IT-Sicherheitsaudit

Als IT-Sicherheitsaudit (englisch IT security audit, von lateinisch audit ‚er/sie hört‘, sinngemäß ‚er/sie überprüft‘) werden in der Informationstechnik (IT) Maßnahmen zur Risiko- und Schwachstellenanalyse (engl. Vulnerability Scan) eines IT-Systems oder Computerprogramms bezeichnet. Bedrohungen für die Sicherheit können ausgehen von kriminellen Angriffen, von organisatorischen Mängeln aber auch von technischen Unfällen oder höherer Gewalt. Schwachstellen sind Fehler eines IT-Systems oder einer Organisation, durch die diese für Bedrohungen anfällig werden. Eine Bedrohung oder eine Schwachstelle allein reichen jedoch nicht aus, um die Sicherheit eines Systems zu gefährden. Eine Gefährdung für das angegriffene System besteht nur dann, wenn eine Bedrohung auf eine existierende Schwachstelle trifft. Die Ursachen für Schwachstellen sind vielseitig. Sie können in der Konzeption, Implementierung oder auch im Betrieb liegen und umfassen ebenfalls Design- oder Konstruktionsfehler, menschliches Fehlverhalten oder ungenügende Standortsicherheit. Schwachstellenanalysen dienen dazu, diese Fehler systematisch zu finden, um Bedrohungen und Angriffsszenarien abzuwenden. Sicherheitsaudits finden meist im Rahmen eines Qualitätsmanagements statt und dienen der Reduzierung von Sicherheitslücken sowie der Einführung von Best practices in einer Organisation (öffentliche Verwaltung, Unternehmen). IT-Sicherheitsaudits zählen zum Bereich der Netzwerk- und Informationssicherheit, wobei die Grenze zur LAN-Analyse in lokalen Netzwerken beziehungsweise zur Netzwerk-Analyse fließend ist.

In Anlehnung an die englischsprachigen Termini Security Test und Security Scan werden in der deutschsprachigen Literatur statt Sicherheitsaudit Begriffe wie Sicherheitsüberprüfung oder Sicherheitsprüfung verwendet. Meist sind hiermit nur Teilaspekte eines vollständigen Audits gemeint. Der Prozess des Audits wird häufig als Auditing bezeichnet, während die durchführende Person Auditor heißt.