Das sollten Sie bei der Prüfung der Cyber Security beachten

  • 13. Februar 2019
  • Silke Ritter
  • 0 Kommentare

Sind Sie vorbereitet? Cyber-Attacken auf Unternehmen und Behörden können immense Schäden anrichten. Um das Risiko einzudämmen und für den Ernstfall gut gerüstet zu sein, sind Sie als Interner Revisor besonders gefordert. Was es bei der Cyber Security Prüfung zu beachten gilt, hat uns im Interview Dr. Christian Schaller verraten. Er beschäftigt sich seit mehr als 20 Jahren mit dem Thema IT-Sicherheit und ist Senior Manager IT Audit bei der Linde Group.

Cyber Security – Begriffdefinition

 „Cyber Security“ – was ist das eigentlich?

Der Begriff „Cyber Security“ ist erst vor einigen Jahren entstanden. Vorher gab es die klassische „IT- Security“. Ein Aspekt war dabei sicherlich, dass der Begriff Cyber Security zeitgemäßer und aus Marketing-Sicht ansprechender ist. Der Inhalt von Cyber Security deckt sich größtenteils mit den Inhalten von „IT-Security“. Generell verfolgt Cyber Security das Ziel, die Vertraulichkeit, die Integrität und die Verfügbarkeit von Informationen gegen Bedrohung aus dem Cyber Space zu schützen. Es geht also darum, Cyber-Angriffe schnellstmöglich  zu entdecken und die Auswirkungen von Angriffen zu minimieren. Die Methoden sind größtenteils die gleichen, die auch in der klassischen IT-Security angewendet werden.

Interne Revision und Cyber Security

 Wie kann die Revision zur Cyber Security eines Unternehmens beitragen?

In der durch den technischen Fortschritt und die Digitalisierung immer komplexeren Welt steigen sowohl das Risiko als auch die Auswirkung von Cyber-Angriffen stetig. Laut einer Umfrage des BSI (Bundesamt für Sicherheit in der Informationstechnik) gaben 2017 etwa 70 Prozent der befragten Unternehmen an, dass sie selbst bereits Opfer eines Cyber-Angriffs geworden sind. Unternehmen müssen diesem Risiko entgegenwirken, indem sie eine dem Risikoappetit entsprechend abgesicherte IT-Infrastruktur betreiben. Es sollte Prozesse und Systeme geben, die jederzeit einen Überblick über die aktuelle Sicherheitslage der Infrastruktur bieten. Im Falle eines Angriffs sollte das Unternehmen Pläne für die Eingrenzung des Angriffs und die Wiederherstellung des Normalbetriebs in der Schublade haben.

Die IT hat damit hochkomplexe Aufgaben – Fehler sind sehr wahrscheinlich. Daher braucht es dringend eine Kontrolle. Die Interne Revision ist in diesem komplexen Umfeld besonders gefordert, um die Interessen des Unternehmens zu wahren. Im Sinne der „Third Line of Defense“ agiert die Interne Revision dabei als zusätzliche Sicherheitslinie hinter dem IT-Betrieb und dem CISO mit der IT-Compliance.

Zusätzliche Sicherheitslinie hinter dem IT-Betrieb und dem CISO mit der IT-Compliance

Prüffeld Cyber Security

 Welche Prüffelder im Umfeld Cyber Security gibt es?

Das wesentliche Ziel der „Cyber Security“ ist es, einen Cyber Angriff so früh wie möglich zu erkennen, einzudämmen und dann den Normalbetrieb wiederherzustellen. Entsprechend sollte dieser Prozess, der sogenannte „Security Incident Management Prozess“, ein Kernelement einer Cyber Security Prüfung sein.

Darüber hinaus sollte man im Rahmen einer Prüfung weitere Bereiche beleuchten:

  • Die organisatorische Ebene: Es wird untersucht, ob die Cyber Security Strategy und die Organisation zum Anspruch und Risikoappetit des Unternehmens passen. Weitere Themen sind beispielsweise Security Awareness, Nutzung von Social Media, IT-Outsourcing, Cloud Computing und der Umgang mit externen Dienstleistern.
  • Die Prozessebene: IT-Prozesse, die wesentlich für eine effiziente Cyber-Abwehr sind, werden analysiert: Die Beschaffung und das Management von IT-Assets, der sichere Betrieb der IT-Infrastruktur, das Notfallmanagement oder „Business Continuity Management“, um nur ein paar Beispiele zu nennen.
  • Die IT-Infrastruktur: Gemäß dem Schichtenmodell wird die IT-Infrastruktur nach den speziellen Anforderungen der Cyber Security begutachtet. Das geht von den Applikationen, über Systeme und Netze bis zu den Netzwerkräumen und dem Rechenzentrum.

