Sind Sie vorbereitet? Cyber-Attacken auf Unternehmen und Behörden können immense Schäden anrichten. Um das Risiko einzudämmen und für den Ernstfall gut gerüstet zu sein, sind Sie als Interner Revisor besonders gefordert. Was es bei der Cyber Security Prüfung zu beachten gilt, hat uns im Interview Dr. Christian Schaller verraten. Er beschäftigt sich seit mehr als 20 Jahren mit dem Thema IT-Sicherheit und ist Associate Director IT Audit bei Linde plc.
Cyber Security – Begriffdefinition
„Cyber Security“ – was ist das eigentlich?
Der Begriff „Cyber Security“ ist erst vor einigen Jahren entstanden. Vorher gab es die klassische „IT- Security“. Ein Aspekt war dabei sicherlich, dass der Begriff Cyber Security zeitgemäßer und aus Marketing-Sicht ansprechender ist. Der Inhalt von Cyber Security deckt sich größtenteils mit den Inhalten von „IT-Security“. Generell verfolgt Cyber Security das Ziel, die Vertraulichkeit, die Integrität und die Verfügbarkeit von Informationen gegen Bedrohung aus dem Cyber Space zu schützen. Es geht also darum, Cyber-Angriffe schnellstmöglich zu entdecken und die Auswirkungen von Angriffen zu minimieren und den Zustand vor dem Angriff wiederherzustellen. Die Methoden sind größtenteils die gleichen, die auch in der klassischen IT-Security angewendet werden.
Interne Revision und Cyber Security
Wie kann die Revision zur Cyber Security eines Unternehmens beitragen?
In der durch den technischen Fortschritt und die Digitalisierung immer komplexeren Welt steigen sowohl das Risiko als auch die Auswirkung von Cyber-Angriffen stetig. Laut einer Umfrage von Bitkom aus 2021 beläuft sich der finanzielle Schaden durch Cyber-Angriffe für die deutsche Wirtschaft auf mehr als 200 Mrd. Euro pro Jahr. Unternehmen müssen dem großen Risiko eines Cyber-Angriffs entgegenwirken, indem sie eine dem Risikoappetit entsprechend abgesicherte IT-Infrastruktur betreiben. Es sollte Prozesse und Systeme geben, die jederzeit einen Überblick über die aktuelle Sicherheitslage der Infrastruktur bieten. Im Falle eines Angriffs sollte das Unternehmen Pläne für die Eingrenzung des Angriffs und die Wiederherstellung des Normalbetriebs in der Schublade haben.
Die IT hat damit hochkomplexe Aufgaben – Fehler sind sehr wahrscheinlich. Daher braucht es dringend eine Kontrolle. Die Interne Revision ist in diesem komplexen Umfeld besonders gefordert, um die Interessen des Unternehmens zu wahren. Im Sinne der „Third Line of Defense“ agiert die Interne Revision dabei als zusätzliche Sicherheitslinie hinter dem IT-Betrieb und dem CISO mit der IT-Compliance.
Prüffeld Cyber Security
Welche Prüffelder im Umfeld Cyber Security gibt es?
Das wesentliche Ziel der „Cyber Security“ ist es, einen Cyber Angriff so früh wie möglich zu erkennen, einzudämmen und dann den Normalbetrieb wiederherzustellen. Entsprechend sollte dieser Prozess, der sogenannte „Security Incident Management Prozess“, ein Kernelement einer Cyber Security Prüfung sein.
Darüber hinaus sollte man im Rahmen einer Prüfung weitere Bereiche beleuchten:
- Die organisatorische Ebene: Es wird untersucht, ob die Cyber Security Strategy und die Organisation zum Anspruch und Risikoappetit des Unternehmens passen. Weitere Themen sind beispielsweise Security Awareness, Nutzung von Social Media, IT-Outsourcing, Cloud Computing und der Umgang mit externen Dienstleistern.
- Die Prozessebene: IT-Prozesse, die wesentlich für eine effiziente Cyber-Abwehr sind, werden analysiert: Die Beschaffung und das Management von IT-Assets, der sichere Betrieb der IT-Infrastruktur, das Notfallmanagement oder „Business Continuity Management“, um nur ein paar Beispiele zu nennen.
