IT-Revision in der Praxis (eBook)

Klaus Schmidt ist Geschäftsführer der Innomenta GmbH & Co. KG, die Unternehmen bei dem Aufbau und der Optimierung des Managements der Informationssicherheit unterstützt, und verfügt über jahrelange Erfahrung als Information Security Consultant.Dirk Brand ist Senior Concultant bei der SILA Consulting GmbH mit den Schwerpunkten IT-Revision und IT Security.

Inhalt 8
Vorwort 16
Die Autoren 18
Teil I: Praxis der IT-Revision 20
1 Grundlagen der IT-Revision 22
1.1 Das Wesen der IT-Revision 22
1.1.1 Ziele der IT-Revision 23
1.1.2 Externe Revision 26
1.1.3 Interne Revisionsarten 27
1.2 Mit der IT-Revision verwandte Funktionen 28
1.3 Die IT-Revision im Unternehmen 30
1.3.1 Position im Unternehmen 30
1.3.2 Befugnisse 30
1.3.3 Mitarbeiter 32
1.3.4 Qualitätssicherung und Leistungsmessung 34
1.3.5 Sicherheit der Revisionsabteilung 37
1.4 Prüfungsaspekte 38
1.4.1 Rechtmäßigkeit 38
1.4.2 Ordnungsmäßigkeit 39
1.4.3 Sicherheit 40
1.4.4 Zweckmäßigkeit/Funktionsfähigkeit 41
1.4.5 Wirtschaftlichkeit 42
1.4.6 Kontrollierbarkeit und Nachvollziehbarkeit 43
2 Prüfungsorganisation undVorgehen 44
2.1 Prüfungsplanung 44
2.1.1 Strategische Planung (3-Jahres-Plan) 45
2.1.2 Jahresplanung 46
2.1.3 Planung und Vorbereitung einer einzelnen Prüfung 47
2.2 Prüfungsauftrag 49
2.3 Vorbereitung der Prüfungsdurchführung 50
2.3.1 Analyse des Prüfobjekts/Voruntersuchung 50
2.3.2 Prüfungsankündigung 50
2.3.3 Kick-off-Meeting 52
2.4 Prüfungsdurchführung 52
2.4.1 Dokumentensichtung 52
2.4.2 Fragebogenerhebung 54
2.4.3 Interviews 55
2.4.4 Verifikation der Aussagen 59
2.5 Prüfungsbericht 62
2.5.1 Dokumentation des Ist-Zustands im Prüfungsbericht 62
2.5.2 Bewertung des Ist-Zustands 63
2.5.3 Maßnahmenempfehlungen 66
2.5.4 Entwurf und Abstimmung des Prüfungsberichts 66
2.6 Prüfungsabschluss 68
2.6.1 Schlussbesprechung 68
2.6.2 Vollständigkeitserklärung 69
2.6.3 Stellungnahme des geprüften Bereichs 70
2.6.4 Verfolgung der Umsetzung der Maßnahmen 70
3 Zusammenspiel mit externenWirtschaftsprüfern 72
3.1 Aufgabe der externen Wirtschaftsprüfer 72
3.2 Grundlagen der Prüfung durch einen Wirtschaftsprüfer 73
3.3 Vorgehen bei der Prüfung durch externe Wirtschaftsprüfer 75
3.4 Ergebnisse der internen Revision verwenden 76
4 Relevante Prüfungsgrundlagen 80
4.1 Prüfungsgrundlagen für die IT-Revision 80
4.2 Gesetze 81
4.2.1 Handelsgesetzbuch (HGB) 82
4.2.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) 85
4.2.3 Bundesdatenschutzgesetz BDSG 86
4.2.4 Telemediengesetz (TMG) 88
4.2.5 SOX 89
4.3 Richtlinien für die IT-Revision 90
4.3.1 Allgemein 90
4.3.2 Verlautbarungen des IDW 91
4.3.3 GDPdU 92
4.3.4 GoBS 93
4.4 Branchenvorschriften 95
4.4.1 Basel II 95
4.4.2 MaRisk (Mindestanforderungen an das Risikomanagement) 96
4.4.3 Solvency II 97
5 Prüfung von IT-Verfahren 98
5.1 Das Wesen eines IT-Verfahrens 98
5.2 Fragmentierung von Verfahrensprüfungen 100
5.3 Prüfung der IT-Verfahrensplanung 102
5.3.1 Anforderungen an das neue IT-Verfahren 102
5.3.2 Einsatzplanung 103
5.3.3 Einbettung in Geschäftsprozesse 104
5.3.4 Einbettung in die IT 105
