Das sollten Sie bei der Prüfung der Cyber Security beachten

  • 17. Januar 2023
  • Beate Zuchantke
  • 5 Kommentare

Sind Sie vorbereitet? Cyber-Attacken auf Unternehmen und Behörden können immense Schäden anrichten. Um das Risiko einzudämmen und für den Ernstfall gut gerüstet zu sein, sind Sie als Interner Revisor besonders gefordert. Was es bei der Cyber Security Prüfung zu beachten gilt, hat uns im Interview Dr. Christian Schaller verraten. Er beschäftigt sich seit mehr als 20 Jahren mit dem Thema IT-Sicherheit und ist Associate Director IT Audit bei Linde plc.

Cyber Security – Begriffdefinition

 „Cyber Security“ – was ist das eigentlich?

Der Begriff „Cyber Security“ ist erst vor einigen Jahren entstanden. Vorher gab es die klassische „IT- Security“. Ein Aspekt war dabei sicherlich, dass der Begriff Cyber Security zeitgemäßer und aus Marketing-Sicht ansprechender ist. Der Inhalt von Cyber Security deckt sich größtenteils mit den Inhalten von „IT-Security“. Generell verfolgt Cyber Security das Ziel, die Vertraulichkeit, die Integrität und die Verfügbarkeit von Informationen gegen Bedrohung aus dem Cyber Space zu schützen. Es geht also darum, Cyber-Angriffe schnellstmöglich  zu entdecken und die Auswirkungen von Angriffen zu minimieren und den Zustand vor dem Angriff wiederherzustellen. Die Methoden sind größtenteils die gleichen, die auch in der klassischen IT-Security angewendet werden.

Interne Revision und Cyber Security

 Wie kann die Revision zur Cyber Security eines Unternehmens beitragen?

In der durch den technischen Fortschritt und die Digitalisierung immer komplexeren Welt steigen sowohl das Risiko als auch die Auswirkung von Cyber-Angriffen stetig. Laut einer Umfrage von Bitkom aus 2021 beläuft sich der finanzielle Schaden durch Cyber-Angriffe für die deutsche Wirtschaft auf mehr als 200 Mrd. Euro pro Jahr. Unternehmen müssen dem großen Risiko eines Cyber-Angriffs entgegenwirken, indem sie eine dem Risikoappetit entsprechend abgesicherte IT-Infrastruktur betreiben. Es sollte Prozesse und Systeme geben, die jederzeit einen Überblick über die aktuelle Sicherheitslage der Infrastruktur bieten. Im Falle eines Angriffs sollte das Unternehmen Pläne für die Eingrenzung des Angriffs und die Wiederherstellung des Normalbetriebs in der Schublade haben.

Die IT hat damit hochkomplexe Aufgaben – Fehler sind sehr wahrscheinlich. Daher braucht es dringend eine Kontrolle. Die Interne Revision ist in diesem komplexen Umfeld besonders gefordert, um die Interessen des Unternehmens zu wahren. Im Sinne der „Third Line of Defense“ agiert die Interne Revision dabei als zusätzliche Sicherheitslinie hinter dem IT-Betrieb und dem CISO mit der IT-Compliance.

Zusätzliche Sicherheitslinie hinter dem IT-Betrieb und dem CISO mit der IT-Compliance

Prüffeld Cyber Security

 Welche Prüffelder im Umfeld Cyber Security gibt es?

Das wesentliche Ziel der „Cyber Security“ ist es, einen Cyber Angriff so früh wie möglich zu erkennen, einzudämmen und dann den Normalbetrieb wiederherzustellen. Entsprechend sollte dieser Prozess, der sogenannte „Security Incident Management Prozess“, ein Kernelement einer Cyber Security Prüfung sein.

Darüber hinaus sollte man im Rahmen einer Prüfung weitere Bereiche beleuchten:

  • Die organisatorische Ebene: Es wird untersucht, ob die Cyber Security Strategy und die Organisation zum Anspruch und Risikoappetit des Unternehmens passen. Weitere Themen sind beispielsweise Security Awareness, Nutzung von Social Media, IT-Outsourcing, Cloud Computing und der Umgang mit externen Dienstleistern.
  • Die Prozessebene: IT-Prozesse, die wesentlich für eine effiziente Cyber-Abwehr sind, werden analysiert: Die Beschaffung und das Management von IT-Assets, der sichere Betrieb der IT-Infrastruktur, das Notfallmanagement oder „Business Continuity Management“, um nur ein paar Beispiele zu nennen.
  • Die IT-Infrastruktur: Gemäß dem Schichtenmodell wird die IT-Infrastruktur nach den speziellen Anforderungen der Cyber Security begutachtet. Das geht von den Applikationen, über Systeme und Netze bis zu den Netzwerkräumen und dem Rechenzentrum.

Beim Thema „Cyber Security“ kann man auch einen Blick in andere Abteilungen des Unternehmens werfen. So ist es zum Beispiel wichtig, die Mitarbeiter zu schulen, dass sogenannte „Social Engineering“ Angriffe, wie zum Beispiel der „CEO Fraud“, ins Leere laufen. Dafür ist meist die Personalverwaltung zuständig. Auch die physische Sicherheit von Gebäuden liegt meist nicht in der Verantwortung der IT-Abteilung. Schwach gesicherte Gebäude oder Industrieanlagen sind aber ein von Angreifern gern genutzter Einstieg für Cyber-Attacken.

