IT-Audit eines Unternehmens: Was muss geprüft werden, um keine finanziellen Verluste zu erleiden und die Datensicherheit zu gewährleisten?

Bis zu 300 Millionen Dollar Schaden, 45.000 neu installierte PCs, 4.000 Server und lahmgelegte Hafenbetriebe weltweit – so sahen für Maersk (den größten Seetransportunternehmer der Welt) die Folgen des NotPetya-Angriffs aus. Formal handelte es sich um einen externen Vorfall, doch das Ausmaß der Schäden offenbarte interne Probleme: veraltete Systeme, unzureichende Netzwerksegmentierung, mangelhafte Kontrolle über Updates und aufgeschobene Sicherheitsmaßnahmen.
Die wichtigste Lektion aus dieser Geschichte ist simpel: Ein Unternehmen kann jahrelang mit Risiken arbeiten, die es nicht sieht, bis der erste ernsthafte Angriff diese in eine finanzielle und operative Krise verwandelt.
Oft erfahren Unternehmen erst dann von IT-Problemen, wenn bereits etwas ausgefallen oder durchgesickert ist oder das Dreifache von dem kostet, was es eigentlich sollte. Genau dafür – um Probleme zu erkennen, bevor sie zur Krise werden – gibt es das IT-Audit für Unternehmen.
Was ist ein IT-Audit und wozu wird es benötigt?
Es handelt sich um eine systematische Überprüfung der gesamten technologischen Infrastruktur eines Unternehmens: Hardware, Software, Netzwerkarchitektur, Sicherheitsprozesse, Lizenzen und DevOps-Praktiken. Das Ziel besteht darin, Schwachstellen, ineffiziente Ausgaben und Risiken zu identifizieren, bevor sie zu realen Verlusten führen.
Um eine Analogie zur Medizin zu ziehen: Es ist wie eine Vorsorgeuntersuchung. Ein Problem im Frühstadium zu erkennen, ist immer kostengünstiger, als die Folgen zu beseitigen.
Abgrenzung zum Cybersecurity-Audit
Diese beiden Begriffe werden oft verwechselt, aber es gibt einen grundlegenden Unterschied zwischen ihnen:
| Kriterium | IT-Audit | Cybersicherheitsprüfung |
|---|---|---|
| Fokus | Die gesamte IT-Infrastruktur im Allgemeinen | Ausschließlich System- und Datensicherheit |
| Was wird geprüft? | Architektur, Kosten, Prozesse, Lizenzen, DevOps | Schwachstellen, Zugriff, Verschlüsselung, Perimeterschutz |
| Ergebnis | Umfassendes Bild des IT-Status + Empfehlungen | Bedrohungskarte und Plan zur Behebung von Schwachstellen |
| Wann wird es durchgeführt? | Vor der Skalierung, Fusionen und Übernahmen, Kostenoptimierung | Nach Vorfällen regelmäßig zur Überprüfung der Einhaltung der Vorschriften |
Ein IT-Infrastruktur-Audit umfasst die Cybersicherheit als einen seiner Bestandteile, beschränkt sich jedoch nicht ausschließlich darauf.
Wann Unternehmen ein IT-Audit in Auftrag geben
Meistens entsteht der Bedarf in einer der fünf Situationen, die im folgenden Abschnitt beschrieben werden. Generell ist ein regelmäßiges Audit (einmal jährlich oder vor jeder größeren Veränderung) jedoch die Norm für ein etabliertes Unternehmen. Genau aus diesem Grund umfasst die IT-Beratung in der Ukraine immer häufiger ein Audit als ersten Schritt.
5 Situationen, in denen ein IT-Audit kein Luxus, sondern eine Notwendigkeit ist
Vor einer Skalierung oder M&A-Transaktionen
Wenn sich ein Unternehmen auf eine Investitionsrunde, eine Fusion oder eine Übernahme vorbereitet, ist die technische Prüfung durch den Käufer in der Regel Teil der Due Diligence. Er möchte verstehen, was er kauft: Gibt es technische Schulden, welche Qualität hat die Codebasis und existieren versteckte Schwachstellen oder illegale Software? Für solche Fälle gibt es einen eigenen Bereich innerhalb des IT-Audits und der IT-Beratung.