5.4 Prüfung der Verfahrensdokumentation 106
5.4.1 Das Wesen der Verfahrensdokumentation 106
5.4.2 Beschreibung der sachlogischen Lösung 108
5.4.3 Beschreibung der technischen Lösung 109
5.4.4 Programmidentität 112
5.4.5 Datenintegrität 113
5.4.6 Arbeitsanweisungen für den Anwender 113
5.4.7 Prüfen der Verfahrensdokumentation 114
5.5 Berechtigungskonzept 116
5.6 Prüfung der Verfahrensdaten 118
5.6.1 Anforderungen an Daten in der Planungsphase 118
5.6.2 Dateneingabe, -verarbeitung und -ausgabe 119
5.6.3 Datentransfer 120
5.6.4 Datensicherung und Archivierung 120
5.6.5 Datenmigration 121
5.6.6 Datenlöschung und -entsorgung 122
6 Besondere Prüfungsgebiete 124
6.1 Prüfungsgebiet Bundesdatenschutzgesetz 124
6.1.1 BSI Grundschutzstandards und -kataloge 125
6.1.2 Vorgehen nach BSI Grundschutz 126
6.1.3 Umsetzung der Vorgaben anhand eines Sicherheitsrahmenkonzeptes 136
6.1.4 Audit eines Informationssicherheitsmanagementsystems (ISMS) nach BSI Grundschutz 137
6.2 Prüfungsgebiet Dokumentenmanagement 139
6.2.1 Welche Rahmenbedingungen gibt es? 139
6.2.2 Bewertungsbereiche 141
6.2.3 Prüfung und Zertifizierung 141
7 CobIT-Prüfungen 144
7.1 Bestimmung des Prüfungsziels 144
7.2 Aufnahme der bestehenden Situation 146
7.3 Feststellung der CobIT-Erfüllung 147
7.4 Ermittlung des Reifegrades 147
7.5 Prüfung des Ziel- und Kontrollsystems 150
8 Tools zur Prüfungsunterstützung 154
8.1 Wie alles begann 154
8.2 Warum überhaupt Tools? 155
8.3 Welche Werkzeugarten gibt es? 155
8.4 Prüfungsbegleitende Werkzeuge 156
8.4.1 Ablauf einer tool-unterstützten Prüfung 157
8.5 Prüfende Werkzeuge 166
Teil II: Grundsätze einer ordnungsgemäßen Informationstechnik (GoIT) 168
Einleitung 170
Gliederung der IT in den GoIT 171
IT-Strukturierungsmodell 171
Fokus 173
IT-Lebenszyklusphasen in den GoIT 174
Prüfungsaspekte in den GoIT 175
Vorgehen bei der Anwendung der GoIT 176
A Physikalische Ebene 178
A.1 Planungsphase 179
A.1.1 Bei der Planung einer physischen Einrichtung sind Sicherheitsmaßnahmen berücksichtigt worden. 179
A.1.2 Bei der Planung sind einschlägige Normen berücksichtigt worden. 180
A.1.3 Schützenswerte Gebäudeteile sind deklariert worden. 181
A.1.4 Elektroversorgungsleitungen und Datenleitungen sind zukunftsorientiert geplant. 182
A.1.5 Versorgungsleitungen sind redundant ausgelegt. 183
A.2 Entwicklungsphase 183
A.3 Implementierungsphase 184
A.3.1 Bei der Realisierung sind die Anforderungen der Planungsphase berücksichtigt worden. 184
A.3.2 Beim Einzug in eine gemietete Einrichtung sind Sicherheitsmaßnahmen geprüft worden. 185
A.4 Betriebsphase 186
A.4.1 Der Zutritt zum Gebäude wird kontrolliert. 186
A.4.2 Es sind Schutzmaßnahmen gegen Bedrohungen von außen und aus der Umgebung getroffen worden. 187
A.4.3 Öffentliche Zugänge, Anlieferungs- und Ladezonen werden kontrolliert. 188
A.4.4 Die Arbeit in Sicherheitszonen ist geregelt. 189
A.4.5 Betriebsmittel sind vor unerlaubtem Zugriff physisch gesichert. 190
A.4.6 Bei physischen Einrichtungen mit Publikumsverkehr sind die Informationsträger gesondert zu sichern. 191
