Start > Aktuelles > Endpoint Security Audit Checkliste
Alle Artikel
Security 26. März 2026 12 Min. Lesezeit

Endpoint Security Audit: 20 Punkte die Sie prüfen sollten

Endgeräte sind das beliebteste Angriffsziel für Cyberkriminelle. Mit dieser systematischen Checkliste prüfen Sie den Sicherheitsstatus Ihrer Clients, Laptops und Workstations - und schließen Sicherheitslücken bevor sie ausgenutzt werden.

Warum ein Endpoint Security Audit?

Über 70 Prozent aller erfolgreichen Cyberangriffe beginnen am Endgerät. Ob Phishing-Mail, kompromittierter USB-Stick oder Schwachstelle im Browser - der Arbeitsplatz-PC ist oft der erste Ansatzpunkt für Angreifer. Ein regelmäßiges Audit deckt Schwachstellen auf und gibt Ihnen einen klaren Überblick über den Sicherheitsstatus Ihrer Endgeräte-Landschaft.

Diese Checkliste ist für interne IT-Abteilungen und externe Auditoren gleichermaßen geeignet. Die 20 Prüfpunkte decken alle kritischen Bereiche ab - von der Betriebssystem-Haertung bis zur Benutzerschulung.

Empfehlung: Führen Sie das Endpoint Security Audit mindestens vierteljährlich durch. Nach größeren Änderungen an der Infrastruktur oder bei Verdacht auf Sicherheitsvorfälle sollte ein Ad-hoc-Audit erfolgen.

Bereich 1: Betriebssystem und Updates

Das Betriebssystem ist die Grundlage jedes Endgeräts. Veraltete Systeme und fehlende Patches sind eine der häufigsten Ursachen für erfolgreiche Angriffe.

Betriebssystem-Sicherheit

1
Betriebssystem-Version prüfen

Werden nur unterstützte Betriebssystem-Versionen eingesetzt? Windows 10 vor Version 21H2 und Windows 11 vor Version 22H2 erhalten keine regulären Sicherheitsupdates mehr.

Kritisch
2
Patch-Stand ermitteln

Sind alle aktuellen Sicherheitsupdates installiert? Prüfen Sie den letzten Patch-Stand und vergleichen Sie mit dem aktuellen Security Bulletin von Microsoft oder dem jeweiligen Hersteller.

Kritisch
3
Automatische Updates konfiguriert

Ist WSUS, SCCM oder ein anderes Patch-Management-System im Einsatz? Werden Updates automatisch verteilt und ist die Update-Compliance messbar?

Hoch
4
BIOS/UEFI-Firmware aktuell

Ist die Firmware des Mainboards auf dem neuesten Stand? Firmware-Schwachstellen wie BootHole erfordern BIOS-Updates, die oft vergessen werden.

Mittel

Bereich 2: Endpoint Protection

Moderne Endpoint Protection geht weit über klassischen Virenschutz hinaus. EDR-Funktionen (Endpoint Detection and Response) erkennen auch unbekannte Bedrohungen anhand ihres Verhaltens.

Schutzsoftware und Erkennung

5
Antivirus/EDR aktiv und aktuell

Ist eine Endpoint-Protection-Lösung installiert, aktiv und mit aktuellen Signaturen versehen? Prüfen Sie Datum der letzten Definition-Updates und den Status des Echtzeitschutzes.

Kritisch
6
Zentrale Verwaltung eingerichtet

Werden alle Endpoints zentral verwaltet und überwacht? Ist die Kommunikation zur Management-Konsole intakt? Gibt es Geräte ohne Verbindung zum Management-Server?

Hoch
7
Host-basierte Firewall aktiv

Ist die Windows-Firewall oder eine Alternative aktiv und sinnvoll konfiguriert? Werden nur benötigte Ports und Anwendungen zugelassen?

Hoch
8
Exploit Protection aktiviert

Sind Windows Defender Exploit Guard bzw. vergleichbare Mechanismen aktiviert? Diese schützen vor Speicher-basierten Angriffen und Exploit-Techniken.

Mittel

Bereich 3: Zugriffssteuerung

Wer auf was zugreifen darf, ist eine der wichtigsten Sicherheitsentscheidungen. Das Principle of Least Privilege sollte konsequent umgesetzt werden.

Benutzer und Berechtigungen

9
Keine lokalen Admin-Rechte für Standardbenutzer

Arbeiten Benutzer mit eingeschränkten Rechten? Lokale Administratorrechte für Standardbenutzer ermöglichen Malware tiefgreifende Systemzugriffe.

