Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 40

Ein Zeitraum von wenigen Tagen bis zu einem Jahr wird hier als kurz- bis mittelfristig bezeichnet. Konkret betrifft ein derartiger Einsatz in den meisten Fällen Überprüfungen durch unternehmensfremde Stellen. Externes Auditing etwa erfolgt nicht permanent, sondern nur im Anlassfall. Ein Beispiel wäre, wenn die Geschäftsleitung den Auftrag erteilt, die Sicherheit der Computersysteme zu überprüfen. Hierzu wird ein geeigneter Anbieter engagiert, einen sogenannten „Penetration-Test“ durchzuführen. Dabei wird ein Computernetzwerk auf Herz und Nieren getestet. Spezielle Programme durchleuchten das System auf Sicherheitsschwachstellen. Meistens benutzt der Auftragnehmer die gleichen Werkzeuge und Tricks, die ein echter Hacker anwenden würde⁵³. Mittlerweile offeriert eine Reihe von Unternehmen Sicherheitsüberprüfungen aller Art.

Manche Anbieter prüfen nicht nur die Technik, sondern auch physische Mängel oder die Schwachstelle Mensch. Dabei bemühen sie sich, unversperrte Türen zu entdecken oder Mitarbeiter ausfindig zu machen, die fremden Anrufern ohne weiteres ihr Kennwort mitteilen. Durch aufgespürte Schwächen wäre es im Ernstfall auch einem Angreifer möglich, in das Unternehmen einzudringen.

Ein anderes Exempel für externes Auditing stellt der Jahresabschluss dar. Hierbei folgt die Prüfung einem bestimmten Rhythmus. In diesem Fall können als Auditoren sowohl private Stellen, wie Wirtschaftstreuhänder, Revisionsverbände, Banken, als auch staatliche Organe, wie das Finanzamt tätig werden.