A.4.7 Physische Einrichtungen, in denen sich Mitarbeiter aufhalten, sind gegen unbefugten Zutritt gesichert. 192
A.4.8 Physische Sicherheitsmaßnahmen sind dokumentiert. 193
A.4.9 Notfallmaßnahmen für physische Einrichtungen sind definiert. 194
A.4.10 Notfallübungen werden durchgeführt. 195
A.5 Migration 195
A.6 Roll-Off 196
A.6.1 Der Auszug aus physischen Einrichtungen ist geregelt. 196
A.6.2 Betriebsmittel werden ordnungsgemäß entsorgt. 197
A.6.3 Bestandsverzeichnisse sind auf dem aktuellen Stand. 198
B Netzwerkebene 200
B.1 Planungsphase 201
B.1.1 Eine geeignete Netzwerksegmentierung ist geplant. 201
B.1.2 Bei der Planung sind Sicherheitsmaßnahmen zum Schutz des Netzwerkes getroffen worden. 202
B.1.3 Das physische Netzwerk ist vor unbefugten Zugängen geschützt. 203
B.1.4 Ein Netzwerkrealisierungsplan ist vorhanden. 204
B.1.5 Eine geeignete Netzkopplung ist eingeplant. 205
B.2 Entwicklungsphase 205
B.3 Implementierungsphase 206
B.3.1 Das Netzwerk ist auf Engpässe überprüft. 206
B.3.2 Die Verwaltung der Netzkomponenten ist zentral gesteuert. 207
B.3.3 Eine vollständige Netzdokumentation ist vorhanden. 208
B.3.4 Mit Netzwerkbetreibern sind geeignete Verträge abgeschlossen. 209
B.3.5 Netzkomponenten sind sicher zu konfigurieren. 210
B.4 Betriebsphase 211
B.4.1 Der Netzwerkverkehr wird protokolliert. 211
B.4.2 Die Protokolle werden regelmäßig ausgewertet und auf Unregelmäßigkeiten geprüft. 212
B.4.3 Ein Monitoring ist eingerichtet. 213
B.4.4 Das Verhalten bei Zwischenfällen ist definiert. 214
B.4.5 Netzwerkadministratoren sind sorgfältig ausgewählt worden. 215
B.4.6 Netzwerkspezifische Sicherheitsmaßnahmen sind dokumentiert. 216
B.4.7 Notfallmaßnahmen für das Netzwerk sind definiert. 217
B.4.8 Notfallübungen werden durchgeführt. 218
B.5 Migrationsphase 218
B.6 Roll-Off 219
B.6.1 Inhalte auf aktiven Netzwerkkomponenten sind ordentlichgelöscht worden. 219
B.6.2 Protokolle werden nach gesetzlichen Vorgaben vernichtet. 220
C Systemebene 222
C.1 Planungsphase 223
C.1.1 Der Schutzbedarf des Systems ist ermittelt. 223
C.1.2 Die sich aus dem Schutzbedarf ableitenden Sicherheitsanforderungen und -maßnahmen sind definiert. 224
C.1.3 Leistungs- und Kapazitätsanforderungen an das System sind definiert. 225
C.1.4 Die Dimensionierung des Systems entspricht der zu erbringenden Leistung. 226
C.1.5 Die Systeme folgen definierten Unternehmensstandards. 227
C.2 Entwicklungsphase 227
C.3 Implementierungsphase 228
C.3.1 Bei erhöhtem Schutzbedarf wird das System gehärtet. 228
C.3.2 Die Erfüllung der Leistungs- und Kapazitätsanforderungen wird nachgewiesen. 229
C.3.3 Die Systemfunktionen und -komponenten sind ausführlich getestet. 230
C.4 Betriebsphase 231
C.4.1 Alle Lizenzvereinbarungen werden eingehalten. 231
C.4.2 Das System ist vor zu langen Ausfällen geschützt. 232
C.4.3 Die Wiederherstellung des Systems ist in der erforderlichen Zeit möglich. 233
C.4.4 Das System wird durch Updates auf dem neuesten Stand gehalten. 234
C.4.5 Das System ist vor unberechtigten Zugriffen geschützt. 235
