Zum Hauptinhalt springen

Auf eine Sicherheitsprüfung antworten

Der Kontext

Olivier ist IT-Leiter bei HealthData, einem Unternehmen, das Gesundheitsdaten verarbeitet. Ein externer Auditor kommt, um die ISO 27001- und DSGVO-Konformität zu überprüfen. Er verlangt Nachweise darüber: Wer hat auf was Zugriff, wie werden Zugänge kontrolliert, wie werden Austritte gehandhabt und ob die Passwörter den Best Practices entsprechen.

  • Zugriffsrechte sind auf jede Anwendung verteilt
  • Kein zentrales Tool, um ein vollständiges Inventar zu erstellen
  • Es ist unmöglich zu beweisen, dass die Zugänge ehemaliger Mitarbeiter widerrufen wurden
  • Die Passwort-Policy ist theoretisch — es gibt keine Möglichkeit, deren Umsetzung zu überprüfen
  • Das Audit dauert wochenlange manuelle Datensammlung
  • Kein strukturiertes Reporting: alles muss manuell zusammengestellt werden
  • Kein zentrales Protokoll für Sicherheitsereignisse

Schritt 1 — Zugriffs-Inventar (sofort)

Olivier öffnet das SmartLink-Dashboard. Der Auditor kann sehen:

  • Die vollständige Liste der Benutzer und ihren Status
  • Die referenzierten Anwendungen und Sicherheitsordner
  • Wer auf was Zugriff hat, organisiert nach Ordner und Team

Schritt 2 — Sicherheitsrichtlinien (überprüfbar)

Olivier präsentiert die konfigurierten Zugriffsrichtlinien:

  • Die Device Access Policies definieren die Zugriffsbedingungen pro Anwendung
  • Der Anti-Phishing-Schutz ist global aktiviert
  • VaultysID-Sicherheitsstufen sind für sensible Anwendungen vorgeschrieben

Schritt 3 — Echtzeit-Protokollierung (nachweisbar)

Olivier öffnet die Protokollierung (Audit Trail) — das zentrale Protokoll aller Sicherheitsereignisse. Der Auditor kann:

  • Nach Ereignistyp filtern: erfolgreiche/fehlgeschlagene Anmeldungen, gespeicherte Passwörter, Shadow-IT-Erkennungen, Bastion-Freigaben…
  • Einen Benutzer, eine Anwendung oder ein Gerät gezielt suchen
  • Auf einen Benutzer oder eine Anwendung klicken, um kontextbezogen zu filtern, ohne die Seite zu verlassen
  • Das Protokoll aus dem Profil eines Benutzers, dem Anwendungsblatt oder der Ordnerseite einsehen

Der Auditor fragt: „Zeigen Sie mir alle Anmeldungen von Marc Dupont in diesem Monat.“ Olivier klickt auf das Profil von Marc, Reiter Protokollierung: Der komplette Verlauf erscheint sofort.

Schritt 4 — Compliance-Berichte (ein Klick)

Olivier generiert die vom Auditor angeforderten Berichte direkt aus dem Menü Berichte:

  • Monatlicher CISO-Bericht — Zugriffsmanagement, Identitätshygiene, Sicherheitsvorfälle, Shadow-IT-Erkennung, Governance der Zugänge
  • Monatlicher CTO-Bericht — Plattform-Adoption, Anwendungsportfolio, Zugriffsgruppen, Lizenznutzung
  • ISO 27001 A.9 Bericht — Provisionierung/Deprovisionierung, Authentifizierungsrichtlinien, Passwort-Hygiene, Zugriffsrechte-Konformität

Jeder Bericht ist druckbar mit Grafiken und als PDF herunterladbar. Der Auditor erhält fertige Dokumente zum Anhängen an die Auditakte.

Tipp

Für zusätzliche Frameworks (NIST CSF, SOC 2, GDPR, NIS2, DORA…) bietet SmartLink eine Integration mit dem CISO Assistant von Intuitem, erreichbar im Bereich Berichte.

Schritt 5 — Passwort-Management (nachweisbar)

Olivier zeigt, dass:

  • Passwörter in einem verschlüsselten Tresor gespeichert werden
  • Benutzer die Passwörter kritischer Anwendungen nicht kennen
  • Die Authentifizierung über VaultysID (passwortlos) oder SSO erfolgt

Was sich dadurch ändert

Ohne SmartLinkMit SmartLink
Wochenlange DatensammlungDaten sofort verfügbar
Nachweise schwer zu liefernVollständige, exportierbare Historie
Theoretische RichtlinienAngewandte und überprüfbare Richtlinien
Stressiges und teures AuditReibungsloses, dokumentiertes Audit
Kein zentrales ProtokollEchtzeit-Protokoll filterbar nach Benutzer, Anwendung oder Ordner
Berichte manuell zusammengestelltCISO-, CTO- und ISO 27001-Berichte mit einem Klick generiert

Genutzte Funktionen