Das zeigt, dass Cyber Security ein typisches „Querschnittsthema“ ist, mit einem großen Umfang an möglichen Prüfungsthemen. Eine realistische Planung des Prüfungsumfangs ist die Grundlage für eine erfolgreiche Durchführung der Prüfung. Dabei gibt es eine Reihe von Parametern zu berücksichtigen, die unter anderem vom Unternehmen selbst, dem Umfeld, gesetzlichen Vorgaben und den Vorkenntnissen der Prüfer abhängen:

Einflussgrößen für die Prüfungsplanung

Diese Prüfungsstandards gibt es

 Welche Prüfungsstandards sind zu beachten?

Für Prüfungen der Cyber Security gibt es nationale und internationale Standards. Da ist zum einen der vom deutschen „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) zusammen mit dem German Chapter der ISACA veröffentlichte „Leitfaden Cyber-Sicherheits-Check“. Das US-amerikanische „National Institute of Standards and Technology” (NIST) hat das „Framework for Improving Critical Infrastructure Cybersecurity” entwickelt. Beide Standards können sehr gut als Grundlage für eine Cyber Security Prüfung verwendet werden. Allerdings sollte man diese Vorgaben unbedingt weiter vertiefen und an die Anforderungen des eigenen Unternehmens anpassen, da die genannten Standards nur die Schwerpunkte der „Cyber Security“ abdecken. Als weitere „Baukästen“ zur Anreicherung einer individuellen Cyber Security Prüfung können die Standards „IT Grundschutz“ des BSI und „ISO27001“ dienen.

Seminartipp: Sicherheitslücken frühzeitig identifizieren und eliminieren

Seien Sie vorbereitet! Wie Sie die Cyber Security Ihres Unternehmens prüfen, lernen Sie im Seminar „Prüffeld Cyber Security”.

Über den Autor:

Dr. Christian Schaller beschäftigt sich seit mehr als 20 Jahren mit dem Thema IT-Sicherheit. Seit 2007 ist er als Associate Director IT Audit bei  Linde plc. tätig. Im Rahmen dieser Funktion hat er in den letzten Jahren weltweit Audits zu den Themen IT Baseline, IT Strategie, IT Anwendungen sowie globale Auditprojekte zu “Cyber Security”, “Business Continuity Management”, „Cloud Computing“ und “IT Outsourcing” durchgeführt. Zuvor war Dr. Christian Schaller als Projektleiter für nationale und internationale Großprojekte sowie als Leiter der Software-Entwicklung bei der Secunet AG beschäftigt. Er war mehrere Jahre Dozent für “Security Engineering” an der Hochschule München.

Beate Zuchantke

Ich bin Content Managerin bei der HAUB + PARTNER GmbH und bereits seit vielen Jahren Teamleiterin in der Mediengestaltung. Ich freue mich, Sie mit aktuellen Themen, Trends und Innovationen rund um das Thema Interne Revision zu informieren.
Dieser Beitrag hat 5 Kommentare
  1. Unser Unternehmen ist nicht besonders sicher, wie wir feststellen mussten. Daher ist es interessant, dass Revision zur Sicherheit beitragen kann. Aber am besten lassen wir einen Sicherheitsdienst dies erledigen.

  2. Gut zu wissen, was hinter dem Begriff “Cyber Security” steckt. Die IT-SIcherheit bekommt ja aktuell immer mehr an Bedeutung. Da sollte man sich schon gut damit auseinandersetzen.

  3. Vielen Dank für den Artikel! Ich versuche gerade, mir ein kleines Unternehmen für Schulungen aufzubauen. Daher ist es gut zu wissen, dass und welchen nationalen und internationalen Standards unsere Cyber Security entsprechen sollte. Ich werde mal schauen, ob ich dafür jemanden engagieren kann, da das echt nicht meine Stärke ist.

  4. Vielen Dank für den hilfreichen Artikel. Da ich mir gerade online ein kleines Unternehmen aufbaue steht noch alles ziemlich am Anfang. Deshalb ist es wichtig, sich in Sachen Cyber Security von vertrauenswürdigen IT Unternehmen beraten zu lassen.

  5. Wenn ich das richtig verstanden habe, dann ist die Cyber Security ein anderer Name für digitaler Wachdienst. Das klingt ja spannend. Vermutlich wird diese Sache immer wichtiger.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Weitere Beiträge

Agilitaet_Interne_Revision

Agilität in der Internen Revision – schneller auf Veränderungen reagieren

Durch die Digitalisierung verändern sich die Anforderungen in unserer Arbeitswelt immer schneller. Agile Arbeitsweisen können Sie dabei unterstützen, sich schneller an Veränderungen und neue Rahmenbedingungen anzupassen.

Robotic-Process-Automation

Robotic Process Automation als Prüfobjekt der Internen Revision

Worauf sollte die Interne Revision im Kontext des Prüffeldes Robotic Process Automation achten? Welche Chancen und Risiken liegen in der Anwendung? Prof. Dr. Marco Becker gibt eine Übersicht zu diesen Fragestellungen.