C.4.6 Die Erfüllung der Leistungs- und Sicherheitsanforderungen wird regelmäßig analysiert und ggf. angepasst. 236
C.4.7 Das System ist angemessen dokumentiert. 237
C.5 Migrationsphase 238
C.5.1 Die Systemfunktion bleibt zu jedem Zeitpunkt der Migration erhalten. 238
C.5.2 Für einen möglichen Fehlschlag von Änderungen/Migrationen ist ein Rollback vorhanden. 239
C.5.3 Systemänderungen werden auf Seiteneffekte hin geprüft. 240
C.5.4 Es gibt eine Übersicht, welche Systemeigenschaften des Altsystems denen des Neusystems entsprechen. 241
C.5.5 Änderungen und Migrationen unterliegen einem definierten und kontrollierten Change-Management-Prozess. 242
C.6 Roll-Off 243
C.6.1 Alle Systemfunktionen werden nicht mehr benötigt. 243
C.6.2 Alle Systemlizenzen erlöschen. 244
C.6.3 Vor dem Roll-Off wird sichergestellt, dass ein zu entsorgendes, physisches System keine vertraulichen Daten mehr enthält. 245
C.6.4 Das physische IT-System wird de-inventarisiert und die Entsorgung protokolliert. 246
D Applikationsebene 248
D.1 Planungsphase 249
D.1.1 Die Ziele und Aufgaben, welche die Anwendung erfüllen soll, sind definiert worden. 249
D.1.2 Die Anforderungen sind in einem Lastenheft/Anforderungskatalog konkretisiert worden. 250
D.1.3 Für die Entwicklung/Implementierung werden geeignete Ressourcen bereitgestellt. 251
D.1.4 Die Daten, die verarbeitet werden sollen, sind klassifiziert und definiert worden. 252
D.1.5 Eine geeignete Infrastruktur für den Betrieb wurde ausgewählt. 253
D.2 Entwicklungsphase 254
D.2.1 Geeignete Vorgehensweisen zur Entwicklung sind mit den Anforderungen verglichen worden. 254
D.2.2 Die Entwicklung wird konform zur Vorgehensweise dokumentiert. 255
D.3 Implementierungsphase 256
D.3.1 Quellcode ist gegen unbefugte Veränderung gesichert. 256
D.3.2 Applikationstests werden nach den Vorgaben der Planung umgesetzt. 257
D.4 Betriebsphase 258
D.4.1 Anforderungen der Applikation an den Betrieb sind dokumentiert. 258
D.4.2 Prozesse zur sicheren Applikationsverwaltung sind beschrieben. 259
D.4.3 Integritäts- und vertraulichkeitssichernde Maßnahmen sindf ür den Betrieb beschrieben und umgesetzt. 260
D.4.4 Etwaige Verschlüsselungsverfahren sind beschrieben. 261
D.4.5 Prozesse für die Benutzerverwaltung innerhalb der Anwendung sind dem Betrieb bekannt und dokumentiert. 262
D.4.6 Eine Testumgebung der Applikation ist vorhanden. 263
D.5 Migrationsphase 264
D.5.1 Der im Falle einer Migration durchzuführende Prozess ist definiert und dokumentiert. 264
D.5.2 Eine Migration erfolgt geplant. 265
D.6 Roll-Off 266
D.6.1 Die Benutzerverwaltung ist auch über die End-of-Life-Phase hinaus geregelt. 266
D.6.2 Betriebsmittel werden ordnungsgemäß entsorgt 267
D.6.3 Durch die Anwendung mitgenutzte Ressourcen sind durch Befugte freigegeben. 268
E Inhaltsebene 270
E.1 Planungsphase 271
E.1.1 Es werden die und nur die Daten vorgesehen, die für den Geschäftszweck benötigt werden. 271
E.1.2 Die Gewährleistung der Datenkonsistenz ist in der Planung berücksichtigt. 272
E.1.3 Die Gewährleistung der Datenqualität ist in der Planung berücksichtigt. 273