Beim Thema „Cyber Security“ kann man auch einen Blick in andere Abteilungen des Unternehmens werfen. So ist es zum Beispiel wichtig, die Mitarbeiter zu schulen, dass sogenannte „Social Engineering“ Angriffe, wie zum Beispiel der „CEO Fraud“, ins Leere laufen. Dafür ist meist die Personalverwaltung zuständig. Auch die physische Sicherheit von Gebäuden liegt meist nicht in der Verantwortung der IT-Abteilung. Schwach gesicherte Gebäude oder Industrieanlagen sind aber ein von Angreifern gern genutzter Einstieg für Cyber-Attacken.

Das zeigt, dass Cyber Security ein typisches „Querschnittsthema“ ist, mit einem großen Umfang an möglichen Prüfungsthemen. Eine realistische Planung des Prüfungsumfangs ist die Grundlage für eine erfolgreiche Durchführung der Prüfung. Dabei gibt es eine Reihe von Parametern zu berücksichtigen, die unter anderem vom Unternehmen selbst, dem Umfeld, gesetzlichen Vorgaben und den Vorkenntnissen der Prüfer abhängen:

Einflussgrößen für die Prüfungsplanung

Diese Prüfungsstandards gibt es

 Welche Prüfungsstandards sind zu beachten?

Für Prüfungen der Cyber Security gibt es nationale und internationale Standards. Da ist zum einen der vom deutschen „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) zusammen mit dem German Chapter der ISACA veröffentlichte „Leitfaden Cyber-Sicherheits-Check“. Das US-amerikanische „National Institute of Standards and Technology” (NIST) hat das „Framework for Improving Critical Infrastructure Cybersecurity” entwickelt. Beide Standards können sehr gut als Grundlage für eine Cyber Security Prüfung verwendet werden. Allerdings sollte man diese Vorgaben unbedingt weiter vertiefen und an die Anforderungen des eigenen Unternehmens anpassen, da die genannten Standards nur die Schwerpunkte der „Cyber Security“ abdecken. Als weitere „Baukästen“ zur Anreicherung einer individuellen Cyber Security Prüfung können die Standards „IT Grundschutz“ des BSI und „ISO27001“ dienen.

Seminartipp: Sicherheitslücken frühzeitig identifizieren und eliminieren

Seien Sie vorbereitet! Wie Sie die Cyber Security Ihres Unternehmens prüfen, lernen Sie im Seminar „Prüffeld Cyber Security”.

Über den Autor:

Dr. Christian Schaller beschäftigt sich seit mehr als 20 Jahren mit dem Thema IT-Sicherheit. Seit 2007 ist er als Senior Manager IT Audit bei der Linde Group tätig. Im Rahmen dieser Funktion hat er in den letzten Jahren weltweit Audits zu den Themen IT Baseline, IT Strategie, IT Anwendungen sowie globale Auditprojekte zu “Cyber Security”, “Business Continuity Management” und “IT Outsourcing” durchgeführt. Zuvor war Dr. Christian Schaller als Projektleiter für nationale und internationale Großprojekte sowie als Leiter der Software-Entwicklung bei der Secunet AG beschäftigt. Er war mehrere Jahre Dozent für “Security Engineering” an der Hochschule München.

Silke Ritter

Ich arbeite als Managerin Online Kommunikation für die HAUB + PARTNER GmbH. Nach meinem Germanistik-Studium habe ich in der PR-Branche gearbeitet und bin inzwischen seit vielen Jahren auf Blogs, Youtube und im Social Web unterwegs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Weitere Beiträge

5 Excel-Tipps, die Ihren Revisions-Alltag erleichtern

5 Excel-Tipps, die Ihren Revisions-Alltag erleichtern

Microsoft-Excel ist von den meisten Arbeitsplätzen, gerade innerhalb der Internen Revision, nicht mehr wegzudenken. Die meisten Revisoren nutzen es regelmäßig oder sogar täglich. Maria Drießen hat Ihnen fünf Tipps und Tricks zusammengestellt, die Ihnen die Arbeit mit Excel erleichtern und Zeit sparen können.

Kritisches Revisionsgespräch

Kritische Momente im Revisionsgespräch meistern

Haben Sie auch schon negative Erfahrungen in Revisionsgesprächen machen müssen? Wurde Ihr Gegenüber ausfallend oder hat abwehrend auf schlechte Nachrichten reagiert? Wir haben mit der Gesprächstrainerin Petra Heinemann über die Herausforderungen im Revisionsgespräch gesprochen und wie Sie diese besser meistern können.