Interne Revision und Informationssicherheit

Computerkriminalität und Interne Revision – Prävention, Aufdeckung und Aufklärung von IT-basierter Wirtschaftskriminalität

Dieser Beitrag zeigt, wie die Verbindung zwischen Revision und Informationssicherheit aussieht und wie die Interne Revision sich diesem Thema annähern kann.

Interne Revision und die Prüfung der Informationssicherheit

Es ist eine Aufgabe der Internen Revision, Geschäftsprozess von Unternehmen zu prüfen und zu verbessern. Da mittlerweile kaum noch ein Geschäftsprozess ohne IT-Systeme auskommt, gehören Themen der Informationssicherheit mit zur Revision. Dieser Beitrag zeigt, wie die Verbindung zwischen Revision und Informationssicherheit aussieht und wie die Interne Revision sich diesem Thema annähern kann.

Ausgangssituationen

Die Sicherheit von Anwendungen und Daten ist ein zentrales Element jeder Unternehmensstrategie. Das betrifft insbesondere die Kernpunkte Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität (Nachweis der Echtheit). Informationssicherheit sollte deshalb in allen Firmen und Behörden fest verankert und auch Bestandteil von Revisionsprüfungen sein.

Allerdings stellt sich die Frage, wie Informationssicherheit aus Sicht der Internen Revision zu behandeln ist. Hier gibt es keine einheitliche Antwort, da Kenntnisstand und operative Möglichkeiten der Mitarbeiter der Revision von Unternehmen zu Unternehmen sehr unterschiedlich sein können. Ist kein eigenes Know-how vorhanden, muss die Revision zur Prüfung der Informationssicherheit auf firmeninterne oder sogar externe Spezialisten zurückgreifen. Je nach eigenem Kenntnisstand kann ein Revisor Prüfungen aber zumindest organisatorisch betreuen oder sogar selbst durchführen. Eine allgemein anerkannte oder besonders empfehlenswerte Vorgehensweise gibt es dabei nicht. Die Rahmenbedingungen entscheiden darüber, welches Modell gewählt werden kann, wie z.B.:

Vorhandensein einer hinreichend großen internen Kapazität mit IT-Prüfungskenntnissen
Art und Umfang der genutzten IT-Systeme, Outsourcingmodelle mit externen Dienstleistern u.s.w.
Strategische Positionierung der Internen Revision im Hinblick auf ein Insourcing, Outsourcing oder Partnering

Nutzung von anerkannten Standards

Ganz unabhängig davon, wie stark die Interne Revision in die Prüfungen der Informationssicherheit involviert ist, sollte immer daraus geachtet werden, sich an allgemein anerkannte Standards zu halten. Standards haben den Vorteil, dass das „Rad nicht neu erfunden“ werden muss. Zudem sind Standards von erfahrenen Experten ausgearbeitet worden, was die eigene Vorbereitung ungemein erleichtert.

Einer der größten Vorteile von Standards in der Informationssicherheit ist aber deren Vollständigkeit. Datenverarbeitung ist mittlerweile so komplex und allumfassend geworden, dass es leicht ist, den Überblick zu verlieren und wichtige Prüfungen entweder auszulassen oder nicht mit dem angemessenen Stellenwert zu behandeln.

Als Standards der Informationssicherheit haben sich zwei zwar kompatible, aber von ihrem Ansatz her sehr unterschiedliche Modelle etabliert. Aus Deutschland stammen die Grundschutzkataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik). Diese gliedern alle Aspekte der Sicherheit in Bausteine auf, wie etwa Datensicherungskonzept oder Telearbeit. Zu jedem Baustein gibt es eine Reihe von Gefährdungen sowie Maßnahmen, wie diesen Gefährdungen zu begegnen ist.

Der große Vorteil der Grundschutzkataloge ist ihr Detailreichtum. Man kann ohne allzu großen Aufwand die Maßnahmen der Bausteine direkt in Checklisten für eine Prüfung umwandeln. Allerdings gibt es auch Nachteile. Gerade wegen dieses Detailreichtums tut sich das BSI schwer, das Werk immer auf dem Laufenden zu halten. So fehlen meist die letzten Windows-Versionen, und auch etwa bei der explosionsartigen Entwicklung bei Smartphones kommt das BSI mit seinen Bausteinen nicht nach.

Ein weiterer Aspekt, den es beim Einsatz der BSI-Grundschutzkataloge zu beachten ist, ist deren Ausrichtung auf einen sogenannten „mittleren Schutzbedarf“. Dieser entspricht den üblichen Anforderungen, die in den meisten Firmen und Behörden an Informationssicherheit gestellt werden. Gibt es allerdings Abweichungen, bei denen dieser mittlere Schutzbedarf nicht ausreicht, so müssen über die Grundschutzkataloge hinausgehende Maßnahmen entwickelt werden.

Der Gegenpol zu den Grundschutzkatalogen sind die ISO-Standards 27001 und 27002. Sie wurden als internationale Standards verabschiedet und finden deshalb häufig bei international agierenden Organisationen Verwendung. Der Ansatz der ISO-Normen ist ziemlich das Gegenteil der Grundschutzkataloge. Während die BSI-Kataloge mit ihren vielen Details eher zu einer Bottom-Up-Prüfung der Sicherheit anregen, gibt die ISO 27001 nur eher abstrakte Maßnahmenziele und Maßnahmen vor. Diese werden in der ISO 27002 zwar noch etwas ausführlicher erläutert, doch sind bei dieser Top-Down-Vorgehensweise nach ISO 27001/27002 einige Vorarbeiten nötig, bevor eine Sicherheitsprüfung tatsächlich stattfinden kann.