E.1.4 Die Daten werden hinsichtlich der Kritikalität bewertet. 274
E.2 Entwicklungsphase 275
E.2.1 Es werden möglichst keine Produktionsdaten in Entwicklungs- oder Testumgebungen verwendet. 275
E.2.2 Für Tests werden möglichst geeignete Testdaten verwendet. 276
E.2.3 Testdaten werden möglichst automatisiert generiert. 277
E.2.4 Die Daten, die durch das entwickelte System entstehen, werden dokumentiert. 278
E.3 Implementierungsphase 279
E.3.1 Es ist transparent, welche Daten in welchen Speicherorten geführt und auf welchen Datenträgern archiviert werden 279
E.3.2 Es wird kontrolliert, dass die Daten gemäß ihrer Spezifikation implementiert werden 280
E.4 Betriebsphase 281
E.4.1 Buchführungsrelevante Daten sind nach der Eingabe nicht mehr änderbar 281
E.4.2 Wichtige Daten werden vor der Speicherung validiert bzw. plausibilisiert 282
E.4.3 Wichtige, kritische oder sensible Daten sind vor Verlust geschützt 283
E.4.4 Vertrauliche Daten sind nur den Personen zugänglich, für die sie bestimmt sind 284
E.4.5 Vertrauliche bzw. personenbezogene Daten dürfen nur Personen zugänglich sein, die eine Verpflichtungserklärung zu Vertraulichkeit und Datenschutz abgegeben haben. 285
E.4.6 Der Zugriff auf vertrauliche/sensible Daten wird protokolliert 286
E.5 Migrationsphase 287
E.5.1 Die Verfügbarkeit und Vertraulichkeit der Daten ist auch bei Änderungen und Migrationen zu jedem Zeitpunkt sichergestellt 287
E.5.2 Die Datensemantik wird von einer Migration nicht ungewollt verändert 288
E.5.3 Datenänderungen werden in einem geordneten Prozess durchgeführt 289
E.5.4 Datenänderungen werden protokolliert 290
E.6 Roll-Off 291
E.6.1 Vorgeschriebene Aufbewahrungsfristen werden gewährleistet 291
E.6.2 Es ist definiert, wann und durch wen Daten gelöscht werden dürfen 292
E.6.3 Sensible Daten werden sicher, zuverlässig, dauerhaft und nachweisbar gelöscht 293
E.6.4 Die Vernichtung von Datenträgern mit sensiblen Daten wird geprüft und protokolliert 294
F Personelle Ebene 296
F.1 Planungsphase 297
F.1.1 Aufgaben und Verantwortung von Angestellten sind definiert. 297
F.1.2 Stellenbeschreibungen werden verwendet 298
F.1.3 Anforderungen an besondere Stellen sind definiert. 299
F.1.4 Eine Überprüfung der Angestellten fand im Einklang mit den Gesetzen statt. 300
F.2 Entwicklungsphase 300
F.3 Implementierungsphase 301
F.3.1 Sicherheitsrichtlinien für Angestellte sind durch das Management in Kraft gesetzt worden. 301
F.3.2 Angestellte sind Ihren Aufgaben entsprechend sensibilisiert. 302
F.3.3 Sensible Posten sind mit vertrauenswürdigen Angestellten besetzt. 303
F.3.4 Angestellte haben den vertraglichen Vereinbarungen ihrer Posten zugestimmt. 304
F.4 Betriebsphase 305
F.4.1 Angestellte werden regelmäßig über die geltenden Regelungen informiert. 305
F.4.2 Sanktionen sind definiert. 306
F.4.3 Mitarbeiter sind ausreichend geschult. 307
F.5 Roll-Off 308
F.5.1 Die Verantwortlichkeiten für das Ausscheiden der Angestellten sind geregelt. 308
F.5.2 Alle organisationseigenen Wertgegenstände sind zurückgenommen worden. 309
Literaturhinweise 310
Register 312

