Ein solcher Audit startet in der Regel mit der Evaluation des Schutzbedarfes von Anwendungen, Daten, Hardware und Datenträgern. Sicherheitskritisch sind aber auch Anwender, Besitzer von speziellen Rechten sowie leitende Angestellte. Für die Analyse werden mögliche Schadenswerte geschätzt und im Anschluss Schutzziele und entsprechende Maßnahmen definiert. Generell gilt die Devise: Alles was nicht explizit erlaubt ist, ist verboten.
Schnüffler und Eindringlinge müssen draußen bleiben
Um Spionage und das Eindringen Unautorisierter in die IT-Systeme zu verhindern, sollte in einem ersten Schritt der Datenzugriff der eigenen Mitarbeiter und Partner geregelt werden. Dazu legt der Administrator Benutzerprofile an, denen er zweckgesteuert individuelle Zugangsrechte gewährt. Das LAN wird dabei mit Hilfe so genannter VLANs (Virtual LANs) segmentiert.
Autorisierungs- und Authentifizierungsprozesse können zudem sicherstellen, dass mit den digitalen Identitäten kein Schindluder getrieben wird. Die so genannte strenge Authentifizierung basiert auf zwei Komponenten: Besitz und Wissen. Weit verbreitet sind zum Beispiel Einmal-Passwort-Token oder Smartcards, die an entsprechenden Kartenterminals "gelesen" werden. Letztere arbeiten teilweise in Kombination mit biometrischen Daten.
Auch bei mobilen Geräten muss die richtige Identität gewährleistet werden. Verschiedene PDA- und Mobiltelefonmodelle werden daher schon mit einer Software ausgeliefert, die Einmal-Passwörter generiert.
Eine weitere Möglichkeit der Identitätssicherung bieten PKI-Systeme mit digitalen Zertifikaten. Die User erhalten dabei ein Zertifikat und einen privaten Schlüssel, der zu einem öffentlichen Schlüssel gehört. Mit dem privaten Schlüssel können Daten signiert oder entschlüsselt werden, die Zertifikate dienen zum Überprüfen einer Signatur und zur Verschlüsselung von Daten.