Unser Partner, die Neo One AG aus Bassersdorf, hat seit einiger Zeit ein standardisiertes ICT-Audit im Angebot. Nach branchenspezifischen Aspekten wird dabei die gesamte IT-Infrastruktur systematisch auf Schwachstellen überprüft. Wir haben für uns eine solche Analyse durchführen lassen.

Während eines halben Tages untersuchte Manuel, ICT-Experte bei Neo One, unser IT-Setup direkt bei uns im Büro. Dabei nahm er verschiedene Bereiche unter die Lupe: Verwendete Cloud-Dienste (z. B. Microsoft 365), unsere Buchhaltungssoftware, das interne Netzwerk- und WLAN-Setup, VPN-Zugänge, lokale Hardware wie Netzwerkserver, Drucker und Computer sowie den eingesetzten Virenschutz. Ebenso wurde unsere Backup-Strategie untersucht – insbesondere die Frage, wie schnell wir nach einem Totalausfall wieder arbeitsfähig wären. Aber auch bauliche Aspekte der Immobilie, unser Mobiliar und unsere Mitarbeiter standen auf dem Prüfstand.

Mit Hilfe verschiedener Tools und gezielter Fragen prüfte Manuel alle relevanten Hardware- und Software-Komponenten, analysierte unsere wichtigsten Systeme und versuchte, Schwachstellen ausfindig zu machen.

Ein besonders eindrücklicher Teil der Analyse war ein kleiner Praxistest: Manuel ging mit einem USB-Kabel durch unser Büro und fragte an verschiedenen Arbeitsplätzen, ob er dieses kurz einstecken dürfe. Das Kabel schien unverdächtig – was wir aber nicht wussten: Es war präpariert und enthielt ein Script, welches ein mögliches Angriffsszenario simulierte. So konnte direkt vor Ort überprüft werden, ob unsere Geräte und Sicherheitsmechanismen solche Aktionen erkennen und automatisch blockieren würden. Solche Tests zeigen sehr anschaulich, wie schnell Sicherheitslücken im Alltag entstehen können, ohne dass man sich dessen bewusst ist.

Nach der Analyse erhielten wir einen ausführlichen Bericht mit rund 40 Seiten. Darin wurden unsere aktuelle IT-Situation dokumentiert und mögliche Risiken aufgeführt. Anschliessend wurden die Erkenntnisse aus dem Audit bei einer gemeinsamen Besprechung präsentiert und eingeordnet.

Besonders hilfreich war die verständliche und übersichtliche Aufbereitung des Berichts: Statt technischer Fachsprache gab es eine strukturierte Übersicht der Erkenntnisse sowie konkrete und klar priorisiert Vorschläge, welche Verbesserungsmassnahmen dringend, sinnvoll oder weniger relevant sind.

Was uns dabei besonders positiv aufgefallen ist: Die Analyse ist neutral aufgebaut. Der Bericht zeigt Risiken und Verbesserungsmöglichkeiten auf – unabhängig davon, wer diese später umsetzt. Es handelt sich also nicht um eine Verkaufsberatung, sondern um eine objektive Einschätzung der aktuellen IT-Situation.

Der ICT-Audit hat uns eines eindrücklich vor Augen geführt: IT-Sicherheit ist kein Zustand, sondern ein stetiger Prozess. Ein unabhängiger Blick von Aussen liefert wertvolle Hinweise und zeigt ungeschminkt, wo man steht!

• Für uns war die ICT-Situationsanalyse hauptsächlich eines: eine ehrliche Standortbestimmung unserer IT. Wir haben damit einen klaren Überblick auf unsere Infrastruktur erhalten und wissen nun, wo Verbesserungen sinnvoll sind.
• In kleinen Unternehmen, wie wir es sind, wachsen IT-Strukturen oft organisch und laufen jahrelang stabil. Gerade deshalb werden sie im Alltag selten kritisch hinterfragt. Ein externes Audit schafft hier einen klaren Blick auf potenzielle Schwachstellen.
• Mit der Analyse erhielten wir auch Hinweise darauf, welche menschlichen Schwachstellen im Bereich der IT-Sicherheit bestehen – und dass diese meist die grösste Gefahrenquelle darstellen.
• Eine solche Analyse bildet auch eine wichtige Grundlage beim Abschluss einer Cyber-Versicherung. Entsprechende Anbieter erhalten damit ein verlässliches Dokument zur Risikobeurteilung.