"Teil I: Praxis der IT-Revision (S. 3-4)

1 Grundlagen der IT-Revision

Dieses Kapitel soll Sie in die Welt der IT-Revision einführen. Dazu ist zunächst zu klären, was unter Revision zu verstehen ist, und damit auch, was eine Revisionsabteilung tut und welche Ziele und Aufgaben sie besitzt. Ebenfalls zu den Grundlagen gehört die Frage, wie eine solche IT-Revision im Unternehmen eingebettet ist und wo Berührungspunkte mit anderen Abteilungen bzw. Bereichen existieren.

1.1 Das Wesen der IT-Revision

Befragt man das beliebte Online-Lexikon Wikipedia nach dem Stichwort „Revision“, so bekommt man die Auskunft, dass sich der Begriff aus dem Verb revidieren ergibt, das sich aus dem lateinischen „re“ (Rückschau oder Überprüfung) und „videre“ (ansehen) zusammensetzt. Schon aus dem Begriff „IT-Revision“ ergeben sich damit drei wichtige Eigenschaften:

- Die IT-Revision konzentriert sich auf Dinge der Informationstechnik. Sie beschäftigt sich mit Dingen, die im Zusammenhang mit der Gestaltung, dem Betreiben, dem Management oder der Nutzung der Informationstechnik stehen. Diese Dinge können sehr unterschiedlicher Natur sein, z.B. Vorgänge (Migration eines Software- Systems) oder Objekte (z.B. ein Rechenzentrum).

- Die IT-Revision schaut sich diese Dinge im Unternehmen an und prüft sie. Das Anschauen besteht zunächst darin, den bestehenden Zustand festzustellen. In einem zweiten Schritt wird geprüft, ob dieser Zustand die Vorgaben erfüllt bzw. einhält, die von externen Instanzen (Gesetzgeber, Aufsichtsbehörden usw.) oder vom Unternehmen selbst gestellt werden. Diese Prüfung ist die zentrale Tätigkeit der Revision.

- Die IT-Revision schaut sich die Dinge nachträglich an.

Im Fokus der IT-Revision liegen die Dinge, die bereits geschehen sind und damit ein Faktum darstellen, und nicht Dinge, die geschehen werden oder könnten.

Bisher noch unbeantwortet ist die Frage, warum es die Revision überhaupt gibt. Die oben erwähnten Vorgaben werden schließlich an die Fachbereiche gestellt und müssen von ihnen erfüllt bzw. eingehalten werden. Doch da beginnen die Probleme: Nicht selten wissen die Fachbereiche gar nicht, welche Vorgaben sie erfüllen müssen. Das gilt insbesondere dann, wenn Fachbereiche IT-Themen bearbeiten und nicht mit den Anforderungen an die Informationsverarbeitung vertraut sind.

Praxistipp Veranstalten Sie kurze Info-Workshops in den Fachbereichen und erläutern Sie den Fokus der bestehenden Soll-Vorgaben für die IT. Als Teilnehmer kommen alle Personen in Frage, die im Fachbereich mit IT-Aufgaben betraut sind. Selbst wenn die Vorgaben bekannt sind, heißt das nicht, dass sie auch erfüllt werden, denn das primäre Interesse der Fachbereiche liegt woanders. Um die Konformitäten zu kontrollieren, wird daher eine von der Linie unabhängige Instanz wie die Revision benötigt.

1.1.1 Ziele der IT-Revision

Welche Zwecke verfolgt nun die IT-Revision? In der Regel sind es folgende Zielsetzungen, die sich die IT-Revision selbst gibt oder die vom Top-Management2 vorgegeben werden: Schutz des Unternehmens vor Bestrafung Eines der primären Ziele der Revisionstätigkeit liegt darin sicherzustellen, dass das Unternehmen nicht dafür belangt werden kann, dass gesetzliche oder aufsichtsrechtliche Vorgaben nicht eingehalten werden."