Nach einer Cyberattacke oder einem Datenleck
Nach einem Vorfall ist es entscheidend, die Ursache zu verstehen. Wie ist der Angreifer in das System gelangt? Welche weiteren Schwachstellen sind verblieben? Genau hier hört das Cybersecurity-Audit für Unternehmen auf, ein abstraktes Konferenzthema zu sein, und wird zu einer konkreten To-do-Liste: was geschlossen, was umstrukturiert und was erneut überprüft werden muss.
Bei unkontrolliertem Anstieg der IT-Kosten
Im Laufe der Jahre sammelt sich in jedem Unternehmen technischer und finanzieller Ballast an: vergessene SaaS-Abonnements, redundante Tools oder Server, die niemand mehr braucht, die aber weiterhin Geld kosten. Die Optimierung der IT-Kosten ist eines der pragmatischsten und am schnellsten spürbaren Ergebnisse eines Audits.
Vor dem Wechsel in die Cloud
Eine Cloud-Migration ohne vorherige Inventarisierung der aktuellen Infrastruktur ist wie ein Umzug, ohne die Kisten zu packen. Das Audit hilft zu verstehen, was migriert werden soll, was bleibt und was man einfach loswerden sollte. Ohne diesen Schritt führt eine Cloud-Migration nicht selten dazu, dass das gesamte Chaos von physischen Servern eins zu eins in die Cloud-Umgebung übertragen wird.
Bei einem Wechsel des CTOs oder des IT-Teams
Ein neuer technischer Leiter oder Dienstleister benötigt ein objektives Bild des Ist-Zustands. Das Audit ermöglicht es, den aktuellen Ausgangspunkt zu fixieren, ohne sich ausschließlich auf die mündlichen Erklärungen des vorherigen Teams verlassen zu müssen.
Was bei einem IT-Audit überprüft wird
Das Audit von Informationssystemen umfasst fünf große Kernbereiche. In der Praxis hängt deren Tiefe von der Größe des Unternehmens und den Zielen des Audits ab: Manchmal reicht es aus, ein oder zwei Bereiche zu prüfen, manchmal ist ein vollständiges Bild erforderlich.
Infrastruktur und Systemarchitektur
Überprüft wird alles, computational und logisch, was das Fundament der IT bildet: Server, Netzwerkgeräte, Arbeitsstationen und Cloud-Ressourcen. Es gilt zu verstehen, ob die Architektur den aktuellen Geschäftsanforderungen entspricht und ob sie dem Wachstum standhält. Ein separater Blick wird auf die Backups geworfen: Hat überhaupt schon mal jemand geprüft, ob sich die Daten daraus tatsächlich wiederherstellen lassen?
Datensicherheit und Zugriffskontrolle
Dies ist der kritischste Bereich. Laut IBM-Daten dauerte es im Jahr 2024 durchschnittlich 194 Tage, um ein Datenleck zu entdecken, und weitere 64 Tage, um den Vorfall einzudämmen. Bei Angriffen mit kompromittierten Zugangsdaten war der Zyklus sogar noch länger: im Schnitt 292 Tage. Das sind Monate, in denen ein Angreifer im System verbleiben, Daten kopieren, die Firmen-E-Mails mitlesen oder die nächste Stufe des Angriffs vorbereiten kann.
Was bedeutet Cybersicherheit für Unternehmen in der Praxis? Es handelt sich um eine konkrete Auflistung der Maßnahmen, die umgesetzt werden und funktionieren müssen:
- Zugriffs- und Berechtigungsverwaltung;
- Passwortrichtlinien und Multi-Faktor-Authentifizierung;
- Datenverschlüsselung;
- Protokollierung und Überwachung verdächtiger Aktivitäten.
Softwarelizenzen und Legalität
Illegale Software stellt sowohl ein rechtliches Risiko als auch eine direkte Sicherheitsbedrohung dar: Raubkopien erhalten keine Patches und enthalten nicht selten eingebetteten Schadcode. Ein Audit identifiziert die gesamte installierte Software, gleicht sie mit den vorhandenen Lizenzen ab und erfasst separat alle Lösungen, die vom Hersteller nicht mehr unterstützt werden (End-of-Life).
