Seit über 35 Jahren Ihr kompetenter Partner
für Revisionsseminare
Seit über 35 Jahren Ihr kompetenter Partner
für Revisionsseminare
Weiterbildungsangebote, Praxistipps und Expertenmeinungen bequem per E-Mail – für einen leichteren Revisionsalltag!
Sind Sie vorbereitet? Cyber-Attacken auf Unternehmen und Behörden können immense Schäden anrichten. Um das Risiko einzudämmen und für den Ernstfall gut gerüstet zu sein, sind Sie als Interner Revisor besonders gefordert. Was es bei der Cyber Security Prüfung zu beachten gilt, hat uns im Interview Dr. Christian Schaller verraten. Er beschäftigt sich seit mehr als 20 Jahren mit dem Thema IT-Sicherheit und ist Associate Director IT Audit bei Linde plc.
„Cyber Security“ – was ist das eigentlich?
Der Begriff „Cyber Security“ ist erst vor einigen Jahren entstanden. Vorher gab es die klassische „IT- Security“. Ein Aspekt war dabei sicherlich, dass der Begriff Cyber Security zeitgemäßer und aus Marketing-Sicht ansprechender ist. Der Inhalt von Cyber Security deckt sich größtenteils mit den Inhalten von „IT-Security“. Generell verfolgt Cyber Security das Ziel, die Vertraulichkeit, die Integrität und die Verfügbarkeit von Informationen gegen Bedrohung aus dem Cyber Space zu schützen. Es geht also darum, Cyber-Angriffe schnellstmöglich zu entdecken und die Auswirkungen von Angriffen zu minimieren und den Zustand vor dem Angriff wiederherzustellen. Die Methoden sind größtenteils die gleichen, die auch in der klassischen IT-Security angewendet werden.
Wie kann die Revision zur Cyber Security eines Unternehmens beitragen?
In der durch den technischen Fortschritt und die Digitalisierung immer komplexeren Welt steigen sowohl das Risiko als auch die Auswirkung von Cyber-Angriffen stetig. Laut einer Umfrage von Bitkom aus 2021 beläuft sich der finanzielle Schaden durch Cyber-Angriffe für die deutsche Wirtschaft auf mehr als 200 Mrd. Euro pro Jahr. Unternehmen müssen dem großen Risiko eines Cyber-Angriffs entgegenwirken, indem sie eine dem Risikoappetit entsprechend abgesicherte IT-Infrastruktur betreiben. Es sollte Prozesse und Systeme geben, die jederzeit einen Überblick über die aktuelle Sicherheitslage der Infrastruktur bieten. Im Falle eines Angriffs sollte das Unternehmen Pläne für die Eingrenzung des Angriffs und die Wiederherstellung des Normalbetriebs in der Schublade haben.
Die IT hat damit hochkomplexe Aufgaben – Fehler sind sehr wahrscheinlich. Daher braucht es dringend eine Kontrolle. Die Interne Revision ist in diesem komplexen Umfeld besonders gefordert, um die Interessen des Unternehmens zu wahren. Im Sinne der „Third Line of Defense“ agiert die Interne Revision dabei als zusätzliche Sicherheitslinie hinter dem IT-Betrieb und dem CISO mit der IT-Compliance.
Welche Prüffelder im Umfeld Cyber Security gibt es?
Das wesentliche Ziel der „Cyber Security“ ist es, einen Cyber Angriff so früh wie möglich zu erkennen, einzudämmen und dann den Normalbetrieb wiederherzustellen. Entsprechend sollte dieser Prozess, der sogenannte „Security Incident Management Prozess“, ein Kernelement einer Cyber Security Prüfung sein.
Darüber hinaus sollte man im Rahmen einer Prüfung weitere Bereiche beleuchten:
Die organisatorische Ebene: Es wird untersucht, ob die Cyber Security Strategy und die Organisation zum Anspruch und Risikoappetit des Unternehmens passen. Weitere Themen sind beispielsweise Security Awareness, Nutzung von Social Media, IT-Outsourcing, Cloud Computing und der Umgang mit externen Dienstleistern.
Die Prozessebene: IT-Prozesse, die wesentlich für eine effiziente Cyber-Abwehr sind, werden analysiert: Die Beschaffung und das Management von IT-Assets, der sichere Betrieb der IT-Infrastruktur, das Notfallmanagement oder „Business Continuity Management“, um nur ein paar Beispiele zu nennen.
Die IT-Infrastruktur: Gemäß dem Schichtenmodell wird die IT-Infrastruktur nach den speziellen Anforderungen der Cyber Security begutachtet. Das geht von den Applikationen, über Systeme und Netze bis zu den Netzwerkräumen und dem Rechenzentrum.
Beim Thema „Cyber Security“ kann man auch einen Blick in andere Abteilungen des Unternehmens werfen. So ist es zum Beispiel wichtig, die Mitarbeiter zu schulen, dass sogenannte „Social Engineering“ Angriffe, wie zum Beispiel der „CEO Fraud“, ins Leere laufen. Dafür ist meist die Personalverwaltung zuständig. Auch die physische Sicherheit von Gebäuden liegt meist nicht in der Verantwortung der IT-Abteilung. Schwach gesicherte Gebäude oder Industrieanlagen sind aber ein von Angreifern gern genutzter Einstieg für Cyber-Attacken.
Das zeigt, dass Cyber Security ein typisches „Querschnittsthema“ ist, mit einem großen Umfang an möglichen Prüfungsthemen. Eine realistische Planung des Prüfungsumfangs ist die Grundlage für eine erfolgreiche Durchführung der Prüfung. Dabei gibt es eine Reihe von Parametern zu berücksichtigen, die unter anderem vom Unternehmen selbst, dem Umfeld, gesetzlichen Vorgaben und den Vorkenntnissen der Prüfer abhängen:
Welche Prüfungsstandards sind zu beachten?
Für Prüfungen der Cyber Security gibt es nationale und internationale Standards. Da ist zum einen der vom deutschen „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) zusammen mit dem German Chapter der ISACA veröffentlichte „Leitfaden Cyber-Sicherheits-Check“. Das US-amerikanische „National Institute of Standards and Technology” (NIST) hat das „Framework for Improving Critical Infrastructure Cybersecurity” entwickelt. Beide Standards können sehr gut als Grundlage für eine Cyber Security Prüfung verwendet werden. Allerdings sollte man diese Vorgaben unbedingt weiter vertiefen und an die Anforderungen des eigenen Unternehmens anpassen, da die genannten Standards nur die Schwerpunkte der „Cyber Security“ abdecken. Als weitere „Baukästen“ zur Anreicherung einer individuellen Cyber Security Prüfung können die Standards „IT Grundschutz“ des BSI und „ISO27001“ dienen.
Sichern Sie sich jetzt Ihren Wissensvorsprung für den Revisionsalltag. Auf 124 Seiten erhalten Sie das komplette Seminareangebot speziell für die Interne Revision.
Kommentare
Keine Kommentare