IT-Sicherheit: Auditierung, Schwachstellenanalyse, Härtung

Sicherheitsentscheidungen brauchen eine belastbare Grundlage. Wir untersuchen IT-Umgebungen systematisch, bewerten Risiken nachvollziehbar und setzen Härtungsmaßnahmen um, die zum Betrieb passen — für mittelständische Unternehmen in Berlin und dem Berliner Umland.

PERIMETERDIENSTECLIENTSBEFUND

Ausgangslage

Viele IT-Umgebungen im Mittelstand sind über Jahre gewachsen: Systeme wurden ergänzt, Berechtigungen erweitert, Ausnahmen eingerichtet — und selten zurückgebaut. Das Ergebnis ist nicht zwangsläufig unsicher, aber es ist häufig unübersichtlich. Und was nicht überschaubar ist, lässt sich weder verlässlich bewerten noch gezielt schützen. Genau hier setzen wir an: mit einer systematischen Aufnahme des Ist-Zustands, bevor über Maßnahmen gesprochen wird. Analyse vor Empfehlung — in dieser Reihenfolge.

Vorgehen

Am Anfang steht die Bestandsaufnahme: Welche Systeme, Dienste und Zugänge existieren, wer nutzt sie, welche Wege führen von außen nach innen? Darauf folgt die technische Analyse — Schwachstellen-Scans, Konfigurationsprüfung, Kontrolle von Patch-Ständen, Berechtigungen und Protokollierung. Die Befunde werden anschließend bewertet und priorisiert: nach realem Risiko für den Geschäftsbetrieb und nach Behebungsaufwand, nicht nach Katalog-Schwere. Ein kritischer Befund auf einem isolierten Testsystem ist etwas anderes als eine mittlere Schwachstelle auf dem zentralen Fileserver.

Auf dieser Grundlage entsteht ein Maßnahmenplan, den wir — je nach Wunsch — selbst umsetzen oder begleitend betreuen. Den Abschluss bildet eine Kontrolle der Wirksamkeit: Wurden die Lücken tatsächlich geschlossen, funktionieren die betroffenen Dienste weiterhin wie erwartet?

Härtung konkret

Härtung ist kein einzelnes Produkt, sondern eine Summe nachvollziehbarer Einzelschritte: Berechtigungen auf das reduzieren, was Rollen tatsächlich benötigen. Update- und Patch-Prozesse so organisieren, dass sie regelmäßig stattfinden statt anlassbezogen. Netze segmentieren, damit ein kompromittiertes Gerät nicht automatisch alles erreicht. Protokollierung und Monitoring so einrichten, dass Auffälligkeiten sichtbar werden, bevor sie zum Vorfall werden. Wo Firewalls und VPN-Zugänge betroffen sind, greifen die Maßnahmen in unser Leistungsfeld Firewalls und VPN.

Wir arbeiten herstellerunabhängig: Empfehlungen richten sich nach der vorhandenen Umgebung und ihrem Bedarf, nicht nach einer Produktliste. Häufig lässt sich das Schutzniveau mit Bordmitteln und Konfiguration deutlich erhöhen, bevor neue Anschaffungen sinnvoll werden.

Prüfen, sensibilisieren, regeln

Wo ein realistischer Härtetest gewünscht ist, führen wir Penetrationstests durch: kontrollierte Angriffsversuche auf vorab definierte Systeme — ausschließlich nach schriftlicher Beauftragung, mit klaren Regeln zu Umfang, Methoden und Zeitfenster. Das Ergebnis ist ein Bericht aus der Perspektive eines Angreifers: welcher Weg funktioniert hat, wie weit er führte und welche Maßnahme ihn schließt.

Technik ist allerdings nur die halbe Angriffsfläche. Mit Phishing-Kampagnen — simulierten, harmlosen Täuschungs-E-Mails samt Auswertung und anschließender Schulung — werden Mitarbeitende für gefälschte Nachrichten sensibilisiert. Ausgewertet wird dabei fair und ohne Bloßstellung Einzelner; das Ziel ist Lernen, nicht Kontrolle. Ergänzend erarbeiten wir IT-Sicherheitsrichtlinien: schriftliche Regeln für Passwörter, Zugriffe, mobile Geräte und Datensicherung — knapp genug, um gelesen zu werden, und konkret genug, um im Alltag zu gelten.

Leistungsumfang und Abgrenzung

Der Umfang wird vor Beginn schriftlich festgelegt: welche Systeme, welche Prüftiefe, welche Zeitfenster. Das schützt beide Seiten vor Überraschungen und macht Ergebnisse vergleichbar, wenn Prüfungen wiederholt werden. Nicht Teil dieses Leistungsfelds sind gerichtsfeste forensische Gutachten sowie die Abwehr laufender Angriffe — für Letzteres existiert ein eigener, strukturierter Ablauf unter IT-Notfall. Für Unternehmen in Berlin und dem Berliner Umland führen wir Bestandsaufnahmen bevorzugt vor Ort durch; die anschließende Analyse- und Härtungsarbeit erfolgt je nach Systemlage vor Ort oder über abgesicherte Fernzugänge.

Technologien und Werkzeuge

  • Schwachstellen-Scans und Konfigurationsprüfung
  • Penetrationstests (definierter Umfang, nach Beauftragung)
  • Phishing-Kampagnen und Awareness-Schulung
  • IT-Sicherheitsrichtlinien
  • Härtung von Windows- und Linux-Systemen
  • pfSense
  • nftables / iptables
  • OpenVPN
  • Netzsegmentierung
  • Protokollierung und Monitoring (Prometheus, Zabbix)

Häufige Fragen

Fachlich gefragt, fachlich beantwortet

Was unterscheidet eine Auditierung von einer Schwachstellenanalyse?

Die Auditierung ist eine strukturierte Bestandsaufnahme: Konfigurationen, Berechtigungen und Abläufe werden gegen definierte Kriterien geprüft. Die Schwachstellenanalyse untersucht konkrete Systeme technisch auf bekannte Verwundbarkeiten. Beide Perspektiven ergänzen sich — organisatorische Lücken findet kein Scanner, technische Details kein Interview.

Stört eine Schwachstellenanalyse den laufenden Betrieb?

Prüfungen werden geplant und in lastarme Zeitfenster gelegt. Eingriffe, die Dienste beeinträchtigen könnten, finden nur nach ausdrücklicher Absprache statt. Ziel ist ein realistisches Bild der Umgebung, nicht ihre Störung.

In welcher Form erhalten wir die Ergebnisse?

Als schriftlichen Bericht, der Befunde nach Risiko und Behebungsaufwand priorisiert und konkrete Maßnahmen benennt — nachvollziehbar für die Geschäftsführung und detailliert genug für die technische Umsetzung.

Macht eine Härtung unsere IT hundertprozentig sicher?

Nein — absolute Sicherheit kann seriös niemand zusagen. Das realistische Ziel ist, die Angriffsfläche messbar zu verringern und das Schutzniveau planvoll zu erhöhen. Verbleibende Restrisiken benennen wir ausdrücklich, damit sie bewusst getragen oder weiter reduziert werden können.