Entwicklungs- und DevOps-Prozesse
Dieser Block ist für Unternehmen relevant, die eine eigene Entwicklung betreiben oder mit externen Dienstleistern zusammenarbeiten. Überprüft werden CI/CD-Pipelines, Code-Review-Praktiken, Testing, Dokumentation, das Monitoring in der Produktionsumgebung sowie die Reaktion des Teams auf Vorfälle. Häufig werden genau hier die größten technischen Schulden aufgedeckt, und es wird ersichtlich, welche Kosten diese bei einer Skalierung verursachen würden. Erfordert das Audit-Ergebnis eine Überarbeitung, schließen sich ein Architektur-Audit und eine kundenspezifische Entwicklung an.
Effizienz der IT-Ausgaben
Ein separater Block, der oft die schnellsten und spürbarsten Ergebnisse liefert. Überprüft werden alle aktiven Abonnements und SaaS-Tools, redundante oder ungenutzte Ressourcen sowie die Übereinstimmung der Cloud-Konfigurationen mit der tatsächlichen Auslastung.
IT-Audit-Checkliste: 25 Schlüsselfragen
Diese Liste kann zur Selbstdiagnose oder als Leitfaden für Gespräche mit einem IT-Consulting-Dienstleister genutzt werden. Wenn auf die meisten Fragen keine klare Antwort vorliegt, є das bereits ein Warnsignal.
Infrastruktur
- Gibt es ein aktuelles Netzwerkarchitekturdiagramm?
- Ist bekannt, welche Geräte noch unter Herstellersupport stehen und welche bereits aus diesem Support herausgenommen wurden?
- Gibt es Sicherungskopien, und wann wurde deren Wiederherstellung zuletzt überprüft?
- Gibt es einen Plan für den Fall des Ausfalls kritischer Systeme?
- Ist die Infrastruktur dokumentiert oder existiert sie nur in den Köpfen bestimmter Personen?
Sicherheit und Zugriff
- Gibt es eine Liste aller Konten mit privilegiertem Zugriff?
- Werden die Zugriffsrechte deaktiviert, wenn ein Mitarbeiter entlassen wird, und wie schnell?
- Wird Multi-Faktor-Authentifizierung für kritische Systeme verwendet?
- Werden Kundendaten in Datenbanken verschlüsselt?
- Werden Zugriffsprotokolle für kritische Systeme geführt und regelmäßig überprüft?
Software und Lizenzen
- Gibt es ein Verzeichnis aller installierten Software?
- Entspricht die Anzahl der Lizenzen der tatsächlichen Anzahl der Nutzer?
- Wird die Software regelmäßig aktualisiert, einschließlich Sicherheitspatches?
- Ist auf den Arbeitsstationen unautorisierte Software vorhanden?
- Werden zum Herunterladen von Software ausschließlich offizielle Quellen genutzt?
Entwicklung und DevOps
- Gibt es vor der Bereitstellung CI/CD und automatisierte Tests?
- Wird vor dem Zusammenführen in den Hauptzweig eine Codeüberprüfung durchgeführt?
- Werden Leistung und Fehler im Arbeitsumfeld überwacht?
- Gibt es einen Prozess für das Vorfallmanagement mit klaren Verantwortlichkeiten und Reaktionszeiten?
- Sind die technischen Schulden dokumentiert und gibt es einen Plan zu deren Reduzierung?
Kosten und Effizienz
- Gibt es ein zusammenfassendes Verzeichnis aller IT-Abonnements und ihrer Kosten?
- Gibt es Dienstleistungen, für die das Unternehmen bezahlt, die es aber tatsächlich nicht nutzt?
- Sind die Cloud-Ressourcen für die tatsächliche Last optimiert?
- Sind die IT-Ausgaben auf die aktuellen Geschäftsprioritäten abgestimmt?
- Gibt es KPIs zur Bewertung der Leistung des IT-Teams oder des Auftragnehmers?
Wie sieht ein Audit-Bericht aus?
Ein guter Bericht ist ein Dokument, mit dem man tatsächlich arbeiten kann: Prioritäten verstehen, das Budget planen und Aufgaben an das Team delegieren. Wenn der Dienstleister nach dem Audit hunderte Seiten technischen Text ohne klare Struktur und Priorisierung vorlegt, ist das eine reine Abwälzung der Verantwortung zurück auf den Kunden.
