bußgelder können bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes betragen.

Security Audit Kosten und Aufwand

Die Kosten eines Security Audits variieren je nach Umfang, Unternehmensgröße und gewünschter Prüftiefe:

• Kompakt-Audit (KMU bis 50 Mitarbeiter) – 2-3 Tage, Fokus auf die kritischsten Sicherheitsbereiche. Liefert eine erste Standortbestimmung und die wichtigsten Handlungsempfehlungen
• Standard-Audit (50-250 Mitarbeiter) – 5-10 Tage, vollständige Prüfung aller wesentlichen Bereiche inklusive technischer Stichproben
• Enterprise-Audit (250+ Mitarbeiter) – 10-20+ Tage, tiefgehende Prüfung inklusive technischer Audits an mehreren Standorten und detaillierter Prozessanalyse

Die Investition in ein Security Audit amortisiert sich in der Regel schnell: Ein einziger verhinderter Sicherheitsvorfall übersteigt die Audit-Kosten um ein Vielfaches. Unternehmen erfüllen damit gleichzeitig ihre Sorgfaltspflichten gegenüber Kunden, Partnern und Aufsichtsbehörden.

Security Audit als Teil der Unternehmenskultur

Ein Security Audit sollte nicht als einmalige Pflichtübung betrachtet werden, sondern als integraler Bestandteil einer sicherheitsbewussten Unternehmenskultur. Regelmäßige Audits schaffen ein Bewusstsein für Sicherheitsrisiken auf allen Ebenen der Organisation — von der Geschäftsführung bis zum einzelnen Mitarbeiter. Sie fördern den kontinuierlichen Verbesserungsprozess, der für ein wirksames ISMS unverzichtbar ist, und dokumentieren den Reifegrad der Informationssicherheit über die Zeit.

DATUREX GmbH — Security Audit Services

• Umfassendes Security Audit – Ganzheitliche Bewertung Ihrer IT-Sicherheit (Technik + Organisation + Compliance)
• Gap-Analyse – Abgleich mit ISO 27001, BSI IT-Grundschutz oder NIS2-Anforderungen
• Technisches Audit – Konfigurationsreview, Netzwerkanalyse, Schwachstellenbewertung
• Audit-Vorbereitung – Vorbereitung auf Zertifizierungsaudits (ISO 27001, TISAX)
• Internes Audit als Service – Regelmäßige interne Audits als Teil Ihres ISMS
• Maßnahmenbegleitung – Unterstützung bei der Umsetzung identifizierter Verbesserungen
• Management-Präsentation – Ergebnisdarstellung für die Geschäftsführung mit klaren Handlungsempfehlungen