Hilfsmittel für Prüfungen

Da auch die BSI-Grundschutzkataloge eine Informationssicherheit bieten, die konform zur ISO 27001 ist, bleibt es letztlich den Prüfern überlassen, welchen Standard sie zur Vorbereitung eines Audits nutzen. Beide Standards lassen sich zur Erstellung von Prüfungskatalogen und Checklisten nutzen, die beide wichtige Hilfsmittel bei der Vorbereitung sind.

In einem Prüfungskatalog werden alle zu prüfenden Dinge aufgeführt, wie sie sich aus den Maßnahmenkatalogen des BSI oder den Maßnahmenzielen und Maßnahmen nach ISO 27001 ergeben. Die Checklisten hingegen werden für jede Einzelprüfung erstellt und geben an, welche Fragestellung bei der Prüfung zu beantworten sind.

Der große Vorteil von solch vorgefertigten Prüfungskatalogen und Checklisten liegt zum einen in der Reproduzierbarkeit von Prüfungen, zum anderen aber auch in der Möglichkeit, Sicherheit zu messen. Das kann beispielsweise durch Erfüllungsgrade bei einzelnen Prüfungen geschehen, die dann später zu einem Gesamterfüllungsgrad umgerechnet werden.

In den Prüfungskatalogen wird auch vermerkt, wie genau eine Einzelprüfung auszusehen hat. Dabei gibt es die Auswahl unter sechs verschiedenen Optionen:

Interview: Die Fragestellungen der Checkliste werden bei einem Interview mit einem oder mehreren Ansprechpartnern diskutiert.
Begehung: Bei einer Begehung der zur Prüfung vorgesehenen Infrastruktur begutachtet der Prüfer diese im Sinne der Fragestellungen in der Checkliste.
Dokumentation: Die Fragen werden durch das Durcharbeiten einer Dokumentation beantwortet.
Security-Scan: Bei dieser speziellen Prüfung werden Sicherheitslücken in IT-Systemen automatisiert gefunden. Dazu wir ein Security-Scanner ins Netzwerk gestellt, auf dem eine Software zum Suchen von Sicherheitslücken läuft.
Penetrationstest: Bei dieser Prüfung werden Sicherheitslücken manuell oder mit Hilfe eines Security-Scanners gefunden. Anschließend wird versucht, über diese Schwachstellen in IT-Systeme einzubrechen. Ein Penetrationstest ähnelt sehr stark einen richtigen Hackerangriff, allerdings läuft er kontrolliert und ohne schädliche Nebenwirkungen ab. Penetrationstests sind technisch kompliziert, sodass hier immer Spezialisten zum Einsatz kommen.

Informationssicherheits-Managementsystem

Die BSI-Grundschutzkataloge und auch die ISO 27001 haben den Anspruch, dass mit ihrer Hilfe ein Informationssicherheits-Managementsystem (ISMS) aufgebaut werden kann. Ein ISMS ist eine Fülle organisatorischer, personeller und technischer Vorgaben, mit denen erreicht wird, dass Informationssicherheit im Unternehmen oder der Behörde fest verankert ist. Das Modell eines ISMS wurde zunächst in der ISO 27001 präsentiert und später in die BSI-Grundschutzkataloge übernommen.

Die Funktionsfähigkeit eines ISMS ist Grundlage von Zertifizierungen, mit denen eine Organisation nachweisen kann, dass das Thema Informationssicherheit einen ausreichenden Stellenwert hat. Das schützt beispielsweise vor dem Vorwurf des Organisationsverschuldens, falls es zu einem schwerwiegenden Sicherheitsvorfall gekommen ist.

Ein ISMS ist aber keine statische Konstruktion. Da in der IT mit ständig neuen Herausforderungen, Risiken und technischen Lösungen zu deren Bekämpfung zu rechnen ist, lässt sich ein ISMS auch als einen sich selbst regulierenden Regelkreis darstellen. Regelmäßige Prüfungen des ISMS und der damit zusammenhängenden Sicherheitsmaßnahmen, eine Bewertung des ISMS und seine kontinuierliche Verbesserung sind die Aufgaben, in die die interne Revision eingebunden ist.

Die Revision ist zudem in vielfältiger Weise in den Betrieb eines ISMS eingebunden. Sie kann eine Schnittstelle sein zwischen der Managementebene, die das ISMS ins Leben gerufen hat und deren Entscheidungen den geschilderten Regelkreis beeinflussen, und einer oft techniklastigen IT-Abteilung. Zudem ist sie in die Organisation und – je nach Kenntnisstand – auch in die Durchführung von Prüfungen eingebunden, die der Input für Managemententscheidungen zur Verbesserung des ISMS sind.

Dr. Markus a Campo

Best Practices at its best - von Revisoren für Revisoren

Forum Executives - Ihre Praxisdatenbank für die Interne Revision

Interne Revision

Lesen Sie hier, was die Interne Revision über IT-Security und Interne Kontrollsysteme wissen muss

Forensic Services

Wertvolle Arbeitshilfen, interessante Fachartikel und beispielhafte Fraud Cases