Ein ordnungsgemäßer IT-Infrastruktur-Audit-Bericht gliedert sich in mehrere Ebenen:
| Berichtblock | Was es enthält |
|---|---|
| Zusammenfassung | Die wichtigsten Schlussfolgerungen auf 1-2 Seiten in einer für den CEO und den Inhaber verständlichen Sprache. |
| Aktueller Status | Eine detaillierte Beschreibung jedes einzelnen Blocks: Was er ist, wie er funktioniert und wo Risiken bestehen. |
| Identifizierte Probleme | Klassifizierung nach Schweregrad: kritisch/wichtig/empfohlen |
| Priorisierter Aktionsplan | Was zuerst behoben werden sollte, mit einer Schätzung der Arbeitskosten und der Auswirkungen auf das Geschäft |
| Kostenschätzung | Wo liegen die überhöhten Kosten und wie viel lässt sich einsparen? |
| Straßenkarte | Ein stufenweiser Änderungsplan für 3-12 Monate |
Ein besonderes Augenmerk sollte darauf gelegt werden, wie Probleme klassifiziert werden.
Kritisches Risiko: Alles, was ab sofort zu einem Stillstand des Geschäftsbetriebs, zu Datenlecks oder rechtlichen Sanktionen führen kann.
Wichtig: Probleme, die ohne ein Eingreifen innerhalb weniger Monate kritisch werden.
Empfohlen: Optimierungen, die die Effizienz steigern, aber keine direkte Bedrohung darstellen.
Wenn alle Probleme im Bericht als kritisch eingestuft sind, stimmt etwas nicht. Häufig zeigt sich nach dem Audit der IT-Prozesse ein Automatisierungsbedarf – und genau dann wird klar, dass das Audit erst der Ausgangspunkt ist.
Was kostet ein IT-Audit und wie hoch ist der ROI?
Es gibt keine Festpreise; die Kosten hängen von der Unternehmensgröße, der Prüftiefe und den im Scope (Umfang) enthaltenen Blöcken ab. Internationalen Daten zufolge startet eine Basisprüfung für kleine Unternehmen ab 5.000 $, während die Spanne für mittelständische Unternehmen in der Regel zwischen 10.000 $und 50.000$ liegt. Ukrainische Unternehmen operieren aufgrund der niedrigeren Stundensätze für Fachkräfte meist am unteren Ende dieser Spannen.
Was die Kosten beeinflusst:
- Anzahl der Mitarbeiter und Endgeräte;
- Verfügbarkeit eigener Entwicklungsoptionen und Komplexität der Architektur;
- Anzahl der Cloud-Dienste und Auftragnehmer;
- Umfang der Sicherheitsprüfung (Basisprüfung vs. vollständiger Schwachstellentest);
- Fristen.
Die Kapitalrendite ist hier konkret und messbar. Unternehmen, die sich einer IT-Beratung und einem IT-Audit unterziehen, stellen in der Regel Folgendes fest:
- Überhöhte Kosten für Abonnements und Cloud-Ressourcen, die ohne Funktionsverlust reduziert werden können;
- kritische Schwachstellen, deren Beseitigung Vorfälle mit unvergleichlich größeren Verlusten verhindert;
- illegale Software oder Verletzung von Lizenzvereinbarungen mit unmittelbarem rechtlichen Risiko;
- Technische Schulden, deren Kosten sich bei Skalierung um ein Vielfaches erhöhen.
Übrigens: Je länger ein Unternehmen einen Vorfall nicht bemerkt, desto teurer wird dessen Eindämmung. Daher sind Monitoring, regelmäßige Überprüfungen, Backuptests und ein klarer Reaktionsplan der beste Weg, um zukünftige Schäden zu minimieren.
IT-Audit bei IWIS beauftragen
Häufig wenden sich Unternehmen erst dann an ein IT-Consulting, wenn bereits etwas schiefgelaufen ist – in diesem Fall wird das Audit zu einer Krisenmanagement-Maßnahme mit entsprechend hohem Preis. Wird es jedoch rechtzeitig durchgeführt, kostet es weniger und bringt einen größeren Mehrwert.
Das Team von IWIS führt ein umfassendes IT-Audit für Ihr Unternehmen durch – von der Infrastruktur und Sicherheit bis hin zu Lizenzen und Entwicklungsprozessen. Als Ergebnis erhalten Sie einen klaren Fahrplan: Was muss zuerst behoben werden, was kann optimiert werden und welche Kosten kommen auf Sie zu.
Kontaktieren Sie uns, und wir bieten Ihnen genau das Format an, das zu Ihrer Unternehmensgröße und Ihren Aufgaben passt.
Interessante Materialien für Sie