IT Audit vorbereiten

Der IT-Audit-Prozess ist eine Kontrolle aller IT-relevanten Bereiche, der einen Überblick über den Ist-Zustand bietet und zeigt, welche Maßnahmen für eine Verbesserung notwendig sind.

Diese sind dann rasch umzusetzen, nachher ist eine Kontrolle nötig, ob sie funktionieren und was weiter zu erledigen ist.

IT Audit vorbereiten

Fachleute empfehlen eine laufende Kontrolle der Internet-Sicherheit. Es kann aber auch nützlich sein, in bestimmten Zeitabständen, z.B. einmal im Jahr den Ist-Zustand gründlich und in allen Geschäftsbereichen zu überprüfen und Verbesserungen zu organisieren. Ob diese sich bewähren, muss in relativ kurzer Zeit kontrolliert werden.

  • Die interne Überprüfung mit geeigneten Angestellten hat den Vorteil, dass diese den Betrieb kennen und den Nachteil, dass sie nicht immer objektiv sind. Jedenfalls sollten immer Leute aus anderen Abteilungen für eine Überprüfung eingesetzt werden, damit sich keine Interessenskonflikte ergeben.
  • Die Überprüfung durch eine externe Firma wird objektiver und externe Prüfer können Fehler oder gar Delikte von Angestellten leichter aufdecken.

Wenn ein Unternehmen Bereiche ausgelagert hat, ist es sinnvoll auch mit dem Geschäftspartner vertraglich eine regelmäßige oder fortlaufende Überprüfung zu vereinbaren und das Verbot, Daten in Clouds von Drittunternehmen zu speichern. Geht der Vertragspartner nicht darauf ein, wird am besten der Anbieter gewechselt.

Einen IT-Auditor anzustellen kann sich lohnen, wenn im Betrieb keine IT-Fachleute beschäftigt sind oder diese nicht ohne Interessenskonflikte Kontrollen durchführen können. Ein IT-Auditor sollte über spezifische Berufserfahrung im IT-Bereich und eine entsprechende Ausbildung verfügen. Ausbildungsangebote gibt es bei verschiedenen Institutionen.

Compliance IT Audit

Compliance bedeutet auf Deutsch Regeltreue oder Rechtskonformität, innerhalb des Firmenmanagements ist es ein Bestandteil der IT-Corporate Governance. Ob diese befolgt wird, ist im Rahmen eines Audit zu kontrollieren.

Die Kontrollen müssen sich auf die Geschäftsbereiche beschränken, private Daten von Angestellten sind tabu. Um die Kontrolle zu erleichtern, stellt die Geschäftsleitung den Angestellten am besten Firmengeräte zur Verfügung, die nur für die Arbeit zu verwenden sind. Von BYOD, d.h. die Nutzung von Privatgeräten für Firmenangelegenheiten, raten Fachleute ab.

IT Audit Prozess

Für die Organisation von Corporate Governance stehen eine Reihe von Anleitungen zur Verfügungen, die auch für die Audit-Maßnahmen nützlich sind.

Es kann sinnvoll sein, für die Überprüfung ein anderes Regelwerk zu benützen als für das IT-Governance, so betrachtet wird der Betrieb aus einer anderen Perspektive analysiert. Von Fachleuten werden die ISO/IEC 27000-Normen als Grundlage für die Durchführung eines IT-Audits empfohlen.

IT Audit Checkliste

  • Überprüfung ob eine unterbrechungsfreie Stromversorgung (USV) vorhanden ist
  • Notfallpläne mittels Simulationen und Übungen regelmäßig testen, auch auf Aktualität
  • Absicherung und Minimierung von Netzübergängen, Firewall, IDS, Proxyserver usw. und laufende Kontrolle
  • Dezentraler und regelmäßiger Anti-Virus Scan auf einzelnen Clients und Servern
  • Zentraler AntiVirus Scan am Mailserver, Gateway, usw.
  • Regelmäßige Prüfung von Logdaten auf Cyber-Angriffe
  • Verschlüsselung von E-Mail-Kommunikation und von Datenträgern
  • Strukturiertes oder zentralisiertes Patchmanagement Netzsegmentierung
  • Regelmäßige Sensibilisierungsmaßnahmen für alle Mitarbeiter
  • Dezentraler AV Scan (auf einzelnen Clients, Servern) Zentraler AV Scan (am Mailserver, Gateway, usw.)
  • Sensible Daten sowie Geschäftsgeheimnisse nur von bestimmten Personen an Computern ohne Kontakt zum Internet und versiegelten USB-Zugängen bearbeiten