Kritisch
10
Passwortkomplexität erzwungen

Gelten Mindestanforderungen für Passwörter? Empfohlen: Mindestens 12 Zeichen, Komplexitätsanforderungen, keine gängigen Wörter, regelmäßiger Wechsel für privilegierte Konten.

Hoch
11
Bildschirmsperre konfiguriert

Wird der Bildschirm nach kurzer Inaktivität automatisch gesperrt? Empfohlen: Sperre nach maximal 5 Minuten, Entsperrung nur mit Passwort oder biometrisch.

Mittel
12
Lokale Admin-Accounts verwaltet

Werden lokale Administratorkonten zentral verwaltet (LAPS)? Sind Default-Passwörter geändert? Ist das lokale Administrator-Konto umbenannt oder deaktiviert?

Hoch

Bereich 4: Datenschutz und Verschlüsselung

Sensible Daten müssen geschützt werden - sowohl vor unbefugtem Zugriff als auch bei Verlust oder Diebstahl des Geräts.

Verschlüsselung und Datenklassifizierung

13
Festplattenverschlüsselung aktiv

Ist BitLocker oder eine alternative Festplattenverschlüsselung aktiviert? Bei Laptops und mobilen Geräten unverzichtbar. Prüfen Sie auch die Recovery-Key-Verwaltung.

Kritisch
14
USB-Geräte kontrolliert

Gibt es Richtlinien für USB-Speichergeräte? Können unautorisierte USB-Sticks blockiert oder zumindest protokolliert werden?

Hoch
15
Cloud-Synchronisation geregelt

Werden Unternehmensdaten unkontrolliert in private Cloud-Dienste synchronisiert? Gibt es Richtlinien für OneDrive, Dropbox, Google Drive und Co.?

Mittel

Bereich 5: Netzwerk und Remote-Zugriff

Die Netzwerkkommunikation muss geschützt und kontrolliert werden - besonders in Zeiten von Homeoffice und Remote Work.

Netzwerk-Sicherheit

16
VPN für Remote-Zugriff

Ist ein VPN für den Zugriff auf Unternehmensressourcen von extern Pflicht? Wird die VPN-Verbindung automatisch hergestellt oder kann sie umgangen werden?

Kritisch
17
Öffentliche WLANs blockiert oder gesichert

Gibt es Richtlinien für die Nutzung öffentlicher Netzwerke? Wird bei unbekannten Netzwerken automatisch der VPN-Tunnel erzwungen?

Hoch

Bereich 6: Logging und Überwachung

Ohne Protokollierung keine Forensik. Im Ernstfall sind Logs die wichtigste Informationsquelle für die Aufklärung von Sicherheitsvorfällen.

Protokollierung und Forensik

18
Sicherheitsrelevante Events protokolliert

Werden Anmeldeversuche, Berechtigungsänderungen und andere sicherheitsrelevante Ereignisse protokolliert? Werden die Logs zentral gesammelt?

Hoch
19
Log-Retention konfiguriert

Wie lange werden Logs aufbewahrt? Empfohlen: Mindestens 90 Tage, bei kritischen Systemen länger. Achten Sie auf Compliance-Anforderungen.

Mittel
20
SIEM-Integration vorhanden

Werden Endpoint-Logs in ein zentrales SIEM-System eingespeist? Gibt es automatisierte Alerts bei verdächtigen Aktivitäten?

Hoch

Auswertung und nächste Schritte

Nach Abschluss des Audits sollten Sie die Ergebnisse systematisch auswerten und priorisieren. Beginnen Sie mit den kritischen Befunden - hier besteht unmittelbarer Handlungsbedarf.

  • Kritische Befunde: Sofortige Behebung innerhalb von 24-48 Stunden
  • Hohe Priorität: Behebung innerhalb von 1-2 Wochen
  • Mittlere Priorität: Einplanung im nächsten Quartal
  • Dokumentation aller Befunde und Maßnahmen
  • Nachkontrolle der umgesetzten Maßnahmen

Tipp: Führen Sie ein Benchmark durch - vergleichen Sie den Sicherheitsstatus verschiedener Abteilungen oder Standorte. So identifizieren Sie Best Practices und Bereiche mit Nachholbedarf.

Passende Leistungen
Endpoint Security Netzwerk & Firewall Security-Beratung 24/7 Monitoring

Professionelles Security Audit

Unsere Experten prüfen Ihre Endpoints systematisch und liefern einen detaillierten Bericht mit konkreten Handlungsempfehlungen.

Audit anfragen
Weitere Artikel
Security

Penetration Testing: Wann und warum es sich lohnt

Was Pentests leisten, was sie kosten und wie Sie den richtigen Anbieter finden.
Security

SIEM-Einführung: Der komplette Leitfaden für KMU

Security Information and Event Management von der Planung bis zum Betrieb.