- Die IT-Infrastruktur: Gemäß dem Schichtenmodell wird die IT-Infrastruktur nach den speziellen Anforderungen der Cyber Security begutachtet. Das geht von den Applikationen, über Systeme und Netze bis zu den Netzwerkräumen und dem Rechenzentrum.
Beim Thema „Cyber Security“ kann man auch einen Blick in andere Abteilungen des Unternehmens werfen. So ist es zum Beispiel wichtig, die Mitarbeiter zu schulen, dass sogenannte „Social Engineering“ Angriffe, wie zum Beispiel der „CEO Fraud“, ins Leere laufen. Dafür ist meist die Personalverwaltung zuständig. Auch die physische Sicherheit von Gebäuden liegt meist nicht in der Verantwortung der IT-Abteilung. Schwach gesicherte Gebäude oder Industrieanlagen sind aber ein von Angreifern gern genutzter Einstieg für Cyber-Attacken.
Das zeigt, dass Cyber Security ein typisches „Querschnittsthema“ ist, mit einem großen Umfang an möglichen Prüfungsthemen. Eine realistische Planung des Prüfungsumfangs ist die Grundlage für eine erfolgreiche Durchführung der Prüfung. Dabei gibt es eine Reihe von Parametern zu berücksichtigen, die unter anderem vom Unternehmen selbst, dem Umfeld, gesetzlichen Vorgaben und den Vorkenntnissen der Prüfer abhängen:
Diese Prüfungsstandards gibt es
Welche Prüfungsstandards sind zu beachten?
Für Prüfungen der Cyber Security gibt es nationale und internationale Standards. Da ist zum einen der vom deutschen „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) zusammen mit dem German Chapter der ISACA veröffentlichte „Leitfaden Cyber-Sicherheits-Check“. Das US-amerikanische „National Institute of Standards and Technology” (NIST) hat das „Framework for Improving Critical Infrastructure Cybersecurity” entwickelt. Beide Standards können sehr gut als Grundlage für eine Cyber Security Prüfung verwendet werden. Allerdings sollte man diese Vorgaben unbedingt weiter vertiefen und an die Anforderungen des eigenen Unternehmens anpassen, da die genannten Standards nur die Schwerpunkte der „Cyber Security“ abdecken. Als weitere „Baukästen“ zur Anreicherung einer individuellen Cyber Security Prüfung können die Standards „IT Grundschutz“ des BSI und „ISO27001“ dienen.
Unser Unternehmen ist nicht besonders sicher, wie wir feststellen mussten. Daher ist es interessant, dass Revision zur Sicherheit beitragen kann. Aber am besten lassen wir einen Sicherheitsdienst dies erledigen.
Gut zu wissen, was hinter dem Begriff “Cyber Security” steckt. Die IT-SIcherheit bekommt ja aktuell immer mehr an Bedeutung. Da sollte man sich schon gut damit auseinandersetzen.
Vielen Dank für den Artikel! Ich versuche gerade, mir ein kleines Unternehmen für Schulungen aufzubauen. Daher ist es gut zu wissen, dass und welchen nationalen und internationalen Standards unsere Cyber Security entsprechen sollte. Ich werde mal schauen, ob ich dafür jemanden engagieren kann, da das echt nicht meine Stärke ist.
Vielen Dank für den hilfreichen Artikel. Da ich mir gerade online ein kleines Unternehmen aufbaue steht noch alles ziemlich am Anfang. Deshalb ist es wichtig, sich in Sachen Cyber Security von vertrauenswürdigen IT Unternehmen beraten zu lassen.
Wenn ich das richtig verstanden habe, dann ist die Cyber Security ein anderer Name für digitaler Wachdienst. Das klingt ja spannend. Vermutlich wird diese Sache immer wichtiger.
Es ist gut zu wissen, was man gegen diese Kriminalität machen kann. Dennoch befürchte ich, dass man hier immer einen Schritt hinten dran ist. Da kann auch das Sicherheitspersonal nichts machen.
Ich möchte mehr zum Thema moderne Sicherheitstechnik lernen. Gut zu wissen, wie man Cyber-Kriminalität begegnet. Ich werde versuchen, mich dagegen zu wehren.